1. 您所在位置:
  2. 网站首页
  3. 文档分类
  4. 办公文档
  5. 简明教程
网站大量收购闲置独家精品文档,联系QQ:2885784924

网络空间安全概论 实验8文件恢复 winhex文件恢复实验样例2.docx

网络空间安全概论 实验8文件恢复 winhex文件恢复实验样例2.docx

    1. 1、本文档共22页,可阅读全部内容。
    2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
    3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
    4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
    查看更多

    实验一文件系统取证

    一、实验目的

    1.通过使用WinHex软件,熟悉磁盘信息,从而了解存储机制;

    2.查看磁盘信息,及其使用状况;

    3.能够恢复已删除的文件;

    二、实验内容

    1.查看计算机磁盘及U盘的信息,及相应的文件信息;

    2.使用WinHes自动、手动恢复文件;

    三、实验步骤

    1.下载WinHex工具,打开文件夹中的WinHex.exe文件,熟悉工作界面;

    2.打开相应的磁盘,查询信息,并进行相关的恢复操作;

    四、文件系统格式

    4.1FAT32文件系统

    FAT文件系统主要有FAT12、FAT16和FAT32几种形式,其中FAT32是FAT发展的最后形式。这里FAT32的意思是簇的编址采用32bit宽度的数,所以FAT32文件系统最多能寻址2**32=4294967296个簇,其他FAT变种类似。

    FAT32文件系统由DBR及保留扇区,FAT1,FAT2和数据区组成:

    DBR及保留扇区FAT2FAT

    DBR及保留扇区

    FAT2

    FAT1

    数据区

    图1.4.1.1FAT32结构

    DBR及保留扇区:DBR的含义是DOS引导记录,也称为操作系统引导记录,在DBR之后往往还会有一些保留扇区。

    FAT1:FAT的含义是文件分配表,FAT32一般有两份FAT,FAT1是第一份,也是主FAT。

    FAT2:FAT2是FAT32的第二份文件分配表,也是FAT1的备份。

    DATA:DATA也就是数据区,是FAT32文件系统的主要区域,其中包含目录区域。

    用WinHew打开一个FAT32格式的磁盘,其DBR如下,对内容进行简要的表明。

    图1.4.1.2DBR

    跳转指令将呈现执行流程跳转到引导程序处;

    OEMID由厂商指定,这里是MSDOS5.0;

    BPB记录文件系统相关的重要信息,由BPB和拓展BPB组成,具体参数解释如下:

    字节偏移

    字段长度(字节)

    对应取值

    名称和定义

    0x0B

    2

    0x0200

    扇区字节数

    0x0D

    1

    0x20

    每簇扇区数

    0x0E

    2

    0x080E

    保留扇区数

    0x10

    1

    0x02

    FAT数

    0x11

    2

    0x0000

    根目录项数

    0x13

    2

    0x0000

    小扇区数

    0x15

    1

    0xF8

    媒体描述符

    0x16

    2

    0x0000

    每FAT扇区数(FAT32为0)

    0x18

    2

    0x003F

    每道扇区数

    0x1A

    2

    0x00FF

    磁头数

    0x1C

    4

    0隐藏扇区数

    0x20

    4

    0x03BFFF0A

    总扇区数

    0x24

    4

    0x00003BF9

    每FAT扇区数

    0x28

    2

    0x0000

    扩展标志

    0x2A

    2

    0x0000

    文件系统版本

    0x2C

    4

    0根目录簇号

    0x30

    2

    0x0001

    文件系统信息扇区号

    0x34

    2

    0x0006

    备份引导扇区

    0x36

    12

    12字节均为0x00

    保留

    拓展BPB参数如下:

    字节偏移

    字段长度(字节)

    对应取值

    名称和定义

    0x40

    1

    0x00

    物理驱动器号

    0x41

    1

    0x00

    每保留

    0x42

    1

    0x29

    扩展引导标签

    0x43

    4

    0x5168C523

    分区序号

    0x47

    11

    NONAME

    卷标

    0x52

    8

    FAT32

    系统ID

    FAT32文件系统在DBR的保留扇区中还安排了一个文件系统信息扇区,用以记录数据区中空闲簇的数量及下一个空闲簇的簇号,该扇区一般在分区的1号扇区,也就是紧跟着DBR后的一个扇区,其内容如下图(其中字节值为零的,都没有被使用):

    图1.4.1.3文件系统信息扇区

    在DBR之后,就是FAT,文件分配表。FAT一般有两个,一个正常使用称为FAT1,另一个是备份称为FAT2,FAT1和FAT2的内容完全一样。

    FAT是一组与数据簇号对应的列表,表项的编号从0开始,但是编号0表示FAT介质类型,编号1表示FAT文件系统错误标志,所以实际存储从2号开始。大文件占用多个簇的话,则FAT项纪录下一个FAT项编号,依次类推直到最后以“0FFFFFFF“表示文件末尾。文件至少占用一个簇,所以新建文件的时候,即使只写入1字节的数据,它也会占用一个簇的空间。

    而且,从之前DBR偏移0xB的两字节和00x0D的一字节可以看出,一簇为32扇区,每扇区512字节,一簇大小为16KB。

    下面对FAT1的部分内容进行一下标记(图上只标注了0-7项,后面的FAT表项依此类推):

    图1.4.1.4FAT1部分标注

    从上图中,可以看到第4-7项存储了一个文件。第4项的存储内容说明下一个簇号在第5项,后面一样,直到第7项表明该文件存储结束。每一项对应一个簇,该文件就占用了4簇。

    FAT2和FAT1内容完全

    您可能关注的文档

    最近下载

    文档评论(0)

    balala11 + 关注
    实名认证
    内容提供者

    该用户很懒,什么也没介绍

    咨询Ta 进入空间

    1亿VIP精品文档

    更多 >

    相关文档

    更多 >