Volume kavramları
Volume, işletim sistemi veya uygulamaların genellikle veri depolamak için kullandığı adreslenebilir sektör koleksiyonudur. Bir volume, ardışık sektörlerden oluşmayabilir ancak, ardışık olduğu izlenimi vermesi yeterlidir. Bir hard disk, ardışık sektörlere yerleşmiş bir volume’a örnektir. Volümeler daha ufak volume’lara parçalanabildiği gibi birden fazla volume birleşerek tek bir volume haline de gelebilir.
Genel partition teorisi
Bir partition, bir volumedeki ardışık sektörlerin koleksiyonudur.Partition aşağıdaki senaryoları da içeren birçok durumda kullanılabilir;
■ Bazı dosya sistemlerinin maksimum boyutu hard disk boyutundan küçük olabilir.
■ Bazı laptoplar, cihaz uykuya geçtiğinde hafızadaki verileri saklamak için özel bir partition oluşturur.
■ UNIX sistemler dosya sisteminin çökmesinden doğan etkileri minimize etmek için farklı dizinler için farklı partitionlar kullanır.
■ Çift işletim sistemli sistemler her işletim sistemi için ayrı bir partition oluşturabilir.
Bir harddisk volume’unun kendi dosya sistemi olan 3 küçük volume’a bölündüğünü varsayalım.
Genellikle her partition sisteminin bir ya da birden fazla tablosu bulunur. Bu tablolar genellikle partitionlara ait, başlangıç sektörü, bitiş sektörü ve dosya sistemi bilgilerini tutar. Aşağıda bir tabloda 3 partition’a ait tablo girdileri görülmektedir.
Partition sisteminin amacı, volüme düzenini organize etmektir. Bu tablonun gerekli alanları başlangıç ve bitiş sektörlerinin yeridir. Bunlar olmazsa sistem çalışmaz. Ayrıca partition sistemi, işletim sistemine bağlıdır, hard disk ara yüzüne değil. Aynı tip işletim sistemine ait farklı hard disk ara yüzü kullanan iki bilgisayarın partition sistemi aynıdır.
UNIX’te volume kullanımı
UNIX, Windows’taki gibi kullanıcılara C: ve D: gibi sürücüler sunmaz. Onun yerine kullanıcılar root directory’ler arasında directory’leri değiştirerek sürücülere ulaşır.
A) Microsoft Windows sistemi B) UNIX sistemi
UNIX etkinliği artırmak ve sürücü çökmesinin etkilerini azaltmak için her diski birden fazla volume’e ayırır.
Genel volume birleştirme teorisi
Büyük sistemler birden fazla diski tek bir disk gibi göstermek için volume birleştirme tekniklerini kullanır. Bunun amacı bir disk çökerse diğerlerinden var olan veriyi kurtarabilmek ve daha fazla depolama alanı eklemeyi kolaylaştırmaktır. Oluşan daha büyük volumelerin kapasitesi, birleştirilenlerin depo alanının toplamı kadardır.
Biri 2 diğeri 1 partition dan oluşan 2 harddiskli bir yapıyı örnek alırsak bu harddisk volumeları aşağıdaki gibi birleştirilir.
Sektör adresleme
Volume adresleme için mantıksal volume adresi kullanılır. Disk volume’u için fiziksel adresle mantıksal adres aynıdır çünkü diskin kendisi bir volume’dur. Ancak bir partition’un içeriğine dair konuşursak mantıksal volume adresin farklı bir katmanı söz konusu olur. Bu adresler disk veya üst volume’un başlangıç adresiyle değil de partition’un başlangıcıyla ilişkilidir. Bu yüzden fiziksel adresle mantıksal adres arasında fark bulunur. Ayrıca eğer bir sektör, bir partition’a tahsis edilmemişse (unallocated ise) o sektörün bir mantıksal partition volume adresi de bulunmaz.
Aşağıda 2 partition ve bunların arasında tahsis edilmemiş bir alan bulunmaktadır.
Analiz Temelleri
Analiz teknikleri
Volume analizinde, partition tabloları işlenerek sistem düzeni anlaşılmalıdır. Daha sonra bu düzene ait bilgiler, partition’un offsetini bilmesi gereken dosya sistemi analiz tool’una verilir veya hangi veriyi analiz edeceğini anlaması için analizciye çıktı olarak verilir. Bazı durumlarda partition içindeki veya partitionlar arasındaki veriler, üst partition içinden çıkarılmalıdır.
Bir volume sistemini oluşturan parçaları analiz etmek için, hangi volume’ların birleştirildiğini ve nasıl birleştiğini açıklayan veri yapılarına ihtiyaç duyarız. Birleştirme işleminin parçası olmayan ve önceki yüklemeye ait verilere veya gizlenmiş veriye bakarız.
Tutarlılık kontrolü
Çoğu partition sistemi kayıtları sıralı halde bulundurmaz, bu yüzden, siz veya bir analiz aracı, tutarlılık kontrolünden önce kayıtları başlangıç ve bitiş yerine göre sıralamalısınız.
İlk kontrol son partition’a bakarak o partition’un bitiş yeriyle üst volume’un bitiş yerinin aynı olup olmadığına bakar. Aynı değilse silinmiş veya saklanmış veriler bulunabilir. (A)
İkinci kontrol, ardışık sektörlerin başlangıç ve bitiş sektörlerine bakar. Bu kontrolde 4 senaryo olabilir.
İlk senaryoda (B) iki partition arasında bir partition’a dahil olmayan sektörler vardır. Burada gizli veya silinmiş veri bulunabilir. İkinci senaryoda (C) bir partition diğerinden hemen sonra gelir. Üçüncü senaryoda (D) partition 1 bitmeden, partition 2 başlamıştır ve bu partition tablosunun çökmüş olduğuna bir işarettir. Hangi partition’ın doğru olduğuna içlerindeki veri incelenerek karar verilir. Dördüncü senaryo ise (E) ikinci partition, birincinin içindedir. Hatanın nerede olduğunu anlamak için her partition içindeki veriler incelenmelidir.
Silinmiş partitionların geri getirilmesi
Adli incelemeyi sekteye uğratan en genel yöntem, bir diski yeniden bölümlendirme veya bir partition’a ait yapıyı silerek orijinal yapının kaybolmasını sağlamaktır. Bu kaybolan yapıyı geri getirmeye yarayan araçlar vardır.
Partition onarım araçları, her partition’ın içinde bir dosya sisteminin olduğu prensibine dayanır ve çoğu dosya sisteminin sabit bir “magic” veya imza değeri bulunur. Örneğin, bir FAT dosya sisteminde ilk sektörün 510 ve 511. byte’larında daima 0x55 ve 0xAA değerleri bulunur. Onarım araçları bu değerleri arar. Daha sonra, verilen bu veri yapısı için geçerli olan değer aralığıyla ilgili bilgi aranır. Örneğin bir FAT sisteminde kaç sektörün bir küme içinde olacağını tanımlayan bir saha vardır ve bu sahanın değerinin 2’nin katı (1, 2, 4, 8, 128) olması gerekir. Eğer değilse, 0x55AA olsa bile bu dosyanın FAT dosya sistemi boot sektörünün parçası olmadığı anlaşılır.