数据恢复技术一
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
创建时间
16 B C
17 42
18 B C
19 42
20 00
21 00
22 72
23
24
25
26 07
27 00
28
CD
29 73
用FORMAT命令对磁盘进行格式化的时候,就 已经为整个磁盘建立了一个根目录FDT。 如下 图格式化的磁盘。
簇2
• 根目录下的所有文件及其子目录在根目录的文 件目录表(FDT)中都有一个 “目录项”。每 个目录登记项占用32个字节,分为8个区域, 提供有关文件或子目录的信息。其详细描述如 下图所示:
FAT表分析
簇0
簇1
簇2
簇3
簇4
簇5
簇6
簇链
簇链
FAT表项与簇一一对应,系统在创建一个新文件时,会逐一扫 描FAT,跳过己经分配的簇,将簇分配给文件,同时其簇号作为该 文件的首簇号被记录到文件的目录项中。如果文件只需一个簇就可 以存下,则首簇号对应的FAT表项中将存放文件最后一簇的标记( 一般为FFFFFF0FH)。 若文件大小大于一个簇,则系统会继续寻找 FAT表中未分配的簇,找到后将该簇的簇号存到上一簇对应的FAT
每簇大小4K
簇 簇 簇 簇簇 簇 簇
FAT
0 1 2 3 4 5
………………..
n
结束标记
4 4 5 0 1 2 3 5 6 7 8 9
结束标记
文件A大小3K
10 15 20 …
11 16 21 …
12 17 22 …
13 18 23 …
14 19 24 n
文件B大小9K
在磁盘上创建三个文件:swk.jpg 、 山东政法学院.txt 、 信科系简介.txt。
大家的疑惑?
• 电脑中的照片、电影、文件在硬盘内 部是什么样的?如何组织的?
噩梦般的经历 多年收藏和积累的资料被感染病毒遭到破 坏、丢失、打不开或者成为乱码?
一不小心删除了照片或者重要文件,让你 后悔莫及,损失惨重?
怎么办???
2、世界上没有完美无缺的人,同样也没有 完美无缺的计算机和软件系统。 3、硬盘有价,数据无价。
为了便于管理,系统将磁盘划分为一个一个大小相 等的块,这些块就被称为簇。一般情况下,FAT32中 每簇占用4KB大小。
簇 簇 簇 簇簇 簇
簇
FAT
0 1 2 3 4 5
DATA ……………….. 区
n
3、文件分配表FAT分析 FAT概念 FAT(File Allocation Table):文 件分配表,表示文件在硬盘中存储位置的 登记表,是系统中文件的寻址系统。 FAT不真正存储文件的内容。为了数 据安全起见,FAT一般生成有两个,第二 个FAT为第一个FAT的备份。
MBR 主引导记录 0柱面、0磁头、1扇区的主引导记录(MBR ),该记录占用512个字节,它用于硬盘 启动时将系统控制权转给用户指定的、在 分区表中登记了某个操作系统分区。 硬盘的主引导记录(MBR)是不属于任何 一个操作系统的,它先于所有的操作系统 而被调入内存,并发挥作用,然后才将控 制权交给主分区(活动分区)内的操作系 统,并用主分区信息表来管理硬盘。
磁介质描述符(Media Description)表明磁 盘介质,根据磁盘性质的不同取不同的值 。通常的数据如表所示。
4 .2 FAT32文件系统
1 2
FAT32文件系统结构 文件分配表分析
3
4 5
文件目录表分析
文件删除原理及恢复 课后操作题
2、文件分配表分析
3.2、簇与FAT链 簇(Cluster)
我国发展现状 我国的文件恢复技术发展是相对较晚的 。文件恢复的概念是 2000 年左右才从欧美 等发达国家传入国内的。由于当时Windows 平台上主流的 FAT 文件系统或者 NTFS 文 件系统都是由国外设计和实现的,而对于其 中的原理和机制都不具备公开的文档说明, 很多关键性技术都掌握在外国人手里。所以 ,我国的数据恢复技术先驱研究者是在艰难 的起步条件下,从大量的研究和实践工作中 起步和不断进取的。
路中断后,在一个月后不得不关闭一些分支机构,数月后不得不破产清盘。
一般情况下,计算机黑客或罪犯为了掩盖犯 罪痕迹,常常会删除相应的作案记录或重要的系 统文件,比如系统日志、注册表信息、上网历史 记录、文件操作痕迹等等。为了找到指证线索和 获取充分的法律证据,取证工作者往往就需要对 那些已经被删除或被破坏的文件进行还原和恢复 。对磁盘上存储的海量二进制信息进行提取、分 析和重现的结果是否充分和正确,将直接影响到 计算机取证整个过程的效率和电子证据的说服力 ,所以,数据恢复技术作为计算机取证系统的核 心技术之一,其重要性和价值度越来越受到人们 的认识和关注。
写数据时,正好与此相反。
文件系统 微软的文件系统主要有FAT、NTFS、 ExFAT。 其中FAT文件系统主要有
FAT12、FAT16 、FAT32三种类型。
硬盘在存储数据之前,一般需经过低 级格式化、分区、高级格式化这三个步骤 之后才能使用。 作用:是在物理硬盘上建立一定的数 据逻辑结构,FAT32文件系统下一般将硬 盘分为五个区域,分别为主引导记录区 (MBR)、次引导记录区(DBR)、文件分配表 区(FAT)、文件目录表区(FDT)和数据区。
MBR 主引导记录
FAT32文件系统
1 2
FAT32文件系统结构 文件分配表分析
3
4 5
文件目录表分析
文件删除原理及恢复 课后操作题
1、FAT32文件系统结构
1、FAT32文件系统结构 FAT32文件系统由DBR及其保留扇区、 FAT、FDT、DATA区四个部分组成,其 结构如下图所示:
如今,对于传统的基于文件系统元信息 的文件恢复技术,国内已经有了很多相关文 献,取得了大量成果。参考书目:
戴士剑,涂彦晖编著的《数据恢复技术-经典重现版》 涂彦晖,戴士剑等人编著的《数据安全与编程技术》 刘伟 《数据恢复技术 深度揭秘》
案例
• 2004 年 3 月 15 日,当因谋杀宿舍四位室友而亡命天涯的 公安部 A级通缉犯马家爵在海南省三亚市被捕时,谁又 会想到,计算机取证技术在这次成功抓捕中起到了多么 重要的作用?就在北方各省市纷纷报出马家爵被发现的 假消息时,公安机关侦察人员已经通过计算机取证技术 将搜查范围锁定在三亚了。当时,随着调查一步步地深 入,侦察人员从其他渠道获悉,马家爵有一个特别的爱 好——上网。于是,放在马家爵宿舍里的计算机很快地 成为了众矢之的。侦察人员发现,这台旧电脑的硬盘竟 然已被狡猾的马家爵格式化了三遍之多,尽管这样,取 证人员还是运用专业软件将其数据进行了还原。经过对 硬盘中存放的海量信息过滤,侦察人员发现马家爵在出 逃前三天基本上都在搜集有关海南省的信息,特别是有 关三亚的旅游、交通和房地产信息。
4
(4) DOS引导程序 这段引导程序通常称为DOS引导程序 ,其实,并非单指DOS操作系统,而是对 各类操作系统进行初始引导的磁盘引导程 序,即BOOT(自举)扇区。它占用448字节 (3E~1FD )或420字节(5A~1FD),负责完 成相关操作系统初始系统文件的装入。
(5)结束标志 DBR的结束标志与分区表的结束标 志相同,为“55AA",占用两个字节。 以上5个部分共占用512个字节,正好 是一个扇区,该扇区的内容除第5部分结 束标志字固定不变外,其余4个部分都是 不确定的,会根据操作系统的版本,安装 的磁盘类型不同而变化。
表项中。这样,上一个FAT表项就存放了下个簇的簇号,通过簇号
找到文件的存放位置。这样就形成了一个链,称为FAT链,也称盘 簇链。
4 .2 FAT32文件系统
1 2
FAT32文件系统结构 文件分配表分析
3
4 5
文件目录表分析
文件删除原理及恢复 课后操作题
3、文件目录表分析
FDT (File Directory Table) 文件目录表
属 性 X X 创建时间
文件名
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
创建日期
访问日期
簇的高位 字
最后写时 间
最后写日 期
簇的低位 字
文件长度
目录项分析(文件名扩展名)
0
1
2
3
4
5
6
7
8
9
10 11 12 13 14 15
3C
53 57 4 B
20 20 20 20 20 4 A
4 、病毒,如木马、病毒、蠕虫、以及恶意 代码等几乎只要入侵了我们的系统,我们的 系统面临前所未有的威胁,毫无抵抗能力, 任由其毁坏数据、破坏系统或者控制系统。
5 、在遭遇不可预测的遭难时,比如说是系 统瘫痪,服务器里的数据全被请除,如果不 能恢复,那么这个公司将遭受灭顶之灾。
如911事件发生后,金融机构聚集的世贸大厦里的大量数据化为乌有,这是对所 有金融机构的重大挑战。纽约银行(Bank of New York)在数据中心全毁,通讯线
数据恢复技术
1、为什么要学? 1、信息化的今天,电子设备普及,数据量 剧增。无论个人、公司、企业还是国家机关 ,都越来越依赖计算机系统。个人档案、文 件、电子邮件、公司财务记录、销售合同、 甚至国家机密等,无一不存储于计算机中, 设想如果系统崩溃,硬盘故障,数据损失将 会出现何种后果?
形形色色的电子设备
文件名
50 47 20 18 93 8 B
扩展名 属 性 X X
创建时间
16 B C
17 42
18 B C
19 42
20 00
21 00
22 72
23
Biblioteka Baidu
24
25
26 07
27 00
28
CD
29 73
30 00
31 00
7A B8 42
最后写日 期
创建日期
访问日期
簇的高位 字
最后写时 间
簇的低位 字
文件长度
0 1 2 3 4 5 6 7 8 9
扩展名
10 11 12 13 14 15
属 性 X X 创建时间
文件名
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
创建日期
访问日期
簇的高位 字
最后写时 间
最后写日 期
簇的低位 字
文件长度
目录项
0
1
2
3
4
5
6
7
8
9
扩展名
10 11 12 13 14 15
预备知识一 进制:二进制,十六进制。 计算机中数据的单位:位,字节和字。
预备知识二 硬盘是用来存储数据的,为了使用和 管理的方便,这些数据以文件的形式存储 在硬盘上。任何操作系统都有自己的文件 管理系统。
扇区
硬盘利用特定的磁粒子的极性来记录数据。 在读取数据时,磁头将磁粒子的不同极性转 换成不同的电脉冲信号,再利用数据转换器 将这些原始信号变成电脑可以使用的数据。
簇 簇 簇 簇簇 簇
FAT1 FAT2 FAT
簇
………………..
0 1 2 3 4 5 n
0 1 2 3 4 5 6 7 8 9
10 15 20 … 11 16 21 … 12 17 22 … 13 18 23 … 14 19 24 n
FAT表结构特点
FAT表由FAT表项构成,每个FAT表项32位(4 字节)。 FAT前2簇为保留簇(簇0和簇1),不分配给文件 使用。 文件的结束簇标记: FF FF FF 0F 一个FAT表项值表明了文件占用的一个簇号并 指明下一簇号的位置。
53H=83
57H=87
4BH=75 20H=32
SWK
4AH=74
50H=80
47H=71
JPG
目录项分析(属性)
0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15
3C
53 57 4 B
20 20 20 20 20 4 A
文件名
50 47 20 18 93 8 B
扩展名 属 性 X X
(Dos引导记录DBR) DBR的组成。
DBR由跳转指令、厂商标识和版本号、BPB、引导 程序和结束标志5部分组成。
BPB作用。
记录着本分区的起始扇区、结束扇区、文件存储区 格式、硬盘介质描述符、根目录大小、FAT个数、分配 单元(Allocation Unit)的大小等重要参数。
(1)跳转指令 最开始即是一条跳转指令,让程序执行流程跳转到引 导代码。 (2)厂商标识和系统版本号 这段数据占8个(03~0A)字节,其内容随系统版本不同 而略有变化。 (3)磁盘参数块 磁盘参数块也称为BIOS参数块BPB (BIOS Parameter Block)。它从第12 (0BH)个字节开始,占用 52 (0B~3E, FAT12/FAT16格式)或80 (0B~5A, FAT32格式)个字节,各字节内容及地址分配如表2-6所 示。表中记录了磁盘的每扇区字节数、磁头数、目录起 始簇等重要信息,该部分的内容随磁盘类型的不同而变 化。