024
08.08.2025, 20:53 Uhr
Ordoban
|
Heute hatte ich eine Image-Datei in der Mail...
Informationen aus dem Bootsektor:
OEM-Name="MSWIN4.1"
Byte pro Sektor=512
Sektoren pro Cluster=8=4K=Länge 1000h
Anzahl reservierter Sektoren=32=Offset 4000h
Anzahl FAT-Kopien=2
Gesamtsektoranzahl=263481h=2503809=ca.1222 MByte
Sektoren pro FAT=098Bh=2443
Clusternummer Haptverzeichnis=2 (-2)=0
Daraus lassen sich Offset-Adressen errechnen:
Beginn FAT Kopie 1: 00004000h
Beginn FAT Kopie 2: 00004000h+2443*512=00135600h
Beginn Cluster 0 (Hauptverzeichnis): 00004000h+2*2443*512=00266C00h
Dann schaun wir doch mal rein:
FAT Kopie 1 sieht OK aus.
FAT Kopie 2 ist fast komplett 00. Die wenigen vorhandenen Einträge sehen OK aus.
Beispiel:
00006E81h an Offset 00151000h --> 6E81h*4+135600h=151004h --> Verkettung korrekt --> Eintrag in FAT 1: 6E81h*4+4000h=1FA04h --> Einträge stimmen überein
Hauptverzeichnis:
Vorhanden. Laut FAT sollte das einen Cluster lang sein: 266C00h-267BFFh
In der Mitte des Hauptverzeichnises ist ein Sektor der nur 00 enthält. Das ist zwar technisch korrekt, (wird als leere Einträge gewertet und übersprungen), aber es ist unmöglich, dass dieses "Loch" auf normalem Weg entstanden ist.
Ein paar Verzeichniseinträge:
"DOSDISK" Disklabel
"EWAN" Cluster 3 = Offset 3*1000h+266C00h=269C00h: der gesamte Cluster enthält nur 00
"EXETPU" Cluster 4 = Offset 26AC00h: auch hier alles 00
"HPLJUTIL" Cluster 5 = Offset 26BC00: alles 00, Laut FAT geht dieses Verzeichnis bis Cluster 26218!
Es folgen weite Bereiche von 00, Fragmente von Verzeichnissen
(Interessant: Offset 2CA800, Verzeichnis-Fragment mit Pascal-Dateien, Offset 379C00, Verzeichnis-Fragment mit Basic-Dateien)
Ab Offset 00404A00 folgt eine Kopie der FAT. What the F*.
Ab Offset 00805400 noch ein Hauptverzeichnis, anscheinend eine Windows-Installation
Die Verzeichnisse und Dateien liegen fast alle außerhalb des Bereiches den Rüdiger geschickt hat. Ausnahme: "WIN386.SWP" auf Cluster 3, Größe 96MB, würde von der FAT-Belegung hin kommen. Die restlichen Sektoren haben alles mögliche drin, nur keine kompletten Dateien oder Verzeichnisse. Typische Swap-Datei eben.
Schwer zu sagen was hier passiert ist. Fakt ist, dass von dem Format, was zum Bootsektor passt fast nichts mehr übrig ist. Wie würden denn die Werte des Bootsektors aussehen, wenn man die 2. FAT und das 2. Hauptverzeichnis als Maßstab nimmt? Rechnen wir mal...
Sektoren pro FAT = (805400h-404A00)/512 = 8197 = 2005h (Probe: (404A00h-4000h)/512 = 8197 --> perfekt)
Gesamtsektoranzahl = 8197*(512/4)*8 = 8393728 = 801400h = ca.4GB (nicht verifizierbar)
Es müssten also im Bootsektor diese Werte geändert werden:
Offset 20h-22h: 81h 34h 26h --> 00h 14h 80h
Offset 24h-25h: 8Bh 09h --> 05h 20h
Ich brauche nicht zu sagen, dass man das NICHT auf der original-Platte, sondern in einer KOPIE des Imagefiles machen sollte, oder?
--
Gruß
Stefan |
