BitMappers Computerclub 2010 Johan Jacobs

 Voor het uitlezen van een hard disk wordt een stappenmotor gebruikt  Lees- en schrijfkoppen bewegen zich in kleine stapjes voor- en achterwaarts  Elk stapje = 1 track  Elke track is ook nog eens opgedeeld in sectoren  Bvb. Op een diskette zijn er 80 tracks van 18 sectoren

 In elke sector kunnen evenveel bytes geschreven worden (doorgaans 512 bytes).  Een sector op een buitenste track is groter, maar door de hogere snelheid aan de buitenzijde van een platter is de dichtheid van de bytes daar kleiner.

 In sector 0 van track 0 van kant 0 van platter 0 bevindt zich de Master Boot Record (MBR)  512 bytes. Bevat 2 belangrijke elementen:  De "bootstrap". Dit is machinecode die door de BIOS wordt gestart om het Operating system te booten (Int13 call)  De "partitietabel"  Het formaat van de MBR staat los van eender welk Operating System (Windows, Unix, Linux,…)

 De eerste 446 bytes van de MBR bevatten de bootstrap  De bootstrap bevat machinecode die  De partitietabel inleest  Nagaat welke partitie de actieve partitie is  De eerste sector van de actieve partitie opstart

 De partitietabel kan slechts 4 entries bevatten  Per harde schijf dus maximaal 4 partities (primaire partities)

 Er zijn 2 types partities :  Primair  Extended  Een primaire partitie is bedoeld om een operating system in onder te brengen.  Meerdere primaire partities laten je toe meerdere operating systems te installeren  Je kan één extended partitie per harde schijf hebben  Krijgt geen drive letter  Hierbinnen kan je logische drives maken die wel een drive letter krijgen (soort subpartities dus)

 Alle primaire partities bevatten een Partition Boot Record.  Terwijl de MBR los staat van het operating system hangt de inhoud van een Partition Boot Record wèl af van het geïnstalleerde OS  Soms wordt de code van de Partition Boot Record vervangen door een boot manager programma, zoals Grub.

offsetinhoudaantal bytes 000bootprogramma446 1BEpartitietabel regel 116 1CEpartitietabel regel 216 1DEpartitietabel regel 316 1EEpartitietabel regel 416 1FEsignature (55 AA)2

Byte(s) Offset Waarde in dit voorbeeld BeschrijvingBetekenis 1BE80 Bootable? ( 80 h = Yes; 00 = No) YES 1BF - 1C Starting Sector ( in CHS ) [ First byte always = H ead value ] 0, 1, 1 1C2 07Partition TypeNTFS 1C3 - 1C5 FE FF 6D Last Sector ( in CHS ): [ FE h = 254 for Head ] FF 6D = ( ) ( ) are regrouped as: [ ] [ ] 3F h = Sector 63 and 36D h = 877 (Cylinder) 877, 254, 63 1C6 - 1C9 3F Relative Sectors (or Offset ) ( F h = 63 ) 63 1CA - 1CD AF 39 D7 00 Total Sectors (or Length ) ( 00 D739AF h = 14,105,007 ) 14,105,007

x: A B C D E F Bx: Cx: FE BF 09 3F B F5 7F ?...K Dx: 81 0A 07 FE FF FF 8A F5 - 7F 00 3D 26 9C =& Ex: C1 FF 05 FE FF FF C7 1B - 1C 01 D Fx: AA U.  Hierboven een partitietabel met 3 partities. De eerste is de actieve partitie. Herkenbaar aan het feit dat deze met 80 begint.

 We starten nu PowerQuest Patition Manager om een echte partitietabel te bekijkenPowerQuest Patition Manager  Legende:  06:FAT16  07:NTFS  83:Linux Native Partition  82:Linux Swap  0F:Extended Partition

 We starten nu Acronis Disk Director om zelf partities te makenAcronis Disk Director  Reden: ingebouwd computerbeheer van Windows kent beperkingencomputerbeheer  Commerciële partitioneringsprogramma’s kunnen ook partities herschalen

 File Allocation Table  Een FAT-partitie is opgedeeld in 3 delen:  Partition Boot Sector (512 bytes)  System Area  Data Area

 Partition Boot Sector  Bevat de machinecode waarin staat hoe het besturingssysteem moet worden gestart.  Bij MSDOS wordt de uitvoering doorgegeven aan IO.SYS en bij XP aan NTLDR. Bij Vista en 7 wordt controle doorgegeven aan de map “Boot” in de root.  System Area  Bevat een tabel met namen en plaatsbepalingen van bestanden en directories  Een kopie van de eerste tabel (uit veiligheidsoverwegingen)

 Verschillende versies FAT File System  FAT 16  FAT 32  Heeft te maken met adressering  16-bitprocessors kunnen slechts een adres van 16 bits formuleren  32-bitprocessors kunnen een adres van 32 bits formuleren

 Data Area  Hierin wordt niet in sectoren gerekend, maar in clusters  Een cluster is een groepje van 4 tot 128 sectoren  Dat aantal staat niet op voorhand vast  Wordt bepaald naar gelang de grootte van de schijf  Op een diskette is dat 4 sectoren (2048 bytes), op een grote hard disk 128 (65536 bytes)  Een klein bestandje zal dan toch bytes in beslag nemen

System Area CLUSTERS Data Area

Root DirectoryFAT CLUSTERS Data Area

 0x – Cluster is vrij  0x – Gereserveerde waarde  0xFFFFFFF7 – Bad cluster  0xFFFFFFF8 – Media Descriptor  Fixed Disk  0xFFFFFFFF – End of File (EOF)  Elke ander waarde is het adres van een cluster

 Root directory bevat namen, locaties en karakteristieken van bestanden  Root directory verwijst naar de eerste cluster van het bestand  De FAT geeft de vervolgclusters weer in een eenvoudige tabel

BytesBetekenis 0-7Naam 8-10Extensie 11Attribuut 01: Read Only, 02:Hidden, 04:System, 10 Subdirectory, 20: Archive 12-21Geserveerd: (Create time, date, access date in FAT 32) 22-23Tijd (bitpatroon=hhhhh mmmmmm sssss) 24-25Datum (bitpatroon=jjjjjjj mmmm ddddd) 26-27First cluster 28-31Grootte van het bestand. 5, 6, 5 7, 4, 5

 We starten nu DiskInvestigator om een entry in de Root Directory te bekijkenDiskInvestigator BytesBetekenis 0-7Naam 8-10Extensie 11Attribuut 01: Read Only, 02:Hidden, 04:System, 10 Subdirectory, 20: Archive 12-21Geserveerd: (Create time, date, access date in FAT 32) 22-23Tijd (bitpatroon=hhhhh mmmmmm sssss) 24-25Datum (bitpatroon=jjjjjjj mmmm ddddd) 26-27First cluster 28-31Grootte van het bestand.

Bestand 1 Bestand 2 Bestand 3 Bestand 2 Cluster nr.: Bestand 1 2 Bestand 2 5Bestand 3 7 Eerste cluster van het bestand Fragmentatie

 We starten nu DiskInvestigator om PBR, Root Directory, FAT en Data Area te onderzoekenDiskInvestigator

 Clusters die in de FAT gemarkeerd zijn als zijnde in gebruik  Uit de directory blijkt dat ze bij geen enkelbestand horen

 Clusters die volgens de directory bij meer dan één bestand horen  Wordt gewoonlijk opgelost door een kopie van het bestand te linken naar de juiste directory- entry

 New Technology File System  Betere file security (Encrypting File System)  Ingebouwde compressie  Betrouwbaar en stabiel  NTFS volumes zijn niet toegankelijk voor DOS, Windows 95 en Windows 98

 Large disks and large files: NTFS is best for use on volumes of about 400 MB or more  Recoverability: The recoverability designed into NTFS is such that a user should never have to run any sort of disk repair utility on an NTFS partition.  Security: NTFS uses the Windows NT object model to enforce security. An open file is implemented as a file object with a security descriptor that defines its security attributes.

CriteriumNTFSFAT32FAT16 Max. volumegrootte2TB 2GB Max. Aantal bestanden op volume Onbeperkt ~65000 Max. bestandsgrootte Gelimiteerd door volumegrootte 4GB2GB Max. aantal clustersOnbeperkt Lengte bestandsnaam Tot Unicode bestandsnamen Unicode Character Set System Character Set