第14講-FAT32文件系統(tǒng)結(jié)構(gòu)分析

項(xiàng)目四：文件系統(tǒng)數(shù)據(jù)恢復(fù)任務(wù)1

FAT32文件系統(tǒng)結(jié)構(gòu)分析子任務(wù)4.1.1FAT32文件系統(tǒng)結(jié)構(gòu)分析主講人

周寶CONTENT目錄課前學(xué)情FAT32文件系統(tǒng)結(jié)構(gòu)DBR引導(dǎo)扇區(qū)010203總結(jié)與拓展教學(xué)內(nèi)容05工單任務(wù)-FAT32分區(qū)結(jié)構(gòu)分析04教學(xué)目標(biāo)>項(xiàng)目四

析結(jié)構(gòu)、找文件任務(wù)1FAT32文件系統(tǒng)結(jié)構(gòu)分析子任務(wù)4.1.1FAT32文件系統(tǒng)結(jié)構(gòu)分析素質(zhì)目標(biāo)知識目標(biāo)能力目標(biāo)1.良好的職業(yè)道德教育2.注重工作流程和操作規(guī)范3.學(xué)生能立足專業(yè)，遵守?cái)?shù)據(jù)恢復(fù)工程師職業(yè)操守和注意事項(xiàng)1.學(xué)生熟悉FAT32分區(qū)組成結(jié)構(gòu)（保留區(qū)、FAT區(qū)、數(shù)據(jù)區(qū)）2.學(xué)生掌握引導(dǎo)扇區(qū)主要內(nèi)容（隱藏扇區(qū)、FAT表大小、簇的大小、分區(qū)容量、保留扇區(qū)數(shù)、分區(qū)序列號）3.學(xué)生理解簇的概念1.學(xué)生能分析FAT分區(qū)結(jié)構(gòu)2.學(xué)生能利用備份和重要參數(shù)修復(fù)引導(dǎo)扇區(qū)3.學(xué)生能計(jì)算出數(shù)據(jù)區(qū)起始扇區(qū)思政點(diǎn)：自立（立足專業(yè)，奮發(fā)有為）【育人案例】FAT文件系統(tǒng)的歷史：

在1977年由比爾·蓋茨和馬斯·麥當(dāng)勞為了管理磁盤而發(fā)明，并在1980年被添·彼得遜的86-DOS操作系統(tǒng)采用。教學(xué)重點(diǎn)與難點(diǎn)

教學(xué)重點(diǎn)1.掌握FAT32文件系統(tǒng)結(jié)構(gòu)分析，DBR扇區(qū)的重要組成2.能夠利用磁盤編輯工具Winhex，模擬DBR扇區(qū)破壞恢復(fù)>

教學(xué)難點(diǎn)重要的BPB參數(shù)含義，計(jì)算數(shù)據(jù)區(qū)起始位置課前學(xué)情01學(xué)情分析信安2002班MOOC在線分析表揚(yáng)學(xué)生學(xué)情分析信安2002班MOOC在線成績表揚(yáng)學(xué)生課堂活動討論1：傳統(tǒng)硬盤分區(qū)類型是MBR型還是GPT型？討論2：Windows操作系統(tǒng)硬盤分區(qū)類型是NTFS還是FAT32？討論3：我們常用的U盤（<=32G)分區(qū)類型是NTFS還是FAT32？任務(wù)引導(dǎo)一天，李先生在使用U盤操作電腦的時(shí)候突然遭遇停電。當(dāng)來電后再次打開電腦，插入U(xiǎn)盤FAT32分區(qū)時(shí)，屏幕提示該分區(qū)未格式化，該分區(qū)無法訪問。李先生想到里面有很多重要資料，不敢亂動，請來工程師小王幫忙解決問題。是哪里的數(shù)據(jù)破壞了呢？U盤的數(shù)據(jù)還能恢復(fù)嗎？FAT32文件系統(tǒng)結(jié)構(gòu)02一、文件系統(tǒng)概述在計(jì)算機(jī)中，數(shù)據(jù)是以文件形式組織存放的，文件系統(tǒng)給每個(gè)文件賦予一個(gè)標(biāo)識符（文件名），并規(guī)定了一組記錄格式和控制方法確保我們可以正常訪問這些文件。在文件系統(tǒng)中，除了存儲文件的數(shù)據(jù)內(nèi)容和文件名外，還記錄了文件的相關(guān)信息，比如創(chuàng)建和修改的日期時(shí)間、文件屬性等。格式化分區(qū)的時(shí)候，格式化程序就創(chuàng)建了文件系統(tǒng)，我們可以為不同的分區(qū)選擇不同的文件系統(tǒng)。常見的文件系統(tǒng)有：FAT：用于DOS和早期Windows操作系統(tǒng)。NTFS：用于WindowsNT及后續(xù)操作系統(tǒng)。EXT：用于Linux操作系統(tǒng)。HFS：用于蘋果電腦的MacOS。重點(diǎn)：文件系統(tǒng)對分區(qū)內(nèi)部數(shù)據(jù)的管理，它會把分區(qū)內(nèi)部的地址重新編排。文件系統(tǒng)的0號扇區(qū)是本分區(qū)的第1個(gè)分區(qū)。而磁盤的0號扇區(qū)是磁盤的第一個(gè)扇區(qū)。一、文件系統(tǒng)概述自足專業(yè)奮發(fā)有為FAT文件系統(tǒng)是一種用于個(gè)人計(jì)算機(jī)小型操作系統(tǒng)的文件管理方案，最初由IBM公司用于DOS操作系統(tǒng)。FAT文件系統(tǒng)結(jié)構(gòu)較簡單，管理方便，但不具備用于商業(yè)系統(tǒng)的安全性、容錯性、保密性等特點(diǎn)。FAT12用于軟盤（淘汰）（扇區(qū)編址16位，容量不超過32M）FAT16用于早期操作系統(tǒng)---目前部分手機(jī)內(nèi)存卡采用---（支持文件最大容量2GB)FAT32用于目前部分移動存儲設(shè)備（如U盤，內(nèi)存卡）。FAT32格式對單個(gè)文件容量不超過4GB提示：12,16,32表示簇的編址寬度一、文件系統(tǒng)概述FAT（FileAllocationTable）文件系統(tǒng)大致將硬盤數(shù)據(jù)分為四大部分DBR（DOSBootRecord）——引導(dǎo)扇區(qū)FAT（FileAllocationTable）——文件分配表區(qū)FDT（FileDirectory

Table）——文件目錄表區(qū)（也稱DIR區(qū)）DATA——數(shù)據(jù)區(qū)二、FAT文件系統(tǒng)（U盤結(jié)構(gòu)）FAT1FAT2根目錄數(shù)據(jù)區(qū)DATADBR引導(dǎo)扇區(qū)保留區(qū)FAT32分區(qū)MBR區(qū)三、FAT32分區(qū)結(jié)構(gòu)在FAT32分區(qū)內(nèi)部，由保留扇區(qū)、FAT表和數(shù)據(jù)區(qū)三個(gè)部分組成。（1）引導(dǎo)扇區(qū)，也稱DBR扇區(qū)，該扇區(qū)是最重要的一個(gè)扇區(qū)，系統(tǒng)訪問該分區(qū)時(shí)首先訪問它。FAT1FAT2根目錄數(shù)據(jù)區(qū)引導(dǎo)扇區(qū)保留區(qū)FAT32分區(qū)創(chuàng)建虛擬磁盤32G，寫出組成部分的起始扇區(qū)善于鉆研找規(guī)律（2）保留扇區(qū)是指分區(qū)內(nèi)FAT表之前的扇區(qū)，也包括引導(dǎo)扇區(qū)。（3）在硬盤中FAT有兩份，系統(tǒng)在寫入信息時(shí)會同時(shí)寫入兩份FAT，但只會讀取第一份的內(nèi)容。（4）格式化程序會創(chuàng)建文件系統(tǒng)，也就是劃分該分區(qū)的各部分的位置，并寫入適當(dāng)?shù)膮?shù)。同時(shí)，格式化后首先會創(chuàng)建根目錄，由于目錄也被當(dāng)做文件處理，因此根目錄通常位于數(shù)據(jù)區(qū)的起始位置。三、FAT32分區(qū)結(jié)構(gòu)DBR引導(dǎo)扇區(qū)03跳轉(zhuǎn)指令，跳至引導(dǎo)程序處BPB記錄了該分區(qū)的參數(shù)信息DBR負(fù)責(zé)執(zhí)行系統(tǒng)引導(dǎo)功能引導(dǎo)扇區(qū)結(jié)束標(biāo)志55HAAH一、分析引導(dǎo)扇區(qū)1.FAT32分區(qū)DBR引導(dǎo)扇區(qū)組成DBR扇區(qū)的位置？一、分析引導(dǎo)扇區(qū)引導(dǎo)扇區(qū)，也稱DBR扇區(qū)，它由BPB（BIOS參數(shù)塊）、DBR（磁盤引導(dǎo)記錄）、以及引導(dǎo)扇區(qū)結(jié)束標(biāo)志（55AA）組成。BPB中記錄了該分區(qū)的各項(xiàng)參數(shù)信息，因此至關(guān)重要，如果BPB部分被破壞，此分區(qū)將不可用。DBR在安裝系統(tǒng)的時(shí)候?qū)懭耄@是一段系統(tǒng)引導(dǎo)代碼，如果這部分缺失或被破壞，則該分區(qū)不可用于啟動系統(tǒng)。引導(dǎo)扇區(qū)結(jié)束標(biāo)志用于引導(dǎo)程序判斷該扇區(qū)是否為引導(dǎo)扇區(qū)。2.FAT32分區(qū)DBR引導(dǎo)扇區(qū)組成部分作用偏移長度描述00H3B跳轉(zhuǎn)指令，跳至后面引導(dǎo)記錄開始處（FAT32從5AH處開始）03H8B文件系統(tǒng)和版本的OEM標(biāo)志（MSDOS5.0或MSWIN4.1）0BH2B每扇區(qū)字節(jié)數(shù)（通常為200H）0DH1B每簇扇區(qū)數(shù)（值為2的N次方，通常小于64）**0EH2B保留扇區(qū)數(shù)（本分區(qū)中FAT表之前的扇區(qū)總數(shù)，通常FAT16為1，F(xiàn)AT32為20H或24H）**10H1BFAT表個(gè)數(shù)（通常為2）*11H2BFAT16系統(tǒng)為根目錄最大項(xiàng)，F(xiàn)AT32系統(tǒng)為013H2B小卷（<32MB）的分區(qū)扇區(qū)總數(shù)，大硬盤為015H1B介質(zhì)描述，恒為F816H2B在小卷中為每FAT占用扇區(qū)數(shù)，大硬盤為018H2B每磁道扇區(qū)數(shù)（通常為3FH，63）1AH2B磁頭數(shù)（通常為FFH，255）1CH4B隱含扇區(qū)數(shù)（本分區(qū)前的扇區(qū)總數(shù)，也就是本分區(qū)的起始邏輯扇區(qū)號）**20H4B大卷的本分區(qū)占用扇區(qū)數(shù)**24H4B大卷的每個(gè)FAT占用扇區(qū)數(shù)**28H2B延遲標(biāo)記（通常為0）二、BPB參數(shù)分析找出重要參數(shù)信息？偏移長度描述2AH2B版本（通常為0）2CH4B根目錄起始簇號（通常為02）*30H2BFS信息扇區(qū)，即BOOT扇區(qū)占用扇區(qū)數(shù)（通常為1）32H2B備份引導(dǎo)扇區(qū)的位置*34H12B保留未用（全為0）40H1B磁片的BIOS驅(qū)動信息（軟盤從0開始，硬盤從80H開始）41H1B未用42H1B擴(kuò)展引導(dǎo)標(biāo)記（通常為29H）43H4B卷序列號（由格式化程序隨機(jī)產(chǎn)生）47H12B卷標(biāo)（如果沒有設(shè)定卷標(biāo)，則為“NONAME”）52H8B文件系統(tǒng)名稱的文本標(biāo)識，如：FAT32*5AH420BDBR引導(dǎo)程序（FAT32通常從此處開始）1FEH2B結(jié)束標(biāo)識“55HAAH”注：帶星號的是重要字段二、BPB參數(shù)分析三、簇的概念FAT分區(qū)的數(shù)據(jù)區(qū)用于存儲文件數(shù)據(jù)，存儲文件的基本單位是簇。一個(gè)簇由1～128個(gè)扇區(qū)組成，但必須是2的n次方倍。一個(gè)分區(qū)中的簇大小是固定的，在格式化的時(shí)候決定，其大小在引導(dǎo)扇區(qū)的BPB中給出。如果簇設(shè)置得大些，則會造成浪費(fèi)空間較多，如果簇空間過小，則會造成FAT項(xiàng)增大，使得鏈表加長，增加管理成本，而且使訪問速度降低。簇大小一般由格式化程序自動指定，在32位系統(tǒng)中一般為4KB～16KB。工單任務(wù)-FAT32結(jié)構(gòu)分析04任務(wù)實(shí)施

附件：工單任務(wù)

項(xiàng)目四

任務(wù)4.1.1FAT32文件系統(tǒng)結(jié)構(gòu)分析任務(wù)實(shí)施在PBP中唯一沒有直接給出的值就是數(shù)據(jù)區(qū)的起始扇區(qū)位置，它可以通過計(jì)算得來。FAT32文件系統(tǒng)沒有專門的根目錄區(qū)，數(shù)據(jù)區(qū)的起始位置也就是首簇地址，因此數(shù)據(jù)區(qū)的起始扇區(qū)位置為：保留扇區(qū)數(shù)+FAT表扇區(qū)數(shù)×2FAT1FAT2根目錄數(shù)據(jù)區(qū)引導(dǎo)扇區(qū)保留區(qū)FAT32分區(qū)數(shù)據(jù)區(qū)起始位置？育人案例四川效率源信息安全技術(shù)股份有限公司孵化中心經(jīng)理朱星海：發(fā)揚(yáng)工匠精神護(hù)航信息安全五一勞動獎?wù)芦@得者朱星海：大學(xué)畢業(yè)后潛心于信息安全領(lǐng)域，在廣袤的數(shù)據(jù)海洋中發(fā)揚(yáng)工匠精神，帶領(lǐng)團(tuán)隊(duì)從事底層數(shù)據(jù)恢復(fù)核心技術(shù)研發(fā)，“數(shù)據(jù)恢復(fù)系統(tǒng)核心技術(shù)”和“電子數(shù)據(jù)失泄密核查技術(shù)”分別達(dá)到國際、國內(nèi)領(lǐng)先水平。自足專業(yè)奮發(fā)有為總結(jié)與拓展05總結(jié)1.