voessli
Goto Top

Hex Editor, Cluster, Blöcke

Hallo,

welcher freie Editor zeigt die Block-Addressen einer Datei an und den gesamten Inhalt des nicht genutzten Blockinhalts?
Zusätzlich bräuchte ich eine gezielte Blockbetrachtung per Addressangabe.

Thx

Content-Key: 271834

Url: https://administrator.de/contentid/271834

Ausgedruckt am: 29.03.2024 um 02:03 Uhr

Mitglied: 114757
114757 13.05.2015 um 00:35:25 Uhr
Goto Top
Mitglied: voessli
voessli 15.05.2015 aktualisiert um 20:06:54 Uhr
Goto Top
Danke, ich habe jede Menge an Blockoptionen gefunden, jedoch keine Adressangabe. D.H die absolute Adressangabe auf der HD (Offset). Zudem wird der nicht beschriebene Teil des Blockes nicht angezeigt
Mitglied: broecker
broecker 15.05.2015 um 21:02:10 Uhr
Goto Top
Moin,
ich würde unter Linux (z.B. auch Knoppix) mit bless arbeiten, bei Festplatten möchtest Du vermutlich nicht die Datei, sondern direkt Blöcke bearbeiten "... der nicht beschriebene Teil ..." - das würde ich unproblematisch und mit passenden Backups mit dd machen:
dd skip=2345 bs=1024 count=1 if=/dev/sda of=/meine1kbDateiab2.3MB.dd
damit also den "Block" - wie groß auch immer - sichern, mit bless die Datei bearbeiten und anschließend mit dd seek=2345 ...
wieder schreiben.
o.ä.
HG
Mark
Mitglied: 114757
114757 16.05.2015 aktualisiert um 09:07:19 Uhr
Goto Top
Danke, ich habe jede Menge an Blockoptionen gefunden, jedoch keine Adressangabe. D.H die absolute Adressangabe
Doch das geht alles damit, ist nur etwas versteckt. Poste später noch ein Bild.
Mitglied: 114757
114757 16.05.2015 aktualisiert um 11:23:42 Uhr
Goto Top
Guckst du hier, alles da was das Herz begehrt..., selbst die zugehörigen MFT Einträge zu einem File lassen sich lokalisieren.

e6400ec0606230f636697eaf40b81615
Mitglied: voessli
voessli 18.05.2015 aktualisiert um 23:23:37 Uhr
Goto Top
Alles klar. ich wollte einfach mal prüfen, wie Löschprogramme arbeiten. Mit dem Programm "Sicher Löschen" soll eine Txt. Datei mit Nullen überschrieben werden. Allerdings werden die Sektoren gar nicht mit 0 überschrieben - der Inhalt ist zwar weg, dafür sind jetzt andere meist kryptische Daten zu lesen. Merkwürdigerweise ist die MFT Nr. noch die selbe und aber auch nur die ersten beiden Sektoren. Der 3. Sektor wird als Opera Temp Datei erkannt. Ich dachte eine Datei belegt immer min. einen Cluster (8 Sektoren). Statt dem ursprünglichen Dateinamen wurde jetzt ...TEmp/WinHex.tmp angezeigt (obwohl diese Datei gar nicht existiert).

Ich habe dann noch mal eine kurze txt auf c:\ geschrieben. Interessanterweise fing diese an genau dem Offset an wie die ursprünglich gelöschte Datei. Mit einem anderen Löschprogramm hab ich diese mit Random Daten überschrieben. Jedoch sind wieder keine Zufallsdaten an der Stelle zu erkennen. Der Inhalt ist zwar weg, aber wieder werden nur 2 Sektoren als "Drive E8146287 Clusters.dir" angezeigt - eine 50 MB Datei. Der 3. Sektor gehört weiterhin zur Opera Temp Datei.

Zudem lese ich fast überall die Zeichenketten "FILE0" und "ÿÿÿÿ"