数据恢复技术专题fat文件系统.ppt

数据恢复专题一（FAT文件系统） ——廖根为 FAT文件系统恢复 新硬盘－低格后 变化：所有扇区中的字节数据填充为0x00 低格后－分区后 变化：写硬盘的MBR（主引导扇区）区 分区后－格式化（高格） 变化：如果是FAT文件系统，创建DBR、FAT（文件分配表）区、根目录等；对分区内扇区进行逻辑编号。 硬盘分区逻辑结构图 MBR：主引导记录区 DPT：磁盘分区表 DBR：操作系统引导记录区 FAT：文件分配表 FDT：文件目录表 Data：文件数据区 主引导记录区 MBR区介绍： 起始位置：0柱面0磁头1扇区（硬盘的第一个扇区） 结束位置：0柱面0磁头1扇区 大小：512（硬盘每个扇区的所占用的字节数）个字节 主引导记录区 DPT结构 DPT结构 硬盘分区逻辑结构图 MBR：主引导记录区 DPT：磁盘分区表 DBR：操作系统引导记录区 FAT：文件分配表 FDT：文件目录表 Data：文件数据区 FAT16与FAT32文件系统布局比较 DBR DBR实例 FSINFO结构 FSINFO结构 文件分配表FAT 文件分配表FAT 目录与数据区 目录与数据区 目录实例 文件定位与显示原理 在DBR中有记录根目录位置的信息，通过查询根目录文件表FDT，找到相应的文件和目录的信息 在FDT记录了文件的名称、属性、创建时间、修改时间信息、还记录了文件的起始簇号，文件的实际大小等信息 文件删除原理 在FAT文件系统中，文件删除时，操作系统找到对应的目录文件表将第一个字节修改成“E5”标志 同时，将FAT文件分配表相应的项目清空，供其它程序使用 文件的数据并没有被覆盖，而是实际存在，但对操作系统而言，是无效的垃圾数据 当新文件需要存放时，新的数据可直接在原来数据位置上写入 文件删除原理 由于文件内容并没有真正删除，因此理论上被删除的文件是可以被恢复的。 恢复删除文件的方法之一是：假设文件是连续存储的，并根据文件目录中文件的起始簇、文件大小、文件名(短文件名第一个字节改变了)直接恢复文件。 恢复删除文件的方法之二是：假设删除文件在“空闲”簇中是连续存储的（即不考虑已分配的簇），并根据文件目录中文件的起始簇、文件大小、文件名(前两个字节改变了)直接恢复文件。 利用软件直接恢复被删除文件的原理 基于文件系统的数据恢复技术 基于文件特征的数据恢复技术 文件彻底删除 文件彻底删除 文件彻底删除主要原理 基于文件系统的数据恢复 基于文件特征的数据恢复 两种数据恢复技术比较 长文件链接结构描述如下： typedef struct _FATDirEntryLong { BYTE Order; //* 代表了长文件描述目录项的序号 WORD NameFirst[5]; //* 名称的1~5个字符 BYTE Attribute; //* 其值总为0FH; BYTE Type; //* 其值总为00H; BYTE Chksum; //* 校验值 WORD NameSecond[6]; //* 名称的6~11个字符 WORD LowCluster; //* 值总为0000H WORD Name3[2]; //* 名称的12~13个字符 } FAT_DIR_ENTRY_LONG; 目录结构 实际数据内容部分 文件占用空间记录结构 * data FAT MBR DPT FDT DBR FAT MBR DPT data FAT MBR DPT FDT DBR FAT 主引导扇区MBR数据结构： typedef struct { BYTE BootCode[446]; //446字节存放引导程序 PartitionTable PT[4]; //分区表项，可存放4项 WORD MBREndFlag; //结束标识，一般为0xAA55 }MBR; 分区表项数据结构描述如下： typedef struct { BYTE ActiveFlag; //活动分区标志，0x80为活动分区 CHS StartCHS; //分区开始的柱面、磁头、扇区 BYTE PartitionID; //分区类型代号 CHS EndCHS; //分区结束的柱面、磁头、扇区 DWORD RelativeSectors; //分区相对扇区数，指分区相对于记