mmls
2004/05/24
伊原 秀明（Port139)
イメージファイルの分割
• ddで作成した、ディスク イメージ ファイルから
任意のパーティション,ボリュームを mmls と
ddコマンドで分割する
Disk Image
mmls&dd
© Hideaki Ihara(Port139).
Disk
Image
Disk
Image
Disk
Image
Image
File
2
パーティション情報の確認
• mmlsコマンド（The Sleuth kitに含まれる）
• ddコマンドで作成したDisk Image Fileに含ま
れるパーティション情報を表示
ダイナミックディスクへは非対応
• パーティションを切り出すのに利用できる
• 例）mmls –t dos file.dd
• “-t”でタイプ（dos, mac, bsd, sun）を指定
© Hideaki Ihara(Port139).
3
パーティションを切り出す
パーティション テーブル
C:\
D:\
Disk Image File
dd
C:\
ddコマンドを使い
パーティションを
切り出す
© Hideaki Ihara(Port139).
4
mmls実行例& ddによる切り出し
•
$ ./mmls -t dos /evidence/sda.dd
DOS Partition Table
Units are in 512-byte sectors
Slot
Start
End
00: ----0000000000
0000000000
01: ----0000000001
0000000062
02: 00:00 0000000063
0004096574
03: 00:01 0004096575
0008385929
Length
0000000001
0000000062
0004096512
0004289355
Description
Primary Table (#0)
Unallocated
NTFS (0x07)
二つのNTFS領域
NTFS (0x07)
エントリ：パーティション
開始位置
終了位置
長さ
ファイルシステム
dd if=sda.dd of=ntfs1.dd bs=512 skip=4096575 count=4289355
※Slot 00:01をntfs1.ddとして切り出す※
5
NTFS 切り出し 注意点(1)
• Dynamic ディスクのボリュームをファイルから
切り出す場合、mmlsの表示する終了位置が
正確ではない？（Basic ディスクは問題無し）
Dynamic
パーティション
LDM
PRIVHEAD パーティション（ボリューム）
テーブル
データベース
パーティション（ボリューム） ？
© Hideaki Ihara(Port139).
6
NTFS 切り出し 注意点(2)
Dynamic
パーティション
LDM
PRIVHEAD ボリューム1 ボリューム2
テーブル
データベース
mmlsで表示
mmlsで表示されない
ダイナミック ディスクに複数のボリュームが存在する場合、
mmlsコマンドでは先頭ボリュームの情報しか表示されない
© Hideaki Ihara(Port139).
7