Osa 3

Johdanto

Edellisissä viesteissämme loimme pohjan GUID-osiointitaulukon (GPT) ymmärtämiselle tarkastelemalla suojaavaa MBR:ää ja GPT-otsikkoa. Nyt, osassa 3, keskitymme GPT-osion merkintärakenteeseen. Tämä GPT-kaavion tärkeä osa tarjoaa yksityiskohtaisen kartan kaikista levyn osioista, ja jokainen merkintä sisältää tärkeää tietoa tietystä osiosta. Kun ymmärrät GPT-osiotietueiden rakenteen ja toiminnan, saat kattavan käsityksen siitä, miten GPT-järjestelmä hallitsee osioita, mikä mahdollistaa tehokkaamman analyysin, vianmäärityksen ja tietojen palautuksen.

GPT (GUID-osiointitaulukko) Osioiden merkintärakenne (Array)

GUID-osiointitaulukon (GUID Partition Table, GPT) merkintäryhmä on tärkeä osa GPT-osiojärjestelmää, jota käytetään kiintolevyn osioiden määrittelyyn ja hallintaan. Ajattele sitä yksityiskohtaisena luettelona, johon kirjataan levyn jokaisen osion yksityiskohdat, kuten kirjaston luetteloon, jossa luetellaan jokaisen kirjan yksityiskohdat.

GPT-merkintärakenteen tärkeimmät osat:

Osio GUID: Jokaisella osiolla on yksilöllinen tunniste, joka tunnetaan nimellä Partition GUID, joka varmistaa, että jokainen osio voidaan tunnistaa yksiselitteisesti jopa eri järjestelmissä.

Yksilöllinen tunnus: Tämä on toinen kullekin osiolle ominainen yksilöllinen tunniste, joka tarjoaa lisäkerroksen yksilölliseen tunnistamiseen.

Osioiden LBA (looginen lohko-osoite) käynnistäminen: Tämä ilmaisee levyn osion alkupisteen. Se kertoo järjestelmälle, mistä osio alkaa.

Osion LBA:n päättyminen: Kuten aloittava LBA, tämä osoittaa, mihin osio päättyy levyllä.

Attribuuttibitit: Nämä ovat lippuja, jotka antavat lisätietoja osiosta, kuten onko se käynnistettävissä tai onko sillä erityisiä ominaisuuksia.

Osion nimi: Kullakin osiolla voi olla ihmisen luettavissa oleva nimi, jolloin meidän on helpompi tunnistaa osioiden tarkoitus tai sisältö. Nimi päätetään nollamerkillä merkkijonon päättymisen merkiksi.

Käydäänpä nämä kaikki yksityiskohtaisesti läpi, jotta ymmärrät täysin jokaisen rivin merkinnän.

Kun levy asetetaan GPT-levyksi, ensimmäinen luotava osio on EFI-järjestelmäosio (ESP). Tämä on piilotettu osio, joka ei ole helposti käyttäjien saatavilla. Tämä osio sijaitsee sektorilla 2048, ja se on alustettu FAT32-muotoon, jotta se olisi yhteensopiva kaikkien järjestelmien (Windows, Linux, MacOS) kanssa.

Yllä olevassa kuvakaappauksessa on tavallinen Windows 10 -asennus, jossa Microsoftin varattu osio on luotu yhdessä käyttäjän asennuksen aikana määrittämän Basic Data -osion kanssa.

Alla on ote GUID-tietueista taulukosta, joka löytyy Wikipedian GUID Partition Table -sivulta:

Lähde: https://en.wikipedia.org/wiki/GUID_Partition_Table#Partition_type_GUIDs

GUID-tunnusta ei tietenkään tallenneta GUIID-lomakkeeseen, kun arvoja tarkastellaan heksan katseluohjelmassa. 

GUID-tunnukset muunnetaan aivan kuten edellisessä blogikirjoituksessa, mutta ne ovat myös helposti nähtävissä, kun niitä tarkastellaan HxD:ssä:

Voimme vahvistaa osioiden GUID:t komennolla: mountvol.exe

Kun tiedämme alku-LBA:n ja loppu-LBA:n, voimme laskea, kuinka suuri osio on. Esimerkiksi EFI-osio:

Alkava LBA: 2048

LBA: 534527

Kokonaispituus: 532479 sektoria x 512 tavua/sektori = 272629248 tavua eli 260 Mt.

Varmuuskopiointi GPT-osion merkintäryhmä

Varmuuskopio GPT-osion merkintärivi sijaitsee levyn lopussa ja ennen GPT-otsikkoa, eli 33 sektoria ennen levyn loppua (LBA (n - 33), jossa n on levyn viimeinen sektori). Voimme myös laskea, miksi se sijaitsee 33 sektoria ennen levyn loppua tai 32 sektoria ennen varmuuskopio-GPT-otsikkoa.

Kukin osiomerkintä on 128 tavua, ja merkintärakenteessa on yhteensä 128 merkintää. Tämä tarkoittaa, että Array:ssä on 16 384 sektoria tai 32 sektoria (16384/512). 

Backup GPT Header osoittaa Backup GPT Partition Entry Array -osion sijaintiin.

Varmuuskopiointi GPT-osion merkintä Array lähellä levyn loppua

GPT-osion merkintämäärän korjaaminen

GPT-osion merkintärakenteen korjaaminen on yhtä suoraviivaista kuin 16 384 tavun varmuuskopion kopioiminen 33 sektorista levyn lopusta ja niiden liittäminen LBA-alueille 2-3. Mitään muutoksia/muutoksia heksan arvoihin ei tarvita, koska nämä ovat tarkkoja kopioita.

Levyn loppupäässä sijaitseva GPT-varmuuskopio on sama kuin ensisijainen. Itse asiassa molempien sektoreiden erottaminen ja niiden hashaus osoittaa, että ne vastaavat täysin toisiaan. 

Päätelmä

Tässä kolmannessa osassa olemme tutkineet perusteellisesti GPT-osion merkintärakennetta, joka on GPT-kaavion kriittinen osa. Jaottelemalla osiomerkintöjen kaikki kentät GUID-tunnuksista attribuuttibitteihin ja osioiden nimiin olemme nähneet, miten GPT tarjoaa vankan kehyksen levydatan järjestämiseen ja käyttämiseen. Nämä tiedot ovat välttämättömiä rikosteknisissä tutkimuksissa, tietojen palautuksessa ja järjestelmänhallinnassa, ja ne antavat sinulle taidot, joilla voit navigoida ja käsitellä GPT-partitioidut levyt tehokkaasti. Pysy kuulolla seuraavassa postauksessamme, jossa perehdymme käytännön sovelluksiin ja tapaustutkimuksiin, joissa teoriaa sovelletaan käytäntöön.

Tämä viesti päättää 3-osaisen sarjamme GPT-osion rakenteista.
Jos et ole lukenut aiempia viestejä, aloita Osa 1 - Suojaava MBR, jossa tarkastelemme, miten perintöyhteensopivuutta ylläpidetään, ja jatkamme seuraavilla aiheilla Osa 2 - GPT-otsikko, joka määrittelee levyn asettelun ja varmistaa eheyden.

Haluatko mennä syvemmälle? Tilaa uutiskirjeemme, josta saat tulevaa sisältöä osioiden palautuksesta, levytason hashinasta ja CTF-haasteista, jotka perustuvat todellisiin rikosteknisiin skenaarioihin.