inode Struktur eines ext3/4 Dateisystems setzen
-
Hallo,
golem.de schrieb:
Wird bei einer Ext-3-Partition der Wert für die Inode-Struktur des Dateisystems auf 0xFFFF gesetzt, kann Encase Forensic Imager über den eigentlich reservierten Speicherbereich (VirtualAlloc) hinaus schreiben
Wie kann man sowas machen/setzen? Mit "linux set inode structure" konnte ich nichts brauchbares ergoogeln.
-
Bin mal so frei und poste den Link dazu:
Mit dem Forensik Tool die Polizei hackenDu wirst vermutlich mit einem Low Level Disk Editor direkt die Daten auf der Platte manipulieren müssen. Oder eine Software schreiben, die direkt Daten auf der Platte manipulieren kann.
-
Häh, was.
Ich dachte das wär vielleicht so irgendeine Option, die man mittels
mkfs.ext4übergeben kann um <IRGENDWAS> auf 0xFFFF zu stellen?Ich konnte nicht wirklich verstehen, was mit "inode Struktur auf irgendwas setzen" in diesem Artikel gemeint war?
-
Genau. mkfs.ext4 hat Optionen, um absichtlich das Dateisystem kaputtzumachen. wtf?
-
Die Inode-Struktur auf 0xffff setzen
Bedeutet das die Größe per inode, die maximale Anzahl an inodes oder wie viel ein Pfund Bananen kostet?
-
Ich verstehe das so dass ein Eintrag mit ner Inode-Nummer von 0xFFFF gemeint ist. Anhand der Formulierung würde ich auf die Inode-Nummer des Root-Verzeichnisses tippen.
-
SG1 schrieb:
Genau. mkfs.ext4 hat Optionen, um absichtlich das Dateisystem kaputtzumachen. wtf?
Mussu richtig lesen. Nicht mkfs oder ext3 macht irgendwas im File-System kaputt, sondern das Tool namens "Encase" schreibt hinter eine RAM Allocation hinaus.
-
Hier mal das Originalzitat von https://www.sec-consult.com/fxdata/seccons/prod/temedia/advisories_txt/20161128-0_Guidance_Software_Encase_DoS_heap_buffer_overflow_vulnerabilities_v10.txt
Manipulating the size of the inode structure value (e.g. 0xFFFF) causes Encase Forensic Imager to write beyond the limits of a previously allocated (VirtualAlloc) segment.
Ich würde darauf tippen, dass damit
s_inode_sizedes Superblocks gemeint ist, siehe auch
https://ext4.wiki.kernel.org/index.php/Ext4_Disk_Layout#The_Super_Block
oder
http://www.nongnu.org/ext2-doc/ext2.html#S-INODE-SIZE
-
Danke, das hat geholfen.
