linux中生成考核用的NTFS文件系统结构样例

Posted 2020-09-25

实验NTFS-2说明：NTFS-2.img是一个包含NTFS文件系统的磁盘镜像，请使用winhex手工方式读出这个文件系统内的指定文件，并回答其md5 HASH值。

要求：

    1、利用WINHEX手工方式读取。

    2、不得使用WINHEX模板功能。

    3、不得使用WINHEX文件系统解析功能。

    4、填写的MD5 HASH值全部为大写，不包括0x头标或H尾标，中间不得有任何间隔符号(包括空格、制表符、’-’等符号)，以WINHEX软件运算出的HASH值为准。

实验目的：

    1、实现手工方式跟踪一个NTFS文件系统中一个常驻0x80属性的文件，并读出其内容。

    2、理解File Record中更新序列字的处理方式。

    3、进一步理解File Record的结构组成。

    4、熟练使用WINHEX

题库：

1、实验NTFS-2中，文件系统中对"/mnt/NTFS-2-58/12.txt",
人工读取内容后计算得到的文件MD5 HASH值为0x___。
//927C94BBFC5B2A545C8526F8272F65F8//容易。。 
2、实验NTFS-2中，文件系统中对"/mnt/NTFS-2-58/7.txt",
人工读取内容后计算得到的文件MD5 HASH值为0x___。
//685A3C1600211F75362F2B9D0541A2DA//容易。。
3、实验NTFS-2中，文件系统中对"/mnt/NTFS-2-58/4.txt",
人工读取内容后计算得到的文件MD5 HASH值为0x___。
//0C72D420DD8902BBAE41A8C4E6676BCA//容易。。
... ...

附：生成考题的python脚本：

#!/usr/bin/python3
import os
import random
import hashlib
import struct

r=os.system
rc=random.choice
ri=random.randint
md5=hashlib.md5

items = list(range(1,21))
r("cd ~/NTFS-2")
fkaoti=open("NTFS-2-kaoti.txt",‘w+‘)
r("qemu-img create -f raw NTFS-2.img 300M")
r("losetup /dev/loop0 NTFS-2.img")
r("mkfs.ntfs -f /dev/loop0")
r("mount.ntfs-3g /dev/loop0 /mnt")

for i in range(1,60):
  r("mkdir /mnt/NTFS-2-%d" % i)
  random.shuffle(items)
  for ii in items:
    #确保文件大小，正好File Record放得下，同时又会跨一个扇区的边界。
    r("dd if=/dev/urandom of=/mnt/NTFS-2-%d/%d.file     bs=2 count=%d"%(i,ii,ri(100,200)))

#//对40以后的目录生成MD5 HASH，40之后即不可能存在于第一个目录块
for i in range(40,60):
   for ii in items:
     fn="/mnt/NTFS-2-%d/%d.file"%(i,ii)
     ff=open(fn,‘rb‘)
     data=ff.read()
     ff.close()
     fkaoti.write("实验NTFS-2中，文件系统中对\"%s\",     人工读取内容后计算得到的文件MD5 HASH值为0x___。//%s//容易。。\n"                   % (fn,md5(data).hexdigest().upper()) )   
     fkaoti.flush() 
fkaoti.close()
r("cd")
r("umount /dev/loop0")
r("losetup -d /dev/loop0")

部署流程：

 1、在liunx下执行上述脚本，生成NTFS-2.img和NTFS-2-kaoti.txt(可以生成两份，一份用于练习，一份用于考试)。

 2、针对每一份考题，把NTFS-2-kaoti.txt导入考试系统。

 3、针对每一份考题，把NTFS-2.img放入考试系统指定目录。

 4、不得将用于考试的直接涉及答案的文件放入考试系统磁盘中。

本文出自 “张宇(数据恢复)” 博客，请务必保留此出处http://zhangyu.blog.51cto.com/197148/1942217