FAT 32 File System
File System Analysis မှာပါတဲ့ FAT 32 File System အကြောင်းကပြီးသလောက်ရှိသွားပါပြီ။ နောက်ထပ်လာမှာက NTFS File System အကြောင်းဖြစ်ပါတယ်။ FAT အကြောင်းကို လိုတိုရှင်းဆိုရင်
Boot Sector မှာ Storage မှာ Cluster တွေဘယ်လောက်ရှိတယ် Cluster တစ်ခုမှာ Sector တွေဘယ်လောက်ရှိတယ်ဆိုတဲ့ Information ရှိပါတယ်။
File System Information (FSINFO) မှာ လက်ရှိ Data တွေသိမ်းထားတာ ဘယ်လောက် ပမာဏ ရှိတတယ်။ (Cluster အရေအတွက်ပေါ့) နောက်ထပ်ဘယ်လောက် သိမ်းလို့ရသေးတယ်ဆိုတဲ့ Information ရှိပါတယ်။
Bootstrap ကတော့ Error ဖြစ်ရင်အသုံးပြုတာ။ Press Any Key To Continue ဆိုတဲ့စာတက်လာပြီး
Cluster တစ်ခုထဲမှာသိမ်းထားတဲ့ Good Configuration ကိုယူပေးပါတယ်။
FAT1 FAT2 နေရာမှာက ဘယ် File က Cluster နေရာ ဘယ်လောက်ယူထားတယ်။ဥပမာ Image1 File က Cluster နံပတ် ၁၀၀ ကနေ ၂၀၀ အထိယူထားတယ်ဆိုတာကို သိမ်းထားပါတယ်။Root Directory (Root) ထဲမှာ File တစ်ခုချင်းစီရဲ့ File Name, Metadata တွေပါ၀င်တယ်။ Data Area မှာတော့ လက်တွေ့မြင်နေရတဲ့ File, Folder တွေ ရှိပါတယ်။
(File တစ်ခုက FAT File System ပေါ်မှာ ဘယ်လိုနေရာယူထားတယ် ဆိုတာ မျက်စိထဲ မြင်ကြည့်လိုက်ပါ။)
ဒီလိုဆိုရင် ဒါတွေသိတော့ ဘယ်လိုအသုံး၀င်လဲ
အလွယ်ဆုံး ဥပမာ အနေနဲ့ ပြောရရင်
ဥပမာ Storage တစ်ခုက Cluster 500 ရှိတယ်။
250 က သုံးထားတယ်။ ဖွင့်ကြည့်ရင် Cluster နေရာ 250 မှာ သုံးထားတဲ့ File တွေမြင်ရမယ်။
ကျန်တဲ့ Cluster 250 ကအလွတ်ဖြစ်နေတယ်။
လွတ်နေတဲ့ Cluster Number က 250-500
(ဒါကို အပေါ်မှာပြောခဲ့တဲ့ အချက်အလက်တွေကနေ သိရမှာ ဖြစ်ပါတယ်။)
ဒါကြောင့် Encase Forensics Products လိုမျိုးသုံးမယ်ဆိုရင် လွတ်နေတဲ့ နေရာဖြစ်တဲ့ Cluster 250-500 အထိကိုပဲ Recovery လုပ်မယ်။ ဒါဆိုရင် အချိန်ရော လူရောသက်သာပါတယ်။
Encase မှ မဟုတ် အချို့သော Forensics Products တွေ Recovery Application တွေမှာပါ၀င်ပါတယ်။
ဒါက မျက်စိထဲမြင်အောင် အလွယ်ပြောတာပါ။
File Carving လုပ်တာ။ Recovery လုပ်တာ။ စတဲ့နေရာများစွာမှာ ကိုယ်နားလည်ထားရင် နားလည်သလောက် အသုံး၀င်ပါတယ်။
Comments