SóProvas

Gabarito: Correto.

Questão super difícil. Só acertou essa questão quem realmente trabalha com isso no dia a dia, ou maluco que chutou certo.

O NTFS é dividido em 4 partes: Setor de Boot NTFS, MFT, Dados do Sistema de Arquivos e a Cópia da MFT.

Se você pegar a descrição dos bytes do NTFS, verá que os bytes 0x38 a 0x3F demonstra a localização da MFTMirr (Cópia da MFT)

Complementando...

http://www.ntfs.com/ntfs-partition-boot-sector.htm

"Se o primeiro registro MFT está corrompido, o NTFS lê o segundo registro para localizar o arquivo de espelho MFT, cujo primeiro registro é idêntico ao primeiro registro da MFT. As localizações dos segmentos de dados para o arquivo espelho MFT e MFT são registradas no setor de inicialização."

http://www.ntfs.com/ntfs-mft.htm

Olá queridos guerreiros do BAÚ!

Essa questão foi extraída do livro "TRATADO DE COMPUTAÇÃO FORENSE", página 65 :

"Uma cópia de segurança da MFT é mantida para recuperação no caso de perda de dados. O cluster desse backup está no offset 0x38 do setor de boot ".

Outro offset importante para guardar do setor de boot do NTFS --> 0x30 (indica o cluster que contém a MFT) <-- Nesse caso a própria MFT, e não o backup dela!

COMPLEMENTANDO: É meio confuso, mas no livro diz que o SO obtém o offset da MFT na partição pela fórmula: tamanho do setor x quantidade de setores no cluster x número do cluster que contém a MFT (0x30). <-- Lembrando que esses 3 valores estão indicados no setor de boot do NTFS.

Se tiverem dúvidas, leiam as páginas 64 e 65 do livro, inclusive ele (o livro como um todo) foi fonte de outras questões também nessa prova da ABIN, fica a dica ;D

Fiquem com Deus e continuem persistindo, Ele saberá a hora certa da vitória de cada um de vcs.

E não esqueçam de comprar a Telesena, obrigado.

c-

Lista dos offsets no NTFS:

http://ntfs.com/ntfs-partition-boot-sector.htm

os principais:

0x30 - Logical Cluster Number for the file $MFT

0x38 - Logical Cluster Number for the file $MFTMirr