Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2025-01-08 11:18:52 +00:00
Code Issues Projects Releases Packages Wiki Activity
hacktricks/forensics/basic-forensic-methodology/partitions-file-systems-carving/README.md

260 lines
30 KiB
Markdown
Raw Blame History

This file contains ambiguous Unicode characters

This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

# Partitions/File Systems/Carving
{% hint style="success" %}
Learn & practice AWS Hacking:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
Learn & practice GCP Hacking: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary>Support HackTricks</summary>
* Check the [**subscription plans**](https://github.com/sponsors/carlospolop)!
* **Join the** ЁЯТм [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** us on **Twitter** ЁЯРж [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Share hacking tricks by submitting PRs to the** [**HackTricks**](https://github.com/carlospolop/hacktricks) and [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
</details>
{% endhint %}
## Partitions
рдПрдХ рд╣рд╛рд░реНрдб рдбреНрд░рд╛рдЗрд╡ рдпрд╛ **SSD рдбрд┐рд╕реНрдХ рдореЗрдВ рд╡рд┐рднрд┐рдиреНрди рд╡рд┐рднрд╛рдЬрди рд╣реЛ рд╕рдХрддреЗ рд╣реИрдВ** рдЬрд┐рдирдХрд╛ рдЙрджреНрджреЗрд╢реНрдп рдбреЗрдЯрд╛ рдХреЛ рднреМрддрд┐рдХ рд░реВрдк рд╕реЗ рдЕрд▓рдЧ рдХрд░рдирд╛ рд╣реИред\
рдбрд┐рд╕реНрдХ рдХреА **рдиреНрдпреВрдирддрдо** рдЗрдХрд╛рдИ **рд╕реЗрдХреНрдЯрд░** рд╣реИ (рд╕рд╛рдорд╛рдиреНрдпрддрдГ 512B рд╕реЗ рдмрдирд╛ рд╣реЛрддрд╛ рд╣реИ)ред рдЗрд╕рд▓рд┐рдП, рдкреНрд░рддреНрдпреЗрдХ рд╡рд┐рднрд╛рдЬрди рдХрд╛ рдЖрдХрд╛рд░ рдЙрд╕ рдЖрдХрд╛рд░ рдХрд╛ рдЧреБрдгрд╛рдВрдХ рд╣реЛрдирд╛ рдЪрд╛рд╣рд┐рдПред
### MBR (рдорд╛рд╕реНрдЯрд░ рдмреВрдЯ рд░рд┐рдХреЙрд░реНрдб)
рдпрд╣ **446B рдмреВрдЯ рдХреЛрдб рдХреЗ рдмрд╛рдж рдбрд┐рд╕реНрдХ рдХреЗ рдкрд╣рд▓реЗ рд╕реЗрдХреНрдЯрд░ рдореЗрдВ рдЖрд╡рдВрдЯрд┐рдд рд╣реЛрддрд╛ рд╣реИ**ред рдпрд╣ рд╕реЗрдХреНрдЯрд░ рдпрд╣ рд╕рдВрдХреЗрдд рджреЗрдиреЗ рдХреЗ рд▓рд┐рдП рдЖрд╡рд╢реНрдпрдХ рд╣реИ рдХрд┐ рдкреАрд╕реА рдХреЛ рдХрд┐рд╕ рд╡рд┐рднрд╛рдЬрди рдХреЛ рдФрд░ рдХрд╣рд╛рдБ рдорд╛рдЙрдВрдЯ рдХрд░рдирд╛ рдЪрд╛рд╣рд┐рдПред\
рдпрд╣ **4 рд╡рд┐рднрд╛рдЬрдиреЛрдВ** рддрдХ рдХреА рдЕрдиреБрдорддрд┐ рджреЗрддрд╛ рд╣реИ (рдЕрдзрд┐рдХрддрдо **рдХреЗрд╡рд▓ 1** рд╕рдХреНрд░рд┐рдп/**рдмреВрдЯ рдХрд░рдиреЗ рдпреЛрдЧреНрдп** рд╣реЛ рд╕рдХрддрд╛ рд╣реИ)ред рд╣рд╛рд▓рд╛рдБрдХрд┐, рдпрджрд┐ рдЖрдкрдХреЛ рдЕрдзрд┐рдХ рд╡рд┐рднрд╛рдЬрдиреЛрдВ рдХреА рдЖрд╡рд╢реНрдпрдХрддрд╛ рд╣реИ, рддреЛ рдЖрдк **рд╡рд┐рд╕реНрддрд╛рд░рд┐рдд рд╡рд┐рднрд╛рдЬрди** рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░ рд╕рдХрддреЗ рд╣реИрдВред рдЗрд╕ рдкрд╣рд▓реЗ рд╕реЗрдХреНрдЯрд░ рдХрд╛ **рдЕрдВрддрд┐рдо рдмрд╛рдЗрдЯ** рдмреВрдЯ рд░рд┐рдХреЙрд░реНрдб рд╕рд┐рдЧреНрдиреЗрдЪрд░ **0x55AA** рд╣реИред рдХреЗрд╡рд▓ рдПрдХ рд╡рд┐рднрд╛рдЬрди рдХреЛ рд╕рдХреНрд░рд┐рдп рдХреЗ рд░реВрдк рдореЗрдВ рдЪрд┐рд╣реНрдирд┐рдд рдХрд┐рдпрд╛ рдЬрд╛ рд╕рдХрддрд╛ рд╣реИред\
MBR **рдЕрдзрд┐рдХрддрдо 2.2TB** рдХреА рдЕрдиреБрдорддрд┐ рджреЗрддрд╛ рд╣реИред
![](<../../../.gitbook/assets/image (489).png>)
![](<../../../.gitbook/assets/image (490).png>)
**MBR рдХреЗ 440 рд╕реЗ 443 рдмрд╛рдЗрдЯреНрд╕** рдореЗрдВ рдЖрдк **Windows рдбрд┐рд╕реНрдХ рд╕рд┐рдЧреНрдиреЗрдЪрд░** рдкрд╛ рд╕рдХрддреЗ рд╣реИрдВ (рдпрджрд┐ Windows рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд┐рдпрд╛ рдЧрдпрд╛ рд╣реИ)ред рд╣рд╛рд░реНрдб рдбрд┐рд╕реНрдХ рдХрд╛ рддрд╛рд░реНрдХрд┐рдХ рдбреНрд░рд╛рдЗрд╡ рд▓реЗрдЯрд░ Windows рдбрд┐рд╕реНрдХ рд╕рд┐рдЧреНрдиреЗрдЪрд░ рдкрд░ рдирд┐рд░реНрднрд░ рдХрд░рддрд╛ рд╣реИред рдЗрд╕ рд╕рд┐рдЧреНрдиреЗрдЪрд░ рдХреЛ рдмрджрд▓рдиреЗ рд╕реЗ Windows рдмреВрдЯ рдирд╣реАрдВ рд╣реЛ рд╕рдХрддрд╛ (рдЙрдкрдХрд░рдг: [**Active Disk Editor**](https://www.disk-editor.org/index.html)**)**ред
![](<../../../.gitbook/assets/image (493).png>)
**рдлреЙрд░реНрдореЗрдЯ**
| рдСрдлрд╕реЗрдЯ | рд▓рдВрдмрд╛рдИ | рдЖрдЗрдЯрдо |
| ----------- | ---------- | ------------------- |
| 0 (0x00) | 446(0x1BE) | рдмреВрдЯ рдХреЛрдб |
| 446 (0x1BE) | 16 (0x10) | рдкрд╣рд▓рд╛ рд╡рд┐рднрд╛рдЬрди |
| 462 (0x1CE) | 16 (0x10) | рджреВрд╕рд░рд╛ рд╡рд┐рднрд╛рдЬрди |
| 478 (0x1DE) | 16 (0x10) | рддреАрд╕рд░рд╛ рд╡рд┐рднрд╛рдЬрди |
| 494 (0x1EE) | 16 (0x10) | рдЪреМрдерд╛ рд╡рд┐рднрд╛рдЬрди |
| 510 (0x1FE) | 2 (0x2) | рд╕рд┐рдЧреНрдиреЗрдЪрд░ 0x55 0xAA |
**рд╡рд┐рднрд╛рдЬрди рд░рд┐рдХреЙрд░реНрдб рдлреЙрд░реНрдореЗрдЯ**
| рдСрдлрд╕реЗрдЯ | рд▓рдВрдмрд╛рдИ | рдЖрдЗрдЯрдо |
| --------- | -------- | ------------------------------------------------------ |
| 0 (0x00) | 1 (0x01) | рд╕рдХреНрд░рд┐рдп рдзреНрд╡рдЬ (0x80 = рдмреВрдЯ рдХрд░рдиреЗ рдпреЛрдЧреНрдп) |
| 1 (0x01) | 1 (0x01) | рдкреНрд░рд╛рд░рдВрднрд┐рдХ рд╕рд┐рд░ |
| 2 (0x02) | 1 (0x01) | рдкреНрд░рд╛рд░рдВрднрд┐рдХ рд╕реЗрдХреНрдЯрд░ (рдмрд┐рдЯ 0-5); рд╕рд┐рд▓реЗрдВрдбрд░ рдХреЗ рдКрдкрд░реА рдмрд┐рдЯ (6- 7) |
| 3 (0x03) | 1 (0x01) | рдкреНрд░рд╛рд░рдВрднрд┐рдХ рд╕рд┐рд▓реЗрдВрдбрд░ рдХреЗ рд╕рдмрд╕реЗ рдХрдо 8 рдмрд┐рдЯ |
| 4 (0x04) | 1 (0x01) | рд╡рд┐рднрд╛рдЬрди рдкреНрд░рдХрд╛рд░ рдХреЛрдб (0x83 = Linux) |
| 5 (0x05) | 1 (0x01) | рдЕрдВрддрд┐рдо рд╕рд┐рд░ |
| 6 (0x06) | 1 (0x01) | рдЕрдВрддрд┐рдо рд╕реЗрдХреНрдЯрд░ (рдмрд┐рдЯ 0-5); рд╕рд┐рд▓реЗрдВрдбрд░ рдХреЗ рдКрдкрд░реА рдмрд┐рдЯ (6- 7) |
| 7 (0x07) | 1 (0x01) | рдЕрдВрддрд┐рдо рд╕рд┐рд▓реЗрдВрдбрд░ рдХреЗ рд╕рдмрд╕реЗ рдХрдо 8 рдмрд┐рдЯ |
| 8 (0x08) | 4 (0x04) | рд╡рд┐рднрд╛рдЬрди рд╕реЗ рдкрд╣рд▓реЗ рдХреЗ рд╕реЗрдХреНрдЯрд░ (рд▓рд┐рдЯрд┐рд▓ рдПрдВрдбрд┐рдпрди) |
| 12 (0x0C) | 4 (0x04) | рд╡рд┐рднрд╛рдЬрди рдореЗрдВ рд╕реЗрдХреНрдЯрд░ |
Linux рдореЗрдВ MBR рдХреЛ рдорд╛рдЙрдВрдЯ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдЖрдкрдХреЛ рдкрд╣рд▓реЗ рдкреНрд░рд╛рд░рдВрднрд┐рдХ рдСрдлрд╕реЗрдЯ рдкреНрд░рд╛рдкреНрдд рдХрд░рдирд╛ рд╣реЛрдЧрд╛ (рдЖрдк `fdisk` рдФрд░ `p` рдХрдорд╛рдВрдб рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ)
![](<../../../.gitbook/assets/image (413) (3) (3) (3) (2) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (12).png>)
рдФрд░ рдлрд┐рд░ рдирд┐рдореНрдирд▓рд┐рдЦрд┐рдд рдХреЛрдб рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░реЗрдВ
```bash
#Mount MBR in Linux
mount -o ro,loop,offset=<Bytes>
#63x512 = 32256Bytes
mount -o ro,loop,offset=32256,noatime /path/to/image.dd /media/part/
```
**LBA (Logical block addressing)**
**Logical block addressing** (**LBA**) рдПрдХ рд╕рд╛рдорд╛рдиреНрдп рдпреЛрдЬрдирд╛ рд╣реИ рдЬреЛ **рдХрдВрдкреНрдпреВрдЯрд░ рд╕реНрдЯреЛрд░реЗрдЬ рдбрд┐рд╡рд╛рдЗрд╕реЛрдВ** рдкрд░ рд╕рдВрдЧреНрд░рд╣реАрдд рдбреЗрдЯрд╛ рдХреЗ рдмреНрд▓реЙрдХреЛрдВ рдХреЗ рд╕реНрдерд╛рди рдХреЛ рдирд┐рд░реНрджрд┐рд╖реНрдЯ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдЙрдкрдпреЛрдЧ рдХреА рдЬрд╛рддреА рд╣реИ, рдЖрдорддреМрд░ рдкрд░ рд╣рд╛рд░реНрдб рдбрд┐рд╕реНрдХ рдбреНрд░рд╛рдЗрд╡ рдЬреИрд╕реЗ рджреНрд╡рд┐рддреАрдпрдХ рд╕реНрдЯреЛрд░реЗрдЬ рд╕рд┐рд╕реНрдЯрдоред LBA рдПрдХ рд╡рд┐рд╢реЗрд╖ рд░реВрдк рд╕реЗ рд╕рд░рд▓ рд░реИрдЦрд┐рдХ рдПрдбреНрд░реЗрд╕рд┐рдВрдЧ рдпреЛрдЬрдирд╛ рд╣реИ; **рдмреНрд▓реЙрдХ рдПрдХ рдкреВрд░реНрдгрд╛рдВрдХ рдЕрдиреБрдХреНрд░рдорд╛рдВрдХ рджреНрд╡рд╛рд░рд╛ рд╕реНрдерд┐рдд рд╣реЛрддреЗ рд╣реИрдВ**, рдкрд╣рд▓реЗ рдмреНрд▓реЙрдХ рдХреЛ LBA 0, рджреВрд╕рд░реЗ рдХреЛ LBA 1, рдФрд░ рдЗрд╕реА рддрд░рд╣ред
### GPT (GUID Partition Table)
GUID Partition Table, рдЬрд┐рд╕реЗ GPT рдХреЗ рдирд╛рдо рд╕реЗ рдЬрд╛рдирд╛ рдЬрд╛рддрд╛ рд╣реИ, MBR (Master Boot Record) рдХреА рддреБрд▓рдирд╛ рдореЗрдВ рдЗрд╕рдХреА рдЙрдиреНрдирдд рдХреНрд╖рдорддрд╛рдУрдВ рдХреЗ рд▓рд┐рдП рдкрд╕рдВрдж рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИред рд╡рд┐рднрд╛рдЬрди рдХреЗ рд▓рд┐рдП **рд╡реИрд╢реНрд╡рд┐рдХ рдЕрджреНрд╡рд┐рддреАрдп рдкрд╣рдЪрд╛рдирдХрд░реНрддрд╛** рдХреЗ рд▓рд┐рдП рд╡рд┐рд╢рд┐рд╖реНрдЯ, GPT рдХрдИ рддрд░реАрдХреЛрдВ рд╕реЗ рдЕрд▓рдЧ рд╣реИ:
* **рд╕реНрдерд╛рди рдФрд░ рдЖрдХрд╛рд░**: GPT рдФрд░ MBR рджреЛрдиреЛрдВ **рд╕реЗрдХреНрдЯрд░ 0** рд╕реЗ рд╢реБрд░реВ рд╣реЛрддреЗ рд╣реИрдВред рд╣рд╛рд▓рд╛рдБрдХрд┐, GPT **64-рдмрд┐рдЯ** рдкрд░ рдХрд╛рдо рдХрд░рддрд╛ рд╣реИ, рдЬрдмрдХрд┐ MBR рдХрд╛ 32-рдмрд┐рдЯ рд╣реИред
* **рд╡рд┐рднрд╛рдЬрди рд╕реАрдорд╛рдПрдБ**: GPT Windows рд╕рд┐рд╕реНрдЯрдо рдкрд░ **128 рд╡рд┐рднрд╛рдЬрдиреЛрдВ** рддрдХ рдХрд╛ рд╕рдорд░реНрдерди рдХрд░рддрд╛ рд╣реИ рдФрд░ **9.4ZB** рдбреЗрдЯрд╛ рдХреЛ рд╕рдорд╛рдпреЛрдЬрд┐рдд рдХрд░рддрд╛ рд╣реИред
* **рд╡рд┐рднрд╛рдЬрди рдирд╛рдо**: рд╡рд┐рднрд╛рдЬрдиреЛрдВ рдХреЛ 36 Unicode рд╡рд░реНрдгреЛрдВ рддрдХ рдирд╛рдо рджреЗрдиреЗ рдХреА рдХреНрд╖рдорддрд╛ рдкреНрд░рджрд╛рди рдХрд░рддрд╛ рд╣реИред
**рдбреЗрдЯрд╛ рд╕реНрдерд┐рд░рддрд╛ рдФрд░ рдкреБрдирд░реНрдкреНрд░рд╛рдкреНрддрд┐**:
* **рдЕрддрд┐рд░рд┐рдХреНрддрддрд╛**: MBR рдХреЗ рд╡рд┐рдкрд░реАрдд, GPT рд╡рд┐рднрд╛рдЬрди рдФрд░ рдмреВрдЯ рдбреЗрдЯрд╛ рдХреЛ рдПрдХ рд╣реА рд╕реНрдерд╛рди рдкрд░ рд╕реАрдорд┐рдд рдирд╣реАрдВ рдХрд░рддрд╛ рд╣реИред рдпрд╣ рдбреЗрдЯрд╛ рдХреЛ рдбрд┐рд╕реНрдХ рдкрд░ рджреЛрд╣рд░рд╛рддрд╛ рд╣реИ, рдбреЗрдЯрд╛ рдХреА рдЕрдЦрдВрдбрддрд╛ рдФрд░ рд╕реНрдерд┐рд░рддрд╛ рдХреЛ рдмрдврд╝рд╛рддрд╛ рд╣реИред
* **рд╕рд╛рдЗрдХреНрд▓рд┐рдХ рд░реЗрдбрдВрдбреЗрдВрд╕реА рдЪреЗрдХ (CRC)**: GPT рдбреЗрдЯрд╛ рдХреА рдЕрдЦрдВрдбрддрд╛ рд╕реБрдирд┐рд╢реНрдЪрд┐рдд рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП CRC рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рддрд╛ рд╣реИред рдпрд╣ рдбреЗрдЯрд╛ рднреНрд░рд╖реНрдЯрд╛рдЪрд╛рд░ рдХреА рд╕рдХреНрд░рд┐рдп рд░реВрдк рд╕реЗ рдирд┐рдЧрд░рд╛рдиреА рдХрд░рддрд╛ рд╣реИ, рдФрд░ рдЬрдм рдкрддрд╛ рдЪрд▓рддрд╛ рд╣реИ, рддреЛ GPT рджреВрд╕рд░реЗ рдбрд┐рд╕реНрдХ рд╕реНрдерд╛рди рд╕реЗ рднреНрд░рд╖реНрдЯ рдбреЗрдЯрд╛ рдХреЛ рдкреБрдирд░реНрдкреНрд░рд╛рдкреНрдд рдХрд░рдиреЗ рдХрд╛ рдкреНрд░рдпрд╛рд╕ рдХрд░рддрд╛ рд╣реИред
**рд╕реБрд░рдХреНрд╖рд╛рддреНрдордХ MBR (LBA0)**:
* GPT рдПрдХ рд╕реБрд░рдХреНрд╖рд╛рддреНрдордХ MBR рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рдкреАрдЫреЗ рдХреА рд╕рдВрдЧрддрддрд╛ рдмрдирд╛рдП рд░рдЦрддрд╛ рд╣реИред рдпрд╣ рд╕реБрд╡рд┐рдзрд╛ рд╡рд┐рд░рд╛рд╕рддреА MBR рд╕реНрдерд╛рди рдореЗрдВ рд╕реНрдерд┐рдд рд╣реИ рд▓реЗрдХрд┐рди рдЗрд╕реЗ рдкреБрд░рд╛рдиреЗ MBR-рдЖрдзрд╛рд░рд┐рдд рдЙрдкрдпреЛрдЧрд┐рддрд╛рдУрдВ рдХреЛ рдЧрд▓рддреА рд╕реЗ GPT рдбрд┐рд╕реНрдХ рдХреЛ рдУрд╡рд░рд░рд╛рдЗрдЯ рдХрд░рдиреЗ рд╕реЗ рд░реЛрдХрдиреЗ рдХреЗ рд▓рд┐рдП рдбрд┐рдЬрд╝рд╛рдЗрди рдХрд┐рдпрд╛ рдЧрдпрд╛ рд╣реИ, рдЗрд╕ рдкреНрд░рдХрд╛рд░ GPT-рдлреЙрд░реНрдореЗрдЯреЗрдб рдбрд┐рд╕реНрдХ рдкрд░ рдбреЗрдЯрд╛ рдХреА рдЕрдЦрдВрдбрддрд╛ рдХреА рд░рдХреНрд╖рд╛ рдХрд░рддрд╛ рд╣реИред
![https://upload.wikimedia.org/wikipedia/commons/thumb/0/07/GUID\_Partition\_Table\_Scheme.svg/800px-GUID\_Partition\_Table\_Scheme.svg.png](<../../../.gitbook/assets/image (491).png>)
**рд╣рд╛рдЗрдмреНрд░рд┐рдб MBR (LBA 0 + GPT)**
[From Wikipedia](https://en.wikipedia.org/wiki/GUID\_Partition\_Table)
рдЙрди рдСрдкрд░реЗрдЯрд┐рдВрдЧ рд╕рд┐рд╕реНрдЯрдо рдореЗрдВ рдЬреЛ **EFI** рдХреЗ рдмрдЬрд╛рдп **BIOS** рд╕реЗрд╡рд╛рдУрдВ рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ **GPT-рдЖрдзрд╛рд░рд┐рдд рдмреВрдЯ** рдХрд╛ рд╕рдорд░реНрдерди рдХрд░рддреЗ рд╣реИрдВ, рдкрд╣рд▓рд╛ рд╕реЗрдХреНрдЯрд░ рднреА **рдмреВрдЯрд▓реЛрдбрд░** рдХреЛрдб рдХреЗ рдкрд╣рд▓реЗ рдЪрд░рдг рдХреЛ рд╕рдВрдЧреНрд░рд╣реАрдд рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдЙрдкрдпреЛрдЧ рдХрд┐рдпрд╛ рдЬрд╛ рд╕рдХрддрд╛ рд╣реИ, рд▓реЗрдХрд┐рди **рд╕рдВрд╢реЛрдзрд┐рдд** рдХрд┐рдпрд╛ рдЧрдпрд╛ рд╣реИ рддрд╛рдХрд┐ **GPT** **рд╡рд┐рднрд╛рдЬрдиреЛрдВ** рдХреЛ рдкрд╣рдЪрд╛рди рд╕рдХреЗред MBR рдореЗрдВ рдмреВрдЯрд▓реЛрдбрд░ рдХреЛ 512 рдмрд╛рдЗрдЯреНрд╕ рдХреЗ рд╕реЗрдХреНрдЯрд░ рдЖрдХрд╛рд░ рдХрд╛ рдЕрдиреБрдорд╛рди рдирд╣реАрдВ рд▓рдЧрд╛рдирд╛ рдЪрд╛рд╣рд┐рдПред
**рд╡рд┐рднрд╛рдЬрди рддрд╛рд▓рд┐рдХрд╛ рд╢реАрд░реНрд╖рдХ (LBA 1)**
[From Wikipedia](https://en.wikipedia.org/wiki/GUID\_Partition\_Table)
рд╡рд┐рднрд╛рдЬрди рддрд╛рд▓рд┐рдХрд╛ рд╢реАрд░реНрд╖рдХ рдбрд┐рд╕реНрдХ рдкрд░ рдЙрдкрдпреЛрдЧ рдХрд┐рдП рдЬрд╛рдиреЗ рд╡рд╛рд▓реЗ рдмреНрд▓реЙрдХреЛрдВ рдХреЛ рдкрд░рд┐рднрд╛рд╖рд┐рдд рдХрд░рддрд╛ рд╣реИред рдпрд╣ рд╡рд┐рднрд╛рдЬрди рддрд╛рд▓рд┐рдХрд╛ (рддрд╛рд▓рд┐рдХрд╛ рдореЗрдВ рдСрдлрд╕реЗрдЯ 80 рдФрд░ 84) рдХреЛ рдмрдирд╛рдиреЗ рд╡рд╛рд▓реЗ рд╡рд┐рднрд╛рдЬрди рдкреНрд░рд╡рд┐рд╖реНрдЯрд┐рдпреЛрдВ рдХреА рд╕рдВрдЦреНрдпрд╛ рдФрд░ рдЖрдХрд╛рд░ рдХреЛ рднреА рдкрд░рд┐рднрд╛рд╖рд┐рдд рдХрд░рддрд╛ рд╣реИред
| Offset | Length | Contents |
| --------- | -------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| 0 (0x00) | 8 bytes | Signature ("EFI PART", 45h 46h 49h 20h 50h 41h 52h 54h or 0x5452415020494645ULL[ ](https://en.wikipedia.org/wiki/GUID\_Partition\_Table#cite\_note-8)on little-endian machines) |
| 8 (0x08) | 4 bytes | Revision 1.0 (00h 00h 01h 00h) for UEFI 2.8 |
| 12 (0x0C) | 4 bytes | Header size in little endian (in bytes, usually 5Ch 00h 00h 00h or 92 bytes) |
| 16 (0x10) | 4 bytes | [CRC32](https://en.wikipedia.org/wiki/CRC32) of header (offset +0 up to header size) in little endian, with this field zeroed during calculation |
| 20 (0x14) | 4 bytes | Reserved; must be zero |
| 24 (0x18) | 8 bytes | Current LBA (location of this header copy) |
| 32 (0x20) | 8 bytes | Backup LBA (location of the other header copy) |
| 40 (0x28) | 8 bytes | First usable LBA for partitions (primary partition table last LBA + 1) |
| 48 (0x30) | 8 bytes | Last usable LBA (secondary partition table first LBA тИТ 1) |
| 56 (0x38) | 16 bytes | Disk GUID in mixed endian |
| 72 (0x48) | 8 bytes | Starting LBA of an array of partition entries (always 2 in primary copy) |
| 80 (0x50) | 4 bytes | Number of partition entries in array |
| 84 (0x54) | 4 bytes | Size of a single partition entry (usually 80h or 128) |
| 88 (0x58) | 4 bytes | CRC32 of partition entries array in little endian |
| 92 (0x5C) | \* | Reserved; must be zeroes for the rest of the block (420 bytes for a sector size of 512 bytes; but can be more with larger sector sizes) |
**рд╡рд┐рднрд╛рдЬрди рдкреНрд░рд╡рд┐рд╖реНрдЯрд┐рдпрд╛рдБ (LBA 2тАУ33)**
| GUID partition entry format | | |
| --------------------------- | -------- | ----------------------------------------------------------------------------------------------------------------- |
| Offset | Length | Contents |
| 0 (0x00) | 16 bytes | [Partition type GUID](https://en.wikipedia.org/wiki/GUID\_Partition\_Table#Partition\_type\_GUIDs) (mixed endian) |
| 16 (0x10) | 16 bytes | Unique partition GUID (mixed endian) |
| 32 (0x20) | 8 bytes | First LBA ([little endian](https://en.wikipedia.org/wiki/Little\_endian)) |
| 40 (0x28) | 8 bytes | Last LBA (inclusive, usually odd) |
| 48 (0x30) | 8 bytes | Attribute flags (e.g. bit 60 denotes read-only) |
| 56 (0x38) | 72 bytes | Partition name (36 [UTF-16](https://en.wikipedia.org/wiki/UTF-16)LE code units) |
**рд╡рд┐рднрд╛рдЬрди рдкреНрд░рдХрд╛рд░**
![](<../../../.gitbook/assets/image (492).png>)
рдЕрдзрд┐рдХ рд╡рд┐рднрд╛рдЬрди рдкреНрд░рдХрд╛рд░ [https://en.wikipedia.org/wiki/GUID\_Partition\_Table](https://en.wikipedia.org/wiki/GUID\_Partition\_Table) рдореЗрдВ
### рдирд┐рд░реАрдХреНрд╖рдг
рдлреЛрд░реЗрдВрд╕рд┐рдХ рдЗрдореЗрдЬ рдХреЛ [**ArsenalImageMounter**](https://arsenalrecon.com/downloads/) рдХреЗ рд╕рд╛рде рдорд╛рдЙрдВрдЯ рдХрд░рдиреЗ рдХреЗ рдмрд╛рдж, рдЖрдк Windows рдЯреВрд▓ [**Active Disk Editor**](https://www.disk-editor.org/index.html)** рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗ рдкрд╣рд▓реЗ рд╕реЗрдХреНрдЯрд░ рдХрд╛ рдирд┐рд░реАрдХреНрд╖рдг рдХрд░ рд╕рдХрддреЗ рд╣реИрдВред** рдирд┐рдореНрдирд▓рд┐рдЦрд┐рдд рдЫрд╡рд┐ рдореЗрдВ **MBR** рдХреЛ **рд╕реЗрдХреНрдЯрд░ 0** рдкрд░ рдкрддрд╛ рд▓рдЧрд╛рдпрд╛ рдЧрдпрд╛ рдФрд░ рд╡реНрдпрд╛рдЦреНрдпрд╛ рдХреА рдЧрдИ:
![](<../../../.gitbook/assets/image (494).png>)
рдпрджрд┐ рдпрд╣ **MBR рдХреЗ рдмрдЬрд╛рдп GPT рддрд╛рд▓рд┐рдХрд╛** рд╣реЛрддреА, рддреЛ рдЗрд╕реЗ **рд╕реЗрдХреНрдЯрд░ 1** рдореЗрдВ _EFI PART_ рдХрд╛ рд╕рдВрдХреЗрдд рджрд┐рдЦрд╛рдИ рджреЗрдирд╛ рдЪрд╛рд╣рд┐рдП (рдЬреЛ рдкрд┐рдЫрд▓реЗ рдЫрд╡рд┐ рдореЗрдВ рдЦрд╛рд▓реА рд╣реИ)ред
## рдлрд╝рд╛рдЗрд▓-рдкреНрд░рдгрд╛рд▓рд┐рдпрд╛рдБ
### Windows рдлрд╝рд╛рдЗрд▓-рдкреНрд░рдгрд╛рд▓рд┐рдпреЛрдВ рдХреА рд╕реВрдЪреА
* **FAT12/16**: MSDOS, WIN95/98/NT/200
* **FAT32**: 95/2000/XP/2003/VISTA/7/8/10
* **ExFAT**: 2008/2012/2016/VISTA/7/8/10
* **NTFS**: XP/2003/2008/2012/VISTA/7/8/10
* **ReFS**: 2012/2016
### FAT
**FAT (File Allocation Table)** рдлрд╝рд╛рдЗрд▓ рдкреНрд░рдгрд╛рд▓реА рдЕрдкрдиреЗ рдореБрдЦреНрдп рдШрдЯрдХ, рдлрд╝рд╛рдЗрд▓ рдЖрд╡рдВрдЯрди рддрд╛рд▓рд┐рдХрд╛ рдХреЗ рдЪрд╛рд░реЛрдВ рдУрд░ рдбрд┐рдЬрд╝рд╛рдЗрди рдХреА рдЧрдИ рд╣реИ, рдЬреЛ рд╡реЙрд▓реНрдпреВрдо рдХреА рд╢реБрд░реБрдЖрдд рдореЗрдВ рд╕реНрдерд┐рдд рд╣реИред рдпрд╣ рдкреНрд░рдгрд╛рд▓реА рдбреЗрдЯрд╛ рдХреА рд╕реБрд░рдХреНрд╖рд╛ рдХрд░рддреА рд╣реИ **рддрд╛рд▓рд┐рдХрд╛ рдХреА рджреЛ рдкреНрд░рддрд┐рдпреЛрдВ** рдХреЛ рдмрдирд╛рдП рд░рдЦрдХрд░, рдпрд╣ рд╕реБрдирд┐рд╢реНрдЪрд┐рдд рдХрд░рддреА рд╣реИ рдХрд┐ рдбреЗрдЯрд╛ рдХреА рдЕрдЦрдВрдбрддрд╛ рддрдм рднреА рдмрдиреА рд░рд╣реЗ рдЬрдм рдПрдХ рднреНрд░рд╖реНрдЯ рд╣реЛ рдЬрд╛рдПред рддрд╛рд▓рд┐рдХрд╛, рд╕рд╛рде рд╣реА рд░реВрдЯ рдлрд╝реЛрд▓реНрдбрд░, рдПрдХ **рд╕реНрдерд┐рд░ рд╕реНрдерд╛рди** рдореЗрдВ рд╣реЛрдиреА рдЪрд╛рд╣рд┐рдП, рдЬреЛ рдкреНрд░рдгрд╛рд▓реА рдХреЗ рд╕реНрдЯрд╛рд░реНрдЯрдЕрдк рдкреНрд░рдХреНрд░рд┐рдпрд╛ рдХреЗ рд▓рд┐рдП рдорд╣рддреНрд╡рдкреВрд░реНрдг рд╣реИред
рдлрд╝рд╛рдЗрд▓ рдкреНрд░рдгрд╛рд▓реА рдХреА рдореВрд▓ рднрдВрдбрд╛рд░рдг рдЗрдХрд╛рдИ рдПрдХ **рдХреНрд▓рд╕реНрдЯрд░, рдЖрдорддреМрд░ рдкрд░ 512B** рд╣реИ, рдЬрд┐рд╕рдореЗрдВ рдХрдИ рд╕реЗрдХреНрдЯрд░ рд╢рд╛рдорд┐рд▓ рд╣реЛрддреЗ рд╣реИрдВред FAT рдиреЗ рд╕рдВрд╕реНрдХрд░рдгреЛрдВ рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рд╡рд┐рдХрд╛рд╕ рдХрд┐рдпрд╛ рд╣реИ:
* **FAT12**, 12-рдмрд┐рдЯ рдХреНрд▓рд╕реНрдЯрд░ рдкрддреЗ рдХрд╛ рд╕рдорд░реНрдерди рдХрд░рддрд╛ рд╣реИ рдФрд░ 4078 рдХреНрд▓рд╕реНрдЯрд░ (UNIX рдХреЗ рд╕рд╛рде 4084) рдХреЛ рд╕рдВрднрд╛рд▓рддрд╛ рд╣реИред
* **FAT16**, 16-рдмрд┐рдЯ рдкрддреЗ рдореЗрдВ рд╕реБрдзрд╛рд░ рдХрд░рддрд╛ рд╣реИ, рдЬрд┐рд╕рд╕реЗ 65,517 рдХреНрд▓рд╕реНрдЯрд░ рддрдХ рдХрд╛ рд╕рдорд░реНрдерди рд╣реЛрддрд╛ рд╣реИред
* **FAT32**, 32-рдмрд┐рдЯ рдкрддреЗ рдХреЗ рд╕рд╛рде рдЖрдЧреЗ рдмрдврд╝рддрд╛ рд╣реИ, рдЬрд┐рд╕рд╕реЗ рдкреНрд░рддрд┐ рд╡реЙрд▓реНрдпреВрдо 268,435,456 рдХреНрд▓рд╕реНрдЯрд░ рдХреА рдкреНрд░рднрд╛рд╡рд╢рд╛рд▓реА рд╕рдВрдЦреНрдпрд╛ рдХреА рдЕрдиреБрдорддрд┐ рдорд┐рд▓рддреА рд╣реИред
FAT рд╕рдВрд╕реНрдХрд░рдгреЛрдВ рдореЗрдВ рдПрдХ рдорд╣рддреНрд╡рдкреВрд░реНрдг рд╕реАрдорд╛ **4GB рдЕрдзрд┐рдХрддрдо рдлрд╝рд╛рдЗрд▓ рдЖрдХрд╛рд░** рд╣реИ, рдЬреЛ рдлрд╝рд╛рдЗрд▓ рдЖрдХрд╛рд░ рднрдВрдбрд╛рд░рдг рдХреЗ рд▓рд┐рдП рдЙрдкрдпреЛрдЧ рдХрд┐рдП рдЬрд╛рдиреЗ рд╡рд╛рд▓реЗ 32-рдмрд┐рдЯ рдХреНрд╖реЗрддреНрд░ рджреНрд╡рд╛рд░рд╛ рдирд┐рд░реНрдзрд╛рд░рд┐рдд рд╣реИред
рд░реВрдЯ рдирд┐рд░реНрджреЗрд╢рд┐рдХрд╛ рдХреЗ рдкреНрд░рдореБрдЦ рдШрдЯрдХ, рд╡рд┐рд╢реЗрд╖ рд░реВрдк рд╕реЗ FAT12 рдФрд░ FAT16 рдХреЗ рд▓рд┐рдП, рдореЗрдВ рд╢рд╛рдорд┐рд▓ рд╣реИрдВ:
* **рдлрд╝рд╛рдЗрд▓/рдлрд╝реЛрд▓реНрдбрд░ рдирд╛рдо** (8 рд╡рд░реНрдгреЛрдВ рддрдХ)
* **рдЧреБрдг**
* **рдирд┐рд░реНрдорд╛рдг, рд╕рдВрд╢реЛрдзрди, рдФрд░ рдЕрдВрддрд┐рдо рдкрд╣реБрдБрдЪ рддрд┐рдерд┐рдпрд╛рдБ**
* **FAT рддрд╛рд▓рд┐рдХрд╛ рдкрддрд╛** (рдлрд╝рд╛рдЗрд▓ рдХреЗ рдкреНрд░рд╛рд░рдВрдн рдХреНрд▓рд╕реНрдЯрд░ рдХреЛ рдЗрдВрдЧрд┐рдд рдХрд░рддрд╛ рд╣реИ)
* **рдлрд╝рд╛рдЗрд▓ рдЖрдХрд╛рд░**
### EXT
**Ext2** рд╕рдмрд╕реЗ рд╕рд╛рдорд╛рдиреНрдп рдлрд╝рд╛рдЗрд▓ рдкреНрд░рдгрд╛рд▓реА рд╣реИ рдЬреЛ **рдЬрд░реНрдирд▓рд┐рдВрдЧ** рд╡рд┐рднрд╛рдЬрдиреЛрдВ (**рд╡рд┐рднрд╛рдЬрди рдЬреЛ рдЬреНрдпрд╛рджрд╛ рдирд╣реАрдВ рдмрджрд▓рддреЗ**) рдХреЗ рд▓рд┐рдП рд╣реИ рдЬреИрд╕реЗ рдмреВрдЯ рд╡рд┐рднрд╛рдЬрдиред **Ext3/4** **рдЬрд░реНрдирд▓рд┐рдВрдЧ** рд╣реИрдВ рдФрд░ рдЖрдорддреМрд░ рдкрд░ **рдмрд╛рдХреА рд╡рд┐рднрд╛рдЬрдиреЛрдВ** рдХреЗ рд▓рд┐рдП рдЙрдкрдпреЛрдЧ рдХреА рдЬрд╛рддреА рд╣реИрдВред
## **рдореЗрдЯрд╛рдбреЗрдЯрд╛**
рдХреБрдЫ рдлрд╝рд╛рдЗрд▓реЛрдВ рдореЗрдВ рдореЗрдЯрд╛рдбреЗрдЯрд╛ рд╣реЛрддрд╛ рд╣реИред рдпрд╣ рдЬрд╛рдирдХрд╛рд░реА рдлрд╝рд╛рдЗрд▓ рдХреА рд╕рд╛рдордЧреНрд░реА рдХреЗ рдмрд╛рд░реЗ рдореЗрдВ рд╣реЛрддреА рд╣реИ рдЬреЛ рдХрднреА-рдХрднреА рд╡рд┐рд╢реНрд▓реЗрд╖рдХ рдХреЗ рд▓рд┐рдП рджрд┐рд▓рдЪрд╕реНрдк рд╣реЛ рд╕рдХрддреА рд╣реИ рдХреНрдпреЛрдВрдХрд┐ рдлрд╝рд╛рдЗрд▓ рдХреЗ рдкреНрд░рдХрд╛рд░ рдХреЗ рдЖрдзрд╛рд░ рдкрд░, рдЗрд╕рдореЗрдВ рдЬрд╛рдирдХрд╛рд░реА рд╣реЛ рд╕рдХрддреА рд╣реИ рдЬреИрд╕реЗ:
* рд╢реАрд░реНрд╖рдХ
* рдЙрдкрдпреЛрдЧ рдХрд┐рдпрд╛ рдЧрдпрд╛ MS Office рд╕рдВрд╕реНрдХрд░рдг
* рд▓реЗрдЦрдХ
* рдирд┐рд░реНрдорд╛рдг рдФрд░ рдЕрдВрддрд┐рдо рд╕рдВрд╢реЛрдзрди рдХреА рддрд┐рдерд┐рдпрд╛рдБ
* рдХреИрдорд░реЗ рдХрд╛ рдореЙрдбрд▓
* GPS рдирд┐рд░реНрджреЗрд╢рд╛рдВрдХ
* рдЫрд╡рд┐ рдЬрд╛рдирдХрд╛рд░реА
рдЖрдк рдлрд╝рд╛рдЗрд▓ рдХреЗ рдореЗрдЯрд╛рдбреЗрдЯрд╛ рдкреНрд░рд╛рдкреНрдд рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП [**exiftool**](https://exiftool.org) рдФрд░ [**Metadiver**](https://www.easymetadata.com/metadiver-2/) рдЬреИрд╕реЗ рдЙрдкрдХрд░рдгреЛрдВ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░ рд╕рдХрддреЗ рд╣реИрдВред
## **рд╣рдЯрд╛рдИ рдЧрдИ рдлрд╝рд╛рдЗрд▓реЛрдВ рдХреА рдкреБрдирд░реНрдкреНрд░рд╛рдкреНрддрд┐**
### рд▓реЙрдЧ рдХреА рдЧрдИ рд╣рдЯрд╛рдИ рдЧрдИ рдлрд╝рд╛рдЗрд▓реЗрдВ
рдЬреИрд╕рд╛ рдХрд┐ рдкрд╣рд▓реЗ рджреЗрдЦрд╛ рдЧрдпрд╛ рд╣реИ, рдХрдИ рд╕реНрдерд╛рди рд╣реИрдВ рдЬрд╣рд╛рдБ рдлрд╝рд╛рдЗрд▓ "рд╣рдЯрд╛рдИ" рдЬрд╛рдиреЗ рдХреЗ рдмрд╛рдж рднреА рдЕрднреА рднреА рд╕рд╣реЗрдЬреА рдЧрдИ рд╣реИред рдЗрд╕рдХрд╛ рдХрд╛рд░рдг рдпрд╣ рд╣реИ рдХрд┐ рдЖрдорддреМрд░ рдкрд░ рдлрд╝рд╛рдЗрд▓ рдХреЛ рдлрд╝рд╛рдЗрд▓ рдкреНрд░рдгрд╛рд▓реА рд╕реЗ рд╣рдЯрд╛рдиреЗ рд╕реЗ рдЗрд╕реЗ рдХреЗрд╡рд▓ рд╣рдЯрд╛рдП рдЧрдП рдХреЗ рд░реВрдк рдореЗрдВ рдЪрд┐рд╣реНрдирд┐рдд рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИ рд▓реЗрдХрд┐рди рдбреЗрдЯрд╛ рдХреЛ рдЫреБрдЖ рдирд╣реАрдВ рдЬрд╛рддрд╛ рд╣реИред рдлрд┐рд░, рдлрд╝рд╛рдЗрд▓реЛрдВ рдХреЗ рд░рдЬрд┐рд╕реНрдЯреНрд░рд┐рдпреЛрдВ (рдЬреИрд╕реЗ MFT) рдХрд╛ рдирд┐рд░реАрдХреНрд╖рдг рдХрд░рдирд╛ рдФрд░ рд╣рдЯрд╛рдИ рдЧрдИ рдлрд╝рд╛рдЗрд▓реЛрдВ рдХреЛ рдЦреЛрдЬрдирд╛ рд╕рдВрднрд╡ рд╣реИред
рдЗрд╕рдХреЗ рдЕрд▓рд╛рд╡рд╛, OS рдЖрдорддреМрд░ рдкрд░ рдлрд╝рд╛рдЗрд▓ рдкреНрд░рдгрд╛рд▓реА рдкрд░рд┐рд╡рд░реНрддрдиреЛрдВ рдФрд░ рдмреИрдХрдЕрдк рдХреЗ рдмрд╛рд░реЗ рдореЗрдВ рдмрд╣реБрдд рд╕рд╛рд░реА рдЬрд╛рдирдХрд╛рд░реА рд╕рд╣реЗрдЬрддрд╛ рд╣реИ, рдЗрд╕рд▓рд┐рдП рдлрд╝рд╛рдЗрд▓ рдХреЛ рдкреБрдирд░реНрдкреНрд░рд╛рдкреНрдд рдХрд░рдиреЗ рдпрд╛ рдпрдерд╛рд╕рдВрднрд╡ рдЕрдзрд┐рдХ рдЬрд╛рдирдХрд╛рд░реА рдкреНрд░рд╛рдкреНрдд рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдЙрдирдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдиреЗ рдХрд╛ рдкреНрд░рдпрд╛рд╕ рдХрд░рдирд╛ рд╕рдВрднрд╡ рд╣реИред
{% content-ref url="file-data-carving-recovery-tools.md" %}
[file-data-carving-recovery-tools.md](file-data-carving-recovery-tools.md)
{% endcontent-ref %}
### **рдлрд╝рд╛рдЗрд▓ рдХрд╛рд░реНрд╡рд┐рдВрдЧ**
**рдлрд╝рд╛рдЗрд▓ рдХрд╛рд░реНрд╡рд┐рдВрдЧ** рдПрдХ рддрдХрдиреАрдХ рд╣реИ рдЬреЛ **рдбреЗрдЯрд╛ рдХреЗ рдмрдбрд╝реЗ рд╣рд┐рд╕реНрд╕реЗ рдореЗрдВ рдлрд╝рд╛рдЗрд▓реЛрдВ рдХреЛ рдЦреЛрдЬрдиреЗ рдХреА рдХреЛрд╢рд┐рд╢ рдХрд░рддреА рд╣реИ**ред рдЗрд╕ рддрд░рд╣ рдХреЗ рдЙрдкрдХрд░рдгреЛрдВ рдХреЗ рдХрд╛рдо рдХрд░рдиреЗ рдХреЗ 3 рдореБрдЦреНрдп рддрд░реАрдХреЗ рд╣реИрдВ: **рдлрд╝рд╛рдЗрд▓ рдкреНрд░рдХрд╛рд░ рдХреЗ рд╣реЗрдбрд░ рдФрд░ рдлреБрдЯрд░ рдХреЗ рдЖрдзрд╛рд░ рдкрд░**, рдлрд╝рд╛рдЗрд▓ рдкреНрд░рдХрд╛рд░ рдХреА **рд╕рдВрд░рдЪрдирд╛рдУрдВ** рдХреЗ рдЖрдзрд╛рд░ рдкрд░ рдФрд░ **рд╕рд╛рдордЧреНрд░реА** рдХреЗ рдЖрдзрд╛рд░ рдкрд░ред
рдзреНрдпрд╛рди рджреЗрдВ рдХрд┐ рдпрд╣ рддрдХрдиреАрдХ **рдЦрдВрдбрд┐рдд рдлрд╝рд╛рдЗрд▓реЛрдВ рдХреЛ рдкреБрдирд░реНрдкреНрд░рд╛рдкреНрдд рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдХрд╛рдо рдирд╣реАрдВ рдХрд░рддреА**ред рдпрджрд┐ рдПрдХ рдлрд╝рд╛рдЗрд▓ **рд╕рдиреНрдирд┐рд╣рд┐рдд рд╕реЗрдХреНрдЯрд░реЛрдВ рдореЗрдВ рд╕рдВрдЧреНрд░рд╣реАрдд рдирд╣реАрдВ рд╣реИ**, рддреЛ рдпрд╣ рддрдХрдиреАрдХ рдЗрд╕реЗ рдЦреЛрдЬрдиреЗ рдореЗрдВ рдЕрд╕рдорд░реНрде рд╣реЛрдЧреА рдпрд╛ рдХрдо рд╕реЗ рдХрдо рдЗрд╕рдХреЗ рдПрдХ рднрд╛рдЧ рдХреЛред
рдЖрдк рдлрд╝рд╛рдЗрд▓ рдХрд╛рд░реНрд╡рд┐рдВрдЧ рдХреЗ рд▓рд┐рдП рдХрдИ рдЙрдкрдХрд░рдгреЛрдВ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ рдЬреЛ рдЖрдк рдЬрд┐рди рдлрд╝рд╛рдЗрд▓ рдкреНрд░рдХрд╛рд░реЛрдВ рдХреЗ рд▓рд┐рдП рдЦреЛрдЬ рдХрд░рдирд╛ рдЪрд╛рд╣рддреЗ рд╣реИрдВ рдЙрдиреНрд╣реЗрдВ рдЗрдВрдЧрд┐рдд рдХрд░рддреЗ рд╣реИрдВред
{% content-ref url="file-data-carving-recovery-tools.md" %}
[file-data-carving-recovery-tools.md](file-data-carving-recovery-tools.md)
{% endcontent-ref %}
### рдбреЗрдЯрд╛ рд╕реНрдЯреНрд░реАрдо **C**arving
рдбреЗрдЯрд╛ рд╕реНрдЯреНрд░реАрдо рдХрд╛рд░реНрд╡рд┐рдВрдЧ рдлрд╝рд╛рдЗрд▓ рдХрд╛рд░реНрд╡рд┐рдВрдЧ рдХреЗ рд╕рдорд╛рди рд╣реИ рд▓реЗрдХрд┐рди **рдкреВрд░реНрдг рдлрд╝рд╛рдЗрд▓реЛрдВ рдХреА рдЦреЛрдЬ рдХрд░рдиреЗ рдХреЗ рдмрдЬрд╛рдп, рдпрд╣ рдЬрд╛рдирдХрд╛рд░реА рдХреЗ рджрд┐рд▓рдЪрд╕реНрдк рдЯреБрдХрдбрд╝реЛрдВ рдХреА рдЦреЛрдЬ рдХрд░рддрд╛ рд╣реИред**\
рдЙрджрд╛рд╣рд░рдг рдХреЗ рд▓рд┐рдП, рдкреВрд░реНрдг рдлрд╝рд╛рдЗрд▓ рдХреА рдЦреЛрдЬ рдХрд░рдиреЗ рдХреЗ рдмрдЬрд╛рдп рдЬрд┐рд╕рдореЗрдВ рд▓реЙрдЧ рдХреА рдЧрдИ URL рд╣реЛрддреА рд╣реИрдВ, рдпрд╣ рддрдХрдиреАрдХ URL рдХреА рдЦреЛрдЬ рдХрд░реЗрдЧреАред
{% content-ref url="file-data-carving-recovery-tools.md" %}
[file-data-carving-recovery-tools.md](file-data-carving-recovery-tools.md)
{% endcontent-ref %}
### рд╕реБрд░рдХреНрд╖рд┐рдд рд╣рдЯрд╛рдирд╛
рд╕реНрдкрд╖реНрдЯ рд░реВрдк рд╕реЗ, рдлрд╝рд╛рдЗрд▓реЛрдВ рдФрд░ рдЙрдирдХреЗ рдмрд╛рд░реЗ рдореЗрдВ рд▓реЙрдЧ рдХреЗ рдХреБрдЫ рд╣рд┐рд╕реНрд╕реЛрдВ рдХреЛ **"рд╕реБрд░рдХреНрд╖рд┐рдд" рддрд░реАрдХреЗ рд╕реЗ рд╣рдЯрд╛рдиреЗ** рдХреЗ рддрд░реАрдХреЗ рд╣реИрдВред рдЙрджрд╛рд╣рд░рдг рдХреЗ рд▓рд┐рдП, рдПрдХ рдлрд╝рд╛рдЗрд▓ рдХреА рд╕рд╛рдордЧреНрд░реА рдХреЛ рдХрдИ рдмрд╛рд░ рдмреЗрдХрд╛рд░ рдбреЗрдЯрд╛ рдХреЗ рд╕рд╛рде **рдУрд╡рд░рд░рд╛рдЗрдЯ** рдХрд░рдирд╛ рд╕рдВрднрд╡ рд╣реИ, рдФрд░ рдлрд┐рд░ рдлрд╝рд╛рдЗрд▓ рдХреЗ рдмрд╛рд░реЗ рдореЗрдВ **$MFT** рдФрд░ **$LOGFILE** рд╕реЗ **рд▓реЙрдЧ** рдХреЛ **рд╣рдЯрд╛рдирд╛**, рдФрд░ **рд╡реЙрд▓реНрдпреВрдо рд╢реИрдбреЛ рдХреЙрдкреАрдЬрд╝** рдХреЛ **рд╣рдЯрд╛рдирд╛**ред\
рдЖрдк рджреЗрдЦ рд╕рдХрддреЗ рд╣реИрдВ рдХрд┐ рдЗрд╕ рдХреНрд░рд┐рдпрд╛ рдХреЛ рдХрд░рдиреЗ рдкрд░ рднреА рдлрд╝рд╛рдЗрд▓ рдХреЗ рдЕрд╕реНрддрд┐рддреНрд╡ рдХреЛ рд▓реЙрдЧ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП **рдЕрдиреНрдп рднрд╛рдЧ рд╣реЛ рд╕рдХрддреЗ рд╣реИрдВ**, рдФрд░ рдпрд╣ рд╕рдЪ рд╣реИ рдФрд░ рдлреЛрд░реЗрдВрд╕рд┐рдХ рдкреЗрд╢реЗрд╡рд░ рдХрд╛ рдХрд╛рдо рдЙрдиреНрд╣реЗрдВ рдЦреЛрдЬрдирд╛ рд╣реИред
## рд╕рдВрджрд░реНрдн
* [https://en.wikipedia.org/wiki/GUID\_Partition\_Table](https://en.wikipedia.org/wiki/GUID\_Partition\_Table)
* [http://ntfs.com/ntfs-permissions.htm](http://ntfs.com/ntfs-permissions.htm)
* [https://www.osforensics.com/faqs-and-tutorials/how-to-scan-ntfs-i30-entries-deleted-files.html](https://www.osforensics.com/faqs-and-tutorials/how-to-scan-ntfs-i30-entries-deleted-files.html)
* [https://docs.microsoft.com/en-us/windows-server/storage/file-server/volume-shadow-copy-service](https://docs.microsoft.com/en-us/windows-server/storage/file-server/volume-shadow-copy-service)
* **iHackLabs Certified Digital Forensics Windows**
{% hint style="success" %}
Learn & practice AWS Hacking:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
Learn & practice GCP Hacking: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary>Support HackTricks</summary>
* Check the [**subscription plans**](https://github.com/sponsors/carlospolop)!
* **Join the** ЁЯТм [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** us on **Twitter** ЁЯРж [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Share hacking tricks by submitting PRs to the** [**HackTricks**](https://github.com/carlospolop/hacktricks) and [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
</details>
{% endhint %}
Reference in a new issue View git blame Copy permalink