Dual-Boot- oder virtualisierte Linux-Windows-Systeme liefern Admins einigen Anlass, auf ein NTFS-Volume zugreifen zu wollen. Ein anderer Grund kann viel prekärer sein: Der Datenträger eines per Angriff oder Virus kompromittierten Windows-Systems ist mit forensischen Methoden zu untersuchen.

© photocase.com

Daten mit einem Windows-Rechner austauschen heißt für ein Linux-System oft, von NTFS-Partitionen lesen zu müssen und darauf zu schreiben. Zwar ist NTFS ein Anhängsel des mit den bekannten Nachteilen behafteten Windows, aber auch ein modernes Dateisystem und damit reichlich komplex. Für die gestellte Aufgabe braucht der Admin darum ein gerüttelt Maß an Wissen, um die Möglichkeiten zu nutzen, mit Linux auf NTFS-Dateisysteme zuzugreifen.

Ein anderes Szenario ist die forensische Analyse, und hierfür ist Linux exzellent geeignet. Bezeichnenderweise ist die beste zurzeit erhältliche - natürlich inoffizielle NTFS-Dokumentation - in der Linux-Community entstanden, nämlich im Rahmen des Linux-NTFS-Projekts [1]. Dieser Artikel beschreibt die Utilities des Ntfsprogs-Pakets aus dem erwähnten Linux-NTFS-Projekt, zudem die Analyse per Sleuthkit von Brian Carrier [2], der auch ein hervorragendes Buch zur Dateisystem-Forensik geschrieben hat [3], sowie die Unterstützung, die der Linux-Kernel selbst bereithält.

Vieles ist vertraut

Das von Microsoft entwickelte New Technology File System (NTFS) ist das Standard-Dateisystem für Windows NT, Windows XP und Windows Server 2003. Primär entwickelt Microsoft NTFS als natives Dateisystem für alle Windows-Varianten weiter. Die seit Windows XP aktuelle Version von NTFS ist 3.1, auf sie bezieht sich dieser Artikel. Das Überleben des konzeptionell veralteten FAT-Dateisystems sichern nur noch mobile Geräte und Speicherkarten. Aber auch für den Datenaustausch spielt es eine gewisse Rolle.

NTFS ist viel komplexer als FAT und besitzt eine umfangreiche Sammlung an Features. An mancher Stelle spiegelt sich in den NTFS-Konzepten die Windows-Semantik wider, die denkbar anders ist als die Posix-Semantik der Unix-Welt. Das einfache Mounten eines NTFS-Dateisystem macht nicht annähernd alle Merkmale des Dateisystems zugänglich und ist zudem mit einer Vieldeutigkeit belegt, die dessen Nutzbarkeit für ein Unix-System ein wenig erschwert.

Andererseits weist NTFS durchaus Gemeinsamkeiten mit modernen Linux-Dateisystemen auf: Es ist ein Journaled Filesystem, es versteht jede Metadaten-Operationen also als Transaktion. Sehr wichtige Dateisystem-Metainformationen wie der Superblock (von Microsoft als Bootsektor bezeichnet) oder die im Folgenden besprochene Master File Table sind redundant gespeichert, um ein gewisses Maß an Wiederherstellbarkeit zu bieten. Im Gegensatz zu den FAT-Varianten verfügt NTFS über Besitzer und Zugriffskontrolllisten (ACL), die semantisch besser zum Windows-Sicherheitsmodell passen als zur Unix-Welt.

Cluster nach Windows-Art

Wenn im Windows-Jargon von einem Cluster die Rede ist, dann ist ein logischer Block gemeint, also die elementare Allokierungseinheit, deren Größe je nach zugrunde liegendem Volume zwischen 512 Byte und 64 KByte schwankt. Per se legt Windows allerdings Dateisysteme mit maximal 4 KByte Blockgröße an. Als reinrassiges 64-Bit-Dateisystem spezifiziert NTFS maximale Datei- und Dateisystemgrößen jenseits aller momentanen Notwendigkeiten.

Da aber selbst neue Implementierungen nur die untersten 32 Bits zur Adressierung verwenden, beträgt das Limit für das Dateisystem knapp 256 Terabyte, die maximale Dateigröße rund 16 Terabyte. Ein NTFS-Volume vermag 232-1 Dateien aufzunehmen [4]. NTFS beherrscht wie die Unix-Dateisysteme der neueren Generation (XFS, JFS und Reiser4) eine Extent-basierte Adressierung von Dateien. Ein Extent ist hier eine Menge aufeinander folgender logischer Blöcke, im Windows-Jargon Cluster Run genannt.

Dual-Boot- oder virtualisierte Linux-Windows-Systeme liefern Admins einigen Anlass, auf ein NTFS-Volume zugreifen zu wollen. Ein anderer Grund kann viel prekärer sein: Der Datenträger eines per Angriff oder Virus kompromittierten Windows-Systems ist mit forensischen Methoden zu untersuchen.