📹
Week 4 Computer Forensics
Hoorcollege 4 Computer Forensics || File systems
File systems : bestandssystemen is de boekhouding van bestanden (en directories) op een
gegevenshouder.
Verschillende soorten
FAT, NTFS, ReiserFS, EXT3, HFS+
FAT is eenvoudig maar werkt op alle besturingssystemen.
FAT = File Allocation Table File System wordt veelvoudig gebruikt in flash memory cards en usb sticks
FAT 1 bestand
FAT 2 kopie (back-up) van ditzelfde bestand
ROOT directory wordt bijgehouden waar het bestand staat en welke grootte deze heeft.
FAT Family. Het type FAT refereert aan de hoeveelheid bits in FAT om toe te wijzen aan clusters.
Een cluster is een eenheid van een groepje sectoren waarin je een bestand kan opslaan, een sector is
de kleinste eenheid op een disk met een vaste grootte (512 bytes)
FAT12 = 4096 clusters, FAT16 = 65536 clusters
Een bestandssysteem is een door het besturingssysteem verzorgde, softwarematige indeling van een
opslagmedium (zoals een harde schijf).
File Systems (FAT introduction)
Voorbeeld om het te begrijpen
Week 4 Computer Forensics 1
, Locomotief = Boot record; technische informatie over het bestandssysteem (label, clustergrootte,
lengte rootdirectory)
Wagon nummers met post-its = File Allocation Table; waar is welk deel van het bestand opgeslagen
(administratief adressering van clusters)
Ladingstabel = Root directory; metadata over bestanden en directories (startcluster, MAC datums en
tijden, bestandsgrootte)
Clusters zijn een groep van sectoren waar data in is opgeslagen
Data wordt opgeslagen in sectoren op een harddisk. Een sector is (bijna) altijd 512 bytes. Bij gebruik
van 1 byte, blijft de resterende 511 bytes gereserveerd in het systeem. Een sector is minimale grootte
waarin data wordt gelezen of geschreven van een harddisk.
Ruimte op een harddisk wordt toegewezen aan een bestand in clusters. Een cluster is een vastgestelde
groep sectoren (machten van twee 1,2,4…64). Niet gebruikte sectoren in een cluster kunnen data
bevatten van voorgaande toewijzingen.
Metadata zijn gegevens die de karakteristieken van bepaalde gegevens beschrijven. Het zijn dus
eigenlijk data over data.
Trein = motor (loc) + wagons met dezelfde capaciteit
Vrachtwagens met verschillende grondstoffen komen in willekeurige volgorde lossen. De grondstoffen
worden vanuit vrachtwagens in wagons geladen en de wagons verplaatsen zich vervolgens.
Technische informatie over de trein wordt opgeslagen in een logboek in de loc (1)(BOOT RECORD)
waarbij de motor en wagons (CLUSTER) worden genummerd. De gegevens over de belading worden
Week 4 Computer Forensics 2
Week 4 Computer Forensics
Hoorcollege 4 Computer Forensics || File systems
File systems : bestandssystemen is de boekhouding van bestanden (en directories) op een
gegevenshouder.
Verschillende soorten
FAT, NTFS, ReiserFS, EXT3, HFS+
FAT is eenvoudig maar werkt op alle besturingssystemen.
FAT = File Allocation Table File System wordt veelvoudig gebruikt in flash memory cards en usb sticks
FAT 1 bestand
FAT 2 kopie (back-up) van ditzelfde bestand
ROOT directory wordt bijgehouden waar het bestand staat en welke grootte deze heeft.
FAT Family. Het type FAT refereert aan de hoeveelheid bits in FAT om toe te wijzen aan clusters.
Een cluster is een eenheid van een groepje sectoren waarin je een bestand kan opslaan, een sector is
de kleinste eenheid op een disk met een vaste grootte (512 bytes)
FAT12 = 4096 clusters, FAT16 = 65536 clusters
Een bestandssysteem is een door het besturingssysteem verzorgde, softwarematige indeling van een
opslagmedium (zoals een harde schijf).
File Systems (FAT introduction)
Voorbeeld om het te begrijpen
Week 4 Computer Forensics 1
, Locomotief = Boot record; technische informatie over het bestandssysteem (label, clustergrootte,
lengte rootdirectory)
Wagon nummers met post-its = File Allocation Table; waar is welk deel van het bestand opgeslagen
(administratief adressering van clusters)
Ladingstabel = Root directory; metadata over bestanden en directories (startcluster, MAC datums en
tijden, bestandsgrootte)
Clusters zijn een groep van sectoren waar data in is opgeslagen
Data wordt opgeslagen in sectoren op een harddisk. Een sector is (bijna) altijd 512 bytes. Bij gebruik
van 1 byte, blijft de resterende 511 bytes gereserveerd in het systeem. Een sector is minimale grootte
waarin data wordt gelezen of geschreven van een harddisk.
Ruimte op een harddisk wordt toegewezen aan een bestand in clusters. Een cluster is een vastgestelde
groep sectoren (machten van twee 1,2,4…64). Niet gebruikte sectoren in een cluster kunnen data
bevatten van voorgaande toewijzingen.
Metadata zijn gegevens die de karakteristieken van bepaalde gegevens beschrijven. Het zijn dus
eigenlijk data over data.
Trein = motor (loc) + wagons met dezelfde capaciteit
Vrachtwagens met verschillende grondstoffen komen in willekeurige volgorde lossen. De grondstoffen
worden vanuit vrachtwagens in wagons geladen en de wagons verplaatsen zich vervolgens.
Technische informatie over de trein wordt opgeslagen in een logboek in de loc (1)(BOOT RECORD)
waarbij de motor en wagons (CLUSTER) worden genummerd. De gegevens over de belading worden
Week 4 Computer Forensics 2
