实验三 文件恢复

【主要目的】
1.了解计算机取证技术与方法。
2.掌握FAT文件系统结构,分析其安全问题
【主要内容】

  1. 使用Winhex工具查看FAT文件系统;
  2. 了解BPB表、FAT、FDT组成;
  3. 掌握FAT对文件增加和删除的具体执行过程;
  4. 实现FAT中文件删除后的恢复;
  5. 分析FAT文件系统中的安全问题。

计算机取证技术是指运用计算机辨析技术,对计算机犯罪行为进行分析以确认罪犯及计算机证据。
技术:用某种技术提取硬盘,光盘,软盘,zip磁盘,u盘,内存缓冲和其他存储介质中的有用信息。
概念:
扇区:512字节的空间,磁盘管理的最小单位
簇:FAT文件系统对磁盘管理的最小单位,一般为2n,n值大小和容量大小有关
柱面与磁道:

Paste_Image.png

整个硬盘分为主引导记录区,硬盘分区即逻辑盘区,少量保留区域。一下是基于FAT32文件系统的逻辑盘(比如C盘)结构:


Paste_Image.png

引导区(boot区):
引导区从第一扇区(逻辑扇区号0) 开始,保存了每个扇区的字节数,一个簇的扇区数,FAT表的起始位置,FAT表的个数以及FAT表的扇区数等信息,之后还留有若干保留扇区,存储这些信息的叫做BPB表,如下

Paste_Image.png

文件分配表区(FAT区):
FAT区是用来记录文件所在位置的表格,相当于一个指针。

根目录(root)
其保存根目录下的各文件的目录项,每个目录项占32个字节,其中第20 21字节代表该目录项所在簇索引的高位,26,27为低位,所以27+26+21+20对应的值变为该目录项所在的簇号。,28,29,30,31位为文件长度。如下表所示

Paste_Image.png

winhex对删除文件进行恢复


Paste_Image.png
Paste_Image.png
Paste_Image.png
最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
平台声明:文章内容(如有图片或视频亦包括在内)由作者上传并发布,文章内容仅代表作者本人观点,简书系信息发布平台,仅提供信息存储服务。

推荐阅读更多精彩内容

  • 一、嵌入式之FAT32文件系统(1)
    1 FAT32文件系统介绍 参考文件 FAT32文件系统有几个基本的几个概念: MBR(Master Boot R...
    wit_yuan阅读 2,797评论 3 1
  • 第7、8章 文件与磁盘空间管理
    1、文件和文件系统 文件管理:把所管理的程序和数据组织成一系列的文件,并能进行合理的存储、使用等操作。 1 )基本...
    盆栽木只阅读 1,423评论 0 0
  • [转]MBR与GPT
    原文 https://zhuanlan.zhihu.com/p/26098509 对很多PC的使用者来说,UEFI...
    ditt0阅读 1,148评论 0 2
  • FAT 文件系统 布局结构/属性 概念
    FAT 文件系统概念 首先我们知道,我们如果想使用一个磁盘进行安装系统,存储数据,首先要对该磁盘进行分区(对磁盘依...
    睿_行阅读 4,848评论 0 2
  • 浅谈数据恢复原理
    数据恢复是一门比较有用的技术,尤其是当硬盘、U盘、手机存储卡等发生数据丢失时,如何找回丢失的文件和数据则成为最关键...
    yuanfang235阅读 602评论 0 0