基于文件系统的数据恢复与隐藏技术.pptVIP

理论基础 － FAT32－数据恢复原理 执行删除（包括格式化）操作后，文件的实际数据在没有被新数据覆盖前依然存在。 借助读取扇区物理数据的方法可以将数据找回。 文件系统的做法对操作系统来说是没有问题的，它不仅完成了应执行的操作，同时保证了操作具有较高的效率 。 理论基础 － FAT32－数据隐藏原理 将还未分配簇标记成坏簇，使用这些簇实现数据隐藏。 一个文件如果大小不是簇大小的整数倍，该文件占用的最后一簇中，将浪费一部分空间。这部分空间可以用来隐藏数据。 掌握了物理读写磁盘簇数据的方法，实现上述应用没有问题。 (湖南师大附中内部资料)高三化学习总复习课件：高三第五次周考试卷分析课0801(课件)(培训课件)班组建设与5S管理培训多媒体计算机系统常用硬件设备教材 基于文件系统的数据恢复与隐藏技术 刘旭 liuxu51@ /blog51 标题含义 数据恢复 磁盘上数据文件被删除后，利用数据恢复技术有条件地恢复被删除的数据。此技术也可用于磁盘灾难挽救。 数据隐藏 通过对磁盘扇区数据的修改与数据加密，实现对私有数据的有效隐藏。 介绍哪些内容 = on-going 恢复与隐藏技术解决的问题 理论基础 C＋＋读写物理扇区的方法 数据恢复应用开发流程 安全删除和彻底格式化的方法 恢复与隐藏技术解决的问题 恢复解决的问题 隐藏解决的问题 找回误操作造成的数据丢失 计算机取证 其他 敏感数据保护 网络攻击中隐藏木马等 其他 理论基础 以FAT32为例 FAT32文件系统中三个主要的数据结构 几个重要的计算公式 数据恢复技术原理 数据隐藏技术原理 理论基础 － FAT32 FAT32（File Allocation Table 32）是Microsoft公司开发研制的目前最流行的文件系统之一，之前的FAT16及FAT12与之机制类似。 Microsoft推出的另一种文件系统NTFS（New Technology File System）虽然较FAT更复杂，主要加入了有关容错性、安全性、文件压缩、磁盘配额等新特性等，但从数据恢复的角度而言基本原理相同。 原理对于在UNIX / LINUX操作系统下使用的文件系统也具指导意义。 理论基础 － FAT32－几个名词 FAT：File Allocation Table，文件分配表，有FAT12、FAT16和FAT32三类。 簇：文件系统为数据写入磁盘时分配的最小存储单位。簇由一个或多个扇区组成。 1一个文件即使只有一个字节大小，也要占用一个簇的空间。 卷：逻辑上的分区标识。（不是物理上的） 理论基础 － FAT32（续） 每个FAT卷均由三个基本区域组成 0 – 启动扇区，即0扇区 1 – FAT区，文件分配表区域 2 – 数据区 0扇区、FAT表（存在于FAT区）和FAT目录结构（存在于数据区中）是FAT文件系统三个最主要的数据结构。 理论基础 － FAT32（续）－ 0扇区 0扇区是FAT卷的第一个扇区，也称“启动扇区”。 保存着FAT文件系统的第一个重要的数据结构BPB（BIOS Parameter Block）。 BPB中保存着该FAT卷的各种关键信息 0扇区物理数据 0扇区结构表 0扇区结构表（续） 理论基础 － FAT32（续）－ FAT表 FAT表是对应于数据区簇号号码的列表 表项的大小与FAT的类型有关。FAT32用32-bit来表示一个表项，因此被称为FAT32。 相应的，FAT16使用16-bit表示一个表项，FAT12为12-bit。 FAT表提供了链式存储机制，这使得文件并不需要存放在磁盘的连续簇中。 理论基础 － FAT32（续）－ FAT表 FAT表的表项需要完成以下几项功能： 准确记录磁盘中已经被文件占用了的簇。 为每个已被占用的簇指明后继簇。 能够指明某簇是文件的最后一簇，即没有后继簇。 能指明簇已损坏。 为了完成上述功能，FAT表的每一个表项记录的内容为该簇后继簇的簇号。 如果该簇没有后继簇，则将值设为0xFFFFFF0F。 理论基础 － FAT32（续）－ FAT表 FAT表数据 FAT表表项示例 理论基础 － FAT32（续）－ FAT表 FAT表中项的总数与磁盘卷的总簇数有关，簇越多项数也越多。 只要为一个文件指明了开始簇，就能够借助FAT表找到保存此文件数据的所有簇。 FAT32对目录（文件夹）和文件作相同看待，除属性外没有区别。 由前表可知，数据区从第二簇开始。 理论基础 － FAT32（续）－ FAT表 第5簇在FAT32表项中表示成0x 05 00 00 00 为什么不是0x 00 00 00 05？ FAT32使用little-endian（小端）结构存储数据。 对应则有Big-endian结构。 比如：存储数据为