الجزء 3

مقدمة

في منشوراتنا السابقة، وضعنا الأساس لفهم جدول تقسيم GUID (GPT) من خلال فحص MBR الواقي ورأس GPT. والآن، في الجزء 3، نحول تركيزنا إلى مصفوفة إدخال قسم GPT. يوفر هذا المكون المهم من مخطط GPT خريطة مفصلة لجميع الأقسام الموجودة على القرص، حيث يحتوي كل إدخال على معلومات حيوية حول قسم معين. من خلال فهم بنية ووظيفة مصفوفة إدخال قسم GPT، ستحصل على رؤية شاملة لكيفية إدارة GPT للأقسام، مما يتيح لك تحليلًا أكثر فعالية واستكشاف الأخطاء وإصلاحها واستعادة البيانات.

مصفوفة إدخال قسم GPT (جدول التقسيم GUID)

تعتبر مصفوفة إدخال جدول التقسيم GUID (GPT) جزءًا مهمًا من نظام تقسيم GPT، والذي يُستخدم لتحديد وإدارة الأقسام الموجودة على القرص الثابت. فكر فيه كقائمة مفصلة تسجل تفاصيل كل قسم على القرص، مثل كتالوج المكتبة الذي يسرد تفاصيل كل كتاب.

المكونات الرئيسية لمصفوفة دخول GPT:

معرّف القسم الإرشادي للقسم: يحتوي كل قسم على معرّف فريد، يُعرف باسم معرّف القسم GUID، والذي يضمن إمكانية تحديد كل قسم بشكل فريد، حتى عبر الأنظمة المختلفة.

المعرف الفريد: هذا معرّف فريد آخر خاص بكل قسم، مما يوفر طبقة إضافية من التعريف الفريد.

بدء تشغيل LBA (عنوان الكتلة المنطقية) للقسم: يشير هذا إلى نقطة بداية القسم على القرص. يخبر النظام من أين يبدأ القسم.

إنهاء LBA للتقسيم: مثل LBA البداية، يشير هذا إلى مكان انتهاء القسم على القرص.

بتات السمات: هذه علامات توفر معلومات إضافية حول القسم، مثل ما إذا كان قابلاً للتمهيد أو إذا كان له أي سمات خاصة.

اسم القسم: يمكن أن يكون لكل قسم اسم يمكن للبشر قراءته، مما يسهل علينا تحديد غرض القسم أو محتواه. يتم إنهاء هذا الاسم بحرف فارغ لتمييز نهاية السلسلة.

دعنا نحلل كل ذلك بالتفصيل حتى تفهم تمامًا كل عنصر في المصفوفة.

عند إعداد القرص كقرص GPT، فإن القسم الأول الذي سيتم إنشاؤه هو قسم نظام EFI (ESP). وهو قسم مخفي غير متاح بسهولة للمستخدمين. سيتم العثور على هذا القسم في القطاع 2048 وستتم تهيئته على شكل FAT32 للتوافق مع جميع الأنظمة (ويندوز، لينكس، ماك أو إس).

تُظهِر لقطة الشاشة أعلاه تثبيتًا قياسيًا لنظام Windows 10 حيث تم إنشاء قسم Microsoft المحجوز إلى جانب قسم بيانات أساسي واحد تم تحديده من قبل المستخدم أثناء التثبيت.

فيما يلي مقتطفات من معرّفات GUID من جدول موجود في صفحة جدول تقسيم GUID في ويكيبيديا:

المصدر: https://en.wikipedia.org/wiki/GUID_Partition_Table#Partition_type_GUIDs

بالطبع، لن يتم تخزين GUID في نموذج GUIID عند عرض القيم داخل العارض السداسي. 

يتم تحويل معرفات GUIDs تمامًا كما فعلنا في منشور المدونة السابق، ولكن يمكن أيضًا رؤيتها بسهولة عند عرضها في HxD:

يمكننا التأكد من معرف GUID لقسم وحدة التخزين باستخدام الأمر: mountvol.exe

بمعرفة LBA البداية و LBA النهاية، يمكننا حساب حجم القسم. على سبيل المثال، قسم EFI:

نقطة البداية LBA: 2048

نهاية LBA: 534527

الطول الإجمالي: 532479 قطاعًا × 512 بايت/قطاع = 272629248 بايت أي 260 ميغابايت.

مصفوفة إدخال قسم النسخ الاحتياطي GPT

تقع مصفوفة إدخال قسم GPT الاحتياطية في نهاية القرص وقبل رأس GPT، وتحديداً 33 قطاعاً قبل نهاية القرص (LBA (n - 33) حيث n هو القطاع الأخير من القرص). يمكننا أيضًا إجراء بعض العمليات الحسابية حول سبب وجود 33 قطاعًا قبل نهاية القرص أو 32 قطاعًا قبل رأس GPT الاحتياطي.

تبلغ مساحة كل إدخال قسم 128 بايت ويوجد 128 إدخالاً إجمالياً في مصفوفة الإدخال. وهذا يعني أن هناك 16,384 قطاعاً في المصفوفة أو 32 قطاعاً (16384/512). 

يشير رأس GPT النسخ الاحتياطي إلى موقع مصفوفة إدخال قسم GPT الاحتياطي

مصفوفة إدخال قسم GPT النسخ الاحتياطي بالقرب من نهاية القرص

إصلاح مصفوفة إدخال قسم GPT

إن إصلاح مصفوفة إدخال قسم GPT هو عملية مباشرة إلى الأمام مثل نسخ 16,384 بايت احتياطية وجدت 33 قطاعًا من نهاية القرص ولصقها في LBA 2 إلى 3. ليست هناك حاجة لإجراء أي تعديلات/تعديل للقيم السداسية عشرية لأن هذه النسخ مطابقة تماماً.

إن GPT الاحتياطي الموجود بالقرب من نهاية القرص هو نفسه الأساسي. في الواقع، يُظهر اقتطاع القطاعات لكل منهما وتجزئتها أنهما متطابقان تمامًا. 

الخاتمة

في هذه الدفعة الثالثة، قمنا بفحص شامل لمصفوفة إدخال قسم GPT، وهو مكوّن أساسي في مخطط GPT. من خلال تحليل كل حقل داخل إدخالات القسم، بدءاً من معرّفات GUID إلى بتات السمات وأسماء الأقسام، رأينا كيف يوفر GPT إطار عمل قوي لتنظيم بيانات القرص والوصول إليها. هذه المعرفة ضرورية لتحقيقات الطب الشرعي، واستعادة البيانات، وإدارة النظام، وتزويدك بالمهارات اللازمة للتنقل بين الأقراص المقسمة إلى GPT ومعالجتها بفعالية. ترقبوا منشورنا التالي، حيث سنتعمق في التطبيقات العملية ودراسات الحالة، لنضع النظرية موضع التنفيذ.

يختتم هذا المنشور سلسلتنا المكوّنة من 3 أجزاء حول هياكل أقسام GPT.
إذا فاتتك المنشورات السابقة، ابدأ بما يلي الجزء 1 - MBR الواقيحيث نستكشف كيف يتم الحفاظ على التوافق القديم، ونتابع مع الجزء 2 - رأس GPTالذي يحدد تخطيط القرص ويضمن التكامل.

هل تريد التعمق أكثر؟ اشترك في نشرتنا الإخبارية للاطلاع على المحتوى القادم حول استرداد التقسيم، والتجزئة على مستوى القرص، وتحديات CTF المبنية على سيناريوهات الطب الشرعي الواقعية.