DjangoBB LoFi version

Полная версия: Поиск системной информации операционной системы в дампе жесткого диска.

Начало » Python для новичков » Поиск системной информации операционной системы в дампе жесткого диска.

NumberOne

Июнь 13, 2014 12:40:30

Здравствуйте,
Собственно суть проблемы заключена в названии темы: Поиск системной информации операционной системы в дампе жесткого диска.
Под дампом жесткого понимается: сохраненная копия содержимого жесткого диска в файл.
Под системной информацией: сведения об операционной системе, которая была установлена на жестком диске с которого сделан дамп.
Не могли бы вы подсказать, в какую сторону копать вообще, существуют ли готовые библиотеки для решения подобных задач, если да - то какие, если нет - то каким образом это вообще можно реализовать?
Спасибо.

Kasta_neda

Июнь 15, 2014 06:46:10

Открываете файл на чтение, считываете несколько строк, сравниваете, анализируете, может в начале записан MBR, по нему определить систему(если возможно), или пишите программу посекторно воссоздаете образ, может файлы считаете, по файлам понять что за система можно.

s0rg

Июнь 17, 2014 16:18:54

Ключевое слово для гугла - forensic, если я правильно понял задачу.

NumberOne

Июнь 20, 2014 23:21:14

Kasta_neda
Открываете файл на чтение, считываете несколько строк, сравниваете, анализируете, может в начале записан MBR, по нему определить систему(если возможно), или пишите программу посекторно воссоздаете образ, может файлы считаете, по файлам понять что за система можно.

Сделал 2 дампа с помощью утилиты dd из linux: дамп ubuntu desktop 1404 и дамп windows xp
По МБР благодаря 450 байту могу определить тип раздела для первого дампа определил - 83h Linux,
для второго - 07h Windows NT NTFS, потом проверяю байты с 512 по 32 кбайта, если все 00h, то сильнее уверяюсь, что это windows скорее всего. МБР хоть, что-то дал.

Ну мне надо более точно определить версию ОС и еще какие-нибудь данные о ней, как это можно сделать? Как понять по файлам, что за система?

s0rg
Ключевое слово для гугла - forensic, если я правильно понял задачу.

В английском не силен, так что для меня это не подходит.

py.user.next

Июнь 21, 2014 04:41:42

NumberOne
Сделал 2 дампа с помощью утилиты dd из linux

Должен быть один дамп.

NumberOne
По МБР благодаря 450 байту могу определить тип раздела

Вот в этом одном дампе надо смотреть в MBR.
Через него определять, какие есть разделы. Там же (вероятнее всего) хранится инфа о типе каждого раздела. И она не обязана совпадать с тем, что находится на разделе. То есть гарантированно на неё не стоит полагаться.

Надо переходить на каждый раздел и определять файловую систему по признакам. Файловых систем существует множество, у них есть разные версии. И нужно расчитывать, что вдруг внезапно добавится задание “прочитать какой-нибудь файл”. То есть программа должна быть открыта для доработки.

Kasta_neda

Июнь 21, 2014 13:04:39

Можно просто искать данные которые будут означать что данный дамп содержит именно определенную OS
как пример

f = open('win7-poslednii_full_b1_s1_v1.tib','rb')
while True:
    out = f.readline()
    if 'Python27' in out:
        #print " ".join(hex(ord(n)) for n in out)
        print out

можно указать папку “windows” или файл присущий определенной ос
И по ссылке что я уже предлагал https://sites.google.com/site/haliner/dvr-recover
программа находит файлы mpeg либо на диске либо, если скормить, образ_дампе, там видно что по заголовку определяются файлы mpeg , можете взять что то оттуда, прожка работает, проверил…

python dvr-recover.py setup input add disk.img.0001
python dvr-recover.py create
python dvr-recover.py setup export_dir “./”
python dvr-recover.py export 1

NumberOne

Июнь 23, 2014 00:03:51

Спасибо всем, кто помогал, вроде задачу выполнил.