6
Hex Editor, Cluster, Blöcke
Hallo,
welcher freie Editor zeigt die Block-Addressen einer Datei an und den gesamten Inhalt des nicht genutzten Blockinhalts?
Zusätzlich bräuchte ich eine gezielte Blockbetrachtung per Addressangabe.
Thx
welcher freie Editor zeigt die Block-Addressen einer Datei an und den gesamten Inhalt des nicht genutzten Blockinhalts?
Zusätzlich bräuchte ich eine gezielte Blockbetrachtung per Addressangabe.
Thx
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 271834
Url: https://administrator.de/forum/hex-editor-cluster-bloecke-271834.html
Ausgedruckt am: 22.12.2024 um 03:12 Uhr
6 Kommentare
Neuester Kommentar
Danke, ich habe jede Menge an Blockoptionen gefunden, jedoch keine Adressangabe. D.H die absolute Adressangabe auf der HD (Offset). Zudem wird der nicht beschriebene Teil des Blockes nicht angezeigt
Moin,
ich würde unter Linux (z.B. auch Knoppix) mit bless arbeiten, bei Festplatten möchtest Du vermutlich nicht die Datei, sondern direkt Blöcke bearbeiten "... der nicht beschriebene Teil ..." - das würde ich unproblematisch und mit passenden Backups mit dd machen:
dd skip=2345 bs=1024 count=1 if=/dev/sda of=/meine1kbDateiab2.3MB.dd
damit also den "Block" - wie groß auch immer - sichern, mit bless die Datei bearbeiten und anschließend mit dd seek=2345 ...
wieder schreiben.
o.ä.
HG
Mark
ich würde unter Linux (z.B. auch Knoppix) mit bless arbeiten, bei Festplatten möchtest Du vermutlich nicht die Datei, sondern direkt Blöcke bearbeiten "... der nicht beschriebene Teil ..." - das würde ich unproblematisch und mit passenden Backups mit dd machen:
dd skip=2345 bs=1024 count=1 if=/dev/sda of=/meine1kbDateiab2.3MB.dd
damit also den "Block" - wie groß auch immer - sichern, mit bless die Datei bearbeiten und anschließend mit dd seek=2345 ...
wieder schreiben.
o.ä.
HG
Mark
Danke, ich habe jede Menge an Blockoptionen gefunden, jedoch keine Adressangabe. D.H die absolute Adressangabe
Doch das geht alles damit, ist nur etwas versteckt. Poste später noch ein Bild.
Guckst du hier, alles da was das Herz begehrt..., selbst die zugehörigen MFT Einträge zu einem File lassen sich lokalisieren.
Alles klar. ich wollte einfach mal prüfen, wie Löschprogramme arbeiten. Mit dem Programm "Sicher Löschen" soll eine Txt. Datei mit Nullen überschrieben werden. Allerdings werden die Sektoren gar nicht mit 0 überschrieben - der Inhalt ist zwar weg, dafür sind jetzt andere meist kryptische Daten zu lesen. Merkwürdigerweise ist die MFT Nr. noch die selbe und aber auch nur die ersten beiden Sektoren. Der 3. Sektor wird als Opera Temp Datei erkannt. Ich dachte eine Datei belegt immer min. einen Cluster (8 Sektoren). Statt dem ursprünglichen Dateinamen wurde jetzt ...TEmp/WinHex.tmp angezeigt (obwohl diese Datei gar nicht existiert).
Ich habe dann noch mal eine kurze txt auf c:\ geschrieben. Interessanterweise fing diese an genau dem Offset an wie die ursprünglich gelöschte Datei. Mit einem anderen Löschprogramm hab ich diese mit Random Daten überschrieben. Jedoch sind wieder keine Zufallsdaten an der Stelle zu erkennen. Der Inhalt ist zwar weg, aber wieder werden nur 2 Sektoren als "Drive E8146287 Clusters.dir" angezeigt - eine 50 MB Datei. Der 3. Sektor gehört weiterhin zur Opera Temp Datei.
Zudem lese ich fast überall die Zeichenketten "FILE0" und "ÿÿÿÿ"
Ich habe dann noch mal eine kurze txt auf c:\ geschrieben. Interessanterweise fing diese an genau dem Offset an wie die ursprünglich gelöschte Datei. Mit einem anderen Löschprogramm hab ich diese mit Random Daten überschrieben. Jedoch sind wieder keine Zufallsdaten an der Stelle zu erkennen. Der Inhalt ist zwar weg, aber wieder werden nur 2 Sektoren als "Drive E8146287 Clusters.dir" angezeigt - eine 50 MB Datei. Der 3. Sektor gehört weiterhin zur Opera Temp Datei.
Zudem lese ich fast überall die Zeichenketten "FILE0" und "ÿÿÿÿ"
