数据恢复技术一

创建时间
16 B C
17 42
18 B C
19 42
20 00
21 00
22 72
23
24
25
26 07
27 00
28
CD
29 73
用FORMAT命令对磁盘进行格式化的时候，就 已经为整个磁盘建立了一个根目录FDT。 如下 图格式化的磁盘。
簇2
• 根目录下的所有文件及其子目录在根目录的文 件目录表（FDT）中都有一个 “目录项”。每 个目录登记项占用32个字节，分为8个区域， 提供有关文件或子目录的信息。其详细描述如 下图所示:
FAT表分析
簇0
簇1
簇2
簇3
簇4
簇5
簇6
簇链
簇链
FAT表项与簇一一对应，系统在创建一个新文件时，会逐一扫 描FAT，跳过己经分配的簇，将簇分配给文件，同时其簇号作为该 文件的首簇号被记录到文件的目录项中。如果文件只需一个簇就可 以存下，则首簇号对应的FAT表项中将存放文件最后一簇的标记( 一般为FFFFFF0FH)。 若文件大小大于一个簇，则系统会继续寻找 FAT表中未分配的簇，找到后将该簇的簇号存到上一簇对应的FAT
每簇大小4K
簇 簇 簇 簇簇 簇 簇
FAT
0 1 2 3 4 5
………………..
n
结束标记
4 4 5 0 1 2 3 5 6 7 8 9
结束标记
文件A大小3K
10 15 20 …
11 16 21 …
12 17 22 …
13 18 23 …
14 19 24 n
文件B大小9K
在磁盘上创建三个文件：swk.jpg 、 山东政法学院.txt 、 信科系简介.txt。
大家的疑惑？
• 电脑中的照片、电影、文件在硬盘内 部是什么样的？如何组织的？
噩梦般的经历 多年收藏和积累的资料被感染病毒遭到破 坏、丢失、打不开或者成为乱码？
一不小心删除了照片或者重要文件，让你 后悔莫及，损失惨重？
怎么办？？？
2、世界上没有完美无缺的人，同样也没有 完美无缺的计算机和软件系统。 3、硬盘有价，数据无价。
为了便于管理，系统将磁盘划分为一个一个大小相 等的块，这些块就被称为簇。一般情况下，FAT32中 每簇占用4KB大小。
簇 簇 簇 簇簇 簇
簇
FAT
0 1 2 3 4 5
DATA ……………….. 区
n
3、文件分配表FAT分析 FAT概念 FAT（File Allocation Table）：文 件分配表，表示文件在硬盘中存储位置的 登记表，是系统中文件的寻址系统。 FAT不真正存储文件的内容。为了数 据安全起见，FAT一般生成有两个，第二 个FAT为第一个FAT的备份。
MBR 主引导记录 0柱面、0磁头、1扇区的主引导记录（MBR ），该记录占用512个字节，它用于硬盘 启动时将系统控制权转给用户指定的、在 分区表中登记了某个操作系统分区。 硬盘的主引导记录（MBR）是不属于任何 一个操作系统的，它先于所有的操作系统 而被调入内存，并发挥作用，然后才将控 制权交给主分区（活动分区）内的操作系 统，并用主分区信息表来管理硬盘。
磁介质描述符(Media Description)表明磁 盘介质，根据磁盘性质的不同取不同的值 。通常的数据如表所示。
4 .2 FAT32文件系统
1 2
FAT32文件系统结构 文件分配表分析
3
4 5
文件目录表分析
文件删除原理及恢复 课后操作题
2、文件分配表分析
3.2、簇与FAT链 簇(Cluster)
我国发展现状 我国的文件恢复技术发展是相对较晚的 。文件恢复的概念是 2000 年左右才从欧美 等发达国家传入国内的。由于当时Windows 平台上主流的 FAT 文件系统或者 NTFS 文 件系统都是由国外设计和实现的，而对于其 中的原理和机制都不具备公开的文档说明， 很多关键性技术都掌握在外国人手里。所以 ，我国的数据恢复技术先驱研究者是在艰难 的起步条件下，从大量的研究和实践工作中 起步和不断进取的。
路中断后，在一个月后不得不关闭一些分支机构，数月后不得不破产清盘。
一般情况下，计算机黑客或罪犯为了掩盖犯 罪痕迹，常常会删除相应的作案记录或重要的系 统文件，比如系统日志、注册表信息、上网历史 记录、文件操作痕迹等等。为了找到指证线索和 获取充分的法律证据，取证工作者往往就需要对 那些已经被删除或被破坏的文件进行还原和恢复 。对磁盘上存储的海量二进制信息进行提取、分 析和重现的结果是否充分和正确，将直接影响到 计算机取证整个过程的效率和电子证据的说服力 ，所以，数据恢复技术作为计算机取证系统的核 心技术之一，其重要性和价值度越来越受到人们 的认识和关注。

写数据时，正好与此相反。
文件系统 微软的文件系统主要有FAT、NTFS、 ExFAT。 其中FAT文件系统主要有
FAT12、FAT16 、FAT32三种类型。
硬盘在存储数据之前，一般需经过低 级格式化、分区、高级格式化这三个步骤 之后才能使用。 作用:是在物理硬盘上建立一定的数 据逻辑结构，FAT32文件系统下一般将硬 盘分为五个区域，分别为主引导记录区 (MBR)、次引导记录区(DBR)、文件分配表 区(FAT)、文件目录表区(FDT)和数据区。
MBR 主引导记录
FAT32文件系统
1 2
FAT32文件系统结构 文件分配表分析
3
4 5
文件目录表分析
文件删除原理及恢复 课后操作题
1、FAT32文件系统结构
1、FAT32文件系统结构 FAT32文件系统由DBR及其保留扇区、 FAT、FDT、DATA区四个部分组成，其 结构如下图所示：
如今，对于传统的基于文件系统元信息 的文件恢复技术，国内已经有了很多相关文 献，取得了大量成果。参考书目：
戴士剑，涂彦晖编著的《数据恢复技术-经典重现版》 涂彦晖，戴士剑等人编著的《数据安全与编程技术》 刘伟 《数据恢复技术 深度揭秘》
案例
• 2004 年 3 月 15 日，当因谋杀宿舍四位室友而亡命天涯的 公安部 A级通缉犯马家爵在海南省三亚市被捕时，谁又 会想到，计算机取证技术在这次成功抓捕中起到了多么 重要的作用？就在北方各省市纷纷报出马家爵被发现的 假消息时，公安机关侦察人员已经通过计算机取证技术 将搜查范围锁定在三亚了。当时，随着调查一步步地深 入，侦察人员从其他渠道获悉，马家爵有一个特别的爱 好——上网。于是，放在马家爵宿舍里的计算机很快地 成为了众矢之的。侦察人员发现，这台旧电脑的硬盘竟 然已被狡猾的马家爵格式化了三遍之多，尽管这样，取 证人员还是运用专业软件将其数据进行了还原。经过对 硬盘中存放的海量信息过滤，侦察人员发现马家爵在出 逃前三天基本上都在搜集有关海南省的信息，特别是有 关三亚的旅游、交通和房地产信息。
4
(4) DOS引导程序 这段引导程序通常称为DOS引导程序 ，其实，并非单指DOS操作系统，而是对 各类操作系统进行初始引导的磁盘引导程 序，即BOOT(自举)扇区。它占用448字节 (3E~1FD )或420字节(5A~1FD)，负责完 成相关操作系统初始系统文件的装入。
(5)结束标志 DBR的结束标志与分区表的结束标 志相同，为“55AA"，占用两个字节。 以上5个部分共占用512个字节，正好 是一个扇区，该扇区的内容除第5部分结 束标志字固定不变外，其余4个部分都是 不确定的，会根据操作系统的版本，安装 的磁盘类型不同而变化。
表项中。这样，上一个FAT表项就存放了下个簇的簇号，通过簇号
找到文件的存放位置。这样就形成了一个链，称为FAT链，也称盘 簇链。
4 .2 FAT32文件系统
1 2
FAT32文件系统结构 文件分配表分析
3
4 5
文件目录表分析
文件删除原理及恢复 课后操作题
3、文件目录表分析
FDT (File Directory Table) 文件目录表
属 性 X X 创建时间
文件名
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
创建日期
访问日期
簇的高位 字
最后写时 间
最后写日 期
簇的低位 字
文件长度
目录项分析（文件名扩展名）
0
1
2
3
4
5
6
7
8
9
10 11 12 13 14 15
3C
53 57 4 B
20 20 20 20 20 4 A
4 、病毒，如木马、病毒、蠕虫、以及恶意 代码等几乎只要入侵了我们的系统，我们的 系统面临前所未有的威胁，毫无抵抗能力， 任由其毁坏数据、破坏系统或者控制系统。
5 、在遭遇不可预测的遭难时，比如说是系 统瘫痪，服务器里的数据全被请除，如果不 能恢复，那么这个公司将遭受灭顶之灾。
如911事件发生后，金融机构聚集的世贸大厦里的大量数据化为乌有，这是对所 有金融机构的重大挑战。纽约银行（Bank of New York）在数据中心全毁，通讯线
数据恢复技术
1、为什么要学？ 1、信息化的今天，电子设备普及，数据量 剧增。无论个人、公司、企业还是国家机关 ，都越来越依赖计算机系统。个人档案、文 件、电子邮件、公司财务记录、销售合同、 甚至国家机密等，无一不存储于计算机中， 设想如果系统崩溃，硬盘故障，数据损失将 会出现何种后果？
形形色色的电子设备
文件名
50 47 20 18 93 8 B
扩展名 属 性 X X
创建时间
16 B C
17 42
18 B C
19 42
20 00
21 00
22 72
23
Biblioteka Baidu
24
25
26 07
27 00
28
CD
29 73
30 00
31 00
7A B8 42
最后写日 期
创建日期
访问日期
簇的高位 字
最后写时 间
簇的低位 字
文件长度
0 1 2 3 4 5 6 7 8 9
扩展名
10 11 12 13 14 15
属 性 X X 创建时间
文件名
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
创建日期
访问日期
簇的高位 字
最后写时 间
最后写日 期
簇的低位 字
文件长度
目录项
0
1
2
3
4
5
6
7
8
9
扩展名
10 11 12 13 14 15
预备知识一 进制：二进制，十六进制。 计算机中数据的单位：位，字节和字。
预备知识二 硬盘是用来存储数据的，为了使用和 管理的方便，这些数据以文件的形式存储 在硬盘上。任何操作系统都有自己的文件 管理系统。
扇区

硬盘利用特定的磁粒子的极性来记录数据。 在读取数据时，磁头将磁粒子的不同极性转 换成不同的电脉冲信号，再利用数据转换器 将这些原始信号变成电脑可以使用的数据。
簇 簇 簇 簇簇 簇
FAT1 FAT2 FAT
簇
………………..
0 1 2 3 4 5 n
0 1 2 3 4 5 6 7 8 9
10 15 20 … 11 16 21 … 12 17 22 … 13 18 23 … 14 19 24 n
FAT表结构特点
FAT表由FAT表项构成，每个FAT表项32位（4 字节）。 FAT前2簇为保留簇(簇0和簇1)，不分配给文件 使用。 文件的结束簇标记： FF FF FF 0F 一个FAT表项值表明了文件占用的一个簇号并 指明下一簇号的位置。
53H=83
57H=87
4BH=75 20H=32
SWK
4AH=74
50H=80
47H=71
JPG
目录项分析（属性）
0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15
3C
53 57 4 B
20 20 20 20 20 4 A
文件名
50 47 20 18 93 8 B
扩展名 属 性 X X
（Dos引导记录DBR） DBR的组成。
DBR由跳转指令、厂商标识和版本号、BPB、引导 程序和结束标志5部分组成。
BPB作用。
记录着本分区的起始扇区、结束扇区、文件存储区 格式、硬盘介质描述符、根目录大小、FAT个数、分配 单元（Allocation Unit）的大小等重要参数。
（1）跳转指令 最开始即是一条跳转指令，让程序执行流程跳转到引 导代码。 （2）厂商标识和系统版本号 这段数据占8个(03~0A)字节，其内容随系统版本不同 而略有变化。 （3）磁盘参数块 磁盘参数块也称为BIOS参数块BPB (BIOS Parameter Block)。它从第12 (0BH)个字节开始，占用 52 (0B~3E， FAT12/FAT16格式)或80 (0B~5A， FAT32格式)个字节，各字节内容及地址分配如表2-6所 示。表中记录了磁盘的每扇区字节数、磁头数、目录起 始簇等重要信息，该部分的内容随磁盘类型的不同而变 化。