$$ Notes\ by:\ Davide\ Scarrà\ -\ Lorenzo\ La\ Corte\ -\ Giacomo\ Ratto\ -\ Marco\ Zucca $$
Un volume è un insieme di settori indirizzabili. Una partizione è anche un volume ma non è vero il vice versa in quanto per un volume non è necessario che i settori siano fisicamente contigui. Ad esempio nel caso di RAID, più dischi sono presentati come un unico volume.
Tabella con entry di dimensione (tipicamente di) 1024 byte, indirizzata con 48 bit.
Il contenuto dei file è memorizzato come l’attributo di tipo $DATA senza nome. Nel caso di file piccoli, il contenuto può essere salvato come resident attribute. Altrimenti sarà salvato in cluster dedicati.
Nel caso in cui un file abbia troppi attributi perché possano essere memorizzati in una sola entry della MFT, altre entry verranno allocate ad esso e la prima entry verrà detta base MFT entry. Per trovare tutte le entry appartenenti ad un file si parte da quella base e si guarda l’attributo $ATTRIBUTE_LIST, il quale contiene una lista di tutti gli attributi del file e per ciascuno l’MFT entry in cui si trova.
WindowsForensicsAppuntiByFili.docx
I file e01 sono file autoverificabili (possiamo verificare che non sono stati modificati garantendo quindi l’inalterabilità nel tempo) siccome contengono all’interno della loro instazione l’hash dei dati. Si può verificare l’hash dei file e01 utilizzando FTK Imager siccome permette di ricalcolare l’md5 dei dati e confrontarlo con quello presente nell’header.