FAT16原理及恢复
FAT文件结构讲解
FAT文件结构讲解FAT(File Allocation Table)是一个用于存储和管理文件在磁盘上的文件系统。
FAT文件系统最初是由Microsoft开发的,适用于DOS和Windows操作系统。
它采用了一种简单的文件结构,使用了FAT表来记录文件在磁盘上的分配情况。
在这篇文章中,我们将详细介绍FAT文件结构的内部工作原理。
引导记录是FAT文件系统的第一个扇区,它包含了文件系统的基本信息和启动引导程序。
引导记录的前11个字节称为“引导码”,用于识别文件系统类型。
接下来的53个字节包含了文件系统的信息,如磁盘大小、簇(Cluster)大小和FAT表的位置。
在FAT12和FAT16文件系统中,引导记录总共占据了62个字节。
FAT表的值表示了簇的状态。
常见的值有以下几种:-0x000:表示簇空闲,没有被分配给任何文件。
-0xFF0-0xFF6(或0xFFF0-0xFFF6):这些值表示保留的簇,用于存储文件系统的元数据。
-0xFF7(或0xFFF7):表示簇坏掉,无法使用。
-0x002-0xFEF(或0x002-0xFEFF):这些值表示簇已被文件分配,并且是有效的。
-0x001-0xFF8(或0x001-0xFFF8):这些值表示簇已被文件分配,但是是最后一个簇,文件结束。
FAT表将所有的簇连接到一起,形成一个链表。
为了遍历这个链表,我们从文件的开始簇(即文件的第一个簇)开始,查找下一个簇的位置,然后再查找下一个簇的位置,直到文件结束。
文件系统使用这个链表来查找文件的数据,因为文件的数据可能分布在磁盘的不同位置。
数据区是存储文件的实际数据的地方。
每个簇都有固定的大小,通常是512字节或4096字节。
文件系统将数据区划分为多个簇,每个簇可以存储一个文件或部分文件的数据。
当文件的大小超过一个簇的大小时,文件系统会从FAT表中查找下一个簇的位置,然后写入文件的下一个簇的数据。
为了提高磁盘访问的效率,FAT文件系统还引入了目录项(Directory Entry)来存储文件和文件夹的相关信息。
透彻分析FAT文件系统(二)
透彻分析FAT文件系统!(二)四、FAT分区原理。
先来一幅结构图:现在我们着重研究FAT格式分区内数据是如何存储的。
FAT分区格式是MICROSOFT最早支持的分区格式,依据FAT表中每个簇链的所占位数(有关概念,后面会讲到)分为fat12、fat16、fat32三种格式"变种",但其基本存储方式是相似的。
仔细研究图7中的fat16和fat32分区的组成结构。
下面依次解释DBR、FAT1、FAT2、根目录、数据区、剩余扇区的概念。
提到的地址如无特别提示均为分区内部偏移。
4.1 关于DBR.DBR区(DOS BOOT RECORD)即操作系统引导记录区的意思,通常占用分区的第0扇区共512个字节(特殊情况也要占用其它保留扇区,我们先说第0扇)。
在这512个字节中,其实又是由跳转指令,厂商标志和操作系统版本号,BPB(BIOS Parameter Block),扩展BPB,os引导程序,结束标志几部分组成。
以用的最多的FAT32为例说明分区DBR各字节的含义。
见图8。
图8的对应解释见表3图9给出了winhex对图8 DBR的相关参数解释:根据上边图例,我们来讨论DBR各字节的参数意义。
MBR将CPU执行转移给引导扇区,因此,引导扇区的前三个字节必须是合法的可执行的基于x86的CPU指令。
这通常是一条跳转指令,该指令负责跳过接下来的几个不可执行的字节(BPB和扩展BPB),跳到操作系统引导代码部分。
跳转指令之后是8字节长的OEM ID,它是一个字符串,OEM ID标识了格式化该分区的操作系统的名称和版本号。
为了保留与MS-DOS的兼容性,通常Windows 2000格式化该盘是在FAT16和FAT32磁盘上的该字段中记录了“MSDOS 5.0”,在NTFS磁盘上(关于ntfs,另述),Windows 2000记录的是“NTFS”。
通常在被Windows 95格式化的磁盘上OEM ID字段出现“MSWIN4.0”,在被Windows 95 OSR2和Windows 98格式化的磁盘上OEM ID字段出现“MSWIN4.1”。
sd卡格式原理
sd卡格式原理SD卡格式原理解析什么是SD卡?SD卡(Secure Digital Card)是一种常用的存储设备,用于扩展电子设备的存储容量。
它通常用于数码相机、手机、平板电脑等设备,具有小巧、便携和高容量等优势。
SD卡的格式SD卡的格式指的是对其进行初始化和分区的过程,即在SD卡上创建文件系统以便于数据的读写。
常见的SD卡格式包括FAT16、FAT32和exFAT等。
SD卡格式的原理SD卡格式的原理可以简单分为以下几个步骤:1.磁盘初始化初始化是指在SD卡上创建文件系统前必须进行的一项操作。
初始化会将SD卡上的数据全部清空,并为其创建一个文件系统结构。
2.分区分区是将SD卡划分为多个逻辑驱动器的过程。
一个SD卡可以分为一个或多个分区,每个分区都可以独立使用。
分区可以帮助我们更好地管理SD卡的存储空间。
3.文件系统的创建文件系统是操作系统用于组织和管理储存在SD卡上的文件和目录的一种方式。
常见的文件系统类型有FAT、exFAT、NTFS等。
在SD卡格式化的过程中,我们需要选择并创建一个文件系统。
–FAT文件系统:适用于小容量(一般小于2GB)的SD卡,具有较好的兼容性,但不支持单个文件大小超过4GB。
–FAT32文件系统:适用于中等容量(2GB到32GB)的SD卡,对单个文件的大小没有限制,但对存储文件数量有一定限制。
–exFAT文件系统:适用于大容量(大于32GB)的SD卡,不仅支持大容量存储,还能够处理大文件。
4.文件系统的格式化格式化是指在SD卡上创建文件系统结构的过程。
格式化会将之前的文件系统结构清除,并根据选择的文件系统类型重新创建文件系统。
格式化可以通过计算机上的格式化工具或设备本身的格式化功能来完成。
一般来说,我们可以选择快速格式化或完全格式化。
–快速格式化:只会清除文件系统结构,不会对整个SD卡的存储空间进行检查和调整。
–完全格式化:除了清除文件系统结构外,还会对整个SD卡进行检查和调整,以确保SD卡的存储空间处于最佳状态。
《系统安全技术》实验报告
《系统安全技术》实验报告
四、实验结果及分析和(或)源程序调试过程
4.1 文件的删除
(1)定位文件
用Winhex打开U盘,找到文件名为Dai.txt的位置
文件首簇号:00 10 00 02h
文件大小:00 00 00 13h
逻辑偏移00 10 00 02h=1048578簇后找到文件在数据区存储的内容
【注:也可从根目录位置偏移(00 10 00 02h-2)*8=800000个扇区找到】
此时我们在FAT表中可以发现:
图中蓝色部分即为首簇号下一簇。
0F FF FF FFh表示结束。
【注:FAT32的FAT表最开始4个字节为标识(首簇),第二簇为才是文件真正开始存放簇号链的位置(每4个字节为一个簇序号)。
】
2.删除文件:
我们将盘中的Dai.txt文件删除,删除后,操作系统找到对应的目录文件表将第一个字节修改成“E5”标志
并且将FAT文件分配表相应的项目清空,供其它程序使用。
此时FAT1表如下:
备份FAT2表如下:
即FAT分配表均由FF FF FF FF 0F 变为00 00 00 00.
但此时文件的数据并没有被覆盖,而是实际存在,对操作系统而言,只是是无效的垃圾数据,当有新的文件写入时,将会被覆盖。
4.2文件的恢复
此时我们找到未被覆盖的数据区,根据文件大小,全选数据,然后右击->编辑->复制选块->置于新文件,即可将删除的文件置于新文件Dai_Recover.txt中。
即可恢复被删除的数据。
了解FAT16和FAT32
了解FAT16和FAT32你了解你的电脑硬盘中文件数据的组织方式吗?你知道什么是FAT,FAT16 和FAT32又有什么区别吗?以下这篇文章能帮助你。
★预备知识当磁盘被格式化之后,文件系统需要用到一些特殊的区域来组织它本身的数据,包括:主引导记录(Master Boot Record)、磁盘分配表(Partition Table)、引导纪录(Boot Record)、文件分配表(File Allocation Table,这也是FAT 的名称由来)以及根目录(Root Directory)。
在低级的部分,磁盘被分割成一块块512字节的区域,称为扇区(Sector)。
FAT文件系统将数个扇区合并成一个簇(Cluster),作为为文件分配存储空间时的基本单位。
簇里的扇区数目必须是2的次方(你可以用CHKDSK或者SCANDISK指令查看你系统里的簇大小)。
微软把这些簇称为分配单元(Allocation Unit),而SCANDISK 则会回报给你它们的大小,例如“每个分配单元有16,384个字节”等。
通常你可以藉着将磁盘的容量除以64K(65,536 个字节),再将得出来的数据进位到最接近2的次方数以求得簇大小。
例如一个1.2GB的磁盘其簇的大小可以由1.2GB (1,258,291.2K)除以65,536得到19.2K再进位到最接近的2的次方数得知为32K。
★FAT链FAT是一个记录磁盘上头文件大小及其所相对应簇的数据库。
它对每一个簇都有一个相对的记录点(Entry Point)。
最前面两个记录点包含了FAT本身的数据。
第三个及后续的记录表则被分配为为文件所使用的磁盘空间。
FAT记录表会包含一些特殊的值来表示:∙簇为空白,表示没有任何文件使用到它(在FAT16时其值为0000H);∙簇包含了一个或数个不可使用的受损扇区(在FAT16时其值为FFF7H);∙此簇为文件的最后一个簇(在FAT16时其值为FFFFH);∙如果簇已经被使用但不是文件的最后一个簇,那么FAT记录表会记录其下一个簇的位置。
FAT文件系统数据恢复原理
FAT文件系统数据恢复原理FAT文件系统数据恢复原理一、硬盘的物理结构:硬盘存储数据是根据电、磁转换原理实现的。
硬盘由一个或几个表面镀有磁性物质的金属或玻璃等物质盘片以及盘片两面所安装的磁头和相应的控制电路组成(图1),其中盘片和磁头密封在无尘的金属壳中。
硬盘工作时,盘片以设计转速高速旋转,设置在盘片表面的磁头则在电路控制下径向移动到指定位置然后将数据存储或读取出来。
当系统向硬盘写入数据时,磁头中"写数据"电流产生磁场使盘片表面磁性物质状态发生改变,并在写电流磁场消失后仍能保持,这样数据就存储下来了;当系统从硬盘中读数据时,磁头经过盘片指定区域,盘片表面磁场使磁头产生感应电流或线圈阻抗产生变化,经相关电路处理后还原成数据。
因此只要能将盘片表面处理得更平滑、磁头设计得更精密以及尽量提高盘片旋转速度,就能造出容量更大、读写数据速度更快的硬盘,服务器数据恢复。
这是因为盘片表面处理越平、转速越快就能越使磁头离盘片表面越近,提高读、写灵敏度和速度;磁头设计越小越精密就能使磁头在盘片上占用空间越小,使磁头在一张盘片上建立更多的磁道以存储更多的数据。
二、硬盘的逻辑结构。
硬盘由很多盘片(platter)组成,每个盘片的每个面都有一个读写磁头。
如果有N个盘片。
就有2N个面,对应2N个磁头(Heads),从0、1、2开始编号。
每个盘片被划分成若干个同心圆磁道(逻辑上的,是不可见的。
)每个盘片的划分规则通常是一样的。
这样每个盘片的半径均为固定值R的同心圆再逻辑上形成了一个以电机主轴为轴的柱面(Cylinders),从外至里编号为0、1、2…每个盘片上的每个磁道又被划分为几十个扇区(Sector),通常的容量是512byte,并按照一定规则编号为1、2、3…形成Cylinders×Heads×Sector个扇区。
这三个参数即是硬盘的物理参数。
我们下面的很多实践需要深刻理解这三个参数的意义。
easyrecovery数据恢复实验原理
easyrecovery数据恢复实验原理一、实验概述在计算机使用过程中,由于各种原因,我们的数据可能会丢失或损坏。
为了解决这个问题,我们需要使用数据恢复软件进行数据的恢复。
本实验将介绍一款常用的数据恢复软件——EasyRecovery的原理及其操作方法。
二、EasyRecovery简介EasyRecovery是一款由Kroll Ontrack公司开发的数据恢复软件。
它可以帮助用户从各种存储设备中恢复被删除、格式化或损坏的文件。
EasyRecovery支持多种文件系统,包括FAT12/16/32、NTFS、HFS/HFS+等。
三、EasyRecovery实验步骤1. 下载并安装EasyRecovery软件;2. 打开EasyRecovery软件,在主界面选择需要恢复数据的存储设备;3. 选择需要恢复的文件类型,并点击“扫描”按钮;4. 等待扫描完成后,在扫描结果中选择需要恢复的文件,并点击“恢复”按钮;5. 选择保存路径并等待恢复完成。
四、EasyRecovery原理1. 数据存储原理在计算机中,所有的数据都是以二进制形式存储在硬盘或其他存储设备上。
每一个存储单元都有一个唯一的地址,通过这个地址可以找到对应的数据。
2. 数据删除原理当我们在计算机中删除一个文件时,实际上只是将这个文件的存储地址标记为可用,而并非将其从硬盘上完全删除。
如果在删除后没有进行过写操作,那么这个文件的数据仍然存在于硬盘上。
3. 数据恢复原理EasyRecovery通过扫描存储设备中未被覆盖的数据块,寻找已经被删除但尚未被完全覆盖的文件。
当找到一个文件时,EasyRecovery会根据其头部信息和文件格式进行解析,并尝试恢复其中丢失的数据。
4. 文件系统原理EasyRecovery支持多种文件系统,包括FAT12/16/32、NTFS、HFS/HFS+等。
不同的文件系统采用不同的组织方式来管理硬盘上的数据。
在进行数据恢复时需要根据不同的文件系统采取相应的恢复方法。
FAT16存储原理
FAT16存储原理2008年04月22日星期二下午 04:11[返回索引]如图,FAT表以"F8 FF FF FF" 开头,此2字节为介质描述单元,并不参与FAT表簇链关系。
小红字标出的是FAT扇区每2字节对应的簇号。
相对偏移0x4~0x5偏移为第2簇(顺序上第1簇),此处为FF,表示存储在第2簇上的文件(目录)是个小文件,只占用1个簇便结束了。
第3簇中存放的数据是0x0005,这是一个文件或文件夹的首簇。
其内容为第5簇,就是说接下来的簇位于第5簇——〉 FAT表指引我们到达FAT表的第5簇指向,上面写的数据是"FF FF",意即此文件已至尾簇。
第4簇中存放的数据是0x0006,这又是一个文件或文件夹的首簇。
其内容为第6簇,就是说接下来的簇位于第6簇——〉FAT表指引我们到达FAT表的第6簇指向,上面写的数据是0x0007,就是说接下来的簇位于第7簇——〉FAT表指引我们到达FAT表的第7簇指向……直到根据FAT链读取到扇区相对偏移0x1A~0x1B,也就是第13簇,上面写的数据是0x000E,也就是指向第14簇——〉14簇的内容为"FF FF",意即此文件已至尾簇。
后面的FAT表数据与上面的道理相同。
不再分析。
FAT表记录了磁盘数据文件的存储链表,对于数据的读取而言是极其重要的,以至于Microsoft为其开发的FAT文件系统中的FAT表创建了一份备份,就是我们看到的FAT2。
FAT2与FAT1的内容通常是即时同步的,也就是说如果通过正常的系统读写对FAT1做了更改,那么FAT2也同样被更新。
如果从这个角度来看,系统的这个功能在数据恢复时是个天灾。
FAT文件系统的目录结构其实是一颗有向的从根到叶的树,这里提到的有向是。
数据恢复—搜狗百科
数据恢复—搜狗百科现实中很多人不知道删除、格式化等硬盘操作丢失的数据可以恢复,以为删除、格式化以后数据就不存在了。
事实上,上述简单操作后数据仍然存在于硬盘中,懂得数据恢复原理知识的人只需几下便可将消失的数据找回来,不要觉得不可思议,在了解数据在硬盘、优盘、软盘等介质上的存储原理后,你也可以亲自做一回魔术师。
电子数据恢复是指通过技术手段,将保存在台式机硬盘、笔记本硬盘、服务器硬盘、存储磁带库、移动硬盘、U盘、数码存储卡、Mp3等等设备上丢失的电子数据进行抢救和恢复的技术。
原理数据存储及恢复的基本原理现实中很多人不知道删除、格式化等硬盘操作丢失的数据可以恢复,以为删除、格式化以后数据就不存在了。
事实上,上述简单操作后数据仍然存在于硬盘中,懂得数据恢复原理知识的人只需几下便可将消失的数据找回来,不要觉得不可思议,在了解数据在硬盘、优盘、软盘等介质上的存储原理后,你也可以亲自做一回魔术师。
方法分区硬盘存放数据的基本单位为扇区,我们可以理解为一本书的一页。
当我们装机或买来一个移动硬盘,第一步便是为了方便管理--分区。
无论用何种分区工具,都会在硬盘的第一个扇区标注上硬盘的分区数量、每个分区的大小,起始位置等信息,术语称为主引导记录(MBR),也有人称为分区信息表。
当主引导记录因为各种原因(硬盘坏道、病毒、误操作等)被破坏后,一些或全部分区自然就会丢失不见了,根据数据信息特征,我们可以重新推算计算分区大小及位置,手工标注到分区信息表,“丢失”的分区回来了。
文件分配表为了管理文件存储,硬盘分区完毕后,接下来的工作是格式化分区。
格式化程序根据分区大小,合理的将分区划分为目录文件分配区和数据区,就像我们看得小说,前几页为章节目录,后面才是真正的内容。
文件分配表内记录着每一个文件的属性、大小、在数据区的位置。
我们对所有文件的操作,都是根据文件分配表来进行的。
文件分配表遭到破坏以后,系统无法定位到文件,虽然每个文件的真实内容还存放在数据区,系统仍然会认为文件已经不存在。
硬盘的维修原理
硬盘的维修原理原理有2种:1、用lformat,hp,adm,dm,wipinfo,ndd这些软件是把坏道修成G-list增长坏道列表中的。
这个其实是一般的修理方法,这种方法比较容易掌握,也是普通人都是可以搞定的。
但是G-list列表的空间不是很大的,也就是500-700个之间的空间吧,如果硬盘坏道超过这个数字后,坏道就不能加入G-list列表了,也就是修不好了。
这种方法修好的坏道,也是对文件是没有影响的,因为它是修复成增长行坏道表中去了,系统是不可能访问他们的。
2、用专业的软件和设备来修理。
这个修理的原理是把硬盘的物理坏道屏蔽成工厂坏道P-list列表中去的。
其实每个新的硬盘的盘片上都是有坏道的,只是厂家经过的特殊的手段,把它屏蔽掉了。
这样你们用普通的软件是查看不到的。
因为那些不是专业的软件。
为什么一定要把坏道屏蔽到p-list中呢,把它屏蔽到G 列表中不就是行了吗!但是一个硬盘的坏道是很多的,一般都是1000个左右和以上,G列表的大小有限制的,不大。
p列表就大的多了,一般都是4000个左右和以上,空间的大小和硬盘牌子和硬盘的容量有直接的关系,硬盘容量越大p列表就越大。
屏蔽到p列表中才可以修好更多的硬盘吗!硬盘零磁道坏dm的使用首先,使用dm.exe制作一张启动软盘。
运行dm执行文件,然后按以下操作步骤进行:1、在主画面按“alt+m”组合键进入高级管理模式;2、选择“edit/viewparations”菜单(屏幕的右上角将显示硬盘在bios中的设置参数);3、按“del”或“delete”删除所有分区;4、再按“insert”或“ins”键新建一个分区,请按照您的使用要求选用分区格式(fat12、fat16、fat32等);5、选择好分区格式后,选择“cylinders”模式,将“0,xxxx”中的“0”改为“1”,即使用1号磁道作为0磁道使用(注意:xxxx表示的是分区结束磁道,给根据自己的需要变动数值)。
NTFS、FAT、FAT16、FAT32格式的区别
FAT32:随着大容量硬盘的出现,从Windows 98开始,FAT32开始流行。它是FAT16的增强版本,可以支持大到2TB(2048GB)的分区。FAT32使用的簇比FAT16小,从而有效地节约了硬盘空间。FAT32是FAT16文件系统的派生,比 FAT16 支持更小的簇和更大的分区,这就使得 FAT32 分区的空间分配更有效率。FAT32主要应用于Windows 98及后续Windows系统(实际从未正式发布的Windows 97,即OSR2就开始支持了),它可以增强磁盘性能并增加可用磁盘空间,同时也支持长文件名。
NTFS、FAT、FAT16、FAT32格式的区别
----------
FAT16:FAT16就是FAT,以前用的DOS、Windows 95都使用FAT16文件系统,现在常用的Windows 98/2000/XP等系统均支持FAT16文件系统。它最大可以管理大到2GB的分区,但每个分区最多只能有65525个簇(簇是磁盘空间的配置单位)。随着硬盘或分区容量的增大,每个簇所占的空间将越来越大,从而导致硬盘空间的浪费。
量从 512 MB 到 2 TB。在 Windows XP 中,只能格式化最多达 32 GB 的 FAT32 卷。不支持域。最大文件大小为4 GB。
FAT:可以通过 MS-DOS、所有版本的 Windows、Windows NT、Windows 2000、Windows XP 和 OS/2 进行访问。
FAT32:只能通过 Windows 95 OSR2、Windows 98、 Windows Millennium Edition、Windows 2000 和Windows XP 进行访问。
NTFS(New Technology File System):微软Windows NT内核的系列操作系统支持的、一个特别为网络和磁盘配额、文件加密等管理安全特性设计的磁盘格式。它与旧的FAT文件系统的主要区别是NTFS支持元数据(metadata),并且可以利用先进的数据结构提供更好的性能、稳定性和磁盘的利用率。随着以NT为内核的Windows 2000/XP的普及,很多个人用户开始用到了NTFS。NTFS也是以簇为单位来存储数据文件,但NTFS中簇的大小并不依赖于磁盘或分区的大小。簇尺寸的缩小不但降低了磁盘空间的浪费,还减少了产生磁盘碎片的可能。NTFS支持文件加密管理功能,可为用户提供更高层次的安全保证。NTFS有三个版本:在NT 3.51和NT 4中的1.2版,Windows 2000中的3.0版和Windows XP中的3.1版。这些版本有时被提及为4.0版、5.0版和5.1版。更新的版本添加了额外的特性,比如Windows 2000引入了配额。在兼容性方面,Windows的95/98/98SE和Me版都不能识别NTFS文统的兼容性:
winhex数据恢复FAT16文件系统
winhex手工恢复FAT16文件系统根目录项(Root entries)为512,每个目录项占用32字节,所以F DT(File Directory Table)共占用512*32/512=32个扇区。
这512个目录项是根目录下所有登记项的总和,包括卷标、子目录和文件。
公式精确方法:FAT扇区数= (扇区总数+2*每簇扇区数–32 –保留扇区数)/(256*每簇扇区数)例:FAT扇区数= (3915713+128-32)/(256*64)= 238.99029541015625=239扇区粗略方法:FAT扇区数:FAT用两个字节记录一个簇。
例:FAT扇区数= 总簇数*2/512 = (3915713 /64)/256 = 238.99615478515625 = 239扇区FAT16文件系统结构WinHex FAT16文件系统结构" src="/Article/UploadFiles/200901/2009011315530616.jpg" width="580" border="0" />一个文件或子目录在磁盘上的存储位置(逻辑扇区号)为:1+2*FAT扇区数+FDT扇区数+(起始簇号-2)*每簇扇区数解释:“1”代表DBR扇区,“起始簇号-2”代表用户文件从2号簇开始计算的。
这样的话,第一个文件的起点(第2簇)紧随FDT。
DBR引导DBR与分区的位置关系每个分区的DBR都位于此分区的第一个扇区。
主分区DBR由MBR来制定,扩展分区由虚拟MBR指定。
DBR与分区表的位置关系第一个主分区的DBR一般距离MBR的扇区个数为62个(MBR=0,DBR=63),由于每个扩展分区都有一个虚拟MBR,所以每个扩展分区DBR都距离虚拟MBR 62个扇区。
这里再回忆下分区表链的读取方法:主分区直接由MBR表项中的“本分区之前扇区数”来定位;扩展分区要加上一个偏移,即MBR中制定的“扩展分区之前扇区数”,而且此偏移在所有的虚拟MBR中都不变(这点有点与想当然不一样~),记住就可以了。
数据恢复原理及精华(有图解的哦)
目录:Winhex的教程 (1)关于数码与码制: (1)Winhex (2)友情提醒 (49)Winhex的教程数据的恢复分类:硬恢复和软恢复。
所谓硬恢复就是硬盘出现物理性的损伤,比如有盘体坏道、电路板芯片烧毁、盘体异响,等故障,由此所导致的普通用户不容易取出里面数据,那么我们将它修好,同时又保留里面的数据或后来恢复里面的数据,这些都叫数据恢复,只不过这些故障有容易的和困难的之分;所谓软恢复,就是硬盘本身没有物理损伤,而是由于人为或者病毒破坏所造成的数据丢失(比如误格式化,误分区),那么这样的数据恢复就叫软恢复。
这里呢,我们主要介绍软恢复,因为硬恢复还需要购买一些工具设备(比如pc3000,电烙铁,各种芯片、电路板),而且还需要懂得一点点电路基础,我们这里所讲到的所有的知识,涉及面广,层次深,既有数据结构原理,为我们手工准确恢复数据提供依据,又有各种数据恢复软件的使用方法及技巧,为我们快速恢复数据提供便利,而且所有软件均为网上下载,不需要我们投资一分钱。
数据恢复的前提:数据不能被二次破坏、覆盖!关于数码与码制:关于二进制、十六进制、八进制它们之间转换我不想多说,因为他对我们的数据恢复来说帮助不大,而且很容易把我们绕晕。
如果你感兴趣想多了解一些,可以到百度里面去搜一下,这方面资料已经很多了,就不需要我再多说了。
数据恢复我们主要用十六进制编辑器:Winhex (数据恢复首选软件)我们先了解一下数据结构:下面是一个分了三个区整个硬盘的数据结构MBR C盘EBR D盘EBR E盘MBR,即主引导纪录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512字节)。
在总共512字节的主引导记录中,MBR 又可分为三部分:第一部分:引导代码,占用了446个字节;第二部分:分区表,占用了64字节;第三部分:55AA,结束标志,占用了两个字节。
后面我们要说的用winhex软件来恢复误分区,主要就是恢复第二部分:分区表。
FAT
FA T文件系统是文件在磁盘中的一种组织形式,其目的无非是便于操作系统在磁盘中找到需要的文件。
FA T文件系统有三个版本:FA T12,FA T16,FA T32。
其原理一样,只是在管理的磁盘空间容量有差别,是递增的关系。
一块新的磁盘需要格式化后才可以使用,而格式化的目的便是组织磁盘的文件系统。
刚到手的磁盘内部空间是一个大的整体,格式化后,磁盘内部空间被划分为五个部分:MBR,DBR,FA T,根目录,数据区。
文件系统是从FA T部分开始的。
MBR部分并不是所有磁盘都有,记录磁盘最重要的结构信息,包括一小段执行代码(主引导代码)、磁盘特征和硬盘分区表。
DBR为引导扇区,FA T是文件分配表,根目录记录文件信息,数据区存储文件数据。
每部分的组织形式如下:MBR(主引导记录扇区)基本结构:(1)主引导程序(偏移地址0000H~0088H),它负责从活动分区中装载并运行系统引导程序。
(2)出错信息数据区偏移地址(0089~00E1为出错信息,10E2H~10BD全为0字节)(3)分区表(DPT,Disk Partition Table).含4个分区项偏移地址01BEH~01FDH,每个分区表项长16个字节,共64字节为分区项1,分区项2,分区项3,分区项4).其中,加下划线的16个字节数据就是分区项1(即主分区)的参数.(4)结束标志偏移地址(01EFH~01FFH的两个字节值为结束标志55AA,如果该标志错误系统就不能启动).主要功能:(1)检查硬盘分区表是否完好(2)在分区表中寻找可引导的活动分区(3)将活动分区的第一逻辑扇区内容装入内存。
在DOS/WINDOWS分区中,此扇区内容称为DOS引导记录。
应着重理解:分区表:分区表中记录有DBR的地址DBR(引导记录)基本结构:(1)跳转指令,占用3个字节的跳转指令将跳至引导代码,其内容随DOS版本变化。
(2)厂商标识和DOS版本号。
该部分总共占用8个字节,其内容随DOS版本而不同。
FAT文件删除恢复
实验一FAT文件删除恢复主要目的:掌握FA T文件系统结构,分析其安全问题主要内容:1.使用Winhex工具查看FA T文件系统;2.了解BPB表、FA T、FDT组成;3.掌握FA T对文件增加和删除的具体执行过程;4.实现FA T中文件删除后的恢复;5.分析FA T文件系统中的安全问题。
实验原理:一WinhexWinhex 是一款评价很高的16 进制文件编辑与磁盘编辑软件。
WinHex 以文件小、速度快,功能不输其它的 Hex 十六进位编辑器工具得到了 ZDNet Software Library 五颗星最高评价,可做 Hex 与 ASCII 码编辑修改,多文件寻替换功能,一般运算及逻辑运算,磁盘磁区编辑(支持 FAT16、FAT32 和 NTFS)自动搜寻编辑,文件比对和分析等功能,另外 8.3 版新增了 RAM 编辑功能。
软件的使用:标题栏:与一般的应用软件一样,标题栏中显示软件名称和当前打开的文件名称。
菜单栏:Winhex 的菜单栏由八个菜单项组成-文件菜单、编辑菜单、搜索、定位、工具、选项菜单、文件管理、窗口和帮助菜单。
在文件菜单中,除了常规的新建、打开文件和保存以及退出命令以外,还有备份管理、创建备份和载入备份功能。
选择文件菜单中的属性项,弹出文件属性窗口,包括文件路径、名称、大小、创建时间和修改日期等内容。
在编辑菜单中,除了常规的复制、粘贴和剪切功能外,还有数据格式转换和修改的功能。
在搜索菜单中,你可以查找或替换文本内容和十六进制文件,搜索整数值和浮点数值。
在定位菜单中,你可以根据偏移地址和区块的位置快速定位。
在工具菜单中,包括磁盘编辑工具、文本编辑工具、计算器、模板管理工具和 Hex 转换器,使用十分方便。
在选项菜单中,包括常规选项设置、安全性设置和还原选项设置。
在文件管理菜单中,你可以对文件进行分割、比较、复制和剖析,功能十分强大。
在 Winhex 的工具栏中,包括文件新建、打开、保存、打印、属性工具;剪切、粘贴和复制编辑工具;查找文本和 Hex 值,替换文本和 Hex 值;文件定位工具、RAM 编辑器、计算器、区块分析和磁盘编辑工具;选项设置工具和帮助工具按钮。
有关于对exFAT文件系统数据恢复软件功能原理的分析
有关于对exFAT文件系统数据恢复软件功能原理的分析望尊重分析成果,勿随意转载,交流+328722262 exFAT文件系统作为微软面向移动存储开发的新一代文件系统,其结构相对来说和之前的FAT32及FAT16有一些相似,但其结构虽简单但运行效率还是很高的,在早期的FAT32及16当中一直困扰大家的就是碎片,而在exFAT文件系统当中虽然碎片还会出现,但经过多方面的实验分析得出,exFAT出现文件碎片的机率是很低的,因此这样的文件系统在做数据恢复时是非常容易.exFAT文件系统对于文件删除所做操作很简单,在目录记录项方面将该文件对应的目录记录项的85H,C0H,C1H分别改为05H,40H,41H来实现类似于FAT32当中将文件记录的第一个字节改为E5H的效果,另外一方面,对于空间的释放则通过在Cluster Bitmap File当中做相应修改来实现空间释放的效果(CBF的修改和FAT32当中的File Allocation Tabler 修改有很大差异,exFAT的CBF是通过算法实现修改,而FAT32只是通过对应的簇号描述修改),最为主要的就是数据区当中的数据没有变化.数据恢复软件当中的删除恢复,熟悉的人肯定知道恢复软件删除恢复功能的原理很简单,就是根据分区当中的每一个文件的文件记录来实现,能过文件记录当中确定出文件的名称,扩展名,首簇以及长度etc…,得到这些信息之后,程序会在数据区对应的位置开始按照记录当中的长度描述连续提取数据,并按文件名称及扩展名进行保存.删除恢复功能就实现了.此功能的缺点就在于如果文件记录不对或文件存在碎片就会无法恢复成功前文已经说明了exFAT文件系统删除文件的操作大致和FAT32一样,所以对于针对exFAT文件系统删除恢复的软件原理肯定是和FAT32的原理一样,唯一的区别就在于程序对目录记录项的分析发生了改变.exFAT文件系统在通过执行格式化生成时,同样也是要生成操作系统引导扇区(DBR)和文件分配表(FAT)以及在exFAT文件系统当中新出现的Cluster Bitmap Tbale,Uppercase Conversion TableC 和一个空白的ROOT Directory,那么如果将一个exFAT格式化为exFAT的话,那么DBR,FAT,CBT,UCT以及ROOT都会重新建立,那么这个操作和FAT32的格式化也是一样的,除此之外其它都没有做任修改,这就意为着的格式化恢复功能和基于FAT32的恢复功能原理也是一样的.数据恢复软件对FAT32文件系统格式化恢复功能的原理是通过搜索分区当中的SubFDT,具体数据提取过程和删除恢复是一样的,那么这种方式的恢复对于存在于根目录的单个文件就无法实现恢复了,这就是针对FAT32文件系统格式化恢复功能的缺点,当然对于利用同样的原理到exFAT32也同样存在这样的缺点.那么根目录的文件如何来恢复呢,针对FAT32的恢复软件当中存在一个RAW恢复即通过文件本身的结构特点(File Head & File End)在数据区当中进行搜索提取,这种原理完全摆脱了文件系统结构,如果文件不存在碎片,那么这种恢复一般都是可以恢复成功的,只是恢复出的文件已经不存在其本身具有的属性(名称,属性,写入时间,修改时间,访问时间等),此功能也完全可以应用到exFAT当中,而对现有的数据恢复软件当中还不支持exFAT文件系统,所以可以通过现有软件的RAW恢复功能来实现对exFAT文件恢复的效果(注意红色的字和蓝色的字).总结一下就是exFAT文件系统的恢复软件原理和FAT32/16文件系统恢复软件的原理是一样的.望尊重分析成果,勿随意转载,交流+328722262。
数据恢复的背景
元数据为描述数据的数据(data about data),主要是描述数据属性(property )的信息,用来支持如指示存储位置、历史数据、资源查找、文件记录等功能。
一、磁盘映像是指复制到不同的装置或数据格式,主要用于数据备份二、文件雕复文件雕复可以定义为不依赖文件系统的元信息,从一个磁盘映像中按适当的顺序把所有属于同一个文件的字节序列拷贝出来的过程,是一种深度的数据恢复方法。
早期最经典的文件雕复算法是基于文件头/文件尾雕复方法。
而后,数据恢复领域的专家们提出了许多的雕复方法,如文件头/最大长度雕复基于文件结构的雕复、基于块内容的雕复、基于图论的雕复、基于映射函数的雕复、原地文件雕复、二分片雕复、零存储雕复和Smart雕复等方法。
然而这些雕复方法其实可以大致分为两类:一类是基于文件结构的雕复方法,另一类是基于文件内容的雕复方法。
三、数据恢复的背景目前,人类已经进入信息化社会,很多信息都在肉眼看不到的比特流中进行传播。
凝结着人类智慧结晶的计算机也开始步入人们的家庭,为人们的生活提供了方便快捷的工具。
对于普通用户而言,数据保护意识薄弱,因为误操作而清除了磁盘上的文件或者认为该数据无用而删除文件而事后又需要使用,等等原因造成的数据丢失的事情频繁发生。
因此,为了用户能更好的使用计算机,减少用户损失,数据恢复的一些相关技术得以成熟和发展。
四、数据恢复的意义对于普通用户而言,防止数据丢失的一个很重要且有效的方法就是使用备份。
但是,对于大多数用户而言,一般对备份这个问题没有充分的认识,对数据的保护意识也比较模糊。
在无数据备份的情况下,或者更糟糕的情况下,比如连备份数据也遭到破坏,那么,数据恢复无疑成了最后一根救命稻草。
另外,除了对于用户数据的恢复问题,数据恢复同时也是计算机取证中的一种关键技术手段。
现在,犯罪现场不单纯的停留在现实生活中的环境,网络、计算机也成为犯罪现场的重要客体。
随着《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》等法津法规的不断完善,电子科技大学硕士学位论文反计算机犯罪的进程不断加强,通过司法程序合理的取得犯罪证据使得计算机取证技术成了当前一个热门技术。
FAT16文件系统详解
FAT16FAT16的定义在说明FAT16文件系统之前,我们必须清楚FAT是什么?FAT(File Allocation Table)是“文件分配表”的意思。
顾名思义,就是用来记录文件所在位置的表格,它对于硬盘的使用是非常重要的,假若丢失文件分配表,那么硬盘上的数据就会因无法定位而不能使用了。
不同的操作系统所使用的文件系统不尽相同,在个人计算机上常用的操作系统中,MS-DOS 6.x及以下版本使用FAT16;OS/2使用HPFS;Windows NT则使用NTFS;而MS-DOS 7.10及ROM-DOS 7.10同时提供了FAT16及FAT32供用户选用。
其中我们接触最多的是FAT16、FAT32文件系统。
FAT16文件系统FAT16使用了16位的空间来表示每个扇区(Sector)配置文件的情形,故称之为FAT16。
FAT16由于受到先天的限制,因此每超过一定容量的分区之后,它所使用的簇(Cluster)大小就必须扩增,以适应更大的磁盘空间。
所谓簇就是磁盘空间的配置单位,就象图书馆内一格一格的书架一样。
每个要存到磁盘的文件都必须配置足够数量的簇,才能存放到磁盘中。
FAT16各分区与簇大小的关系如下表:分区大小FAT16簇大小16MB-127MB 2KB128MB-255MB 4KB256MB-511MB 8KB512MB-1023MB 16KB1024MB-2047MB 32KB如果你在一个1000MB的分区中存放50KB的文件,由于该分区簇的大小为16KB,因此它要用到4个簇才行。
而如果是一个1KB的文件,它也必须使用一个簇来存放。
那么每个簇中剩下的空间可否拿来使用呢?答案是不行的,所以在使用磁盘时,无形中都会或多或少损失一些磁盘空间。
由上可知,FAT16文件系统有两个最大的缺点:(1)磁盘分区最大只能到2GB。
当前只要你添购计算机的话,想必其中的硬盘大小必定至少有2GB,而3.2GB、4.3GB以上的硬盘比比皆是,且物美价廉。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
5. 掌握手工找FAT32分区下的文件 K024 (能通过winhex工具找到指定 分区上的指定目录下的文件和 目录)
6.理解FAT文件系统对长文件名的 管理方式
K025
1 能回答出FAT文件系统对长文件名的管理方法 2 能使用winhex手工找到长文件名对应的所有FDT项
1如何判断文件FDT项是否属于长文件名
数据DIY论坛(更多精彩请看这里!)
Fat16的组织形式 其他文件 夹及所 有文件
引导扇区
FAT1
FAT2(重复 的)
根文件夹
剩余扇区
1扇区
实际情况 取大小
同FAT1
32个扇区
开始簇编 号(从2 开始)
不足一簇
数据DIY论坛(更多精彩 请看这里!)
3.2.1 FAT16根目录下文件的 管理
例子:
在FAT16下 根目录下建立一个文件file.txt, 来分析FAT16的FDT. 参考 教材
数据DIY论坛(更多精彩请看这里!)
数据DIY论坛(更多精彩请看这里!)
数据DIY论坛(更多精彩请看这里!)
数据DIY论坛(更多精彩 请看这里!)
9.理解文件的彻底删除(文件系 统是如何彻底删除一个文件的)
K028
1 能回答出对一个FAT文件系统中的 文件进行彻底删除时文件系统结构 中的变化(FAT表的变化,FDT的变 化,DATA区的变化) 1能回答出对一个FAT文件系统中的 目录进行彻底删除时文件系统结构 中的变化(FDT的变化) 1 能回答出将磁盘快速格式化成FAT 文件系统都做了些什么 1 能回答出完全高级格式化和高级 格式化的区别 1 能回答出什么是碎片,在平时使 用计算机的时候,什么情况下才能 产生碎片 2 能在计算机上手工创建碎片
数据DIY论坛(更多精彩请看这里!)
3.2.1 FAT16根目录下文件的 管理
文件目录表的起始位置
数据DIY论坛(更多精彩请看这里!)
FAT16下FDT项的含义
数据DIY论坛(更多精彩请看这里!)
数据DIY论坛(更多精彩请看这里!)
10.理解子目录的简单删除(文件 K029 系统是如何简单删除一个子目 录的) 11.掌握FAT分区快速高级格式化。K030 (文件系统是如何快速色格式化 一个FAT分区的) 12.掌握FAT分区完全高级格式化 K031 (文件系统是如何完全高级格式 化格式化一个FAT分区的) 13.掌握FAT文件系统形成碎片的 K032 原因
1、FAT16存储原理
两大管理思想 簇的思想: 将存储空间的连续相邻扇区当作一 个整体来进行管理,即分配和回收空间时以簇 单位进行管理。 位示图的思想:用一个位或连续的几个位来表 示一个簇的使用情况。在FAT16中,采用连续 的16位来表示一个簇的使用情况。
数据DIY论坛(更多精彩请看这里!)
数据DIY论坛(更多精彩 请看这里!)
测试题
数据DIY论坛(更多精彩请看这里!)
数据DIY论占用的扇区数量的计算公式: (格式化时确定 )
数据DIY论坛(更多精彩请看这里!)
3 根目录下文件的管理
3.2.1
FAT16根目录下文件的管理 3.2.3 WIN95长文件名的实现及存在的问题
数据DIY论坛(更多精彩请看这里!)
数据DIY论坛(更多精彩请看这里!)
数据DIY论坛(更多精彩请看这里!)
数据DIY论坛(更多精彩请看这里!)
3.2.2 FAT16 根目录下文件的 管理
数据DIY论坛(更多精彩请看这里!)
2.1 硬盘区域的组织
系统如何利用FDT和FAT查找文件 各个区域的相互关系
数据DIY论坛(更多精彩请看这里!)
2.1.2各个区域的相互关系-- FAT16分 区
(1) FAT16分区下的DBR: 文件系统的参数都记录在DBR的BPB中,系统依靠它来确 定FAT,FDT和DATA的位置,如下图:
FAT表实际上是一个数据表,以2个字节为单位,我们暂将这 个单位称为FAT记录项,通常情况其第1、2个记录项(前4个字 节)用作介质描述。从第三个记录项开始记录除根目录外的其 他文件及文件夹的簇链情况。根据簇的表现情况FAT用相应的 取值来描述,见表10 FAT16记录项的取值含义(16进制) FAT16记录项的取值 对应簇的表现情况 0000 未分配的簇 0002~FFEF 已分配的簇 FFF0~FFF6 系统保留 FFF7 坏簇 FFF8~FFFF 文件结束簇
数据DIY论坛(更多精彩请看这里!)
1、FAT16存储原理
当把一部分磁盘空间格式化为fat文件系统时, fat文件系统就将这个分区当成整块可分配的区域进 行规划,以便于数据的存储。 引导扇区(DBR)我们已经说过,FAT16在DBR之后 没有留有任何保留扇区,其后紧随的便是FAT 表。 FAT表是FAT16用来记录磁盘数据区簇链结构的。 像前面我们说过的例子一样,FAT将磁盘空间按一 定数目的扇区为单位进行划分,这样 的单位称为簇。 通常情况下,每扇区512字节的原则是不变的。簇 的大小一般是2n (n为整数)个扇区的大小.
K021
数据DIY论坛(更多精彩 请看这里!)
学习内容 1.理解什么是文件系统 2.掌握FAT12、FAT16、FAT32之间 的区别
知识点 K022 K023
检查标准 1 能通过自己所掌握的知识描述出文件系统的含义 1 掌握FAT12、FAT16、FAT32、的区别及联系 1 能回答出找FAT32分区下文件及目录的步骤及方法 2 能使用winhex手工找到FAT32分区下的指定目录及 文件
在菜单“视图”--》“模版”中选择
“启动扇区FAT32” 列举了这些参数,其中我们需要修改的有: 扇区数/簇: 保留扇区数: 隐藏扇区数: 分区扇区数目 扇区数/FAT: 根目录的第一个簇:
数据DIY论坛(更多精彩请看这里!)
要求
课程内容 知识点编号 检查标准
6.了解DBR结构和作用(什么 是DBR,每个字段所代 表的意义和所起的作用)
在根目录下建立文件file1.txt,分析FAT32的FDT.
(1) 查找文件file1.txt的FDT项 (2)分析其FDT项
数据DIY论坛(更多精彩请看这里!)
3.2.3 WIN95长文件名的实现及存在的问题
长文件名格式
长文件名存在的问题及使用注意事项
数据DIY论坛(更多精彩请看这里!)
1 手动恢复FAT16
FAT16的原理
FAT16下如何查找文件 利用WinHex手动恢复FAT16删除的文件
WinHex手动恢复FAT16的DBR
数据DIY论坛(更多精彩请看这里!)
2.1 修改FAT32的DBR引导扇区中的参数
FAT32分区被格式化后,在其第一个扇区
数据DIY论坛(更多精彩请看这里!)
数据DIY论坛(更多精彩请看这里!)
数据DIY论坛(更多精彩请看这里!)
2.1.2各个区域的相互关系-- FAT16分 区
(2)FAT16分区下的FAT文件分配表 FAT占用的扇区数量: (格式化时确定 )
7.掌握FAT表的结构和作用 (什么是FAT表,FAT表的 具体结构和所起作用) 8.FDT表的结构和作用(什么 是FDT表,FDT表的具体 结构和所起作用)
K019
了解DBR的定义、结构和DBR的作用。
K020
1 掌握FAT表在FAT文件系统中的位置以 及含义和作用 2 能使用winhex从FAT文件系统中找到 FAT表的位置及大小 1掌握FDT表在FAT文件系统中的位置以 及含义和作用 2 掌握文件FDT的结构以及每个字节的 含义 3能使用winhex从FAT文件系统中找到 FDT表的起始位置
(DBR中存储有FAT32分区的系统参数,如果 这些参数被破坏,则FAT32分区仍然无法正常 打开。在不同的FAT32分区中,DBR中的程序 代码是不变的,只时参数不同而已。因此,如 果要修复DBR,只需要拷贝其他的FAT32的 DBR覆盖,并修改关键参数即可。
数据DIY论坛(更多精彩请看这里!)
7.掌握手工找FAT文件系统下的长 K026 文件名文件(能通过winhex工 具找到指定分区上的名字为长 文件名的文件和目录) 8. 理解文件的简单删除。(文件 K027 系统是如何简单删除一个文件 的。)
1 能回答出对一个FAT文件系统中的文件进行简单删除 时文件系统结构中的变化(FAT表的变化,FDT的变 化,DATA区的变化)