計(jì)算機(jī)數(shù)據(jù)恢復(fù)技術(shù) 課件 第3章 3.2.3-3.3 NTFS下的數(shù)據(jù)恢復(fù)、exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)

第3章Windows系統(tǒng)的數(shù)據(jù)恢復(fù)技術(shù)3.2NTFS下的數(shù)據(jù)恢復(fù)3.2.3

從NTFS中提取數(shù)據(jù)

要想在NTFS中提取數(shù)據(jù)，就要先找到記錄存放該數(shù)據(jù)的文件的MFT。

接下來(lái)，我們就以“FileExtrac2”盤(pán)中的6號(hào)文件為例，看看如何在NTFS中找到自己所需要的數(shù)據(jù)并提取出來(lái)。

“FileExtrac2”盤(pán)如圖3-83所示。圖3-83“FileExtrac2”盤(pán)3.2NTFS下的數(shù)據(jù)恢復(fù)3.2.3

從NTFS中提取數(shù)據(jù)

要想在NTFS中提取數(shù)據(jù)，就要先找到記錄存放該數(shù)據(jù)的文件的MFT。

接下來(lái)，我們就以“FileExtrac2”盤(pán)中的6號(hào)文件為例，看看如何在NTFS中找到自己所需要的數(shù)據(jù)并提取出來(lái)。

6號(hào)文件如圖3-84所示。圖3-846號(hào)文件3.2NTFS下的數(shù)據(jù)恢復(fù)3.2.3

從NTFS中提取數(shù)據(jù)

第1步，定位DBR。通過(guò)分區(qū)表定位DBR的位置，通過(guò)DBR的PBP參數(shù)就可以定位這個(gè)分區(qū)$MFT的位置。DBR的PBP參數(shù)如圖3-85所示。圖3-85DBR的PBP參數(shù)3.2NTFS下的數(shù)據(jù)恢復(fù)3.2.3

從NTFS中提取數(shù)據(jù)

第2步，定位MFT。根據(jù)DBR的PBP參數(shù)可以知道MFT的起始位置在786432號(hào)簇（注意，這里是以簇來(lái)記錄的），知道MFT的起始簇就可以計(jì)算它的位置了。其計(jì)算公式為：

MFT的起始位置=MFT的起始簇號(hào)×每簇扇區(qū)數(shù)（2G以上硬盤(pán)都是8）+隱含扇區(qū)數(shù)。3.2NTFS下的數(shù)據(jù)恢復(fù)3.2.3

從NTFS中提取數(shù)據(jù)

計(jì)算結(jié)果為MFT在6293504扇區(qū)，如圖3-86所示。圖3-86$MFT文件的起始位置3.2NTFS下的數(shù)據(jù)恢復(fù)3.2.3

從NTFS中提取數(shù)據(jù)

第3步，定位根目錄位置。NTFS的根目錄記錄在MFT的05表項(xiàng)，如圖3-87所示。圖3-8705表項(xiàng)3.2NTFS下的數(shù)據(jù)恢復(fù)3.2.3

從NTFS中提取數(shù)據(jù)

找到05表項(xiàng)，就可以開(kāi)始定位根目錄所在的位置了。先在05表項(xiàng)中找到A0H屬性，如圖3-88所示。圖3-8805表項(xiàng)的A0H屬性3.2NTFS下的數(shù)據(jù)恢復(fù)3.2.3

從NTFS中提取數(shù)據(jù)

根目錄所在簇記錄在05表項(xiàng)A0H屬性的最后8個(gè)字節(jié)，如圖3-89所示。圖3-89根目錄所在簇3.2NTFS下的數(shù)據(jù)恢復(fù)3.2.3

從NTFS中提取數(shù)據(jù)

通過(guò)圖3-89我們知道了根目錄在65

552

354號(hào)簇?，F(xiàn)在，要將簇轉(zhuǎn)換為扇區(qū)來(lái)計(jì)算。

根目錄所在位置計(jì)算公式為：

根目錄所在位置=根目錄起始簇號(hào)×每簇扇區(qū)數(shù)+隱含扇區(qū)數(shù)：3.2NTFS下的數(shù)據(jù)恢復(fù)3.2.3

從NTFS中提取數(shù)據(jù)

計(jì)算結(jié)果為524420880，所以根目錄在524420880扇區(qū)，如圖3-90所示。圖3-90根目錄所在位置3.2NTFS下的數(shù)據(jù)恢復(fù)3.2.3

從NTFS中提取數(shù)據(jù)

第4步，定位記錄6號(hào)文件的元文件。找到根目錄就可以定位記錄6號(hào)文件的元文件了。圖3-91

6號(hào)文件的元文件的文件記錄

向下翻找，找到記錄6號(hào)文件的元文件的文件記錄，如圖3-91所示。3.2NTFS下的數(shù)據(jù)恢復(fù)3.2.3

從NTFS中提取數(shù)據(jù)NTFS根目錄中的文件記錄一般是6行96個(gè)字節(jié)。找到6號(hào)文件的元文件的文件的記錄后，看記錄的第一個(gè)字節(jié)。圖3-92搜索2A

從圖3-91中我們可以看到6號(hào)文件的元文件的文件記錄的第一個(gè)字節(jié)是2A。

這說(shuō)明6號(hào)文件的元文件在2A表項(xiàng)。接下來(lái)，跳轉(zhuǎn)到MFT，用查找十六進(jìn)制數(shù)值功能搜索2A，如圖3-92所示。3.2NTFS下的數(shù)據(jù)恢復(fù)3.2.3

從NTFS中提取數(shù)據(jù)6號(hào)文件的元文件如圖3-93所示。圖3-936號(hào)文件的元文件3.2NTFS下的數(shù)據(jù)恢復(fù)3.2.3

從NTFS中提取數(shù)據(jù)

第5步，提取6號(hào)文件。找到記錄6號(hào)文件的元文件的80H屬性。圖3-946號(hào)文件數(shù)據(jù)流

6號(hào)文件的大小和起始位置記錄在80H屬性的最后8個(gè)字節(jié)里。6號(hào)文件數(shù)據(jù)流如圖3-94所示。3.2NTFS下的數(shù)據(jù)恢復(fù)3.2.3

從NTFS中提取數(shù)據(jù)

從圖3-94中可以看出，6號(hào)文件的起始簇為23260號(hào)簇。6號(hào)文件占了7個(gè)簇。

知道了起始簇的位置和大小后，就可以開(kāi)始提取數(shù)據(jù)了。先計(jì)算6號(hào)文件開(kāi)頭在第幾個(gè)扇區(qū)，其計(jì)算公式為：

文件起始扇區(qū)=文件起始簇×每簇扇區(qū)數(shù)（這里是8）+隱含扇區(qū)（這里是2048）3.2NTFS下的數(shù)據(jù)恢復(fù)3.2.3

從NTFS中提取數(shù)據(jù)

計(jì)算結(jié)果為188128，所以6號(hào)文件開(kāi)頭在188128扇區(qū)，如圖3-95所示。圖3-956號(hào)文件開(kāi)頭的位置3.2NTFS下的數(shù)據(jù)恢復(fù)3.2.3

從NTFS中提取數(shù)據(jù)

文件結(jié)束扇區(qū)的計(jì)算公式為：圖3-96

6號(hào)文件結(jié)尾的位置

文件結(jié)束扇區(qū)=文件開(kāi)始扇區(qū)（這里是188128扇區(qū)）+文件所占簇?cái)?shù)（這里是7）×每簇扇區(qū)數(shù)（這里是8）

計(jì)算結(jié)果為188184，所以6號(hào)文件結(jié)尾在188184扇區(qū)，如圖3-96所示。3.2NTFS下的數(shù)據(jù)恢復(fù)3.2.3

從NTFS中提取數(shù)據(jù)

當(dāng)6號(hào)文件頭尾位置都知道后，就可以把6號(hào)文件提取出來(lái)了。先跳轉(zhuǎn)到6號(hào)文件開(kāi)頭的位置，選中第一個(gè)字節(jié)并右擊，選擇“選塊起始位置”命令，如圖3-97所示。圖3-97選擇“選塊起始位置”命令3.2NTFS下的數(shù)據(jù)恢復(fù)3.2.3

從NTFS中提取數(shù)據(jù)

再跳轉(zhuǎn)到6號(hào)文件結(jié)尾的位置，在6號(hào)文件結(jié)尾后任意一空白處右擊，選擇“選塊尾部”命令，如圖3-98所示。圖3-98選擇“選塊結(jié)尾”命令3.2NTFS下的數(shù)據(jù)恢復(fù)3.2.3

從NTFS中提取數(shù)據(jù)

然后，右擊，選擇“編輯”命令，如圖3-99所示。圖3-99選擇“編輯”命令3.2NTFS下的數(shù)據(jù)恢復(fù)3.2.3

從NTFS中提取數(shù)據(jù)

打開(kāi)的菜單中，選擇“復(fù)制選塊”→“至新文件”命令，如圖3-100所示。圖3-100選擇“復(fù)制選塊”“至新文件”命令3.2NTFS下的數(shù)據(jù)恢復(fù)3.2.3

從NTFS中提取數(shù)據(jù)

在打開(kāi)的“另存為”對(duì)話框中，單擊“保存”按鈕，如圖3-101所示。圖3-101“另存為”對(duì)話框3.2NTFS下的數(shù)據(jù)恢復(fù)3.2.3

從NTFS中提取數(shù)據(jù)

這樣，整個(gè)6號(hào)文件就被提取出來(lái)了。提取出來(lái)的6號(hào)文件如圖3-102所示。圖3-102提取出來(lái)的6號(hào)文件3.2NTFS下的數(shù)據(jù)恢復(fù)3.2.4NTFSDBR遭破壞后的恢復(fù)

如果雙擊NTFS分區(qū)“K”盤(pán)時(shí)出現(xiàn)如圖3-103所示的提示信息，當(dāng)“K”盤(pán)沒(méi)有任何物理故障時(shí)，不要單擊“格式化磁盤(pán)”按鈕，否則“K”盤(pán)中的數(shù)據(jù)會(huì)被清空。這種故障很明顯是文件系統(tǒng)遭到了破壞。圖3-103雙擊NTFS分區(qū)“K”盤(pán)時(shí)出現(xiàn)的提示信息3.2NTFS下的數(shù)據(jù)恢復(fù)3.2.4NTFSDBR遭破壞后的恢復(fù)

用WinHex打開(kāi)“K”盤(pán)，檢查發(fā)現(xiàn)“K”盤(pán)DBR遭到了破壞，如圖3-104所示。圖3-103雙擊NTFS分區(qū)“K”盤(pán)時(shí)出現(xiàn)的提示信息3.2NTFS下的數(shù)據(jù)恢復(fù)3.2.4NTFSDBR遭破壞后的恢復(fù)

從圖3-104中可以看出，“K”盤(pán)DBR已經(jīng)被清零。DBR是文件系統(tǒng)中一個(gè)非常重要的扇區(qū)。這個(gè)扇區(qū)被破壞后分區(qū)將無(wú)法打開(kāi)。

一般修復(fù)DBR扇區(qū)的方法有兩種：第一種是找到DBR的備份，然后將整個(gè)扇區(qū)復(fù)制到DBR的位置（NTFSDBR的備份一般在分區(qū)的最后扇區(qū)）；第二種為手工修復(fù)。手工修復(fù)的方法如下。

首先，自建一個(gè)NTFS格式的磁盤(pán)，然后把自建盤(pán)DBR復(fù)制到故障盤(pán)DBR的位置（復(fù)制快捷鍵為“Ctrl+C”組合鍵，填入快捷鍵為“Ctrl+B”組合鍵），如圖3-105所示。3.2NTFS下的數(shù)據(jù)恢復(fù)3.2.4NTFSDBR遭破壞后的恢復(fù)圖3-105把自建盤(pán)DBR復(fù)制到故障盤(pán)DBR的位置3.2NTFS下的數(shù)據(jù)恢復(fù)3.2.4NTFSDBR遭破壞后的恢復(fù)

其次，自建盤(pán)DBR復(fù)制到故障盤(pán)DBR的位置后不能直接使用，還要修改其中幾個(gè)重要參數(shù)。

（1）0DH：每簇扇區(qū)數(shù)。對(duì)于2G以上分區(qū)，每簇扇區(qū)數(shù)均為8，如圖3-106所示。圖3-106每簇扇區(qū)數(shù)3.2NTFS下的數(shù)據(jù)恢復(fù)3.2.4NTFSDBR遭破壞后的恢復(fù)

（2）1CH～1FH：隱含扇區(qū)數(shù)。隱含扇區(qū)數(shù)可以在分區(qū)表中查看。如果分區(qū)表被破壞，隱含扇區(qū)可以在EBR中查看。這里將隱含扇區(qū)數(shù)改為2048，如圖3-107所示。圖3-107隱含扇區(qū)數(shù)3.2NTFS下的數(shù)據(jù)恢復(fù)3.2.4NTFSDBR遭破壞后的恢復(fù)

（3）28H～2BH：分區(qū)大小。分區(qū)大小可以在分區(qū)表中查看，也可以用分區(qū)的最后一個(gè)扇區(qū)偏移地址減去隱含扇區(qū)偏移地址得到。這里將分區(qū)大小改為4095992個(gè)扇區(qū)，如圖3-108所示。圖3-108分區(qū)大小3.2NTFS下的數(shù)據(jù)恢復(fù)3.2.4NTFSDBR遭破壞后的恢復(fù)

（4）30H～33H：$MFT文件的起始簇號(hào)，如圖3-109所示。圖3-109$MFT文件的起始簇號(hào)3.2NTFS下的數(shù)據(jù)恢復(fù)3.2.4NTFSDBR遭破壞后的恢復(fù)

$MFT文件的起始簇號(hào)可以在DBR后第16個(gè)扇區(qū)MFT備份80H屬性中查到，如圖3-110所示。圖3-110MFT備份80H屬性3.2NTFS下的數(shù)據(jù)恢復(fù)3.2.4NTFSDBR遭破壞后的恢復(fù)

（5）38H～3BH：$MFTmirr文件的起始簇號(hào)，如圖3-111所示。圖3-111$MFTmirr文件的起始簇號(hào)DBR修復(fù)結(jié)束后保存即可。3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.1exFAT文件系統(tǒng)的使用與特點(diǎn)

exFAT文件系統(tǒng)全稱(chēng)為ExtendedFileAllocationTableFileSystem，即擴(kuò)展文件分配表文件系統(tǒng)，是WindowsEmbeded6.0（包括WindowsCE6.0和WindowsMobile）平臺(tái)中引入的一種適合閃存的文件系統(tǒng)。1．如何使用exFAT文件系統(tǒng)

微軟公司在WindowsCE6.0操作系統(tǒng)中首次推出exFAT文件系統(tǒng)后，也逐漸把exFAT文件系統(tǒng)應(yīng)用于桌面操作系統(tǒng)中。桌面操作系統(tǒng)從WindowsVistaSP1版本起開(kāi)始支持exFAT文件系統(tǒng)，而WindowsXP操作系統(tǒng)目前還沒(méi)有直接提供對(duì)exFAT文件系統(tǒng)的支持。

如果想在WindowsXP操作系統(tǒng)中使用exFAT文件系統(tǒng)，用戶(hù)需要到微軟公司官方網(wǎng)站下載一個(gè)特殊補(bǔ)丁。該補(bǔ)丁不是必備的補(bǔ)丁，僅僅是為了提供對(duì)exFAT文件系統(tǒng)格式的支持。在WindowsXP操作系統(tǒng)中支持exFAT文件系統(tǒng)的補(bǔ)丁名稱(chēng)為“KB955704”。3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.1exFAT文件系統(tǒng)的使用與特點(diǎn)2．exFAT文件系統(tǒng)的特點(diǎn)exFAT文件系統(tǒng)是為閃存介質(zhì)而生的?，F(xiàn)在閃存介質(zhì)的容量越來(lái)越大，F(xiàn)AT文件系統(tǒng)能夠管理的空間有限，NTFS由于其系統(tǒng)性質(zhì)又不適合使用于閃存介質(zhì)，所以微軟公司推出了exFAT文件系統(tǒng)。exFAT文件系統(tǒng)跟原來(lái)的FAT文件系統(tǒng)相比，主要有以下特點(diǎn)”。

（1）支持更大的分區(qū)。

（2）支持更大的文件。

（3）支持更大的簇。

（4）支持訪問(wèn)控制列表。

（5）支持安全FAT（Transaction-safeFAT，TFAT）文件系統(tǒng)。

（6）支持快速分配的簇位圖功能。

（7）擁有更好的磁盤(pán)連續(xù)布局功能。3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.1exFAT文件系統(tǒng)的使用與特點(diǎn)

（8）支持通用協(xié)調(diào)時(shí)間的時(shí)間戳

（9）增加了臺(tái)式計(jì)算機(jī)與移動(dòng)媒體之間的兼容性。

雖然exFAT文件系統(tǒng)有這么多特點(diǎn)，但要被廣泛接受還需要較長(zhǎng)的時(shí)間。它更多意義上是一項(xiàng)立足于未來(lái)的技術(shù)。在操作系統(tǒng)方面，只有WindowsVistaSP1和WindowsCE6.0才可以支持exFAT文件系統(tǒng)，而WindowsXP操作系統(tǒng)則需要打?qū)ｉT(mén)的補(bǔ)丁后才能支持exFAT文件系統(tǒng)，而Mac、Linux、UNIX等操作系統(tǒng)暫時(shí)還不能支持exFAT文件系統(tǒng)。至于數(shù)碼相機(jī)、智能手機(jī)等設(shè)備，可以通過(guò)固件升級(jí)來(lái)支持exFAT文件系統(tǒng)，但這也得等到廠商推出相應(yīng)的固件才能實(shí)現(xiàn)。3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.2exFAT文件系統(tǒng)的結(jié)構(gòu)

exFAT文件系統(tǒng)由DBR及其保留扇區(qū)、FAT、簇位圖文件、大寫(xiě)字符文件、用戶(hù)數(shù)據(jù)區(qū)5個(gè)部分組成，如圖3-112所示。圖3-112exFAT文件系統(tǒng)的結(jié)構(gòu)3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.2exFAT文件系統(tǒng)的結(jié)構(gòu)

這些結(jié)構(gòu)是在分區(qū)被格式化時(shí)被創(chuàng)建出來(lái)的。它們的含義如下：

（1）DBR及其保留扇區(qū)。

（2）FAT。

（3）簇位圖文件。

（4）大寫(xiě)字符文件。

（5）用戶(hù)數(shù)據(jù)區(qū)。3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.2exFAT文件系統(tǒng)的結(jié)構(gòu)

1．exFAT文件系統(tǒng)的DBR分析DBR開(kāi)始于exFAT文件系統(tǒng)的第一個(gè)扇區(qū)。當(dāng)計(jì)算機(jī)啟動(dòng)時(shí)首先由BIOS讀入主引導(dǎo)盤(pán)MBR的內(nèi)容，以確定各個(gè)邏輯驅(qū)動(dòng)器及其起始地址，然后調(diào)入活動(dòng)分區(qū)的DBR，將控制權(quán)交給DBR，并由DBR來(lái)引導(dǎo)操作系統(tǒng)。exFAT文件系統(tǒng)的DBR由6個(gè)部分組成，分別為跳轉(zhuǎn)指令、OEM代號(hào)、保留區(qū)、BPB、引導(dǎo)程序和結(jié)束標(biāo)志。3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.2exFAT文件系統(tǒng)的結(jié)構(gòu)

如圖3-113所示為一個(gè)完整的exFAT文件系統(tǒng)的DBR圖3-113一個(gè)完整的exFAT文件系統(tǒng)的DBR3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.2exFAT文件系統(tǒng)的結(jié)構(gòu)1）跳轉(zhuǎn)指令

跳轉(zhuǎn)指令占用2個(gè)字節(jié)，用于將程序執(zhí)行流程跳轉(zhuǎn)到引導(dǎo)程序處。當(dāng)前DBR中的“EB76”就是代表匯編語(yǔ)言的“JMP76”。該指令因本身占用2個(gè)字節(jié)，在計(jì)算跳轉(zhuǎn)目標(biāo)地址時(shí)以該指令的下一個(gè)字節(jié)為基準(zhǔn)，所以實(shí)際執(zhí)行的下一條指令應(yīng)位于78H。在這之后跳轉(zhuǎn)的是一條空指令NOP（90H）。2）OEM代號(hào)

OEM代號(hào)占用8個(gè)字節(jié)，并由創(chuàng)建該文件系統(tǒng)的OEM廠商具體安排其內(nèi)容。例如，微軟公司的WindowsVista操作系統(tǒng)將此處設(shè)置為文件系統(tǒng)類(lèi)型“exFAT”。

3）保留區(qū)DBR的0BH～3FH是原來(lái)的FAT文件系統(tǒng)BPB所占用的空間，而exFAT文件系統(tǒng)不使用這些字節(jié)。3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.2exFAT文件系統(tǒng)的結(jié)構(gòu)4）BPBexFAT文件系統(tǒng)的BPB是從DBR的40BH偏移地址開(kāi)始的，占用56個(gè)字節(jié)，記錄了有關(guān)exFAT文件系統(tǒng)的重要信息。exFAT文件系統(tǒng)的BPB各字段的含義如表3-54所示。偏移地址字段長(zhǎng)度/個(gè)字節(jié)含義偏移地址字段長(zhǎng)度/個(gè)字節(jié)含義40H8隱含扇區(qū)數(shù)5CH4卷內(nèi)總簇?cái)?shù)48H8分區(qū)大小60H4根目錄起始簇號(hào)50H4FAT起始扇區(qū)號(hào)64H4卷ID54H4FAT扇區(qū)數(shù)6CH1扇區(qū)大小58H42號(hào)簇起始扇區(qū)號(hào)6DH1每簇扇區(qū)數(shù)3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.2exFAT文件系統(tǒng)的結(jié)構(gòu)

BPB也可以使用WinHex的DBR模板來(lái)查看。

打開(kāi)WinHex的“模板管理器”對(duì)話框，選擇“exFAT引導(dǎo)扇區(qū)”選項(xiàng)，如圖3-114所示。圖3-114“模板管理器”對(duì)話框3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.2exFAT文件系統(tǒng)的結(jié)構(gòu)

單擊“應(yīng)用”按鈕后，就可以查看exFAT文件系統(tǒng)的DBR模板，如圖3-115所示。圖3-115exFAT文件系統(tǒng)的DBR模板3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.2exFAT文件系統(tǒng)的結(jié)構(gòu)

（1）40H～47H：隱含扇區(qū)數(shù)。隱含扇區(qū)數(shù)是指在本分區(qū)之前使用的扇區(qū)數(shù)，與在分區(qū)表中所描述的該分區(qū)的起始扇區(qū)號(hào)一致。對(duì)于主磁盤(pán)分區(qū)來(lái)講，隱含扇區(qū)數(shù)是MBR到該分區(qū)DBR之間的扇區(qū)數(shù)；對(duì)于擴(kuò)展分區(qū)中的邏輯驅(qū)動(dòng)器來(lái)講，隱含扇區(qū)數(shù)是EBR到該分區(qū)DBR之間的扇區(qū)數(shù)。

（2）48H～4FH：分區(qū)大小。分區(qū)大小是指分區(qū)的總扇區(qū)數(shù)，由8個(gè)字節(jié)組成，也就是64位，所以能管理的最大分區(qū)為264×512B=273B=8ZB。微軟公司官方網(wǎng)站提供的信息稱(chēng)，exFAT文件系統(tǒng)理論上最大可以支持64ZB的分區(qū)，但從這里只能算出最大分區(qū)為8ZB。

（3）50H～53H：FAT起始扇區(qū)號(hào)。FAT起始扇區(qū)號(hào)為從DBR到FAT之間的扇區(qū)數(shù)。

（4）54H～57H：FAT扇區(qū)數(shù)。FAT扇區(qū)數(shù)是指FAT包含的扇區(qū)數(shù)。3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.2exFAT文件系統(tǒng)的結(jié)構(gòu)

（5）58H～5BH：2號(hào)簇起始扇區(qū)號(hào)。2號(hào)簇起始扇區(qū)號(hào)用來(lái)描述在文件系統(tǒng)中的第一個(gè)簇的起始扇區(qū)號(hào)。與傳統(tǒng)FAT文件系統(tǒng)一樣，exFAT文件系統(tǒng)的第一個(gè)簇是2號(hào)簇，通常2號(hào)簇會(huì)分配給簇位圖文件使用。因此，2號(hào)簇起始扇區(qū)號(hào)也就是簇位圖文件的起始扇區(qū)號(hào)。

（6）5CH～5FH：卷內(nèi)總簇?cái)?shù)。卷內(nèi)總簇?cái)?shù)是指從卷內(nèi)的第一個(gè)簇算起，到卷末尾所包含的簇的總數(shù)。

（7）60H～63H：根目錄起始簇號(hào)。分區(qū)在格式化為exFAT文件系統(tǒng)時(shí)，格式化程序會(huì)在數(shù)據(jù)區(qū)中指派一個(gè)簇作為exFAT文件系統(tǒng)的根目錄區(qū)的開(kāi)始，并把該簇號(hào)記錄在BPB中。通常分區(qū)的第一個(gè)簇被分配給簇位圖文件使用。簇位圖文件后面是大寫(xiě)字符文件。大寫(xiě)字符文件的下一個(gè)簇就是根目錄的起始位置了。3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.2exFAT文件系統(tǒng)的結(jié)構(gòu)

（8）64H～67H：卷ID。卷ID是格式化程序在創(chuàng)建文件系統(tǒng)時(shí)生成的一組4個(gè)字節(jié)的隨機(jī)數(shù)值。

（9）6C：扇區(qū)大小。扇區(qū)大小用來(lái)描述每扇區(qū)包含的字節(jié)數(shù)。其描述方法為：假設(shè)此處值為N，則每扇區(qū)字節(jié)數(shù)為2N。例如，如果這個(gè)字節(jié)為“09”，即每扇區(qū)字節(jié)數(shù)為29=512。

（10）6D：每簇扇區(qū)數(shù)。每簇扇區(qū)數(shù)用來(lái)描述每簇包含的扇區(qū)數(shù)。其描述方法為：假設(shè)此處值為N，則每簇扇區(qū)數(shù)為2N。例如，如果這個(gè)字節(jié)為“06”，即每簇扇區(qū)數(shù)為26=64。exFAT文件系統(tǒng)能夠支持512B～32MB的簇大小。3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.2exFAT文件系統(tǒng)的結(jié)構(gòu)5）引導(dǎo)程序exFAT文件系統(tǒng)的DBR引導(dǎo)程序占用390個(gè)字節(jié)（78H～1FDH）。這部分字節(jié)對(duì)于exFAT文件系統(tǒng)來(lái)說(shuō)也是很重要的。如果這部分字節(jié)的數(shù)據(jù)被破壞，則exFAT文件系統(tǒng)將無(wú)法使用。6）結(jié)束標(biāo)志exFAT文件系統(tǒng)的DBR結(jié)束標(biāo)志與FAT文件系統(tǒng)的DBR結(jié)束標(biāo)志一樣，均為“55AA”。在exFAT文件系統(tǒng)的DBR之后還有很多保留扇區(qū)，其中12號(hào)扇區(qū)為DBR的備份。如果DBR遭到破壞，可以用DBR的備份進(jìn)行修復(fù)。3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.2exFAT文件系統(tǒng)的結(jié)構(gòu)2．exFAT文件系統(tǒng)的FAT分析1）FAT的作用及結(jié)構(gòu)特點(diǎn)FAT（FileAllocationTab1e）即文件分配表，對(duì)于ExFAT文件系統(tǒng)來(lái)講也是很重要的一個(gè)組成部分，其主要作用及結(jié)構(gòu)特點(diǎn)如下。

（1）exFAT文件系統(tǒng)一般只有一個(gè)FAT。

（2）FAT跟在DBR之后，其具體地址由DBR的BPB中偏移地址為50H～53H的4個(gè)字節(jié)描述。

（3）FAT是由FAT表項(xiàng)構(gòu)成的。

（4）每個(gè)FAT項(xiàng)都有一個(gè)固定的編號(hào)，這個(gè)編號(hào)從0開(kāi)始，也就是說(shuō)，第一個(gè)FAT項(xiàng)是0號(hào)FAT項(xiàng)，第二個(gè)FAT項(xiàng)是1號(hào)FAT項(xiàng)，以此類(lèi)推。3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.2exFAT文件系統(tǒng)的結(jié)構(gòu)2．exFAT文件系統(tǒng)的FAT分析

（5）FAT的前兩個(gè)FAT項(xiàng)有專(zhuān)門(mén)的用途：0號(hào)FAT項(xiàng)通常用來(lái)存放分區(qū)所在的介質(zhì)類(lèi)型，比如硬盤(pán)的介質(zhì)類(lèi)型為“F8”，那么硬盤(pán)上分區(qū)FAT的第一個(gè)FAT項(xiàng)就以“F8”開(kāi)始；1號(hào)FAT項(xiàng)一般都是4個(gè)“FF”。

（6）在數(shù)據(jù)區(qū)中每一個(gè)簇都會(huì)映射到FAT中的唯一一個(gè)FAT項(xiàng)。。

（7）分區(qū)格式化后，分區(qū)的兩個(gè)元文件及用戶(hù)文件都以簇為單位存放在數(shù)據(jù)區(qū)中，一個(gè)文件至少占用一個(gè)簇。

（8）綜合上面的說(shuō)明可以看出，exFAT文件系統(tǒng)FAT的功能主要是記錄不連續(xù)存儲(chǔ)的文件的簇鏈，所以在FAT中看到數(shù)值為0的FAT項(xiàng)并不能說(shuō)明該FAT項(xiàng)對(duì)應(yīng)的簇是可用簇。3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.2exFAT文件系統(tǒng)的結(jié)構(gòu)2．exFAT文件系統(tǒng)的FAT分析2）FAT的實(shí)際應(yīng)用

要分析FAT，首先需要找到FAT。下面模擬一下操作系統(tǒng)定位FAT的方法。下面以圖3-113所示的DBR所在分區(qū)為例介紹定位FAT的方法。

系統(tǒng)通過(guò)該分區(qū)的分區(qū)表信息，定位到其DBR扇區(qū)。

讀取DBR的BPB，主要讀取“FAT起始扇區(qū)號(hào)”參數(shù)，它在DBR的50H～53H偏移地址處，當(dāng)前值為2048（具體參數(shù)可以查看如圖3-115所示的DBR模板信息）。

讀取“FAT起始扇區(qū)號(hào)”參數(shù)的值為2048后，跳轉(zhuǎn)到該分區(qū)的2048號(hào)扇區(qū)，這里就是FAT的開(kāi)始位置。3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.2exFAT文件系統(tǒng)的結(jié)構(gòu)

下面跳轉(zhuǎn)到2048號(hào)扇區(qū)來(lái)具體分析這個(gè)扇區(qū)的數(shù)據(jù)結(jié)構(gòu)

該分區(qū)是剛格式化的一個(gè)分區(qū)。當(dāng)把分區(qū)格式化為exFAT文件系統(tǒng)時(shí)，格式化程序會(huì)把分配給FAT的第一個(gè)扇區(qū)清零，然后寫(xiě)入0號(hào)FAT項(xiàng)和1號(hào)FAT項(xiàng)，另外還會(huì)寫(xiě)入簇位圖文件、大寫(xiě)字符文件及根目錄所占簇對(duì)應(yīng)的FAT項(xiàng)。exFAT文件系統(tǒng)的FAT如圖3-116所示。圖3-116exFAT文件系統(tǒng)的FAT3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.2exFAT文件系統(tǒng)的結(jié)構(gòu)

從圖3-116中可以看出，每個(gè)FAT項(xiàng)占用4個(gè)字節(jié)。其中，0號(hào)FAT項(xiàng)描述介質(zhì)類(lèi)型，其首字節(jié)為“F8”，表示介質(zhì)類(lèi)型為硬盤(pán)；1號(hào)FAT項(xiàng)寫(xiě)入4個(gè)“FF”；2號(hào)FAT項(xiàng)對(duì)應(yīng)2號(hào)簇；3號(hào)FAT項(xiàng)對(duì)應(yīng)3號(hào)簇，直至最后一個(gè)簇。目前，在2、3、4這3個(gè)FAT項(xiàng)中都是4個(gè)“FF”，說(shuō)明簇位圖文件、大寫(xiě)字符文件、根目錄各占一個(gè)簇。3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.2exFAT文件系統(tǒng)的結(jié)構(gòu)xFAT文件系統(tǒng)的FAT后面就是數(shù)據(jù)區(qū)，但數(shù)據(jù)區(qū)不一定會(huì)緊跟在FAT的后面。FAT后面可能還會(huì)有一些保留扇區(qū)，每個(gè)分區(qū)不一樣，要看實(shí)際情況。數(shù)據(jù)區(qū)的開(kāi)始位置在DBR的BPB中有描述，“2號(hào)簇起始扇區(qū)號(hào)”參數(shù)的值就是數(shù)據(jù)區(qū)的開(kāi)始位置。2號(hào)簇一般會(huì)分配給簇位圖文件使用。3．exFAT文件系統(tǒng)的簇位圖文件分析

簇位圖文件是在分區(qū)格式化時(shí)創(chuàng)建的。該文件不允許用戶(hù)訪問(wèn)和修改。3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.2exFAT文件系統(tǒng)的結(jié)構(gòu)

在圖3-113所示的DBR所在分區(qū)，從偏移地址58H～5BH處可以看到，“2號(hào)簇起始扇區(qū)號(hào)”是10240，跳轉(zhuǎn)到10240扇區(qū)，如圖3-117所示。圖3-1172號(hào)簇起始扇區(qū)3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.2exFAT文件系統(tǒng)的結(jié)構(gòu)

該扇區(qū)中“FF01”為簇位圖文件的內(nèi)容。簇位圖文件是exFAT文件系統(tǒng)中的一個(gè)元文件，類(lèi)似于NTFS中的元文件$Bitmap，是用來(lái)管理分區(qū)中簇的使用情況的。在簇位圖文件中，每一位映射到數(shù)據(jù)區(qū)中的每一個(gè)簇。如果某個(gè)簇分配給了文件，該簇在簇位圖文件中對(duì)應(yīng)的位就會(huì)被填入“1”，表示該簇已經(jīng)被占用；如果沒(méi)有使用的空簇，它們?cè)诖匚粓D文件中對(duì)應(yīng)的位就是“0”。

在圖3-117中簇位圖文件的內(nèi)容為“FF01”，換算成二進(jìn)制數(shù)為“00000111”，這8位二進(jìn)制數(shù)對(duì)應(yīng)著數(shù)據(jù)區(qū)2號(hào)簇到9號(hào)簇這8個(gè)簇，從“00000111”這個(gè)數(shù)值中能夠很明確地看出2、3、4這3個(gè)簇是被使用的，其他5個(gè)簇未被使用，而2、3、4這3個(gè)簇正是被簇位圖文件、大寫(xiě)字符文件、根目錄所占用的。3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.2exFAT文件系統(tǒng)的結(jié)構(gòu)

大寫(xiě)字符文件是在分區(qū)被格式化時(shí)創(chuàng)建的。該文件不允許用戶(hù)訪問(wèn)和修改。4．exFAT文件系統(tǒng)的大寫(xiě)字符文件分析

簇位圖文件結(jié)束后的下一個(gè)簇一般會(huì)分配給大寫(xiě)字符文件使用。在圖3-113所示的DBR所在分區(qū)中，簇位圖文件只占用一個(gè)簇，當(dāng)前分區(qū)為每簇8個(gè)扇區(qū)，開(kāi)始位置往后跳轉(zhuǎn)8個(gè)扇區(qū)就到了大寫(xiě)字符文件的開(kāi)始位置了，也就是3號(hào)簇的開(kāi)始位置。

大寫(xiě)字符文件第一個(gè)扇區(qū)的前半部分如圖3-118所示，其內(nèi)容均為在Unicode字母表中的字符，每個(gè)字符占用2個(gè)字節(jié)。

大寫(xiě)字符文件的大小固定為5836個(gè)字節(jié)。3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.2exFAT文件系統(tǒng)的結(jié)構(gòu)

圖3-118大寫(xiě)字符文件第一個(gè)扇區(qū)的前半部分。圖3-118大寫(xiě)字符文件第一個(gè)扇區(qū)的前半部分3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.2exFAT文件系統(tǒng)的結(jié)構(gòu)

1）目錄項(xiàng)的作用及結(jié)構(gòu)特點(diǎn)

5．exFAT文件系統(tǒng)的目錄項(xiàng)分析

（1）在分區(qū)中，每個(gè)文件和文件夾（又稱(chēng)目錄）都被分配多個(gè)大小為32個(gè)字節(jié)的目錄項(xiàng)。

（3）在exFAT文件系統(tǒng)下，分區(qū)根目錄下的文件及文件夾的目錄項(xiàng)存放在根目錄區(qū)中，而分區(qū)子目錄下的文件及文件夾的目錄項(xiàng)存放在數(shù)據(jù)區(qū)相應(yīng)的簇中。

（4）exFAT文件系統(tǒng)目錄項(xiàng)的第一個(gè)字節(jié)用來(lái)描述目錄項(xiàng)的類(lèi)型，剩下的31個(gè)字節(jié)用來(lái)記錄文件的相關(guān)信息

（2）在exFAT文件系統(tǒng)中，目錄也被視為特殊類(lèi)型的文件，所以每個(gè)目錄都與文件一樣有目錄項(xiàng)。

（5）根據(jù)目錄項(xiàng)的作用和結(jié)構(gòu)特點(diǎn)，可以把目錄項(xiàng)分為卷標(biāo)的目錄項(xiàng)、簇位圖文件的目錄項(xiàng)、大寫(xiě)字符文件的目錄項(xiàng)和用戶(hù)文件的目錄項(xiàng)4種類(lèi)型。3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.2exFAT文件系統(tǒng)的結(jié)構(gòu)

卷標(biāo)就是一個(gè)分區(qū)的名字，可以在格式化分區(qū)時(shí)創(chuàng)建，也可以隨時(shí)修改。exFAT文件系統(tǒng)把卷標(biāo)當(dāng)成文件，并用文件目錄項(xiàng)對(duì)其進(jìn)行管理。exFAT文件系統(tǒng)為卷標(biāo)建一個(gè)目錄項(xiàng)，并將其放在根目錄區(qū)中。

2）卷標(biāo)的目錄項(xiàng)

卷標(biāo)的目錄項(xiàng)有以下特點(diǎn)。

（1）對(duì)于exFAT格式的分區(qū)，卷標(biāo)的字符數(shù)理論上要求在11個(gè)之內(nèi)，但最多可以達(dá)到15個(gè)。卷標(biāo)使用Unicode字符。

（2）在卷標(biāo)的目錄項(xiàng)中不記錄起始簇號(hào)和大小。

（3）在卷標(biāo)的目錄項(xiàng)中不記錄時(shí)間戳。

卷標(biāo)的目錄項(xiàng)占用32個(gè)字節(jié)。其中，第一個(gè)字節(jié)是特征值，用來(lái)描述類(lèi)型。卷標(biāo)的目錄項(xiàng)的特征值為“83H”。如果沒(méi)有卷標(biāo)或者將卷標(biāo)刪除，該特征值為“03H”。3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.2exFAT文件系統(tǒng)的結(jié)構(gòu)exFAT文件系統(tǒng)在格式化時(shí)會(huì)創(chuàng)建一個(gè)簇位圖文件，并為其建一個(gè)目錄項(xiàng)，放在根目錄區(qū)中。

3）簇位圖文件的目錄項(xiàng)

簇位圖文件的目錄項(xiàng)如圖3-119所示。

簇位圖文件的目錄項(xiàng)占用32個(gè)字節(jié)。其中，第一個(gè)字節(jié)是特征值，用來(lái)描述類(lèi)型。簇位圖文件的目錄項(xiàng)的特征值為“81H”。圖3-119簇位圖文件的目錄項(xiàng)3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.2exFAT文件系統(tǒng)的結(jié)構(gòu)

exFAT簇位圖文件的目錄項(xiàng)各字段的含義如表3-55所示。偏移地址字段長(zhǎng)度/個(gè)字節(jié)含義00H1目錄項(xiàng)的類(lèi)型0lH1保留02H18保留14H4起始簇號(hào)18H8文件大小3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.2exFAT文件系統(tǒng)的結(jié)構(gòu)

exFAT簇位圖文件的目錄項(xiàng)各字段的含義如表3-55所示。偏移地址字段長(zhǎng)度/個(gè)字節(jié)含義00H1目錄項(xiàng)的類(lèi)型0lH1保留02H18保留14H4起始簇號(hào)18H8文件大小

簇位圖文件的目錄項(xiàng)有以下特點(diǎn)。

（1）對(duì)于exFAT格式的分區(qū)，簇位圖文件的起始簇號(hào)一般都為2。

（2）在簇位圖文件的目錄項(xiàng)中不記錄時(shí)間戳。3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.2exFAT文件系統(tǒng)的結(jié)構(gòu)exFAT文件系統(tǒng)在格式化時(shí)會(huì)創(chuàng)建一個(gè)大寫(xiě)字符文件，并為其建一個(gè)目錄項(xiàng)。該目錄項(xiàng)放在根目錄區(qū)中。

4）大寫(xiě)字符文件的目錄項(xiàng)

大寫(xiě)字符文件的目錄項(xiàng)如圖3-120所示。

大寫(xiě)字符文件的目錄項(xiàng)占用32個(gè)字節(jié)。其中，第一個(gè)字節(jié)是特征值，用來(lái)描述類(lèi)型。大寫(xiě)字符文件的目錄項(xiàng)的特征值為“82H”。圖3-120大寫(xiě)字符文件的目錄項(xiàng)3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.2exFAT文件系統(tǒng)的結(jié)構(gòu)

大寫(xiě)字符文件的目錄項(xiàng)各字段的含義如表3-56所示。偏移地址字段長(zhǎng)度/個(gè)字節(jié)含義00H1目錄項(xiàng)的類(lèi)型0lH3保留08H14保留14H4起始簇號(hào)18H8文件大小

大寫(xiě)字符文件的目錄項(xiàng)有以下特點(diǎn)。

（1）對(duì)于exFAT格式的分區(qū)，大寫(xiě)字符文件的目錄項(xiàng)一般都跟在簇位圖文件的目錄項(xiàng)之后。

（2）在大寫(xiě)字符文件的目錄項(xiàng)中不記錄時(shí)間戳。3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.2exFAT文件系統(tǒng)的結(jié)構(gòu)

在exFAT文件系統(tǒng)中，每個(gè)用戶(hù)文件至少有3個(gè)目錄項(xiàng)。第一個(gè)目錄項(xiàng)稱(chēng)為“屬性1”目錄項(xiàng)，其特征值為“85H”；第二個(gè)目錄項(xiàng)稱(chēng)為“屬性2”目錄項(xiàng)，其特征值為“C0H”；第三個(gè)目錄項(xiàng)稱(chēng)為“屬性3”目錄項(xiàng)，其特征值為“C1H”。

5）用戶(hù)文件的目錄項(xiàng)

（1）“屬性1”目錄項(xiàng)?！皩傩?”目錄項(xiàng)用來(lái)記錄該目錄項(xiàng)的附屬目錄項(xiàng)數(shù)、校驗(yàn)和、屬性、時(shí)間戳等信息。“屬性1”目錄項(xiàng)如圖3-121所示。圖3-121“屬性1”目錄項(xiàng)3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.2exFAT文件系統(tǒng)的結(jié)構(gòu)

“屬性1”目錄項(xiàng)各字段的含義如表3-57所示。偏移地址字段長(zhǎng)度/個(gè)字節(jié)含義00H1類(lèi)型0lH1附屬目錄項(xiàng)數(shù)02H2校驗(yàn)和04H4屬性08H4文件創(chuàng)建時(shí)間0CH4文件最后修改吋間10H4文件最后訪問(wèn)時(shí)間14H1文件創(chuàng)建時(shí)間（精確至10ms）15H3保留18H8保留3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.2exFAT文件系統(tǒng)的結(jié)構(gòu)

下面通過(guò)WinHex查看“屬性1”目錄項(xiàng)的模板，如圖3-122所示。圖3-122“屬性1”目錄項(xiàng)的模板3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.2exFAT文件系統(tǒng)的結(jié)構(gòu)

01H：附屬目錄項(xiàng)數(shù)。該參數(shù)指該文件除此目錄項(xiàng)外，還有幾個(gè)目錄項(xiàng)。該參數(shù)當(dāng)前值為2，說(shuō)明該文件除了“屬性1”目錄項(xiàng)外，后面還有兩個(gè)目錄項(xiàng)，即“屬性2”目錄項(xiàng)和“屬性3”目錄項(xiàng)

00H：類(lèi)型。該參數(shù)為目錄項(xiàng)類(lèi)型的特征值

04H～07H：文件屬性。該參數(shù)描述文件的常規(guī)屬性?！拔募傩浴眳?shù)值對(duì)應(yīng)屬性的具體含義如表3-58所示。

02H～03H：校驗(yàn)和。該參數(shù)是通過(guò)校驗(yàn)算法算出來(lái)的目錄項(xiàng)的校驗(yàn)和。參數(shù)值（二進(jìn)制）含義參數(shù)值（二進(jìn)制）含義00000000讀寫(xiě)00001000卷標(biāo)00000001只讀000l0000子目錄000000l0隱含00100000存檔00000100系統(tǒng)

3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.2exFAT文件系統(tǒng)的結(jié)構(gòu)

08H～0BH：文件創(chuàng)建時(shí)間。該參數(shù)是文件的具體創(chuàng)建時(shí)間。其格式為32位的DOS時(shí)間，包括年、月、日、時(shí)、分、秒。其具體表示方法與FAT文件系統(tǒng)的一樣，這里不再重復(fù)講述。

10H～13H：文件最后訪問(wèn)時(shí)間。該參數(shù)是文件最后一次訪問(wèn)的具體時(shí)間，其格式為32位的DOS時(shí)間，包括年、月、日、時(shí)、分、秒。其具體表示方法跟FAT文件系統(tǒng)的不一樣。在FAT文件系統(tǒng)中，文件最后訪問(wèn)時(shí)間只有年、月、日，沒(méi)有時(shí)、分、秒。

0CH～0FH：文件最后修改時(shí)間。該參數(shù)是文件最后一次修改的具體時(shí)間。其格式為32位的DOS時(shí)間，包括年、月、日、時(shí)、分、秒。其具體表示方法跟FAT文件系統(tǒng)的一樣，這里不再重復(fù)講述。

14H：文件創(chuàng)建時(shí)間。該參數(shù)是文件的具體創(chuàng)建時(shí)間，精確到10ms。3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.2exFAT文件系統(tǒng)的結(jié)構(gòu)

（2）“屬性2”目錄項(xiàng)?！皩傩?”目錄項(xiàng)用來(lái)記錄文件是否有碎片、文件名的字符數(shù)、文件名Hash值、文件的起始簇號(hào)及大小等信息。

“屬性2”目錄項(xiàng)如圖3-123所示。圖3-123“屬性2”目錄項(xiàng)3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.2exFAT文件系統(tǒng)的結(jié)構(gòu)

屬性2”目錄項(xiàng)各字段的含義如表3-59所示。偏移地址字段長(zhǎng)度/個(gè)字節(jié)含義00H1類(lèi)型01H1文件碎片標(biāo)志02H1保留03H1文件名字符數(shù)（N）04H2文件名Hash值06H2保留08H8文件大小110H4保留14H4起始簇號(hào)18H8文件大小23.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.2exFAT文件系統(tǒng)的結(jié)構(gòu)

下面通過(guò)WinHex查看“屬性2”目錄項(xiàng)的模板，如圖3-124所示。圖3-124“屬性2”目錄項(xiàng)的模板3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.2exFAT文件系統(tǒng)的結(jié)構(gòu)

01H：文件碎片標(biāo)志。該參數(shù)能夠反映出文件是否連續(xù)存放。如果連續(xù)存放、沒(méi)有碎片，則該標(biāo)志為03H；如果非連續(xù)存放、文件有碎片，則該標(biāo)志為01H。

00H：類(lèi)型。目錄項(xiàng)類(lèi)型的特征值，“屬性2”目錄項(xiàng)的特征值為“C0H”04H～05H：文件名Hash值。該參數(shù)是根據(jù)相應(yīng)算法算出的文件名的校驗(yàn)值。當(dāng)文件名發(fā)生改變時(shí)，該參數(shù)也會(huì)發(fā)生改變；當(dāng)文件移動(dòng)時(shí)，該參數(shù)不會(huì)改變。03H：文件名字符數(shù)。該參數(shù)用來(lái)說(shuō)明文件名長(zhǎng)度。exFAT文件系統(tǒng)的文件名用Unicode字符表示，每個(gè)字符占用2個(gè)字節(jié)。04H～08H～0FH：文件大小1。該參數(shù)是文件的總字節(jié)數(shù)，用64位記錄文件大小。

14H～17H：起始簇號(hào)。該參數(shù)是描述文件的起始簇號(hào)，用32位記錄起始簇的地址。

18H～1FH：文件大小2。該參數(shù)也是文件的總字節(jié)數(shù)，是為NTFS的壓縮屬性準(zhǔn)備的，在一般情況下與“文件大小1”參數(shù)值保持一致。3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.2exFAT文件系統(tǒng)的結(jié)構(gòu)

（3）“屬性3”目錄項(xiàng)。“屬性3”目錄項(xiàng)用來(lái)記錄文件名。如果文件名較長(zhǎng)，“屬性3”目錄項(xiàng)可以包含多個(gè)目錄項(xiàng)，且每個(gè)目錄項(xiàng)稱(chēng)為一個(gè)片段，從上到下依次記錄文件名的每一個(gè)字符，記錄的方向剛好與FAT文件系統(tǒng)中長(zhǎng)文件名目錄項(xiàng)從下到上的順序相反。

“屬性3”目錄項(xiàng)如圖3-125所示。圖3-125“屬性3”目錄項(xiàng)3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.2exFAT文件系統(tǒng)的結(jié)構(gòu)

屬性3”目錄項(xiàng)各字段的含義如表3-60所示。偏移地址字段長(zhǎng)度/個(gè)字節(jié)含義00H1類(lèi)型01H1保留02H2N文件名（片段）3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.2exFAT文件系統(tǒng)的結(jié)構(gòu)

通過(guò)WinHex查看“屬性3”目錄項(xiàng)的模板，如圖3-126所示。圖3-126“屬性3”目錄項(xiàng)的模板3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.2exFAT文件系統(tǒng)的結(jié)構(gòu)1）根目錄的管理exFAT文件系統(tǒng)會(huì)統(tǒng)一在數(shù)據(jù)區(qū)的根目錄區(qū)中為文件創(chuàng)建目錄項(xiàng)，并由簇位圖文件為用戶(hù)文件的內(nèi)容分配簇存放數(shù)據(jù)。而根目錄區(qū)的首簇會(huì)由格式化程序指派，被指派的簇號(hào)會(huì)被記錄在DBR的BPB中。如果根目錄下的文件數(shù)目過(guò)多，文件的目錄項(xiàng)在根目錄區(qū)的首簇中存放不下，簇位圖文件就會(huì)為根目錄分配新的簇來(lái)存放根目錄下的文件及文件夾的目錄項(xiàng)，并在FAT中記錄簇鏈。6．exFAT文件系統(tǒng)根目錄與子目錄的管理

2）子目錄的管理exFAT文件系統(tǒng)的根目錄、子目錄及數(shù)據(jù)都是存放在數(shù)據(jù)區(qū)的。3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.3從exFAT文件系統(tǒng)中提取數(shù)據(jù)

要想在exFAT文件系統(tǒng)中提取自己想要的數(shù)據(jù)，首先要找到記錄文件的目錄項(xiàng)。下面以在“FileExtrac”盤(pán)中的File2.doc文件為例，具體介紹如何直接用WinHex提取數(shù)據(jù)。

“FileExtrac”盤(pán)如圖3-127所示。圖3-127“FileExtrac”盤(pán)3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.3從exFAT文件系統(tǒng)中提取數(shù)據(jù)

File2.doc文件如圖3-128所示。圖3-128File2.doc文件3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.3從exFAT文件系統(tǒng)中提取數(shù)據(jù)

現(xiàn)在，我們用WinHex打開(kāi)“FileExtrac”盤(pán)，如圖3-129所示。圖3-129用WinHex打開(kāi)“FileExtrac”盤(pán)3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.3從exFAT文件系統(tǒng)中提取數(shù)據(jù)

在提取數(shù)據(jù)前要先找到根目錄。接下來(lái)，我們看一下如何在WinHex中定位根目錄。圖3-130DBR的PBP

第1步，定位DBR。

通過(guò)MBR分區(qū)表可以知道，“FileExtrac”盤(pán)的開(kāi)始位置在2048扇區(qū)。這個(gè)扇區(qū)就是DBR扇區(qū)。

第2步，定位根目錄首簇。訪問(wèn)DBR的PBP，如圖3-130所示3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.3從exFAT文件系統(tǒng)中提取數(shù)據(jù)

通過(guò)“2號(hào)簇起始扇區(qū)號(hào)”“根目錄起始簇號(hào)”“每簇扇區(qū)數(shù)”3個(gè)參數(shù)的值就可以算出根目錄所在的扇區(qū)。

其具體算法為：根目錄所在的扇區(qū)號(hào)=DBR的起始扇區(qū)號(hào)+2號(hào)簇起始扇區(qū)號(hào)+（根目錄起始簇號(hào)-2）

×每簇扇區(qū)數(shù)。3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.3從exFAT文件系統(tǒng)中提取數(shù)據(jù)

這里的計(jì)算結(jié)果為12608，所以根目錄的起始扇區(qū)號(hào)為12608，如圖3-131所示。圖3-131根目錄3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.3從exFAT文件系統(tǒng)中提取數(shù)據(jù)

接下來(lái)，在根目錄項(xiàng)中尋找記錄File2.doc文件的目錄項(xiàng)。在exFAT文件系統(tǒng)的目錄項(xiàng)中，文件是用6行96個(gè)字節(jié)來(lái)記錄的，一般以“85”開(kāi)頭，如圖3-132所示。圖3-132File2.doc文件的文件記錄項(xiàng)3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.3從exFAT文件系統(tǒng)中提取數(shù)據(jù)

File2.doc文件的文件記錄項(xiàng)具體參數(shù)如圖3-133所示。圖3-132File2.doc文件的文件記錄項(xiàng)3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.3從exFAT文件系統(tǒng)中提取數(shù)據(jù)

找到File2.doc文件的文件記錄項(xiàng)后，就可以找File2.doc文件數(shù)據(jù)所在的扇區(qū)了。先找到File2.doc文件數(shù)據(jù)的起始扇區(qū)。

從圖3-133中我們可以看到，F(xiàn)ile2.doc文件的起始簇號(hào)是13，然后可以算出File2.doc文件開(kāi)頭所在的扇區(qū)號(hào)。

其計(jì)算公式為：

文件開(kāi)頭所在的扇區(qū)號(hào)=文件記錄所在的目錄項(xiàng)的起始扇區(qū)號(hào)+（文件的起始簇號(hào)-文件記錄所在的目錄項(xiàng)簇號(hào)）×每簇扇區(qū)數(shù)。3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.3從exFAT文件系統(tǒng)中提取數(shù)據(jù)

這里的計(jì)算結(jié)果為12992，所以File2.doc文件開(kāi)頭在12992扇區(qū)，如圖3-134所示。圖3-134File2.doc文件開(kāi)頭所在扇區(qū)3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.3從exFAT文件系統(tǒng)中提取數(shù)據(jù)

知道文件開(kāi)頭所在扇區(qū)，接下來(lái)就要找文件結(jié)尾所在扇區(qū)了。文件結(jié)尾所在的扇區(qū)號(hào)可以通過(guò)文件大小計(jì)算出來(lái)。從圖3-133中可以看到，F(xiàn)ile2.doc文件大小為26624字節(jié)。在exFAT文件系統(tǒng)中，文件的大小是通過(guò)字節(jié)記錄的。要想計(jì)算文件結(jié)尾所在扇區(qū)，要先把文件大小轉(zhuǎn)換為扇區(qū)數(shù)。

字節(jié)轉(zhuǎn)換扇區(qū)數(shù)的計(jì)算公式為：扇區(qū)數(shù)=文件大小（字節(jié)數(shù)）/512。

這里的計(jì)算結(jié)果為52，說(shuō)明File2.doc文件在“FileExtrac”盤(pán)中占用52個(gè)扇區(qū)。知道了文件大小就可以計(jì)算文件結(jié)尾所在扇區(qū)號(hào)了。

其計(jì)算公式為：

文件結(jié)尾所在扇區(qū)號(hào)=文件開(kāi)頭所在扇區(qū)號(hào)+文件所占用的扇區(qū)數(shù)-1。3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.3從exFAT文件系統(tǒng)中提取數(shù)據(jù)

這里的計(jì)算結(jié)果為13043，F(xiàn)ile2.doc文件結(jié)尾在13043扇區(qū)，如圖3-135所示。圖3-135File2.doc文件結(jié)尾所在扇區(qū)3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.3從exFAT文件系統(tǒng)中提取數(shù)據(jù)

知道文件開(kāi)頭和文件結(jié)尾所在扇區(qū)，就可以直接提取數(shù)據(jù)了。先跳轉(zhuǎn)到File2.doc文件開(kāi)頭所在扇區(qū)（12992扇區(qū)）第一個(gè)字節(jié)，右擊，選擇“選塊起始位置”命令，如圖3-136所示。圖3-136選擇“選塊起始位置”命令3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.3從exFAT文件系統(tǒng)中提取數(shù)據(jù)

再跳轉(zhuǎn)到File2.doc文件結(jié)尾所在扇區(qū)，（13044扇區(qū)）后任意空白處右擊，選擇“選塊尾部”命令，如圖3-137所示。圖3-137選擇“選塊尾部”命令3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.3從exFAT文件系統(tǒng)中提取數(shù)據(jù)

然后，右擊，選擇“編輯”命令，如圖3-138所示。圖3-138選擇“編輯”命令3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.3從exFAT文件系統(tǒng)中提取數(shù)據(jù)

在打開(kāi)的菜單中，選擇“復(fù)制選塊”→“至新文件”命令，如圖3-139所示。圖3-139選擇“復(fù)制選塊”→“至新文件”命令3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.3從exFAT文件系統(tǒng)中提取數(shù)據(jù)

在打開(kāi)的“另存為”對(duì)話框中單擊“保存”按鈕，如圖3-140所示。圖3-140“另存為”對(duì)話框3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.3從exFAT文件系統(tǒng)中提取數(shù)據(jù)

這樣File2.doc文件就被提取出來(lái)了，如圖3-141所示。圖3-141提取出來(lái)的File2.doc文件3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.4exFAT文件系統(tǒng)DBR遭破壞后的恢復(fù)

如果雙擊exFAT分區(qū)“J”盤(pán)時(shí)出現(xiàn)如圖3-142所示的提示信息，當(dāng)“J”盤(pán)沒(méi)有任何物理故障時(shí)，不要單擊“格式化磁盤(pán)”按鈕，否則磁盤(pán)中的數(shù)據(jù)會(huì)被清空。這種故障明顯是文件系統(tǒng)遭到了破壞。圖3-142雙擊exFAT分區(qū)“J”盤(pán)時(shí)出現(xiàn)的提示信息3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.4exFAT文件系統(tǒng)DBR遭破壞后的恢復(fù)

用WinHex打開(kāi)“J”盤(pán)，檢查發(fā)現(xiàn)“J”盤(pán)DBR遭到了破壞，如圖3-143所示。圖3-143“J”盤(pán)DBR遭到破壞3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.4exFAT文件系統(tǒng)DBR遭破壞后的恢復(fù)

從圖3-143中可以看出，“J”盤(pán)DBR已經(jīng)被清零。DBR是文件系統(tǒng)中一個(gè)非常重要的扇區(qū)。這