FAT16原理及恢复
- 格式:ppt
- 大小:798.50 KB
- 文档页数:31
FAT文件结构讲解FAT(File Allocation Table)是一个用于存储和管理文件在磁盘上的文件系统。
FAT文件系统最初是由Microsoft开发的,适用于DOS和Windows操作系统。
它采用了一种简单的文件结构,使用了FAT表来记录文件在磁盘上的分配情况。
在这篇文章中,我们将详细介绍FAT文件结构的内部工作原理。
引导记录是FAT文件系统的第一个扇区,它包含了文件系统的基本信息和启动引导程序。
引导记录的前11个字节称为“引导码”,用于识别文件系统类型。
接下来的53个字节包含了文件系统的信息,如磁盘大小、簇(Cluster)大小和FAT表的位置。
在FAT12和FAT16文件系统中,引导记录总共占据了62个字节。
FAT表的值表示了簇的状态。
常见的值有以下几种:-0x000:表示簇空闲,没有被分配给任何文件。
-0xFF0-0xFF6(或0xFFF0-0xFFF6):这些值表示保留的簇,用于存储文件系统的元数据。
-0xFF7(或0xFFF7):表示簇坏掉,无法使用。
-0x002-0xFEF(或0x002-0xFEFF):这些值表示簇已被文件分配,并且是有效的。
-0x001-0xFF8(或0x001-0xFFF8):这些值表示簇已被文件分配,但是是最后一个簇,文件结束。
FAT表将所有的簇连接到一起,形成一个链表。
为了遍历这个链表,我们从文件的开始簇(即文件的第一个簇)开始,查找下一个簇的位置,然后再查找下一个簇的位置,直到文件结束。
文件系统使用这个链表来查找文件的数据,因为文件的数据可能分布在磁盘的不同位置。
数据区是存储文件的实际数据的地方。
每个簇都有固定的大小,通常是512字节或4096字节。
文件系统将数据区划分为多个簇,每个簇可以存储一个文件或部分文件的数据。
当文件的大小超过一个簇的大小时,文件系统会从FAT表中查找下一个簇的位置,然后写入文件的下一个簇的数据。
为了提高磁盘访问的效率,FAT文件系统还引入了目录项(Directory Entry)来存储文件和文件夹的相关信息。
透彻分析FAT文件系统!(二)四、FAT分区原理。
先来一幅结构图:现在我们着重研究FAT格式分区内数据是如何存储的。
FAT分区格式是MICROSOFT最早支持的分区格式,依据FAT表中每个簇链的所占位数(有关概念,后面会讲到)分为fat12、fat16、fat32三种格式"变种",但其基本存储方式是相似的。
仔细研究图7中的fat16和fat32分区的组成结构。
下面依次解释DBR、FAT1、FAT2、根目录、数据区、剩余扇区的概念。
提到的地址如无特别提示均为分区内部偏移。
4.1 关于DBR.DBR区(DOS BOOT RECORD)即操作系统引导记录区的意思,通常占用分区的第0扇区共512个字节(特殊情况也要占用其它保留扇区,我们先说第0扇)。
在这512个字节中,其实又是由跳转指令,厂商标志和操作系统版本号,BPB(BIOS Parameter Block),扩展BPB,os引导程序,结束标志几部分组成。
以用的最多的FAT32为例说明分区DBR各字节的含义。
见图8。
图8的对应解释见表3图9给出了winhex对图8 DBR的相关参数解释:根据上边图例,我们来讨论DBR各字节的参数意义。
MBR将CPU执行转移给引导扇区,因此,引导扇区的前三个字节必须是合法的可执行的基于x86的CPU指令。
这通常是一条跳转指令,该指令负责跳过接下来的几个不可执行的字节(BPB和扩展BPB),跳到操作系统引导代码部分。
跳转指令之后是8字节长的OEM ID,它是一个字符串,OEM ID标识了格式化该分区的操作系统的名称和版本号。
为了保留与MS-DOS的兼容性,通常Windows 2000格式化该盘是在FAT16和FAT32磁盘上的该字段中记录了“MSDOS 5.0”,在NTFS磁盘上(关于ntfs,另述),Windows 2000记录的是“NTFS”。
通常在被Windows 95格式化的磁盘上OEM ID字段出现“MSWIN4.0”,在被Windows 95 OSR2和Windows 98格式化的磁盘上OEM ID字段出现“MSWIN4.1”。
sd卡格式原理SD卡格式原理解析什么是SD卡?SD卡(Secure Digital Card)是一种常用的存储设备,用于扩展电子设备的存储容量。
它通常用于数码相机、手机、平板电脑等设备,具有小巧、便携和高容量等优势。
SD卡的格式SD卡的格式指的是对其进行初始化和分区的过程,即在SD卡上创建文件系统以便于数据的读写。
常见的SD卡格式包括FAT16、FAT32和exFAT等。
SD卡格式的原理SD卡格式的原理可以简单分为以下几个步骤:1.磁盘初始化初始化是指在SD卡上创建文件系统前必须进行的一项操作。
初始化会将SD卡上的数据全部清空,并为其创建一个文件系统结构。
2.分区分区是将SD卡划分为多个逻辑驱动器的过程。
一个SD卡可以分为一个或多个分区,每个分区都可以独立使用。
分区可以帮助我们更好地管理SD卡的存储空间。
3.文件系统的创建文件系统是操作系统用于组织和管理储存在SD卡上的文件和目录的一种方式。
常见的文件系统类型有FAT、exFAT、NTFS等。
在SD卡格式化的过程中,我们需要选择并创建一个文件系统。
–FAT文件系统:适用于小容量(一般小于2GB)的SD卡,具有较好的兼容性,但不支持单个文件大小超过4GB。
–FAT32文件系统:适用于中等容量(2GB到32GB)的SD卡,对单个文件的大小没有限制,但对存储文件数量有一定限制。
–exFAT文件系统:适用于大容量(大于32GB)的SD卡,不仅支持大容量存储,还能够处理大文件。
4.文件系统的格式化格式化是指在SD卡上创建文件系统结构的过程。
格式化会将之前的文件系统结构清除,并根据选择的文件系统类型重新创建文件系统。
格式化可以通过计算机上的格式化工具或设备本身的格式化功能来完成。
一般来说,我们可以选择快速格式化或完全格式化。
–快速格式化:只会清除文件系统结构,不会对整个SD卡的存储空间进行检查和调整。
–完全格式化:除了清除文件系统结构外,还会对整个SD卡进行检查和调整,以确保SD卡的存储空间处于最佳状态。
了解FAT16和FAT32你了解你的电脑硬盘中文件数据的组织方式吗?你知道什么是FAT,FAT16 和FAT32又有什么区别吗?以下这篇文章能帮助你。
★预备知识当磁盘被格式化之后,文件系统需要用到一些特殊的区域来组织它本身的数据,包括:主引导记录(Master Boot Record)、磁盘分配表(Partition Table)、引导纪录(Boot Record)、文件分配表(File Allocation Table,这也是FAT 的名称由来)以及根目录(Root Directory)。
在低级的部分,磁盘被分割成一块块512字节的区域,称为扇区(Sector)。
FAT文件系统将数个扇区合并成一个簇(Cluster),作为为文件分配存储空间时的基本单位。
簇里的扇区数目必须是2的次方(你可以用CHKDSK或者SCANDISK指令查看你系统里的簇大小)。
微软把这些簇称为分配单元(Allocation Unit),而SCANDISK 则会回报给你它们的大小,例如“每个分配单元有16,384个字节”等。
通常你可以藉着将磁盘的容量除以64K(65,536 个字节),再将得出来的数据进位到最接近2的次方数以求得簇大小。
例如一个1.2GB的磁盘其簇的大小可以由1.2GB (1,258,291.2K)除以65,536得到19.2K再进位到最接近的2的次方数得知为32K。
★FAT链FAT是一个记录磁盘上头文件大小及其所相对应簇的数据库。
它对每一个簇都有一个相对的记录点(Entry Point)。
最前面两个记录点包含了FAT本身的数据。
第三个及后续的记录表则被分配为为文件所使用的磁盘空间。
FAT记录表会包含一些特殊的值来表示:∙簇为空白,表示没有任何文件使用到它(在FAT16时其值为0000H);∙簇包含了一个或数个不可使用的受损扇区(在FAT16时其值为FFF7H);∙此簇为文件的最后一个簇(在FAT16时其值为FFFFH);∙如果簇已经被使用但不是文件的最后一个簇,那么FAT记录表会记录其下一个簇的位置。
FAT文件系统数据恢复原理FAT文件系统数据恢复原理一、硬盘的物理结构:硬盘存储数据是根据电、磁转换原理实现的。
硬盘由一个或几个表面镀有磁性物质的金属或玻璃等物质盘片以及盘片两面所安装的磁头和相应的控制电路组成(图1),其中盘片和磁头密封在无尘的金属壳中。
硬盘工作时,盘片以设计转速高速旋转,设置在盘片表面的磁头则在电路控制下径向移动到指定位置然后将数据存储或读取出来。
当系统向硬盘写入数据时,磁头中"写数据"电流产生磁场使盘片表面磁性物质状态发生改变,并在写电流磁场消失后仍能保持,这样数据就存储下来了;当系统从硬盘中读数据时,磁头经过盘片指定区域,盘片表面磁场使磁头产生感应电流或线圈阻抗产生变化,经相关电路处理后还原成数据。
因此只要能将盘片表面处理得更平滑、磁头设计得更精密以及尽量提高盘片旋转速度,就能造出容量更大、读写数据速度更快的硬盘,服务器数据恢复。
这是因为盘片表面处理越平、转速越快就能越使磁头离盘片表面越近,提高读、写灵敏度和速度;磁头设计越小越精密就能使磁头在盘片上占用空间越小,使磁头在一张盘片上建立更多的磁道以存储更多的数据。
二、硬盘的逻辑结构。
硬盘由很多盘片(platter)组成,每个盘片的每个面都有一个读写磁头。
如果有N个盘片。
就有2N个面,对应2N个磁头(Heads),从0、1、2开始编号。
每个盘片被划分成若干个同心圆磁道(逻辑上的,是不可见的。
)每个盘片的划分规则通常是一样的。
这样每个盘片的半径均为固定值R的同心圆再逻辑上形成了一个以电机主轴为轴的柱面(Cylinders),从外至里编号为0、1、2…每个盘片上的每个磁道又被划分为几十个扇区(Sector),通常的容量是512byte,并按照一定规则编号为1、2、3…形成Cylinders×Heads×Sector个扇区。
这三个参数即是硬盘的物理参数。
我们下面的很多实践需要深刻理解这三个参数的意义。
easyrecovery数据恢复实验原理一、实验概述在计算机使用过程中,由于各种原因,我们的数据可能会丢失或损坏。
为了解决这个问题,我们需要使用数据恢复软件进行数据的恢复。
本实验将介绍一款常用的数据恢复软件——EasyRecovery的原理及其操作方法。
二、EasyRecovery简介EasyRecovery是一款由Kroll Ontrack公司开发的数据恢复软件。
它可以帮助用户从各种存储设备中恢复被删除、格式化或损坏的文件。
EasyRecovery支持多种文件系统,包括FAT12/16/32、NTFS、HFS/HFS+等。
三、EasyRecovery实验步骤1. 下载并安装EasyRecovery软件;2. 打开EasyRecovery软件,在主界面选择需要恢复数据的存储设备;3. 选择需要恢复的文件类型,并点击“扫描”按钮;4. 等待扫描完成后,在扫描结果中选择需要恢复的文件,并点击“恢复”按钮;5. 选择保存路径并等待恢复完成。
四、EasyRecovery原理1. 数据存储原理在计算机中,所有的数据都是以二进制形式存储在硬盘或其他存储设备上。
每一个存储单元都有一个唯一的地址,通过这个地址可以找到对应的数据。
2. 数据删除原理当我们在计算机中删除一个文件时,实际上只是将这个文件的存储地址标记为可用,而并非将其从硬盘上完全删除。
如果在删除后没有进行过写操作,那么这个文件的数据仍然存在于硬盘上。
3. 数据恢复原理EasyRecovery通过扫描存储设备中未被覆盖的数据块,寻找已经被删除但尚未被完全覆盖的文件。
当找到一个文件时,EasyRecovery会根据其头部信息和文件格式进行解析,并尝试恢复其中丢失的数据。
4. 文件系统原理EasyRecovery支持多种文件系统,包括FAT12/16/32、NTFS、HFS/HFS+等。
不同的文件系统采用不同的组织方式来管理硬盘上的数据。
在进行数据恢复时需要根据不同的文件系统采取相应的恢复方法。
FAT16存储原理2008年04月22日星期二下午 04:11[返回索引]如图,FAT表以"F8 FF FF FF" 开头,此2字节为介质描述单元,并不参与FAT表簇链关系。
小红字标出的是FAT扇区每2字节对应的簇号。
相对偏移0x4~0x5偏移为第2簇(顺序上第1簇),此处为FF,表示存储在第2簇上的文件(目录)是个小文件,只占用1个簇便结束了。
第3簇中存放的数据是0x0005,这是一个文件或文件夹的首簇。
其内容为第5簇,就是说接下来的簇位于第5簇——〉 FAT表指引我们到达FAT表的第5簇指向,上面写的数据是"FF FF",意即此文件已至尾簇。
第4簇中存放的数据是0x0006,这又是一个文件或文件夹的首簇。
其内容为第6簇,就是说接下来的簇位于第6簇——〉FAT表指引我们到达FAT表的第6簇指向,上面写的数据是0x0007,就是说接下来的簇位于第7簇——〉FAT表指引我们到达FAT表的第7簇指向……直到根据FAT链读取到扇区相对偏移0x1A~0x1B,也就是第13簇,上面写的数据是0x000E,也就是指向第14簇——〉14簇的内容为"FF FF",意即此文件已至尾簇。
后面的FAT表数据与上面的道理相同。
不再分析。
FAT表记录了磁盘数据文件的存储链表,对于数据的读取而言是极其重要的,以至于Microsoft为其开发的FAT文件系统中的FAT表创建了一份备份,就是我们看到的FAT2。
FAT2与FAT1的内容通常是即时同步的,也就是说如果通过正常的系统读写对FAT1做了更改,那么FAT2也同样被更新。
如果从这个角度来看,系统的这个功能在数据恢复时是个天灾。
FAT文件系统的目录结构其实是一颗有向的从根到叶的树,这里提到的有向是。
数据恢复—搜狗百科现实中很多人不知道删除、格式化等硬盘操作丢失的数据可以恢复,以为删除、格式化以后数据就不存在了。
事实上,上述简单操作后数据仍然存在于硬盘中,懂得数据恢复原理知识的人只需几下便可将消失的数据找回来,不要觉得不可思议,在了解数据在硬盘、优盘、软盘等介质上的存储原理后,你也可以亲自做一回魔术师。
电子数据恢复是指通过技术手段,将保存在台式机硬盘、笔记本硬盘、服务器硬盘、存储磁带库、移动硬盘、U盘、数码存储卡、Mp3等等设备上丢失的电子数据进行抢救和恢复的技术。
原理数据存储及恢复的基本原理现实中很多人不知道删除、格式化等硬盘操作丢失的数据可以恢复,以为删除、格式化以后数据就不存在了。
事实上,上述简单操作后数据仍然存在于硬盘中,懂得数据恢复原理知识的人只需几下便可将消失的数据找回来,不要觉得不可思议,在了解数据在硬盘、优盘、软盘等介质上的存储原理后,你也可以亲自做一回魔术师。
方法分区硬盘存放数据的基本单位为扇区,我们可以理解为一本书的一页。
当我们装机或买来一个移动硬盘,第一步便是为了方便管理--分区。
无论用何种分区工具,都会在硬盘的第一个扇区标注上硬盘的分区数量、每个分区的大小,起始位置等信息,术语称为主引导记录(MBR),也有人称为分区信息表。
当主引导记录因为各种原因(硬盘坏道、病毒、误操作等)被破坏后,一些或全部分区自然就会丢失不见了,根据数据信息特征,我们可以重新推算计算分区大小及位置,手工标注到分区信息表,“丢失”的分区回来了。
文件分配表为了管理文件存储,硬盘分区完毕后,接下来的工作是格式化分区。
格式化程序根据分区大小,合理的将分区划分为目录文件分配区和数据区,就像我们看得小说,前几页为章节目录,后面才是真正的内容。
文件分配表内记录着每一个文件的属性、大小、在数据区的位置。
我们对所有文件的操作,都是根据文件分配表来进行的。
文件分配表遭到破坏以后,系统无法定位到文件,虽然每个文件的真实内容还存放在数据区,系统仍然会认为文件已经不存在。
硬盘的维修原理原理有2种:1、用lformat,hp,adm,dm,wipinfo,ndd这些软件是把坏道修成G-list增长坏道列表中的。
这个其实是一般的修理方法,这种方法比较容易掌握,也是普通人都是可以搞定的。
但是G-list列表的空间不是很大的,也就是500-700个之间的空间吧,如果硬盘坏道超过这个数字后,坏道就不能加入G-list列表了,也就是修不好了。
这种方法修好的坏道,也是对文件是没有影响的,因为它是修复成增长行坏道表中去了,系统是不可能访问他们的。
2、用专业的软件和设备来修理。
这个修理的原理是把硬盘的物理坏道屏蔽成工厂坏道P-list列表中去的。
其实每个新的硬盘的盘片上都是有坏道的,只是厂家经过的特殊的手段,把它屏蔽掉了。
这样你们用普通的软件是查看不到的。
因为那些不是专业的软件。
为什么一定要把坏道屏蔽到p-list中呢,把它屏蔽到G 列表中不就是行了吗!但是一个硬盘的坏道是很多的,一般都是1000个左右和以上,G列表的大小有限制的,不大。
p列表就大的多了,一般都是4000个左右和以上,空间的大小和硬盘牌子和硬盘的容量有直接的关系,硬盘容量越大p列表就越大。
屏蔽到p列表中才可以修好更多的硬盘吗!硬盘零磁道坏dm的使用首先,使用dm.exe制作一张启动软盘。
运行dm执行文件,然后按以下操作步骤进行:1、在主画面按“alt+m”组合键进入高级管理模式;2、选择“edit/viewparations”菜单(屏幕的右上角将显示硬盘在bios中的设置参数);3、按“del”或“delete”删除所有分区;4、再按“insert”或“ins”键新建一个分区,请按照您的使用要求选用分区格式(fat12、fat16、fat32等);5、选择好分区格式后,选择“cylinders”模式,将“0,xxxx”中的“0”改为“1”,即使用1号磁道作为0磁道使用(注意:xxxx表示的是分区结束磁道,给根据自己的需要变动数值)。
winhex手工恢复FAT16文件系统根目录项(Root entries)为512,每个目录项占用32字节,所以F DT(File Directory Table)共占用512*32/512=32个扇区。
这512个目录项是根目录下所有登记项的总和,包括卷标、子目录和文件。
公式精确方法:FAT扇区数= (扇区总数+2*每簇扇区数–32 –保留扇区数)/(256*每簇扇区数)例:FAT扇区数= (3915713+128-32)/(256*64)= 238.99029541015625=239扇区粗略方法:FAT扇区数:FAT用两个字节记录一个簇。
例:FAT扇区数= 总簇数*2/512 = (3915713 /64)/256 = 238.99615478515625 = 239扇区FAT16文件系统结构WinHex FAT16文件系统结构" src="/Article/UploadFiles/200901/2009011315530616.jpg" width="580" border="0" />一个文件或子目录在磁盘上的存储位置(逻辑扇区号)为:1+2*FAT扇区数+FDT扇区数+(起始簇号-2)*每簇扇区数解释:“1”代表DBR扇区,“起始簇号-2”代表用户文件从2号簇开始计算的。
这样的话,第一个文件的起点(第2簇)紧随FDT。
DBR引导DBR与分区的位置关系每个分区的DBR都位于此分区的第一个扇区。
主分区DBR由MBR来制定,扩展分区由虚拟MBR指定。
DBR与分区表的位置关系第一个主分区的DBR一般距离MBR的扇区个数为62个(MBR=0,DBR=63),由于每个扩展分区都有一个虚拟MBR,所以每个扩展分区DBR都距离虚拟MBR 62个扇区。
这里再回忆下分区表链的读取方法:主分区直接由MBR表项中的“本分区之前扇区数”来定位;扩展分区要加上一个偏移,即MBR中制定的“扩展分区之前扇区数”,而且此偏移在所有的虚拟MBR中都不变(这点有点与想当然不一样~),记住就可以了。
目录:Winhex的教程 (1)关于数码与码制: (1)Winhex (2)友情提醒 (49)Winhex的教程数据的恢复分类:硬恢复和软恢复。
所谓硬恢复就是硬盘出现物理性的损伤,比如有盘体坏道、电路板芯片烧毁、盘体异响,等故障,由此所导致的普通用户不容易取出里面数据,那么我们将它修好,同时又保留里面的数据或后来恢复里面的数据,这些都叫数据恢复,只不过这些故障有容易的和困难的之分;所谓软恢复,就是硬盘本身没有物理损伤,而是由于人为或者病毒破坏所造成的数据丢失(比如误格式化,误分区),那么这样的数据恢复就叫软恢复。
这里呢,我们主要介绍软恢复,因为硬恢复还需要购买一些工具设备(比如pc3000,电烙铁,各种芯片、电路板),而且还需要懂得一点点电路基础,我们这里所讲到的所有的知识,涉及面广,层次深,既有数据结构原理,为我们手工准确恢复数据提供依据,又有各种数据恢复软件的使用方法及技巧,为我们快速恢复数据提供便利,而且所有软件均为网上下载,不需要我们投资一分钱。
数据恢复的前提:数据不能被二次破坏、覆盖!关于数码与码制:关于二进制、十六进制、八进制它们之间转换我不想多说,因为他对我们的数据恢复来说帮助不大,而且很容易把我们绕晕。
如果你感兴趣想多了解一些,可以到百度里面去搜一下,这方面资料已经很多了,就不需要我再多说了。
数据恢复我们主要用十六进制编辑器:Winhex (数据恢复首选软件)我们先了解一下数据结构:下面是一个分了三个区整个硬盘的数据结构MBR C盘EBR D盘EBR E盘MBR,即主引导纪录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512字节)。
在总共512字节的主引导记录中,MBR 又可分为三部分:第一部分:引导代码,占用了446个字节;第二部分:分区表,占用了64字节;第三部分:55AA,结束标志,占用了两个字节。
后面我们要说的用winhex软件来恢复误分区,主要就是恢复第二部分:分区表。
FA T文件系统是文件在磁盘中的一种组织形式,其目的无非是便于操作系统在磁盘中找到需要的文件。
FA T文件系统有三个版本:FA T12,FA T16,FA T32。
其原理一样,只是在管理的磁盘空间容量有差别,是递增的关系。
一块新的磁盘需要格式化后才可以使用,而格式化的目的便是组织磁盘的文件系统。
刚到手的磁盘内部空间是一个大的整体,格式化后,磁盘内部空间被划分为五个部分:MBR,DBR,FA T,根目录,数据区。
文件系统是从FA T部分开始的。
MBR部分并不是所有磁盘都有,记录磁盘最重要的结构信息,包括一小段执行代码(主引导代码)、磁盘特征和硬盘分区表。
DBR为引导扇区,FA T是文件分配表,根目录记录文件信息,数据区存储文件数据。
每部分的组织形式如下:MBR(主引导记录扇区)基本结构:(1)主引导程序(偏移地址0000H~0088H),它负责从活动分区中装载并运行系统引导程序。
(2)出错信息数据区偏移地址(0089~00E1为出错信息,10E2H~10BD全为0字节)(3)分区表(DPT,Disk Partition Table).含4个分区项偏移地址01BEH~01FDH,每个分区表项长16个字节,共64字节为分区项1,分区项2,分区项3,分区项4).其中,加下划线的16个字节数据就是分区项1(即主分区)的参数.(4)结束标志偏移地址(01EFH~01FFH的两个字节值为结束标志55AA,如果该标志错误系统就不能启动).主要功能:(1)检查硬盘分区表是否完好(2)在分区表中寻找可引导的活动分区(3)将活动分区的第一逻辑扇区内容装入内存。
在DOS/WINDOWS分区中,此扇区内容称为DOS引导记录。
应着重理解:分区表:分区表中记录有DBR的地址DBR(引导记录)基本结构:(1)跳转指令,占用3个字节的跳转指令将跳至引导代码,其内容随DOS版本变化。
(2)厂商标识和DOS版本号。
该部分总共占用8个字节,其内容随DOS版本而不同。
实验一FAT文件删除恢复主要目的:掌握FA T文件系统结构,分析其安全问题主要内容:1.使用Winhex工具查看FA T文件系统;2.了解BPB表、FA T、FDT组成;3.掌握FA T对文件增加和删除的具体执行过程;4.实现FA T中文件删除后的恢复;5.分析FA T文件系统中的安全问题。
实验原理:一WinhexWinhex 是一款评价很高的16 进制文件编辑与磁盘编辑软件。
WinHex 以文件小、速度快,功能不输其它的 Hex 十六进位编辑器工具得到了 ZDNet Software Library 五颗星最高评价,可做 Hex 与 ASCII 码编辑修改,多文件寻替换功能,一般运算及逻辑运算,磁盘磁区编辑(支持 FAT16、FAT32 和 NTFS)自动搜寻编辑,文件比对和分析等功能,另外 8.3 版新增了 RAM 编辑功能。
软件的使用:标题栏:与一般的应用软件一样,标题栏中显示软件名称和当前打开的文件名称。
菜单栏:Winhex 的菜单栏由八个菜单项组成-文件菜单、编辑菜单、搜索、定位、工具、选项菜单、文件管理、窗口和帮助菜单。
在文件菜单中,除了常规的新建、打开文件和保存以及退出命令以外,还有备份管理、创建备份和载入备份功能。
选择文件菜单中的属性项,弹出文件属性窗口,包括文件路径、名称、大小、创建时间和修改日期等内容。
在编辑菜单中,除了常规的复制、粘贴和剪切功能外,还有数据格式转换和修改的功能。
在搜索菜单中,你可以查找或替换文本内容和十六进制文件,搜索整数值和浮点数值。
在定位菜单中,你可以根据偏移地址和区块的位置快速定位。
在工具菜单中,包括磁盘编辑工具、文本编辑工具、计算器、模板管理工具和 Hex 转换器,使用十分方便。
在选项菜单中,包括常规选项设置、安全性设置和还原选项设置。
在文件管理菜单中,你可以对文件进行分割、比较、复制和剖析,功能十分强大。
在 Winhex 的工具栏中,包括文件新建、打开、保存、打印、属性工具;剪切、粘贴和复制编辑工具;查找文本和 Hex 值,替换文本和 Hex 值;文件定位工具、RAM 编辑器、计算器、区块分析和磁盘编辑工具;选项设置工具和帮助工具按钮。
有关于对exFAT文件系统数据恢复软件功能原理的分析望尊重分析成果,勿随意转载,交流+328722262 exFAT文件系统作为微软面向移动存储开发的新一代文件系统,其结构相对来说和之前的FAT32及FAT16有一些相似,但其结构虽简单但运行效率还是很高的,在早期的FAT32及16当中一直困扰大家的就是碎片,而在exFAT文件系统当中虽然碎片还会出现,但经过多方面的实验分析得出,exFAT出现文件碎片的机率是很低的,因此这样的文件系统在做数据恢复时是非常容易.exFAT文件系统对于文件删除所做操作很简单,在目录记录项方面将该文件对应的目录记录项的85H,C0H,C1H分别改为05H,40H,41H来实现类似于FAT32当中将文件记录的第一个字节改为E5H的效果,另外一方面,对于空间的释放则通过在Cluster Bitmap File当中做相应修改来实现空间释放的效果(CBF的修改和FAT32当中的File Allocation Tabler 修改有很大差异,exFAT的CBF是通过算法实现修改,而FAT32只是通过对应的簇号描述修改),最为主要的就是数据区当中的数据没有变化.数据恢复软件当中的删除恢复,熟悉的人肯定知道恢复软件删除恢复功能的原理很简单,就是根据分区当中的每一个文件的文件记录来实现,能过文件记录当中确定出文件的名称,扩展名,首簇以及长度etc…,得到这些信息之后,程序会在数据区对应的位置开始按照记录当中的长度描述连续提取数据,并按文件名称及扩展名进行保存.删除恢复功能就实现了.此功能的缺点就在于如果文件记录不对或文件存在碎片就会无法恢复成功前文已经说明了exFAT文件系统删除文件的操作大致和FAT32一样,所以对于针对exFAT文件系统删除恢复的软件原理肯定是和FAT32的原理一样,唯一的区别就在于程序对目录记录项的分析发生了改变.exFAT文件系统在通过执行格式化生成时,同样也是要生成操作系统引导扇区(DBR)和文件分配表(FAT)以及在exFAT文件系统当中新出现的Cluster Bitmap Tbale,Uppercase Conversion TableC 和一个空白的ROOT Directory,那么如果将一个exFAT格式化为exFAT的话,那么DBR,FAT,CBT,UCT以及ROOT都会重新建立,那么这个操作和FAT32的格式化也是一样的,除此之外其它都没有做任修改,这就意为着的格式化恢复功能和基于FAT32的恢复功能原理也是一样的.数据恢复软件对FAT32文件系统格式化恢复功能的原理是通过搜索分区当中的SubFDT,具体数据提取过程和删除恢复是一样的,那么这种方式的恢复对于存在于根目录的单个文件就无法实现恢复了,这就是针对FAT32文件系统格式化恢复功能的缺点,当然对于利用同样的原理到exFAT32也同样存在这样的缺点.那么根目录的文件如何来恢复呢,针对FAT32的恢复软件当中存在一个RAW恢复即通过文件本身的结构特点(File Head & File End)在数据区当中进行搜索提取,这种原理完全摆脱了文件系统结构,如果文件不存在碎片,那么这种恢复一般都是可以恢复成功的,只是恢复出的文件已经不存在其本身具有的属性(名称,属性,写入时间,修改时间,访问时间等),此功能也完全可以应用到exFAT当中,而对现有的数据恢复软件当中还不支持exFAT文件系统,所以可以通过现有软件的RAW恢复功能来实现对exFAT文件恢复的效果(注意红色的字和蓝色的字).总结一下就是exFAT文件系统的恢复软件原理和FAT32/16文件系统恢复软件的原理是一样的.望尊重分析成果,勿随意转载,交流+328722262。
FAT16FAT16的定义在说明FAT16文件系统之前,我们必须清楚FAT是什么?FAT(File Allocation Table)是“文件分配表”的意思。
顾名思义,就是用来记录文件所在位置的表格,它对于硬盘的使用是非常重要的,假若丢失文件分配表,那么硬盘上的数据就会因无法定位而不能使用了。
不同的操作系统所使用的文件系统不尽相同,在个人计算机上常用的操作系统中,MS-DOS 6.x及以下版本使用FAT16;OS/2使用HPFS;Windows NT则使用NTFS;而MS-DOS 7.10及ROM-DOS 7.10同时提供了FAT16及FAT32供用户选用。
其中我们接触最多的是FAT16、FAT32文件系统。
FAT16文件系统FAT16使用了16位的空间来表示每个扇区(Sector)配置文件的情形,故称之为FAT16。
FAT16由于受到先天的限制,因此每超过一定容量的分区之后,它所使用的簇(Cluster)大小就必须扩增,以适应更大的磁盘空间。
所谓簇就是磁盘空间的配置单位,就象图书馆内一格一格的书架一样。
每个要存到磁盘的文件都必须配置足够数量的簇,才能存放到磁盘中。
FAT16各分区与簇大小的关系如下表:分区大小FAT16簇大小16MB-127MB 2KB128MB-255MB 4KB256MB-511MB 8KB512MB-1023MB 16KB1024MB-2047MB 32KB如果你在一个1000MB的分区中存放50KB的文件,由于该分区簇的大小为16KB,因此它要用到4个簇才行。
而如果是一个1KB的文件,它也必须使用一个簇来存放。
那么每个簇中剩下的空间可否拿来使用呢?答案是不行的,所以在使用磁盘时,无形中都会或多或少损失一些磁盘空间。
由上可知,FAT16文件系统有两个最大的缺点:(1)磁盘分区最大只能到2GB。
当前只要你添购计算机的话,想必其中的硬盘大小必定至少有2GB,而3.2GB、4.3GB以上的硬盘比比皆是,且物美价廉。
元数据为描述数据的数据(data about data),主要是描述数据属性(property )的信息,用来支持如指示存储位置、历史数据、资源查找、文件记录等功能。
一、磁盘映像是指复制到不同的装置或数据格式,主要用于数据备份二、文件雕复文件雕复可以定义为不依赖文件系统的元信息,从一个磁盘映像中按适当的顺序把所有属于同一个文件的字节序列拷贝出来的过程,是一种深度的数据恢复方法。
早期最经典的文件雕复算法是基于文件头/文件尾雕复方法。
而后,数据恢复领域的专家们提出了许多的雕复方法,如文件头/最大长度雕复基于文件结构的雕复、基于块内容的雕复、基于图论的雕复、基于映射函数的雕复、原地文件雕复、二分片雕复、零存储雕复和Smart雕复等方法。
然而这些雕复方法其实可以大致分为两类:一类是基于文件结构的雕复方法,另一类是基于文件内容的雕复方法。
三、数据恢复的背景目前,人类已经进入信息化社会,很多信息都在肉眼看不到的比特流中进行传播。
凝结着人类智慧结晶的计算机也开始步入人们的家庭,为人们的生活提供了方便快捷的工具。
对于普通用户而言,数据保护意识薄弱,因为误操作而清除了磁盘上的文件或者认为该数据无用而删除文件而事后又需要使用,等等原因造成的数据丢失的事情频繁发生。
因此,为了用户能更好的使用计算机,减少用户损失,数据恢复的一些相关技术得以成熟和发展。
四、数据恢复的意义对于普通用户而言,防止数据丢失的一个很重要且有效的方法就是使用备份。
但是,对于大多数用户而言,一般对备份这个问题没有充分的认识,对数据的保护意识也比较模糊。
在无数据备份的情况下,或者更糟糕的情况下,比如连备份数据也遭到破坏,那么,数据恢复无疑成了最后一根救命稻草。
另外,除了对于用户数据的恢复问题,数据恢复同时也是计算机取证中的一种关键技术手段。
现在,犯罪现场不单纯的停留在现实生活中的环境,网络、计算机也成为犯罪现场的重要客体。
随着《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》等法津法规的不断完善,电子科技大学硕士学位论文反计算机犯罪的进程不断加强,通过司法程序合理的取得犯罪证据使得计算机取证技术成了当前一个热门技术。
《系统安全技术》实验报告
四、实验结果及分析和(或)源程序调试过程
4.1 文件的删除
(1)定位文件
用Winhex打开U盘,找到文件名为Dai.txt的位置
文件首簇号:00 10 00 02h
文件大小:00 00 00 13h
逻辑偏移00 10 00 02h=1048578簇后找到文件在数据区存储的内容
【注:也可从根目录位置偏移(00 10 00 02h-2)*8=800000个扇区找到】
此时我们在FAT表中可以发现:
图中蓝色部分即为首簇号下一簇。
0F FF FF FFh表示结束。
【注:FAT32的FAT表最开始4个字节为标识(首簇),第二簇为才是文件真正开始存放簇号链的位置(每4个字节为一个簇序号)。
】
2.删除文件:
我们将盘中的Dai.txt文件删除,删除后,操作系统找到对应的目录文件表将第一个字节修改成“E5”标志
并且将FAT文件分配表相应的项目清空,供其它程序使用。
此时FAT1表如下:
备份FAT2表如下:
即FAT分配表均由FF FF FF FF 0F 变为00 00 00 00.
但此时文件的数据并没有被覆盖,而是实际存在,对操作系统而言,只是是无效的垃圾数据,当有新的文件写入时,将会被覆盖。
4.2文件的恢复
此时我们找到未被覆盖的数据区,根据文件大小,全选数据,然后右击->编辑->复制选块->置于新文件,即可将删除的文件置于新文件Dai_Recover.txt中。
即可恢复被删除的数据。