FAT32分區(qū)下的文件數(shù)據(jù)定位及刪除后的恢復(fù)

./FAT32分區(qū)下圖片文件及文件夾下PDF文件的定位及數(shù)據(jù)恢復(fù)10級(jí)信息管理系司法信息安全方向12號(hào)王立鵬利用DiskCreator工具創(chuàng)建磁盤的步驟：選擇創(chuàng)建虛擬磁盤文件的位置為C盤；如下圖1所示：圖1創(chuàng)建大小為1024M的虛擬磁盤；如下圖2所示：圖2DiskLoader工具裝載虛擬磁盤〔Browse選擇創(chuàng)建的虛擬磁盤文件FATnt后選擇LoadInsDisk；如下圖3—4所示：圖3圖4安裝完成；如下圖5所示：圖5對(duì)虛擬磁盤分區(qū)的步驟：右擊我的電腦,選擇"管理"；如下圖6所示：圖6在"計(jì)算機(jī)管理"中選擇"磁盤管理"；如下圖7所示：圖7對(duì)磁盤一〔如下圖8所示進(jìn)行分區(qū)：圖8建立主分區(qū)的過(guò)程如下右擊未指派的1G磁盤,選擇新建磁盤分區(qū)；如下圖9——14所示：圖9圖10圖11圖12圖13圖14主磁盤分區(qū)建好如圖15所示:圖15建立擴(kuò)展分區(qū)過(guò)程如下,右擊未指派的842MB選框后,選擇新建磁盤分區(qū),再選擇擴(kuò)展磁盤分區(qū)；過(guò)程如下圖16——18所示：圖16圖17圖18擴(kuò)展分區(qū)建好后如下圖19所示：圖19創(chuàng)建邏輯驅(qū)動(dòng)器,右擊擴(kuò)展分區(qū)〔圖19中綠框,選擇新建磁盤分區(qū)；具體過(guò)程如下圖20——26所示：圖20圖21圖22圖23圖24圖25圖26按照上述方法創(chuàng)建好J邏輯驅(qū)動(dòng)器；如下圖27所示：圖27上述過(guò)程為創(chuàng)建虛擬磁盤并且創(chuàng)建好分區(qū)的過(guò)程創(chuàng)建的虛擬磁盤,大小為1G,一個(gè)NTFS的主分區(qū),擴(kuò)展分區(qū)中一個(gè)FAT32邏輯驅(qū)動(dòng)器I,一個(gè)NTSF邏輯驅(qū)動(dòng)器J,如下圖28所示：圖28在FAT32的分區(qū)中,也就是邏輯盤I中建立一個(gè)文件夾,放一個(gè)PDF文件,在I盤根下放兩張圖片,如下圖29——30所示：圖29圖30我們以刪除圖片Lighthouse文件以及文件夾下的南非文件為例子,來(lái)講述如何進(jìn)行文件的定位,以及刪除文件后,相關(guān)扇區(qū)的變化,還有如何恢復(fù)數(shù)據(jù)。刪除前的圖片文件Lighthouse以及文件夾下南非文件的內(nèi)容分別如下圖31——32所示：圖31圖32文件以及文件夾刪除以前,分別對(duì)MBR<主引導(dǎo)記錄>,EBR1〔擴(kuò)展引導(dǎo)記錄,FAT32分區(qū)的DBR〔DOS引導(dǎo)記錄,FAT1〔文件分配表,FAT2,以及數(shù)據(jù)區(qū)的文件目錄項(xiàng)進(jìn)行定位分析。WinHex打開(kāi)硬盤一,下圖扇區(qū)就是MBR〔C/H/S地址的0柱面0磁頭1扇區(qū),如下圖33所示：圖33上圖33陰影部分的66字節(jié)為DPT<DiskPartitionTable,硬盤分區(qū)表,占64字節(jié)>和結(jié)束標(biāo)志"55AA"MBR中分區(qū)表的每16字節(jié)組成的分區(qū)表項(xiàng)分析字節(jié)偏移字段長(zhǎng)度值字段名和定義0X000001BE1字節(jié)0X00引導(dǎo)標(biāo)志〔BootIndicator,指明該分區(qū)是否為活動(dòng)分區(qū)0X000001BF1字節(jié)0X01開(kāi)始磁頭〔StartingHead0X000001C06位0X01起始扇區(qū)〔Startingsector,只用了0-5位,第6,7位被開(kāi)始柱面字段使用。0X000001C110位0X00起始柱面〔StartingCylinder,共占10位,最大值為10230X000001C21字節(jié)0X07系統(tǒng)ID<SystemID>定義分區(qū)類型0X000001C31字節(jié)0XFE結(jié)束磁頭〔EndingHead0X000001C46位0X3F結(jié)束扇區(qū)〔EndingSector只使用0—5位,第6,7位被結(jié)束柱面字段使用0X000001C510位0X19結(jié)束柱面〔StartingCylinder,共占10位,最大值為10230X000001C61DWORD<雙字>0X0000003F相對(duì)扇區(qū)數(shù)〔RelativeSectors,指該磁盤開(kāi)始到該分區(qū)開(kāi)始之間的位移量,以扇區(qū)來(lái)表示0X000001CA1DWORD<雙字>0X00065F5B總扇區(qū)數(shù)〔TotalSectors,指該分區(qū)中扇區(qū)總數(shù)分析MBR扇區(qū)的分區(qū)表項(xiàng),偏移為000001D2的一個(gè)字節(jié)為〔05H,表示擴(kuò)展分區(qū),它的起始扇區(qū)為偏移000001D6開(kāi)始的4個(gè)字節(jié)〔9A5F0600H,計(jì)算EBR1的位置；跳到EBR1如下圖34所示：圖34計(jì)算出來(lái)EBR1位置在417690扇區(qū)。下面跳到EBR1如下圖35所示：圖35擴(kuò)展分區(qū)中的每個(gè)邏輯驅(qū)動(dòng)器的分區(qū)信息都存在與類似于MBR的擴(kuò)展引導(dǎo)記錄<EBR,ExtendedBootRecord>中,EBR中分區(qū)表的第一項(xiàng)描述第一個(gè)邏輯驅(qū)動(dòng)器,第二項(xiàng)指向下一個(gè)邏輯驅(qū)動(dòng)器的EBR,如果不存在下一個(gè)邏輯驅(qū)動(dòng)器,第二項(xiàng)就不需要。從上圖35陰影部分第一個(gè)分區(qū)表項(xiàng)可以看出驅(qū)動(dòng)器類型,偏移0CBF35C2<0BH>看出分區(qū)格式為FAT32分區(qū).偏移為0CBF35C6開(kāi)始的4個(gè)字節(jié)<3F000000H>為相對(duì)位置,即63扇區(qū),我們計(jì)算DBR的位置：417690+63=417753扇區(qū),跳到DBR扇區(qū),如下圖36所示：圖36注：大于一個(gè)字節(jié)的數(shù)值被以低字節(jié)在前的格式存儲(chǔ),例如：相對(duì)扇區(qū)字段值為0X3F000000的低字節(jié)在前表示為0X0000003F.轉(zhuǎn)換為十進(jìn)制為63.扇區(qū)開(kāi)始的3字節(jié)〔EB5890H為FAT32的DBR的JMP指令,偏移0CBFB20B開(kāi)始的2字節(jié)〔0002H表示每扇區(qū)的字節(jié)數(shù)為512字節(jié)。偏移0CBFB20D的1個(gè)字節(jié)〔08H表示每簇的扇區(qū)數(shù)為一簇8扇區(qū)。0CBFB20E開(kāi)始的2字節(jié)〔2600H表示DOS保留扇區(qū)數(shù)為38扇區(qū)。0CBFB210的一個(gè)字節(jié)〔02H表示FAT的個(gè)數(shù)為2.OCBFB224開(kāi)始的4個(gè)字節(jié)〔C1020000H表示每FAT扇區(qū)數(shù)為705扇區(qū)。我們就可以計(jì)算FAT1起始扇區(qū)為DBR所在扇區(qū)加保留扇區(qū)數(shù)：417753+38=417791。FAT2的起始扇區(qū)為FAT1起始扇區(qū)加FAT的大?。?17791+705=418496。FAT的根目錄放在數(shù)據(jù)區(qū),數(shù)據(jù)區(qū)起始扇區(qū)為FAT2起始扇區(qū)加FAT大小：418496+705=419201。下表為DBR相關(guān)參數(shù)分析：偏移實(shí)際值<十六進(jìn)制>實(shí)際值〔十進(jìn)制長(zhǎng)度<字節(jié)>含義0CBFB200EB58903JMP指令,跳轉(zhuǎn)到引導(dǎo)程序,后隨一個(gè)空指令900CBFB20B00025122每扇區(qū)字節(jié)數(shù),記錄扇區(qū)大小0CBFB20D0881每簇扇區(qū)數(shù),記錄簇大小,即多少個(gè)扇區(qū)組成一個(gè)簇0CBFB20E2600382DOS保留扇區(qū),一般為320CBFB2100221FAT表個(gè)數(shù),一般為二0CBFB220AE070B007228624該分區(qū)的扇區(qū)總數(shù),即分區(qū)大小0CBFB224C10200007054每FAT扇區(qū)數(shù),FAT32下每FAT表占用的扇區(qū)數(shù)下圖37為FAT1起始扇區(qū)：FAT32用32為也就是4個(gè)字節(jié)表示一個(gè)簇。數(shù)據(jù)區(qū)的簇編號(hào)從2號(hào)簇開(kāi)始,在FAT表中前0,1簇是與系統(tǒng)相關(guān)的。圖37下圖38為FAT2的起始扇區(qū)圖,FAT2與FAT1內(nèi)容是相同的。圖38下圖39為數(shù)據(jù)區(qū)的開(kāi)始扇區(qū),簇號(hào)為2,以后的數(shù)據(jù)區(qū)簇號(hào)依次連續(xù)增加,一個(gè)簇為8扇區(qū)。根目錄放于數(shù)據(jù)區(qū)中。FAT32沒(méi)有獨(dú)立的根目錄區(qū),它的根目錄放在數(shù)據(jù)區(qū),我們來(lái)分析目錄項(xiàng)的32個(gè)字節(jié)：字節(jié)偏移長(zhǎng)度〔字節(jié)內(nèi)容及含義0X008文件名0X083文件的擴(kuò)展名0X142文件起始簇號(hào)的高十六位0X1A2文件起始簇號(hào)的低十六位0X1C4文件大小〔字節(jié)圖39從偏移0CCB033A開(kāi)始的2個(gè)字節(jié)〔0902H算出圖片Lighthouse文件的起始簇號(hào)512,其在數(shù)據(jù)區(qū)的絕對(duì)地址為〔512－2×8+419201=423353.扇區(qū)偏移0CCB033C開(kāi)始的4字節(jié)表示文件大小〔7C900800H為561276字節(jié)。下圖40表示圖片文件數(shù)據(jù)起始位置,圖示：圖40跳轉(zhuǎn)偏移量0008907CH文件大小,到文件末尾;如下圖41所示：圖41文件選中后的數(shù)據(jù)圖;如下圖42所示：圖42我們?cè)诜祷氐綌?shù)據(jù)區(qū)起始位置,看文件夾及文件夾下的目錄,如下圖43所示：圖43偏移為0CCB029A開(kāi)始的2字節(jié)〔0300H表示PDF文件南非的目錄項(xiàng)在3號(hào)簇,絕對(duì)地址為：〔3—2*8+419201=419209.跳到文件目錄的地方,如下圖44所示：圖44從上圖偏移0CCB127A開(kāi)的2字節(jié)〔0400H可以看出pdf文件南非的起始簇為4,絕對(duì)地址為：419201+〔4－2*8=419217.扇區(qū),文件大小為〔D46C1400H1338580字節(jié)。跳到文件數(shù)據(jù)起始扇區(qū),如下圖45所示：圖45下圖46表示跳轉(zhuǎn)偏移量00146CD4H為跳轉(zhuǎn)偏移量：圖46文件內(nèi)容選中后的圖示47：圖47以上為定位圖片文件以及定位文件夾下PDF南非文件的數(shù)據(jù)區(qū)的詳細(xì)過(guò)程,下面我們來(lái)刪除圖片文件和PDF文件,觀察相關(guān)的扇區(qū)變化,進(jìn)而將文件都恢復(fù)出來(lái)。下圖為刪除文件的截圖：刪除圖片文件如下圖48所示：圖48刪除PDF文件的圖示為49：圖49刪除后我們跳到圖片的文件目錄項(xiàng)扇區(qū),如下圖50所示：圖50上圖選中區(qū)域最后兩行可以看出,第一個(gè)字節(jié)變?yōu)镋5了,說(shuō)明圖片文件被刪除,但是圖片文件的文件其實(shí)簇號(hào)和文件大小并沒(méi)有變化。我們跳到圖片文件的數(shù)據(jù)區(qū)開(kāi)始位置423353；如下圖51所示：圖51看出數(shù)據(jù)區(qū)并無(wú)變化。我們跳到FAT1,如圖52所示,看到FAT表清零了。圖52跳到FAT2看看,如圖53所示。FAT也被清零：圖531.恢復(fù)圖片文件。我們到圖片文件的開(kāi)始扇區(qū),并且定位如下圖54所示,定位數(shù)據(jù)區(qū)并選中后恢復(fù)到I盤;圖54定位到文件結(jié)尾,如下圖55所示：圖55恢復(fù)到I盤,如下圖56所示：圖56這樣我們就恢復(fù)出來(lái)刪除的圖片了,下面我們來(lái)看看恢復(fù)出來(lái)的圖片,如圖57所示：圖572.恢復(fù)文件夾下的PDF格式的文件。定位到文件夾的目錄項(xiàng)：文件夾的文件目錄項(xiàng)不變,如圖58所示：圖58文件夾下文件的目錄項(xiàng)還在3號(hào)簇,即419209扇區(qū);跳到該扇區(qū),如圖59所示：圖59可以看出文件的目錄項(xiàng)第一個(gè)字節(jié)變?yōu)镋5說(shuō)明PDF南非文件被刪除了,但是文件起始簇和文件大小沒(méi)變化,依舊為4號(hào)簇〔419217扇區(qū),大小依舊為〔D46C14OOH：我們跳到419217并且定位文件數(shù)據(jù)區(qū)；如圖60所示：圖60選中數(shù)據(jù)區(qū)并恢復(fù),如下圖61所示：圖61恢復(fù)到I盤的"pdf文件"文件夾下；如下圖62所示：圖62保存好后查看恢復(fù)出來(lái)的PDF南非文件及內(nèi)容；如圖63所示：圖63到此文件夾下的pdf文件’南非"也就恢復(fù)出來(lái)了。以上就是創(chuàng)建磁盤及分區(qū),以及在FAT32分區(qū)下定位文件,并且刪除文件后將其恢復(fù)出來(lái)的過(guò)程。附錄：第一個(gè)EBR的扇區(qū)號(hào)417690FAT32的DBR開(kāi)始扇區(qū)號(hào)〔417690+63417753每簇扇區(qū)數(shù)0x0D<08H>為8個(gè)FAT表個(gè)數(shù)0x10<02H>為2個(gè)每FAT扇區(qū)數(shù)0x24<C1020000H>為705隱含扇區(qū)數(shù)0x1C<3F000000H>為63DOS保留扇區(qū)數(shù)0x0E<2600H>為38FAT1開(kāi)始扇區(qū)為417753+38=417791FAT2開(kāi)始扇區(qū)號(hào)417791+705=418496根目錄區(qū)開(kāi)始扇區(qū)號(hào)418496+705=419201FAT32格式的J盤下一個(gè)圖片文件為例,Lighthouse圖片文件的