Im Windows 2003 Server Resource Kit befindet sich seit langem ein Tool namens Sector Inspector (SecInspect.exe). HogFly wies in seinem Blog darauf hin, dass sich dieses Werkzeug auch prima für die Dokumentation der technischen Details von sichergestellen Datenträgern eignet. SecInspect ist ein Diagnosewerkzeug für die Kommandozeile, dass es einem Administrator ermöglicht, den Inhalt des MBR, der anderen Bootsektoren und der IA64 GUID Partitionstabellen einzusehen. Weitere Features sind die Erstellung von Hexdumps von Binärdaten und die Möglichkeit einzelne Sectorbereiche zu sichern bzw. wieder herzustellen. Wegen des für die meisten Funktionen benötigten Low Level Zugriffs sind Administratorrechte nötig.
Beispielausgabe von Sector Inspector:
Sector Inspector Copyright Microsoft Corporation 2003 =========================================================================== Target - \.PHYSICALDRIVE1 9729 Cylinders 255 Heads 63 Sectors Per Track 512 BytesPerSector 12 MediaType ===========================================================================
Master Boot Record =========================================================================== | B | FS TYPE | START | END | | | | F | (hex) | C H S| C H S| RELATIVE | TOTAL | =========================================================================== | * | 07 | 0 1 1|1023 254 63| 63| 40981752| | | 0f |1023 0 1|1023 254 63| 40981815| 115314570| | | 00 | 0 0 0| 0 0 0| 0| 0| | | 00 | 0 0 0| 0 0 0| 0| 0| =========================================================================== Disk Signature 0xe2e0e2e0 Partition #1 NTFS backup boot sector at LBN 40981814. LBN 0 [C 0, H 0, S 1] 0x0000 eb 52 90 4e 54 46 53 20-20 20 20 00 02 08 00 00 ëRNTFS ..... 0x0010 00 00 00 00 00 f8 00 00-3f 00 ff 00 3f 00 00 00 .....ø..?.ÿ.?... 0x0020 00 00 00 00 80 00 80 00-f7 54 71 02 00 00 00 00 ....€.€.÷Tq..... [...] --------------------------------------------------------------------------- Primary Partition 1 NTFS BIOS Parameter Block Information BytesPerSector : 512 Sectors Per Cluster : 8 ReservedSectors : 0 Fats : 0 RootEntries : 0 Small Sectors : 0 ( 0 MB ) Media Type : 248 ( 0xf8 ) SectorsPerFat : 0 SectorsPerTrack : 63 Heads : 255 Hidden Sectors : 63 Large Sectors : 0 ( 0 MB ) ClustersPerFRS : 246 Clust/IndxAllocBuf : 1 NumberSectors : 40981751 ( 20010.6 MB ) MftStartLcn : 786432 Mft2StartLcn : 16 SerialNumber : 9489380378529471277 Checksum : 0 (0x0) ---------------------------------------------------------------------------