Anàlisi de FAT en Linux
Ir a la navegación
Ir a la búsqueda
Podem crear una imatge de FAT amb:
$ dd if=/dev/zero of=disc.img bs=512 count=2048
Si volem, podem utilitzar el urandom per donar un aspecte més realista amb un disc que té dades previament:
$ dd if=/dev/urandom of=disc.img bs=512 count=2048
Després, li donem format. Com per a Linux, tot es un fitxer, pots formatejar un fitxer igual que un disc:
$ mkfs.vfat disc.img
Per a muntar-lo:
$ sudo mount -oloop ./disc.img ./imgs/
A partir de ací, podem analitzar el contingut amb xxd en hexadecimal. També podem utilitzar la comanda fsstat del paquet sleuthkit:
$ sudo apt-get install sleuthkit $ fsstat disc.img
Si analitzem la primera part:
0000000: eb3c 906d 6b64 6f73 6673 0000 0204 0100 .<.mkdosfs...... 0000010: 0200 0200 08f8 0200 2000 4000 0000 0000 ........ .@..... 0000020: 0000 0000 0000 293a a2a6 8020 2020 2020 ......):... 0000030: 2020 2020 2020 4641 5431 3220 2020 0e1f FAT12 .. 0000040: be5b 7cac 22c0 740b 56b4 0ebb 0700 cd10 .[|.".t.V....... 0000050: 5eeb f032 e4cd 16cd 19eb fe54 6869 7320 ^..2.......This 0000060: 6973 206e 6f74 2061 2062 6f6f 7461 626c is not a bootabl 0000070: 6520 6469 736b 2e20 2050 6c65 6173 6520 e disk. Please 0000080: 696e 7365 7274 2061 2062 6f6f 7461 626c insert a bootabl 0000090: 6520 666c 6f70 7079 2061 6e64 0d0a 7072 e floppy and..pr 00000a0: 6573 7320 616e 7920 6b65 7920 746f 2074 ess any key to t 00000b0: 7279 2061 6761 696e 202e 2e2e 200d 0a00 ry again ... ... 00000c0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000d0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000e0: 0000 0000 0000 0000 0000 0000 0000 0000 ................