linux中生成考核用的NTFS文件系統結構樣例(二)
阿新 • • 發佈:2017-06-27
linux 數據恢復 ntfs dbr mft
實驗NTFS-2說明:NTFS-2.img是一個包含NTFS文件系統的磁盤鏡像,請使用winhex手工方式讀出這個文件系統內的指定文件,並回答其md5 HASH值。
要求:
1、利用WINHEX手工方式讀取。
2、不得使用WINHEX模板功能。
3、不得使用WINHEX文件系統解析功能。
4、填寫的MD5 HASH值全部為大寫,不包括0x頭標或H尾標,中間不得有任何間隔符號(包括空格、制表符、’-’等符號),以WINHEX軟件運算出的HASH值為準。
實驗目的:
1、實現手工方式跟蹤一個NTFS文件系統中一個常駐0x80屬性的文件,並讀出其內容。
2、理解File Record中更新序列字的處理方式。
3、進一步理解File Record的結構組成。
4、熟練使用WINHEX
題庫:
1、實驗NTFS-2中,文件系統中對"/mnt/NTFS-2-58/12.txt", 人工讀取內容後計算得到的文件MD5 HASH值為0x___。 //927C94BBFC5B2A545C8526F8272F65F8//容易。。 2、實驗NTFS-2中,文件系統中對"/mnt/NTFS-2-58/7.txt", 人工讀取內容後計算得到的文件MD5 HASH值為0x___。 //685A3C1600211F75362F2B9D0541A2DA//容易。。 3、實驗NTFS-2中,文件系統中對"/mnt/NTFS-2-58/4.txt", 人工讀取內容後計算得到的文件MD5 HASH值為0x___。 //0C72D420DD8902BBAE41A8C4E6676BCA//容易。。 ... ...
附:生成考題的python腳本:
#!/usr/bin/python3
import os
import random
import hashlib
import struct
r=os.system
rc=random.choice
ri=random.randint
md5=hashlib.md5
items = list(range(1,21))
r("cd ~/NTFS-2")
fkaoti=open("NTFS-2-kaoti.txt",‘w+‘)
r("qemu-img create -f raw NTFS-2.img 300M")
r("losetup /dev/loop0 NTFS-2.img")
r("mkfs.ntfs -f /dev/loop0")
r("mount.ntfs-3g /dev/loop0 /mnt")
for i in range(1,60):
r("mkdir /mnt/NTFS-2-%d" % i)
random.shuffle(items)
for ii in items:
#確保文件大小,正好File Record放得下,同時又會跨一個扇區的邊界。
r("dd if=/dev/urandom of=/mnt/NTFS-2-%d/%d.file bs=2 count=%d"%(i,ii,ri(100,200)))
#//對40以後的目錄生成MD5 HASH,40之後即不可能存在於第一個目錄塊
for i in range(40,60):
for ii in items:
fn="/mnt/NTFS-2-%d/%d.file"%(i,ii)
ff=open(fn,‘rb‘)
data=ff.read()
ff.close()
fkaoti.write("實驗NTFS-2中,文件系統中對\"%s\", 人工讀取內容後計算得到的文件MD5 HASH值為0x___。//%s//容易。。\n" % (fn,md5(data).hexdigest().upper()) )
fkaoti.flush()
fkaoti.close()
r("cd")
r("umount /dev/loop0")
r("losetup -d /dev/loop0")部署流程:
1、在liunx下執行上述腳本,生成NTFS-2.img和NTFS-2-kaoti.txt(可以生成兩份,一份用於練習,一份用於考試)。
2、針對每一份考題,把NTFS-2-kaoti.txt導入考試系統。
3、針對每一份考題,把NTFS-2.img放入考試系統指定目錄。
4、不得將用於考試的直接涉及答案的文件放入考試系統磁盤中。
本文出自 “張宇(數據恢復)” 博客,請務必保留此出處http://zhangyu.blog.51cto.com/197148/1942217
linux中生成考核用的NTFS文件系統結構樣例(二)