exFAT文件格式与数据恢复分析1.pdf

ExFAT 文件格式及数据恢复分析 1 2 文戈 刘晓平 （1.2 中山火炬职业技术学院 信息工程系，广东 中山 528400） 摘 要: 对于文件恢复，通常是利用文件内容的地址和文件大小两个参数，找到文件的内容后进行相应的 复制。在对移动存储设备的 ExFAT 文件格式进行了详尽的分析后，发现在连续存储的数据文件在被删除时， 只对文件对应的属性表和簇位图表进行了改变，从而给出了恢复数据的方法——修改特征法，给出了对应 的五个公式，并通过实验证明了这种方法的有效性。 关键词: ExFAT；VBR；数据恢复；文件存储；簇位图 中图分类号：TP309.3 文献标识码：A 文章编号： 1 引论 由于优盘、数码相机的存储卡等闪存的容量不断增大，同时文件的容量 （例如视频文件）也在不断变大， 传统的 FAT32 格式最大只能支持 4G 的文件，已经不能满足大容量文件管理的需要。另一方面，NTFS 文件格 式虽然可以胜任，然而由于 NTFS 所采用的日志性记录模式，在读写文件中要反复读写磁盘，频繁的读写不 仅会降低闪存性能，更会大大降低其使用寿命。 微软在 2009 年推出了其专为支持移动存储设备的文件格式——ExFAT （Extended File Allocation Table File System）,这种格式兼有 FAT 和 NTFS 的特点。其仍然采用 FAT 的 “直接写入”技术，所以又将 ExFAT 称为 FAT64， 但是在文件的分配方面， ExFAT 采用了和 NTFS 类似的簇位图 （Bitmap） 方式， 表 1 给出了 FAT32、 NTFS、ExFAT 三种格式的主要区别。 表 1 FAT32、NTFS、ExFAT 三种格式的主要区别 特点 FAT32 NTFS ExFAT 卷的最大长度 2TB 16EB 128PB 文件的最大长度 4GB 16EB 16EB 复杂程度/性能 低 高 低 容错 无 有 目前的版本没有，未来的 TExFAT 可能会提供 权限控制 无 有 目前的版本没有，未来的 TExFAT 可能会提供 2 ExFAT 格式综述 2.1 VBR 结构 下面的讨论条件为： 1、 操作系统：windows xp sp3； 2、 已经格式化为 ExFAT 的 4G 优盘； 3、 分析工具为 winhex15.1 SR-8. 由于 ExFAT 是作为一个单一的文件系统存在，所以没有分区，没有 MBR，替而代之的是 VBR，即：Volume Boot Recorder,下面表 2 给出 ExFAT 下的 VBR 结构。 表 2 VBR 结构 偏移地 字节 含义  1  作者简介：文戈 （1967­），男，汉族，四川省南充市人，讲师，硕士，主要研究方向为信息安全和数据 恢复技术。（E­mail：168919873@，TEL 1  址 数 （16 进 制） 00-02 3 跳转代码 “EB 76 90” 03-07 8 文件系统类型为 “ExFAT” 0B-3A 53 必须设置为 “00” 40-47 8 分区起始扇区号 48-4F 8 卷大小的扇区数 50-53 4 FAT 表起始扇区号 54-57 4