File Slacks & MFT Records??? |
||
|---|---|---|
| #0
| ||
|
03.01.2005, 08:33
Member
Beiträge: 110 |
||
 
|
|
|
|
03.01.2005, 13:03
Member
Beiträge: 546 |
#2
Hi KingPin!
File Slack (Beispiel): Deine HD ist in 4 KByte Cluster/Blöcke aufgeteilt, du speicherst eine sehr kleine 10 Byte Datei ab. In diesem Fall nimmt deine Datei dennoch einen kompletten Cluster auf der HD in Anspruch (4 KByte), obwohl sie nur 10 Byte Plattenspeicher beansprucht. Der Rest des Clusters ist Verschnitt. Dieser Verschnitt wird File Slack genannt. MFT Datei/Record: Eine NTFS-Systemdatei auf NTFS formatierten Datenträgern, die Informationen über jede Datei und jeden Ordner auf dem Datenträger enthält. Die MFT ist die erste Datei auf einem NTFS Datenträger. MFT steht für Master File Table. (Quelle: Interne Windows Hilfe, Definition MFT) Gruß, Sepia |
|
|
|
|
|
|
03.01.2005, 17:23
Member
Themenstarter Beiträge: 110 |
#3
danke für die antwort.
aber eins ist mir noch nicht so schlüssig. wenn bei wiping toos die möglichkeit besteht die MFT Records zu löschen, was wird denn, im falle ich will freien speicherplatz überschreiben, mit den mft records passieren. und wie sieht es aus wenn ich eine datei überschreibe..... |
|
|
|
|
|
|
03.01.2005, 18:11
Member
Beiträge: 546 |
#4
Mal sehen, ob ich dich richtig verstanden habe.
I.d.R. sollen Wiper/Bleecher auch den Dateinamen aus der MFT löschen bzw. unkenntlich machen. Wenn du also ein File per Wiper von deiner Platte putzt, werden nicht nur die Datensektoren überschrieben, sondern auch der Eintrag in der MFT. So wird nach dem Bleechen aus dem Filenamen "Test.txt" bspw. "zzzzzzzz.zzz". Damit ist es auch forensischen Programmen nicht mehr möglich, den Namen der ursprünglichen Datei zu rekonstruieren, geschweige denn, die Datei an sich. Wiper überschreiben sowohl die Datensektoren der Datei als auch ihren Eintrag in der MFT (sollten sie zumindest). Das identische sollte auch passieren, wenn du unbenutzen bzw. freien Speicher auf deiner HD löscht. In diesem Falle werden die in Frage kommenden Cluster mehrfach vom Wipe- Programm überschrieben und danach die MFT aktualisiert. Letzteres um die jetzt ungültigen Einträge zu entfernen. Gruß, Sepia |
|
|
|
|
|
|
04.01.2005, 11:14
Member
Themenstarter Beiträge: 110 |
#5
vielen dank! manchmal stell ich mich doch wie ein hahn zum eierlegen an *g*
|
|
|
|
|
|
|
22.01.2005, 23:18
...neu hier
Beiträge: 3 |
#6
Wo befindet sich die MFT den normalerweise? Habe mit O&O Defrag C: analysiert, aber da wurde zu meiner Überraschung nichts gefunden, erst auf D: wurde ich fündig. Ist das normal?
Wie sieht das aus, wenn ich ein Backup erstelle, z.b. mit Norton Ghost, ist das überhaupt funktionsfähig, wenn sich die MFT nicht auf C: befindet? |
|
|
|
|
|
|
24.01.2005, 20:37
Member
Beiträge: 546 |
#7
Ist C: denn mit NTFS formatiert? Falls ja, ist dort auch definitiv eine MFT vorhanden. Die primären MFT Einträge liegen immer in
den ersten Sektoren eines Devices. Unter O&O klicke einfach nach einer erfolgten Analyse diesen Bereich (rot) an. Dort müsstest du u.a. auch Einträge für die MFT vorfinden. Was differieren kann, sind die Angaben von O&O bzgl. des "für MFT reservierten Bereiches" (gelbe Blockansicht). Es kann durchaus sein, dass dieser sehr gering ausfällt, da Windows diesen flexibel und dynamisch verwaltet. Größe des Devices und Anzahl/Größe der Dateien spielen dabei eine Rolle. Edit: Du kannst problemlos ein Image ziehen und dieses später zurückspielen. Ein Backup wird also funktionieren. Gruß, Sepia Dieser Beitrag wurde am 24.01.2005 um 20:41 Uhr von Sepia editiert.
|
|
|
|
|
|
|
25.01.2005, 21:59
...neu hier
Beiträge: 3 |
#8
Sicher ist C: in NTFS formatiert. In den ersten 7 dunkelroten Blöcken befindet sich die Logfile, ist das vielleicht nur ne andere Bezeichnung für die MFT?
Ich hab mich in der Tat nur an den gelben Blöcken orientiert, aber das ist vielleicht auch etwas verwirrend. Handelt es sich bei den gelben Blöcken vielleicht nur um die für die MFT reservierten 12,5%, aber nicht benötigten Cluster? Ich hab C: vor einiger Zeit mal bis auf ein paar 100 MB vollgeschrieben, vielleicht ist deswegen die Reserve auf D: ausgelagert worden? Ob ich die wieder aus D: rausdrücken kann, wenn ich D: vollschreibe? |
|
|
|
|
|
|
25.01.2005, 23:58
Member
Beiträge: 546 |
#9
Zitat In den ersten 7 dunkelroten Blöcken befindet sich die Logfile, ist das vielleicht nur ne andere Bezeichnung für die MFT?Nein. Falls sich die MFT nicht in den ersten Sektoren deiner Partition/Disk befinden sollte, findest du die Einträge entweder direkt vor dem "für MFT reservierten Bereich" (kann durch einen Defragmentierer a'la O&O, Diskeeper o.ä. veranlasst worden sein) oder verteilt auf der Harddisk/Partition. Checke halt mal mittels O&O die roten Blöcke durch. Irgendwo wirst du die MFT vorfinden. Zitat Ich hab C: vor einiger Zeit mal bis auf ein paar 100 MB vollgeschrieben, vielleicht ist deswegen die Reserve auf D: ausgelagert worden? Ob ich die wieder aus D: rausdrücken kann, wenn ich D: vollschreibe?Nein. Die MFT ist Device-/Partition gebunden. Die MFT eines Laufwerks wird nicht auf ein anderes verschoben oder ausgelagert. Die MFT, die du bei dir auf Laufwerk D: erhälst, gehört auch zu D:. |
|
|
|
|
|
|
26.01.2005, 21:48
...neu hier
Beiträge: 3 |
#10
Eine grundsätzliche Frage zum besseren Verständniss: Gibt es auf jeder Partition auch eine eigene MFT oder wird eine MFT zentral für alle Partitionen auf der Systempartition angelegt?
Nach durchsuchen aller Blöcke habe ich auf C: nun auch eine MFT gefunden, allerdings war sie nicht in einem rotem Block, sondern versteckt in einem der dutzenden blauen Blöcke. Ich bin davon ausgegangen, das die MFT durch die gelben Blöcke angezeigt wird, aber offensichtlich wird damit nur die Reserve angezeigt.Allerdings wird auf C: davon nicht ein einziger angezeigt. Auf D: gibt es davon dagegen über 1 dutzend, das war es auch, was mich etwas verwirrt hat. Tut mir leid, wenn ich so hartnäckig nachfrage, aber wenn ich etwas wissen will, möchte ich es 100% verstehen. |
|
|
|
|
|
|
26.01.2005, 23:02
Member
Beiträge: 546 |
#11
Pro Laufwerk oder Partition gibt es eine MFT die ausschliesslich für das erwähnte Laufwerk oder die besagte Partition
zuständig ist. Die MFT wird logischerweise beim NTFS-Formatieren des Datenträgers angelegt. Sammeln sich später auf dem Daten- träger viele Dateien in Relation zur Gesamtgröße des Datenträgers an, vergrößert Windows den für die MFT reservierten Bereich automatisch. Diese Reservierung belegt per Standard die von dir beschriebenen 12,5% der Lauf- werksgröße. Diese MFT-Reservierung verhindert hauptsächlich auch ein zu starkes Fragmentieren der MFT. Ob es noch Sonderfälle gibt, die für dynamische Laufwerke oder RAID-Systeme gelten, weiß ich allerdings nicht. Zitat [..]allerdings war sie [MFT]nicht in einem rotem Block, sondern versteckt in einem der dutzenden blauen Blöcke.Ich dachte, sie wäre *immer* exklusiv gesperrt. Falsch gedacht, mein Fehler. Sorry! Gruß, Sepia |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Seite(n): 1
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
ich habe mit den oben genannten begriffen ein paar probleme- nämlich: ich habe keine ahnung was sie bedeuten.
denn dies taucht manchmal als begriff bei wiping tools auf und ich würde gern wissen was passiert wenn man das löscht wofür sie stehen.
danke für eure antworten.