Ana Sayfa / Genel / $BitMap Nedir?

$BitMap Nedir?

$BitMap; NTFS dosya sisteminde yer alan özel bir dosyadır. Bu dosya kullanılan ve kullanılmayan kümeler hakkındaki bilgiyi tutar.  Bir dosya NTFS biçimli bir diskte yer tutuyorsa, onun konumu küme bazlı olarak $BitMap de tutulur.

$BitMap  in kullanılan ve kullanılmayan kümeleri izlemedeki yöntem çok basittir. $BitMap içerisinde yer alan her bit bir kümeye karşılık gelir. Eğer bir küme doluysa ona karşılık gelen bit değeri "1" dir. Örneğin $BitMap içerisinde ki bir baytın değeri F ise bunun anlamı F(hex) = 1111(bin) dir yani 16 tabandaki F’ in ikilik tabandaki karşılığı 1111 dür. Buna göre FF = 11111111 yani 8 tane 1 dir.

Bir dosya silindiğinde ilişkili küme ayrılmamış (unallocated) veya kullanılmayan alan olarak belirtilir ve $BitMap de karşılık gelen bitler "0" değerine dönüştürülür.

Diyelimki sıralı 8 küme dosyalar tarafından kullanılıyor yani $BitMap üzerinde FF değeri var daha sonra bu dosyalardan bir tanesini siliyoruz, bu durumda $BitMap üzerindeki değer 7F = 1111111 olarak değişir.

Aşağıdaki resimde yeni formatlanmış bir hard diskin Encase altındaki görüntüsü yer alıyor. Resimden anlaşılacağı üzere yeni formatlanmış bir hard disk olmasına rağmen bir çok kümenin ayrılmış olduğunu görüyoruz. Bu kümeleri bizim doğrudan göremediğimiz NTFS e özel dosyalar doldurmuştur. Aşağıdaki resimde  FF FF FF FF FF FF FF FF 07 00 00 00 00 00 şeklinde devam eden hex değerlerinin anlamı 67 kümenin kullanımda olması demektir.

BitMap on NTFS Volume just formatted

 

Aşağıda yer alan resim ise aynı birime bir dosya kaopyalandıktan sonra kaydedilmiştir. Dosyanın boyutu 1,091,631 bayttır.  $BitMap üzerinde görüntülenen değer: FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF 3F 00 00 00.

Karşılığı toplamda 334 kümedir.

Bitmap from an NTFS volume with a single 1 MB file added

NTFS biçimli bir birime 1MB boyutlu bir dosya eklendikten sonra BitMap

 

Buradaki matematiğin sağlamasını şu şekilde yapabiliriz. 1,091,631 bayt, 267 kümelik yer tutar (slack-dosya artığı alanda dahil). 67 (bu örneğimizde yeni formatlanmış bir hard diskte kullanımda olan küme sayısı)+267 (dosya boyutundan gelen) = 334 (kullanımdaki küme sayısı)

Not: Her NTFS birim için bir tane $BitMap vardır(disk başına değil). $BitMap; MFT içerisindeki 7. kayıttır(MFT kayıt numarası 6).

 

harun Hakkında

Matematikçi...Bilgisayar Yüksek Mühendisi... Bir zamanlar Adli Bilişim uzmanı...

İlginizi Çekebilir

Port Tarama

Bu makalede port taramanın ne olduğuna değinip, farklı port tarama yöntemleri ve güvenlik açıklarını nasıl …

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir