数据恢复实战 ExFAT实战案例 ExFAT删除和格式化分析.pptVIP

《数据恢复实战》课程 Data Recovery Practical 主讲教师 刘俊 移动通信技术专业教学资源库 深圳信息职业技术学院电子与通信学院 ExFAT删除和格式化分析 目录 01 文件删除分析 02 格式化前分析 03 格式化后分析 1.文件删除分析 EDITED BY LIUJUN * 数据恢复实战 在一个ExFAT文件系统根目录下放置一个“shujuhuifu.txt”文件，先观察这个文件在根目录、簇位图、FAT表和数据区的数据，再进行彻底删除，观察会产生什么样的变化 文件删除分析 EDITED BY LIUJUN * 数据恢复实战 定位根目录首簇，找到根目录后。从图中目录项可以得知，“shujuhuifu.txt”在5号簇，并且文件大小为15个字节 文件删除分析 EDITED BY LIUJUN * 数据恢复实战 因为文件开始于5号簇，我们可以看看5号簇对应的5号FAT项内的数据。通过DBR的BPB参数“FAT起始扇区数”定位FAT的开始扇区，找到5号FAT项 FAT表的5号FAT项数值为“00 00 00 00”，但这并不说明5号簇是个空簇，因为ExFAT对连续存放的文件并不记录簇链 文件删除分析 EDITED BY LIUJUN * 数据恢复实战 簇位图文件是ExFAT文件系统中真正管理簇的分配和使用情况的文件，该文件一般都存放在数据区第一个簇中，也就是2号簇，可以根据BPB参数的“首簇起始扇区号”定位到该文件的第一个扇区 该文件目前只有一个字节“0F”，换算为二进制等于，也就说明2、3、4、5这四个簇是使用的，其中2、3、4簇分别被簇位图文件、大写字符文件和根目录占用，5号簇就是被“shujuhuifu.txt”文件所占的 文件删除分析 EDITED BY LIUJUN * 数据恢复实战 确定了文件存放在数据区的5号簇，因为根目录首簇为4号簇，所以我们要去到5号簇到话只需要再往下跳转1个簇即256个扇区 因为文件大小是15个字节，所以从5号簇的第一个字节起，连续的15字节就是文件“shujuhuifu.txt”的内容 文件删除分析 EDITED BY LIUJUN * 数据恢复实战 接下来将文件彻底删除后，使用WinHex进入底层数据观察产生了怎么样的变化 文件删除分析 EDITED BY LIUJUN * 数据恢复实战 删除后再来看看它的目录项，经过对比后发现，文件删除后只是每个目录项的首字节发生了变化 原来的“85H”、“C0H”、“C1H”改变为“05H”、“40H”、“41H” 其他字节没有任何改变，文件的起始簇号、大小、文件名这些关键信息都完好地存在 文件删除分析 EDITED BY LIUJUN * 数据恢复实战 “shujuhuifu.txt”的内容还在这里，也就是文件删除并没有清空其数据区 因为文件“shujuhuifu.txt”只占用一个簇，不可能有碎片，所以在FAT表中也没有登记项，但该文件在簇位图文件中对应的位上会被清零，以表示文件“shujuhuifu.txt”所占用的簇已被释放 2.格式化前分析 EDITED BY LIUJUN * 数据恢复实战 格式化就是给分区创建一个文件系统，首先看一个有数据的ExFAT分区，然后将其格式化，并分析格式化后原来数据的改变 ExFAT分区根目录创建一个“123”文件夹和一个“456.txt”，在“123”文件夹内创建一个“shujuhuifu.txt” 格式化前分析 EDITED BY LIUJUN * 数据恢复实战 该分区的FAT表的部分内容如图 簇位图文件的内容只有一个字节“3F”，换算成二进制等于“1111111”，说明2、3、4、5、6、7号簇被使用 格式化前分析 EDITED BY LIUJUN * 数据恢复实战 该分区根目录的内容如图。根目录中有9个目录项： “①”是卷标目录项 “②”是簇位图文件的目录项 “③“是大写文件的目录项 ” ④、⑤、⑥”是文件夹“123”的目录项；“⑦⑧⑨”是文件“456.txt”的目录项 ① ② ③ ④ ⑤ ⑥ ⑦ ⑧ ⑨ 格式化前分析 EDITED BY LIUJUN * 数据恢复实战 文件夹“123”下的文件“shujuhuifu.txt”的文件目录项如图 “shujuhuifu.txt”开始与第7簇，大小是15字节，转到7号簇，其内容如图 3.格式化后分析 EDITED BY LIUJUN * 数据恢复实战 格式化完再来看这个分区的FAT表，发现FAT表与格式化前完全一样 但这里并不是说ExFAT格式化不改变FAT表 起始ExFAT格式化会把FAT表的第一个扇区的原有数据清零，并写入元文件和根目录对应的FAT项 该分区的FAT表第一个扇区的数据