实验项目七 DOS分区结构分析.pdf

第二部分 分区结构与文件系统 分析实验 该部分的实验项目七，主要介绍了DOS分区结构及其下的MBR和虚拟MBR 扇区的分析和定位方法。重点介绍了磁盘编辑工具软件的使用方法，最终的目 的是定位文件或子目录等数据，该实验也是数据定位的第一站。对磁盘的分析， 重点又是对扇区的定位方法，例如，如何找到MBR扇区、虚拟MBR扇区以及DBR 扇区等位置，主要采用LBA或CHS定位扇区的方法 （LBA即是磁盘扇区的绝对地 址）。本书介绍的磁盘分析方法适用于任何存储介质的分析，也能根据读者对磁 盘编辑工具软件的掌握熟练程度，可以自由拓展和延伸。 该部分的实验项目八，主要介绍了FAT文件系统结构，重点介绍了FAT文 件系统中的DBR扇区、FAT表以及FDT表等的定位和分析方法，特别是对文件以 及子目录的定位和分析方法，他们是数据恢复的理论根据，从而能理解数据恢 复的意义和限制。对FAT文件系统的认识越深，就越能发现其弱点，从而就越 要摈弃FAT文件系统的使用，必然要用优秀的NTFS文件系统来取而代之。也需 要理解目前还有许多存储设备 （主要指移动存储设备等），任然还在使用FAT文 件系统，但最终要使用NTFS或exFAT等这些优秀的文件系统的。再有，NTFS是 FAT升华而来的，故要理解NTFS就必须要理解FAT，理解FAT是必经之路。 该部分的实验项目九，主要介绍了常见RAID 的作用、原理和一般应用，并 能根据相关的应用来构造不同组合的软RAID，其目的就是掌握实际RAID的应用。 该部分的实验项目十，主要介绍了GPT分区结构及其下的ESP、MSR和主分 区的分析和定位方法，并介绍了GPT磁盘的不同应用，同时要求掌握“BIOS+MBR” 和 “UEFI+GPT”架构下操作系统的安装方法和磁盘分析方法，以及GPT磁盘的 保护方法。 该部分的实验项目十一，主要介绍了NTFS文件系统结构，以及特点。重点 介绍了NTFS文件系统中的DBR扇区，以及定位和分析用于定位文件位置的MFT 项的方法。其目的是能认识到NTFS文件系统的优越性、安全性，能理解NTFS 文件系统是FAT 的取代者。 该部分的实验项目十二，主要介绍了利用常规工具软件来快速分析磁盘结 构以及文件系统的方法，该方法的掌握，要求必须对磁盘结构以及文件系统原 理有充分的熟悉。该方法也是一种针对未知磁盘进行快速而有效的分析方法。 另外，还介绍了 “BIOS和UEFI”双启动U盘的制作方法。 实验项目七 DOS分区结构分析 该实验项目所用工具软件： 1、通用PE工具箱； 2、UltraISO； 3、VirtualPC2007SP1v6.0.192.0 （32/64位）； 4、HDD22 （三茗硬盘医生2.2，DOS版）； 5、SectorEditor （WIN版）； 本实验项目目的 能对DOS分区结构有深入的认识并能分析，如能通过 MBR扇区并能利用CHS或LBA来定位磁盘上的关键扇区位 置，如VMBR扇区以及DBR扇区等位置，为进一步分析文 件系统提供基础信息； 能熟练使用分析工具软件，如“HDD22”、“SectorEditor” 等。 一、磁盘编辑工具 1、基本概念 数的存储格式：在各种计算机体系结构中 （指广义的计算机），对于字节、字等存储机 制有所不同。对于同一个数值，在不同的计算机体系中会以相反的顺序来记录。例如，十六 进制数值 ”，在一种计算机架构下存储为 ”，而在另一种计算机 架构下会被存储为“785634 12H”。这就是按照不同的字节序进行存储的。所谓的字节序指 的就是长度跨越多个字节 （指2个或以上的字节）的数据的存储形式。 目前的存储器，多为字节为访问的最小单元，当一个逻辑上的单元必须分割为物理上的 若干单元时（即对于使用多字节表示数值的情况时！），就存在了先放谁后放谁的问题了，于 是，Endian 的问题应运而生了。对于不同的存储方法，就有Big-endian和Little-endian两种 描述 （这两个术语来自于JonathanSwift的《格利佛游记》）。 注意：一般地，字节是存储信息的最小单位！！字节