עד כמה נפוצים מזקים ברשת שיכולים לעקוף את המערכת ההפעלה למרות הקשחה מצד המשתמש?
האם אתם ממלצים להשתמש בהגנות מעבר למה שמציעה הקשחה של XP PRO+פירוול מקונפג, אני מדבר על שמוש בייתי כמובן.

שלום,
טרם נתקלתי בוירוס\מזיק כלשהו שהצליח לעקוף הרשאות NTFS ברמת קובץ אך כן נתקלתי במצבים ש-Malware וחיות אחרות הצליחו לשנות ערכים במערכת הרישום(Registry) וניטרלו דברים חשובים כמו Task Manager,כלים לקביעת תצורה כמו Msconfig וכן הלאה.

השאלה שלי היא כיצד אתה מתכוון לישם את עקרון ה-NTFS?

שילוב הרשאות NTFS הוא חלק מאוד קטן ויש לך הרבה דברים נוספים לבצע כמו נטרול Service&Ports אחרים,שינוי ערכים ברמת ה-Registry, החלפת דפדפן למאובטח יותר וכן תוכנת לקוח דא"ל בטוחה יותר,עדכון Service Pack&Hotfixes ,החלת Password Policy וניהול משתמשים נכון,שינוי תצורה של הרצת קבצי JS ו-VBS,ביצוע Auditing על התחנה,הטמעת AV ופתרון כולל
ל-Malware וחיות אחרות.

בלינוקס סביבת המשתמש הרבה יותר מאובטחת ולא כל אחד הוא משתמש "על"(root) לכן ע"מ להקשיח משתמש תוכל להשתמש בקבצי ADM או באמצעות אלטרנטיבות כדוגמת 1ST Security Agent.

טיפ נוסף לגבי גלישה בטוחה\הרצת אפליקציות-תוכל להשתמש בטכניקת "ארגז חול" (Sandbox). וכך להמנע מ-Rootkits ושינויים במערכת,יש פה כתבה מצויינת לדעתי:
http://net.nana10.co.il/Article/?Ar...=397102&sid=127
(האמת שיש גם פתרון לארגונים כזה אבל זה בטוח גוזל המון משאבים מה-RAM ומה-CPU).

אם אתה ממש פארנואיד ומשתמש בתוכנות P2P\שיתוף קבצים וכו' תוכל להשתמש בפתרון מכונה וירטואלית VPC או VMWARE אבל קח בחשבון שהם צורכות משאבים,נראה לי פתרון יחסית בטוח להגנה על המחשב.

הדבר החשוב ביותר שרציתי להגיד לך זה לבצע גיבוי על בסיס שוטף על מספר מדיות ולאכסן אותם במקומות שונים,אם מדובר במידע יקר ערך יש לאחסן במקום מוגן (כספת ) וממוזג.
במידה ומדובר במידע עסקי או משהו מעבר עדיף לך לפנות לחברה שמתמחה בפתרונות גיבוי כמו Databank למשל.

במידה ומדובר במידע של המשתמש הממוצע(שירים,תמונות,מסמכים וכו') תוכל להשתמש ב-NTbackup ולקנות כונן חיצוני נייד.
אבטחת מידע היא לא רק לדאוג לאבטחת הנתונים אלא גם לזמינותם ולשלמותם ולכן עליך לבצע גיבוי תמיד.

באופן כללי בניגוד לטעות שמיקרוסופט שחררו מידע על מערכת FAT (למרות שהודלף חלק קטן מהקוד של חלונות) על NTFS אין מידע ממשי איך המערכת עובדת ומיקרוסופט שומרת את זה בתיבת פנדורה(ושלא יקום לי החכם ויריץ לי חיפוש בגוגל כי אף אחד לא יודע איך המערכת עובדת לפרטי פרטים) אבל בכל זאת לא הייתי מסתמך על NTFS.

הבעיה מתעוררת כאשר אתה עובד עם משתמש שאינו מוגבל עם הרשאות Administrator על המכונה ואז אין שום בעיה לפקדי ActiveX למשל להתקין את עצמם בצורה אוטומטית ולגרום לנזק אבטחה רצני,פגיעה בביצועי המחשב עד לאובדן מידע.

אני ממליץ לך לשים דגש על AV שיעבוד המספר טכניקות(נשמח להמליץ לך כאן) ועל FW מקצועית כדוגמת Outpost Pro שעובדת במספר שכבות ונותנת מענה גם לסכנות כדוגמת מזיקים שונים, (למרות ששמעתי שגם ה-PFW של Komodo לא רעה אבל טרם יצא לי לבחון אותה).

במידה ותרצה טיפים נוספים חפש מידע בגוגל או כאן:
http://www.microsoft.com/israel/win...ty/default.mspx

אני מקווה שעניתי לך על השאלה בצורה מסודרת.

ציטוט:

טרם נתקלתי בוירוס\מזיק כלשהו שהצליח לעקוף הרשאות NTFS ברמת קובץ אך כן נתקלתי במצבים ש-Malware וחיות אחרות הצליחו לשנות ערכים במערכת הרישום(Registry) וניטרלו דברים חשובים כמו Task Manager,כלים לקביעת תצורה כמו Msconfig וכן הלאה.

וזאת אל אף שמדובר במשתמש מוגבל?(אני בהחלט בטוח שזה אפשרי)- השאלה היא עד כמה זה נפוץ- באיזה צעדים נוספים כדאי לנקות?(אני אשית עדיין לא מצאתי דרך כזו)

ציטוט:

שילוב הרשאות NTFS הוא חלק מאוד קטן ויש לך הרבה דברים נוספים לבצע כמו נטרול Service&Ports אחרים,שינוי ערכים ברמת ה-Registry, החלפת דפדפן למאובטח יותר וכן תוכנת לקוח דא"ל בטוחה יותר,עדכון Service Pack&Hotfixes ,החלת Password Policy וניהול משתמשים נכון,שינוי תצורה של הרצת קבצי JS ו-VBS,ביצוע Auditing על התחנה,הטמעת AV ופתרון כולל ל-Malware וחיות אחרות.

הפירוול מקונפג כהלכה, הדפדפן המעודף הוא פירפוקס.(אם התוסף, "נו-סקריפט").
אל תשכח שאני מדבר כרגע על שמוש בייתי (:
לגבי הדואר האלקטרוני- אני משתמש בממשק וובי של הספק אינטרנט\אוניברסיטה.
(בטח לא באוטלוק)

למה הכוונה נהול נכון של משתמשים? יש משהו ספציפי?(שוב פעם כרגע אני מדבר על שמוש בייתי).

ציטוט:

טיפ נוסף לגבי גלישה בטוחה\הרצת אפליקציות-תוכל להשתמש בטכניקת "ארגז חול" (Sandbox). וכך להמנע מ-Rootkits ושינויים במערכת.

נעשה בעת בחינה של "קבצים חשודים".

ציטוט:

אם אתה ממש פארנואיד ומשתמש בתוכנות P2P\שיתוף קבצים וכו' תוכל להשתמש בפתרון מכונה וירטואלית VPC או VMWARE אבל קח בחשבון שהם צורכות משאבים,נראה לי פתרון יחסית בטוח להגנה על המחשב.

האם תוכנה כגון סנדבוקס לא נותנת פתרון הולם? כידוע גם בvmvate כמו בvpc כבר התגלו חורי אבטחה בעבר כך ש...

ציטוט:

למרות ששמעתי שגם ה-PFW של Komodo לא רעה אבל טרם יצא לי לבחון אותה

אשמח אם תתן סקירה ברגע שיצא לך לבחון אותו- הוא כרגע נמצא אצלי בשמוש, אם כי לגבי סקירה מקצועית קטונתי

תודה על התשובה המפורטת.

ציטוט:

במקור נכתב על ידי The_Equivocator וזאת אל אף שמדובר במשתמש מוגבל?(אני בהחלט בטוח שזה אפשרי)- השאלה היא עד כמה זה נפוץ- באיזה צעדים נוספים כדאי לנקות?(אני אשית עדיין לא מצאתי דרך כזו)

אולי שמעת על המושג privilege escalation...

אבל אני מכיר כמובן את המושג Exploit\vulnerability, כך שאין כאן חידוש.(פרט לזה שמדובר ספציפי על נושא ההרשאות)- נראה מה יעלה חיפוש בגגול.
כמובן שיש חולשות לXP(בדיוק כמו לכל תוכנה\מערכת הפעלה אחרת בעולם), השאלה היא רק עד כמה זה גרוע, כלומר בנהול נכון מה הסכוי להפגע.

אחרי הכל איני מחזיק מידע רגיש(מדי) על המחשב. אלה מידע שמחזיק כל משתמש ממוצע.
כאשר 95% ממשתמשי XP הבייתים משתמשים במשתמש אדמניסטרטיבי, ולעוד 85% אין מושג, מה הסכוי להפגע באופן אקראי?

היו תקופות שבהן אם היית מחבר מחשב XP ללא SP2 לאינטרנט, תוך פחות מדקה היה קופץ לך החלון שאומר ש-RPCSS מת והמחשב הולך להתכבות תוך דקה - נכון, כי חטפת בלאסטר...

השאלה הנכונה היא קוסט-אפקטיביות. כמה אתה מוכן להשקיע כדי להגן על המחשב שלך? בעיקרון, כל תוכנה שאתה מריץ על המחשב היא חור אבטחה בפוטנציה.

באופן כללי, אתה חייב להשתמש במה שלא עולה לך כסף: להשתמש ב-NTFS ולא ב-FAT, לשמור על המחשב מעודכן מ-Microsoft Update, להשאיר את הפיירוול של MS דולק, וכו'.

לא יזיק להוסיף אנטי-וירוס. יש השוואות שונות ומשונות באינטרנט, השורה התחתונה הנפוצה היא שקספרסקי טוב; אני אישית משתמש ב-AVG כי הוא חינמי.

מעבר לזה, שימוש ב-VMWare הוא אכן פיתרון מצוין כדי להגן על המחשב שלך, כי היום לא מוכרת באינטרנט יכולת אמיתית לצאת מה-VMWare אל ה-host. החיסרון הוא שאתה לא יכול להריץ כל תוכנה מ-VM. משחקים לדוגמה לא נתמכים תחת VMWare (ולדעתי גם לא תחת VirtuaxBox, VirtualPC, וכנ"ל לגבי רוב המוצרים האחרים. ראה השוואה פה).

של אבטחת מידע, ובגלל שמה שיש לי כרגע זה XP מותקן על המחשב התחלתי במחקר אודות XP, ודרך הפעולה של חומות אש.(צריך להתחיל במשהו).

ועכשיו לשאלה שעלתה אצלי

ציטוט:

מעבר לזה, שימוש ב-VMWare הוא אכן פיתרון מצוין כדי להגן על המחשב שלך, כי היום לא מוכרת באינטרנט יכולת אמיתית לצאת מה-VMWare אל ה-host. החיסרון הוא שאתה לא יכול להריץ כל תוכנה מ-VM. משחקים לדוגמה לא נתמכים תחת VMWare (ולדעתי גם לא תחת VirtuaxBox, VirtualPC, וכנ"ל לגבי רוב המוצרים האחרים. ראה השוואה פה)..

אני עד היום חשבתי ששמוש במערכות וירטואליות נעשה רק בזמן מחקר של פרצות אבטחה, בחינה של מזקים למניהם. (כמובן שיש עוד שממושים, אבל אני מתייחס לעניין אבטחת מידע).
הרי שמוש במערכת ורטואלית הוא לא באמת פתרון, ישנם דברים שפשוט לא עובדים כמו שצריך, כמו כן מדובר במעמסה לא פשוטה על המחשב(נכון שהיום המחשבים הרבה יותר חזקים ומאפשרים עבודה שכזו, אבל עדיין פשוט לא נתן לעבוד באופן מסיבי בצורה כזו).

ועכשיו לעניין הבאמת חשוב- מערכת הפעלה הפועלת דרך הדמיה, היא הרי עדיין מערכת הפעלה לכל דבר ועניין(אני מבין שיש הבדלים), אבל לפי הבנתי חלק נכבד מהדברים שיכולים לפגוע במערכת הפעלה קונביצאונלית, יכולים גם לפגוע במערכת הפעלה וירטואלית, לפי הבנתי(ואני לא מומחה), אבל מתוך הבנה בסיסית, ההבדלים העקריים הם הגשה לדיסק הקשיח(שמנוהלת ע"י סביבת האם, וכנראה גם בנהול הזכרון הפיסי- המוגבל בטווח מסויים).
- כלומר יותר מסביר שאותה התולעת שמתקינה קיללוגר על מערכת קונביציאונלית תוכל לבצע זו גם בתוך סביבה וירטואלית, ואז לא בדיוק הבנתי מה הייתרון להשתמש בסביבה שכזו לצורך עבודה שוטפת מול המחשב.

לדוגמא אחת הסכנות למשתמש הבייתי שמבצע קניות מקוונות\מנהל חשבון בנק דרך הרשת הם אותן התולעות.

ברגע שהותקן אצלך קילוגר, אכלת אותה, אבל היופי הוא שאם אתה רץ מתוך מכונה VMWare אתה שומר Snapshot של התקנה נקייה של Windows עם התוכנות שאתה צריך, וחוזר אליו בכל פעם שאתה מתחיל לעבוד. מקסימום, יהיה לך קילוגר בסשן עבודה אחד, אבל בפעם הבאה הוא ייעלם כלא היה.

העומס קיים, אבל מסתבר שעם מחשב מודרני יחסית, הוא לא כזה נורא. על המחשב שלי, E4600 עם 4GB זיכרון וכרטיס מסך HD3450 (עם 256MB) רץ Vista 32-bit בתוך VMWare שרץ על Vista 64-bit, כשאצל שניהם מופעל ה-Aero (האפקטים הגרפיים החביבים של ויסטה, כמו מעבר החלונות עם Winkey+Tab, השקיפות שלהם וכו') חלק.
לא מדובר בחומרה שהיא שיא הטכנולוגיה החדישה ביותר, ועדיין הכל בסדר. מקסימום, אפשר לבטל את ה-Aero...

>"אני עד היום חשבתי ששמוש במערכות וירטואליות נעשה רק בזמן מחקר של פרצות אבטחה, בחינה של מזקים למניהם. (כמובן שיש עוד שממושים, אבל אני מתייחס לעניין אבטחת מידע)".

הוירטואליזציה אינה מיועדת לאבטחת מידע אם כי ניתן לעשות בה שימוש.
עקרונית מטרתה לאפשר ניהול נוח ,חסכוני ויעיל של משאבים:
http://he.wikipedia.org/wiki/%D7%95....A6.D7.99.D7.94

השימוש במכונות וירטואליות לא מתיימר לתת פתרון ל-Keyloggers ובעיות דומות אבל למשל אם תידבק בוירוס לא יקרה למחשב שלך כלום(או Spyware לשם שינוי).
ל-Keyloggers קיימים פתרונות אחרים כמו תוכנות AV מתקדמות כמו קספרסקי,תוכנות מסוג
Anti- Keyloggers וכו'.

לגבי קניות מקוונות מומלץ לבדוק את הסוגיה של השימוש ב-Tollbars שמטרתם למנוע "פישינג".
אני יודע של-Netcraft יש פתרון כזה והבנתי שיש גם לאקספלוררר 8 סרגל חדש(יש גם באקספלורר 7),וכן גם למוזילה.
כמו כן מומלץ במצבים כאלו צריך לאמת את ה-certificate authorities ולא לסמול על כל אתר.
בנוסף,אם אתה שומר את הסיסמאות במטמון מומלץ להשתמש ב-Secure Password Manager כלשהו ולא לאחסן סיסמאות בקאשינג של הדפדפן.
ישנן גם לא מעט אפליקציות אנטי-פישינג,מומלץ להריץ חיפוש בגוגל.
אין פתרונות פלא באבטחת מידע ולא VMWARE ולא שום דבר יספק לך פתרון קסם ותרופת פלא אם כי במידה ואתה מעונין להשקיע יש את S-BOX של Sofawre(חברה בת של צ'קפוינט) שהדבר הזה נותן מענה לרוב צרכי האבטחה של ה-SMB והשוק הבייתי וכן מציע מגוון פתרונות אבטחה ויכולות מתקדמות.

ציטוט:

ה-certificate authorities ולא לסמול על כל אתר.

>"וזאת אל אף שמדובר במשתמש מוגבל?(אני בהחלט בטוח שזה אפשרי)- השאלה היא עד כמה זה נפוץ- באיזה צעדים נוספים כדאי לנקות?(אני אשית עדיין לא מצאתי דרך כזו)"

זה נפוץ מאוד,במיוחד ב-Malware,Spyware,AD-Ware,Rootkits וחיות נוספות.
הצעדים ע"מ לנקות-עקרונית ע"פ תקני אבטחה בריטים הכי בטוח זה לפרמט,המשתמש הבייתי יכול להריץ תוכנת AV עדכנית ושאר כלים ידניים(Hijackthis) וכלים אוטומטים לניקוי.
כמו כן מורידים קבצי רישום חדשים\משתמשים בתוכנות לפתוח את ההגבלות שנוצרו כתוצאה מהשפעת הוירוס.

"ניהול נכון של משתמשים"-עדיין חשוב להזין סיסמה ולהקשיח את המעררכת גם ברמת היוזר.
1ST Security Agent עושה זאת בצורה מעולה,אפשר גם לבצע זאת עם GPEDIT.MSC

לגבי rootkits אין לי מושג איזו בדיקה אתה עושה והאם הפונקציה של איתור ה-rootkist מופעלת כברירת מחדל.
כמו כן מוללץ מידי פעם להריץ כלים ידניים לבחון.

לגבי הפרצות אבטחה במכונות הוירטואליות,אתה יכול לשחק עם הגדרות כרטיס הרשת למצב של Local host only או משהו בסגנון וככה אנשים מה-WAN לא יוכלו לדבר איתך.
חטפת וירוס?לא נורא,המחשב מוגן...אתה יכול חופשי להתעלל במכונה הוירטואליץ.
אם תרצה אני מוכן לבדוק את הנושא לעומק לגבי הפרצות שנתגלו,לדעתי ברובן הן Local Exploits.

הרי ברמת העקרון הגישה היא רק לקבצי מערכת היא רק עם הרשאות קריאה...
עם הGPEDIT.MSC שחקתי, אני חושב שעברתי שם ממש על הכל, ובטלתי כל דבר לא נחוץ.

לגבי rootkits אין לי מושג איזו בדיקה אתה עושה והאם הפונקציה של איתור ה-rootkist מופעלת כברירת מחדל.
כמו כן מוללץ מידי פעם להריץ כלים ידניים לבחון.

אני אישית לא עושה כרגע כלום, אבל הרעיון פשוט להשוות את הגודל של קבצי המערכת\סרבסים שרצים ברקע, לגודלם המקורי בכל עליית מחשב(אני חושב שזה אמור להספיק).

לגבי הפרצות אבטחה במכונות הוירטואליות,אתה יכול לשחק עם הגדרות כרטיס הרשת למצב של Local host only או משהו בסגנון וככה אנשים מה-WAN לא יוכלו לדבר איתך.
חטפת וירוס?לא נורא,המחשב מוגן...אתה יכול חופשי להתעלל במכונה הוירטואליץ.
אם תרצה אני מוכן לבדוק את הנושא לעומק לגבי הפרצות שנתגלו,לדעתי ברובן הן Local Exploits.

אני דווקא מניח שהרעיון הטוב ביותר הוא לא להתקין כרטיס רשת כלל על המחשב המארח.

>"הרי ברמת העקרון הגישה היא רק לקבצי מערכת היא רק עם הרשאות קריאה...
עם הGPEDIT.MSC שחקתי, אני חושב שעברתי שם ממש על הכל, ובטלתי כל דבר לא נחוץ."

מעולה.

>"אני אישית לא עושה כרגע כלום, אבל הרעיון פשוט להשוות את הגודל של קבצי המערכת\סרבסים שרצים ברקע, לגודלם המקורי בכל עליית מחשב(אני חושב שזה אמור להספיק)."

אתה לא תראה בכלל את ה-rootkit למרות שהוא כן יושב,זה כל הענין!
בכל אופן הבדיקה שלך לא יעילה לטעמי.
rootkit חכם ידע להסוות את עצמו כאילו הוא לא קיים בכלל גם ברמת ה-meta data.


>"אני דווקא מניח שהרעיון הטוב ביותר הוא לא להתקין כרטיס רשת כלל על המחשב המארח"

אז איך אתה רוצה לגלוש דרך ה-VMWARE?

ציטוט:

rootkit חכם ידע להסוות את עצמו כאילו הוא לא קיים בכלל גם ברמת ה-meta data.

אני לא מבין בזה, אני צריך ללמוד את הנושא.



>"אני דווקא מניח שהרעיון הטוב ביותר הוא לא להתקין כרטיס רשת כלל על המחשב המארח"

ציטוט:

>"אני דווקא מניח שהרעיון הטוב ביותר הוא לא להתקין כרטיס רשת כלל על המחשב המארח" אז איך אתה רוצה לגלוש דרך ה-VMWARE?

הא? טוב זו השעה...

זו הדרך הנכונה לעשות את זה.

סתם בשביל הניסוי, תעלה את המחשב שלך עם LiveCD של לינוקס...
למרבה ההפתעה תגלה שהוא ממש לא מתעניין בהרשאות NTFS שיש על הקבצים....

בברכה,

Uninstall

[התמונה הבאה מגיעה מקישור שלא מתחיל ב https ולכן לא הוטמעה בדף כדי לשמור על https תקין: http://www.stopie6.org/img/badges/120_60black.gif]

אם הריצו עליו קוד בעודו גולש באינטרנט ב-XP שלו, כל הסיפור של לא רלבנטי. או שיצטרכו לעבור דרך מערכת הקבצים, שבודקת הרשאות ודופקת אותם (אא"כ הם משיגים אדמין), או שהם יצטרכו לקרוא את הדיסק ב-raw, כדי לעקוף את מערכת הקבצים, אלא שהפלא-ופלא - גם הפעולה הזו דורשת הרשאות אדמין.

כך או כך, הם יצטרכו להשיג אדמין מתוך המשתמש שאינו אדמין, בהינתן שאין להם נגישות פיזית.

למען הבהרה, בהינתן נגישות פיזית אפשר לעקוף כל מנגנון הרשאות מהסוג הזה, כולל את ההרשאות על מערכות הקבצים הנפוצות של לינוקס. אתה עולה ב-single use mode, או סתם מלייב-CD, עכשיו אתה root, ועכשיו ההרשאות לא מעניינות אותך.

העניין הוא שכאן מדובר על האינטרנט, ולא על גישה פיזית, ככה שכל זה לא מעניין אותנו...

ציטוט:

צטרכו לקרוא את הדיסק ב-raw, כדי לעקוף את מערכת הקבצים.

אפשר לגשת לקבצים ותיקיות, ואז מדברים עם הדרייבר של מערכת הקבצים, או שאפשר לגשת לסקטורים ובלוקים על הדיסק, ואז מדלגים על השלב של מערכת הקבצים לחלוטין.

ציטוט:

שאפשר לגשת לסקטורים ובלוקים על הדיסק, ואז מדלגים על השלב של מערכת הקבצים לחלוטין

אבל, אבל... מה בדיוק אפשר לעשות עם זה חוץ מלכתוב(כלמר למחוק מידע קיים, ובכך להזיק) או לקרוא אוסף של ביטים שלא ייתן לך דבר הרי כל המידע נמצא בטבלת הקבצים, אליה לפי הבנתי לא נתן לגשת או שאני טועה?

כמו קלטת וידאו שגוללים מההתחלה עד הסוף. גם טבלת הקבצים נמצאת על הדיסק.

ואז תריץ אותו במקום אחר... צודק כמובן לגבי מערכת הקבצים, אין במקום שלה שום דבר מיוחד, פרט לעובדה שזה נמצא במקום קבוע מראש בכדי שהביוס ידע לאן לגשת(סתם לרגע הייתה לי דיסה בראש).

למה ליצור image ולעבור למקום אחר, אם כבר יש לך את המידע ביד?

אומנם יהיו לך חלקי מידע מסויימים, אבל בטח שלא את כל המידע(ממש לא ברור מה יהיה לך האמת), הכל תלוי מתי בפעם האחרונה נעשה דפראג (:

למה שיהיו לי רק "חלקיקי מידע"? אני חוזר שוב, ברגע שיש לי גישת raw לדיסק, יש לי גישה לכל הדיסק. לא חלקיקי מידע, אלא כל המידע.

אבל המידע הזה לא נמצא ברצף, קובץ טקסט מסכן יכול להיות מפוזר בעשרות מקומות שונים בדיסק(הכל תלוי במצב הדיסק הקשיח), ובשביל לפענך מה נמצא איפה אתה זקוק למערכת הקבצים...

ואני לא בטוח לגבי מה שאפשר לעשות במצב שכזה, אולי נתן(אפילו כנראה), לגשת לטבלת הקבצים ולגשת משם לכתובות- אבל אני לא מבין בזה יותר מדי לעומק.

אתה רק צריך לדעת איך היא מורכבת, ולחפש את המידע שאתה צריך לבד.

כרגע אני לא בדיוק מבין מה אפשר לעשות בלי הטבלה הארורה הזו.

זו המשמעות של המילה "כל" בביטוי "כל הדיסק". בגלל זה הדגשתי אותה.

טוב הרי אין שום בעיה לקרוא מחיצה של NTFS מתוך LIVE CD של לינוקס, אז כנראה שזה באמת לא בשמים- פשוט הידע שלי הוא קטן מדי בכדי להבין כיצד זה נעשה...
כמובן שאתה צודק סה"כ צריך לדעת את המבנה של המערכת, ומ ה היא המערכת הקבצים בדיסק שאתה קורא ממנו.

* שם הקובץ (כולל גם את הנתיב)
* מזהה הקובץ
* מיקום פיזי שבו נמצא הגוש הראשון של המידע בקובץ (למשל בדיסק קשיח מדובר על מספר הדיסק הפיזי ועל מספר הסקטור)
* זמן השינוי האחרון של הקובץ
* גודל הקובץ
* סוג הקובץ (קובץ רגיל, חלק ממערכת הפעלה וכדומה)
* הרשאות

לגבי שאלתך על RAW:
http://infocenter.sybase.com/help/i.../mig_gde117.htm

NTFS נועד לבדוק הרשאות רק מתוך המערכת הפעלה.... כך שממש לא ברור מה אתה רוצה להגיד בזה.

לא שמעתי שמשהו הצליח להריץ מערכת קבצים במקביל לאחת אחרת, אם תמציא משהו כזה זו תהיה ממש מהפכה בכל תחום אבטחת מידע... אבל מה לעשות שאין אפשרות שכזו...

יש בNTFS גם קדוד שנועד למנוע גישה גם מבחוץ, במקרה הזה הLIVE CD לא בדיוק יעזור נכון?

ושם באמת אי-אפשר יהיה לקרוא את זה גם מלייב-CD, אבל זה תלוי בגרסת מע"ה שלך (שקובעת את מנגנון הצופן וגודל המפתח שמשתמשים בו).

חוץ מזה, עד XPSP1 לא הייתי מתרשם מההצפנה הזאת. האפשרויות עד אז היו DESX ו-3DES, ויש סיבה שהפסיקו להשתמש בהן ועברו ל-AES.

(למה שרשום בסוגרים).

לפעמים הוא בלתי ניתן לשחזור,אולי ה-NSA יצליחו וגם להם יקח זמן