1. 首頁
  2. 問答
  3. Windows如何計算卷唯一ID?

Windows如何計算卷唯一ID?

2011-10-28 36 views
15

據我瞭解的Windows驅動程序(FTDISK)用於發現系統上的每個卷創建對象「HardDiskVolume」爲它創建註冊表記錄:Windows如何計算卷唯一ID?

HKEY_LOCAL_MACHINE\SYSTEM\MountedDevices\ 
\??\Volume{GUID} = BINARY_DATA

從那一刻起卷安裝爲\??\Volume{GUID}

BINARY_DATA用於在同一註冊表配置單元中將此驅動器映射到\DosDevices\<DISK_NAME>,以便磁盤具有字母。

BINARY_DATA對於音量必須是唯一的,即使將該磁盤放入另一臺PC也不應更改,對嗎?

我qunestion是:

  1. 什麼是GUID在這裏?它是每次Windows啓動時由ftdisk生成的隨機數嗎?
  2. Windows如何計算BINARY_DATA?

我讀過lpVolumeSerialNumber使用GetVolumeInformation。它只是一個長整數,看起來不像這個BINARY_DATA

我相信BINARY_DATAlpVolumeSerialNumber功能(這是由OS時產生量格式)和別的東西:

BINARY_DATA= F(VolumeSerialNumber, SOMETHING).

是什麼東西嗎?

我已經看過MSDN和Russinovich編寫/所羅門的書,仍然無法得到它..

哦,我找到了。

它說:「註冊表中存儲的基本磁盤卷驅動器號和卷名稱的值是Windows NT 4樣式的磁盤簽名和與該卷關聯的第一個分區的起始偏移量」。

但什麼是「Windows NT 4風格的磁盤簽名」?

從這裏: http://www.microsoft.com/resources/documentation/windowsnt/4/server/reskit/en-us/resguide/diskover.mspx?mfr=true

即「四字節的磁盤簽名就是在每個硬盤的第一個扇區」

所以我使用HXD工具,發現從我BINARY_DATA 這四個字節我在1B0行和08到0B列找到它。

貌似有在互聯網上多了一個人,誰知道這件事: http://www.pcreview.co.uk/forums/image-copy-drive-wont-boot-properly-t3761034.html))

所以,如果我改變MBR磁盤上它會失去它的信:)

來源

2011-10-28 user996142

+5

在答案框中發佈您的答案,並獎勵自己一些觀點! – ixe013

回答

-1

對於一個的GUID是GUID。它們只是一個隨機生成的數字序列,其重複條目的機會很低。我懷疑它會在每次Windows啓動時生成,但我承認這是可能的。我從來沒有注意到它改變,因爲我沒有看到我的硬盤的GUID往往

另外,你是否推理lpVolumeSerialNumber?如果沒有,你可能會得到一個內存地址。 「LP」 ==「長指針,......」卷序列號本身看起來像一個DWORD,一個32位的整數

來源

2012-10-23 19:39:51

0

這裏的匈牙利命名法是從Wikipedia答案(主要部分):

「序列號是一個32位數,由當時計算機上的實時時鐘上的日期和時間 確定,格式爲 格式。

來源

2014-04-19 18:09:17 Jet

+0

這是完全錯誤的。問題是要求GUID不是卷序列號。 – simonzack

0

這是因爲我在一家公司工作了幾年,這家公司會讀寫硬盤的前62個扇區。我們必須小心不要覆蓋所有62個扇區,否則我們會遇到Windows激活問題。通常好吃的東西都存儲在那裏,但它不是什麼祕密。

肯定在FAT-62扇區之前MBR是「未使用」並且可以被任何程序使用。我從以下鏈接的取證頁面複製了文本,您會發現它的唯一標識符可能存儲在前62個扇區中。法醫分析師可以使用註冊表中的數據來確定您是否刪除了硬盤,然後可以去查找它。我認爲標識符是由Windows格式編寫的。二進制數據是時間戳,並以格式創建,所有這些都是非常有力的證據,您應該發現二進制數據有希望在某個地方的前62個分區上編碼。

其實正確的我找到了!這WinHex是炸彈!您想在其中一個PHYSICAL驅動器(不是邏輯)上從0讀到(62 * 512)。我不認爲你會有任何問題改變這可能激活howeber這是一個老問題,我相信他們停止,因爲人們現在更新他們的固態硬盤經常在他們融化。

enter image description here

FROM http://www.forensicfocus.com/a-forensic-analysis-of-the-windows-registry

取證分析的Windows註冊表

德里克J.農民尚普蘭學院佛蒙特州伯靈頓 [email protected]

安裝的設備

註冊表中有一個關鍵字,可以查看與系統關聯的每個 驅動器。密鑰是 HKLM \ SYSTEM \ MountedDevices,它存儲由NTFS文件系統使用的已裝入卷 的數據庫。每個 \ DosDevices \ x:value的二進制數據都包含用於標識每個卷的信息。 這在圖7中進行了演示,其中\ DosDevice \ F:是一個安裝的 卷,並列爲「存儲可移動介質」。

圖體積的7鑑定\ DosDevice \ F:

因爲它 顯示了應連接到系統的硬件設備,此信息可以是一個數字取證審查員有用。 因此,如果設備顯示在MountedDevices的列表中,並且設備在物理上不在系統中,則可能表示用戶 刪除了驅動器以試圖隱藏證據。在這種情況下,審查員會知道他們還有其他證據需要被查獲。

SECTORS 1-62引述
http://www.beginningtoseethelight.org/fat16/index.htm扇區1 - 62(> = 31744個字節)

扇區1 - 62包含性通常留爲空。 使用它的應用程序包括:多引導加載程序,如ranish高級啓動 管理器。安全程序如反射式磁性磁盤。病毒 複製到主引導記錄,以便他們可以每次加載 ,有時將真正的MBR移動到此區域,再加上任何更多 病毒代碼。全磁盤加密程序和磁盤轉換 用於超大型硬盤的軟件也可能位於此處。

來源

2014-04-20 07:45:25

+0

非常好的信息,非常感謝。但是「Windows如何計算卷唯一ID?」) – Jet

相關問題

 相關問題