【数据恢复】初探——了解格式,锁定资源,FAT16格式
2014-04-06 21:22
267 查看
最近修的课程里面有数据恢复的内容,随着老师的进度学习,发现还是有点意思的。
当然,里面的内容也比较繁琐,毕竟都是结构性的东西,除了专门取证的人员比较熟悉以外,业余的我们只要知道思路。
到时候知道怎么去查资料,怎么去找结构就行了。嘿嘿嘿,
虽然以前知道这个结构是这么回事,现在是亲身去观察了,了解了他们删除以及覆盖的特点了,还是很奇妙的。
文件的删除,就是把 FDT目录 表里面的索引给删除了,数据区还是有数据的, 并且还有方法标记是否被删除了。
从认知学的角度来说,就是需要一步一步的看,以及学习的。所以现在就是从基础的FAT16格式谈起吧~
内容比较多,但是思想比较简单,在熟悉了之后。
以下是按照课程实验的内容进行排列的。
4、分区表结构区
5、分析分区表(MBR)信息
一号分区:
00 02 03 00 06 40 1A 26 80 00 00 00 00 6009 00
00:非活动区
02 03 00:起始位置(0000 0000 000000110000 0010)2柱面,0磁头,3扇区
06:FAT16
40 1A 26:结束位置(0010 0110 000110100100 0000)64柱面,38磁头,26扇区
8000 00 00:第一个扇区的位置差 0x80 个扇区
0060 09 00:分区总扇区数 0x96000
二号分区:
0040 1B 26 06 FE 3F 3E 80 60 09 00 00 28 06 00
00:非活动区
40 1B 26:起始位置(0010 0110 0001 10110100 0000)64柱面,38磁头,27扇区
06:FAT16
FE3F 3E:结束位置(0011 1110 0011 11111111 1110)254柱面,62磁头,63扇区
8060 09 00:第一个扇区的位置差 0x96080 个扇区
0028 06 00:分区总扇区数 0x62800
8、确定引导扇区(DBR),记录重要信息
该图是一号扇区信息:
00 02:每扇区字节数 0x200 (512B)
10:每簇扇区数 0x10 (16)
04 00:保留扇区数 0x4 (4)
00 02:根目录项数 0x200 (512)
00 96:每个FAT占的扇区数 0x96 (150)
9、添加数据后,FAT信息表和FDT信息表,还有数据区
FAT信息表
FDT信息表
数据区 0x20 * 0x200 / 0x200
11、删除文件后的信息
FAT
FDT
数据
一次的删除之后,除了FAT表有变化以外,其他不变。
12、重复删除与添加观察
新建两个文件
FAT
FDT
数据已经被覆盖
第一个文本:
第二个文本:
接着删除,覆盖,小文件
FAT
FDT
数据,按照扇区的最小单位覆盖了(512B)
当然,里面的内容也比较繁琐,毕竟都是结构性的东西,除了专门取证的人员比较熟悉以外,业余的我们只要知道思路。
到时候知道怎么去查资料,怎么去找结构就行了。嘿嘿嘿,
虽然以前知道这个结构是这么回事,现在是亲身去观察了,了解了他们删除以及覆盖的特点了,还是很奇妙的。
文件的删除,就是把 FDT目录 表里面的索引给删除了,数据区还是有数据的, 并且还有方法标记是否被删除了。
从认知学的角度来说,就是需要一步一步的看,以及学习的。所以现在就是从基础的FAT16格式谈起吧~
内容比较多,但是思想比较简单,在熟悉了之后。
以下是按照课程实验的内容进行排列的。
4、分区表结构区
5、分析分区表(MBR)信息
一号分区:
00 02 03 00 06 40 1A 26 80 00 00 00 00 6009 00
00:非活动区
02 03 00:起始位置(0000 0000 000000110000 0010)2柱面,0磁头,3扇区
06:FAT16
40 1A 26:结束位置(0010 0110 000110100100 0000)64柱面,38磁头,26扇区
8000 00 00:第一个扇区的位置差 0x80 个扇区
0060 09 00:分区总扇区数 0x96000
二号分区:
0040 1B 26 06 FE 3F 3E 80 60 09 00 00 28 06 00
00:非活动区
40 1B 26:起始位置(0010 0110 0001 10110100 0000)64柱面,38磁头,27扇区
06:FAT16
FE3F 3E:结束位置(0011 1110 0011 11111111 1110)254柱面,62磁头,63扇区
8060 09 00:第一个扇区的位置差 0x96080 个扇区
0028 06 00:分区总扇区数 0x62800
8、确定引导扇区(DBR),记录重要信息
该图是一号扇区信息:
00 02:每扇区字节数 0x200 (512B)
10:每簇扇区数 0x10 (16)
04 00:保留扇区数 0x4 (4)
00 02:根目录项数 0x200 (512)
00 96:每个FAT占的扇区数 0x96 (150)
9、添加数据后,FAT信息表和FDT信息表,还有数据区
FAT信息表
FDT信息表
数据区 0x20 * 0x200 / 0x200
11、删除文件后的信息
FAT
FDT
数据
一次的删除之后,除了FAT表有变化以外,其他不变。
12、重复删除与添加观察
新建两个文件
FAT
FDT
数据已经被覆盖
第一个文本:
第二个文本:
接着删除,覆盖,小文件
FAT
FDT
数据,按照扇区的最小单位覆盖了(512B)
相关文章推荐
- 从零开始:NTFS文件格式的数据恢复的程序设计python语言(3)
- MySQL数据库按指定格式导出数据进行备份(select into outfile)和恢复数据的方法
- 安联锐视H.264格式监控数据恢复程序 1.0
- H.264格式(监控)硬盘录像机数据恢复成功
- Lucene初探之数据格式详情(-)
- FAT16文件系统手工数据恢复分析
- net控件中数据导到Excel的格式 首先,我们了解一下excel从web页面上导出的原理。当我们把这些数据发送到客户端时,我们想让客户端程序(浏览器)以excel的格式读取它,所以把mime类型设为:application/vnd.ms-excel,当excel读取文件时会以每个cell的格式呈现数据,如果cell没有规定的格式,则excel会以默认的格式去呈现该cell的数据。这样就给我们提供了自定义数据格式的空间,当然我们必须使用excel支持的格式。下面就列出常用的一些格式: 1) 文本
- 【Json】Json数据格式初探
- zz:【总结】oracle恢复误删除数据,解除锁定的等sql语句
- oracle恢复误删除数据,解除锁定等非常经典实用方法
- oracle恢复误删除数据,解除锁定的等sql语句
- 安联锐视H.264格式监控数据恢复程序 1.0
- VVf格式监控录像数据恢复软件
- VVF格式监控录像数据恢复软件 V1.0
- ORACLE闪回数据恢复初探(尚未成功)
- Linux 系统出问题,怎么恢复EXT3/EXT4格式数据
- 硬盘格式变成RAW格式之后艰难的数据恢复之旅
- Lucene初探之数据格式详情(四)
- JSON数据格式的了解
- Lucene初探之数据格式详情(二)