6
Hex Editor, Cluster, Blöcke
Hallo,
welcher freie Editor zeigt die Block-Addressen einer Datei an und den gesamten Inhalt des nicht genutzten Blockinhalts?
Zusätzlich bräuchte ich eine gezielte Blockbetrachtung per Addressangabe.
Thx
welcher freie Editor zeigt die Block-Addressen einer Datei an und den gesamten Inhalt des nicht genutzten Blockinhalts?
Zusätzlich bräuchte ich eine gezielte Blockbetrachtung per Addressangabe.
Thx
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 271834
Url: https://administrator.de/contentid/271834
Printed on: April 25, 2024 at 13:04 o'clock
6 Comments
Latest comment
Danke, ich habe jede Menge an Blockoptionen gefunden, jedoch keine Adressangabe. D.H die absolute Adressangabe auf der HD (Offset). Zudem wird der nicht beschriebene Teil des Blockes nicht angezeigt
Moin,
ich würde unter Linux (z.B. auch Knoppix) mit bless arbeiten, bei Festplatten möchtest Du vermutlich nicht die Datei, sondern direkt Blöcke bearbeiten "... der nicht beschriebene Teil ..." - das würde ich unproblematisch und mit passenden Backups mit dd machen:
dd skip=2345 bs=1024 count=1 if=/dev/sda of=/meine1kbDateiab2.3MB.dd
damit also den "Block" - wie groß auch immer - sichern, mit bless die Datei bearbeiten und anschließend mit dd seek=2345 ...
wieder schreiben.
o.ä.
HG
Mark
ich würde unter Linux (z.B. auch Knoppix) mit bless arbeiten, bei Festplatten möchtest Du vermutlich nicht die Datei, sondern direkt Blöcke bearbeiten "... der nicht beschriebene Teil ..." - das würde ich unproblematisch und mit passenden Backups mit dd machen:
dd skip=2345 bs=1024 count=1 if=/dev/sda of=/meine1kbDateiab2.3MB.dd
damit also den "Block" - wie groß auch immer - sichern, mit bless die Datei bearbeiten und anschließend mit dd seek=2345 ...
wieder schreiben.
o.ä.
HG
Mark
Danke, ich habe jede Menge an Blockoptionen gefunden, jedoch keine Adressangabe. D.H die absolute Adressangabe
Doch das geht alles damit, ist nur etwas versteckt. Poste später noch ein Bild.
Guckst du hier, alles da was das Herz begehrt..., selbst die zugehörigen MFT Einträge zu einem File lassen sich lokalisieren.
Alles klar. ich wollte einfach mal prüfen, wie Löschprogramme arbeiten. Mit dem Programm "Sicher Löschen" soll eine Txt. Datei mit Nullen überschrieben werden. Allerdings werden die Sektoren gar nicht mit 0 überschrieben - der Inhalt ist zwar weg, dafür sind jetzt andere meist kryptische Daten zu lesen. Merkwürdigerweise ist die MFT Nr. noch die selbe und aber auch nur die ersten beiden Sektoren. Der 3. Sektor wird als Opera Temp Datei erkannt. Ich dachte eine Datei belegt immer min. einen Cluster (8 Sektoren). Statt dem ursprünglichen Dateinamen wurde jetzt ...TEmp/WinHex.tmp angezeigt (obwohl diese Datei gar nicht existiert).
Ich habe dann noch mal eine kurze txt auf c:\ geschrieben. Interessanterweise fing diese an genau dem Offset an wie die ursprünglich gelöschte Datei. Mit einem anderen Löschprogramm hab ich diese mit Random Daten überschrieben. Jedoch sind wieder keine Zufallsdaten an der Stelle zu erkennen. Der Inhalt ist zwar weg, aber wieder werden nur 2 Sektoren als "Drive E8146287 Clusters.dir" angezeigt - eine 50 MB Datei. Der 3. Sektor gehört weiterhin zur Opera Temp Datei.
Zudem lese ich fast überall die Zeichenketten "FILE0" und "ÿÿÿÿ"
Ich habe dann noch mal eine kurze txt auf c:\ geschrieben. Interessanterweise fing diese an genau dem Offset an wie die ursprünglich gelöschte Datei. Mit einem anderen Löschprogramm hab ich diese mit Random Daten überschrieben. Jedoch sind wieder keine Zufallsdaten an der Stelle zu erkennen. Der Inhalt ist zwar weg, aber wieder werden nur 2 Sektoren als "Drive E8146287 Clusters.dir" angezeigt - eine 50 MB Datei. Der 3. Sektor gehört weiterhin zur Opera Temp Datei.
Zudem lese ich fast überall die Zeichenketten "FILE0" und "ÿÿÿÿ"
