《數(shù)據(jù)恢復(fù)》教案正文

水城區(qū)職業(yè)技術(shù)學(xué)校教案課程名稱數(shù)據(jù)恢復(fù)授課時(shí)間第1周第1次授課章節(jié)項(xiàng)目一排出硬盤常見的物理故障教學(xué)目的知識(shí)目標(biāo)掌握硬盤的基礎(chǔ)知識(shí)、硬盤工作原理理解硬盤的物理結(jié)構(gòu)掌握硬盤的邏輯結(jié)構(gòu)技能目標(biāo)能夠判斷并排除計(jì)算機(jī)硬盤無法識(shí)別的故障教學(xué)重點(diǎn)硬盤的邏輯結(jié)構(gòu)教學(xué)難點(diǎn)磁道、磁面、柱面與扇區(qū)的概念教學(xué)方法講解法教具計(jì)算機(jī)，多媒體，硬盤教學(xué)過程設(shè)計(jì)（含時(shí)間分配）（2學(xué)時(shí)）1.案例導(dǎo)入用戶：你好，我的臺(tái)式機(jī)開機(jī)后進(jìn)不了操作系統(tǒng)了。工作人員：不要著急，讓我?guī)湍憧匆幌拢?qǐng)您耐心等待！2.任務(wù)分析電腦進(jìn)不了操作系統(tǒng)的原因有很多，我們需要先觀察故障現(xiàn)象再確定可能的原因。3.硬盤的結(jié)構(gòu)與工作原理硬盤是一種外部存儲(chǔ)器，具有容量大、數(shù)據(jù)存取快、單位容量成本低等優(yōu)點(diǎn)，主要用于存儲(chǔ)計(jì)算機(jī)操作系統(tǒng)、應(yīng)用軟件、文件等數(shù)據(jù)。根據(jù)其位置可分為內(nèi)置和外置硬盤；內(nèi)置硬盤根據(jù)其數(shù)據(jù)接口類型可分為并口（IDE）和串口硬盤（SATA），外置硬盤可分為USB接口和eSATA接口；根據(jù)工作原理可將其分為固態(tài)硬盤(SSD)、機(jī)械硬盤(HDD)、混合硬盤(HHD)三種。（1）硬盤的物理結(jié)構(gòu) 硬盤的外部由固定面板、控制電路板、接口三部分組成。硬盤內(nèi)部主要有傳動(dòng)臂、讀寫磁頭、主軸（下方是軸承和馬達(dá)電機(jī)）、永久磁鐵、盤片、空氣過濾片等組成。（2）硬盤的邏輯結(jié)構(gòu)硬盤的邏輯結(jié)構(gòu)包括磁面（Side）、磁道（Track）、柱面（Cylinder）與扇區(qū)（Sector）。（3）硬盤的工作原理4.硬盤的控制電路在硬盤電路板中，三個(gè)芯片比較重要，它們分別是：硬盤主控芯片、硬盤驅(qū)動(dòng)芯片、硬盤緩存芯片。5.硬盤的物理故障判步驟心得作業(yè)有條件的同學(xué)，可以拆開自己不用的磁盤，進(jìn)行觀看磁盤的結(jié)構(gòu)備注水城區(qū)職業(yè)技術(shù)學(xué)校教案課程名稱數(shù)據(jù)恢復(fù)授課時(shí)間第1周第2次授課章節(jié)實(shí)驗(yàn)一winhex的介紹及使用教學(xué)目的知識(shí)目標(biāo)1.熟悉winhex界面2.理解數(shù)據(jù)的存儲(chǔ)形態(tài)技能目標(biāo)會(huì)使用通用的數(shù)據(jù)恢復(fù)方法恢復(fù)簡(jiǎn)單的文件會(huì)創(chuàng)建虛擬磁盤教學(xué)重點(diǎn)虛擬磁盤的創(chuàng)建和附加通用的數(shù)據(jù)恢復(fù)方法數(shù)據(jù)的存儲(chǔ)形態(tài)教學(xué)難點(diǎn)通用的數(shù)據(jù)恢復(fù)方法教學(xué)方法演示法，講解法，任務(wù)驅(qū)動(dòng)法教具計(jì)算機(jī)教學(xué)過程設(shè)計(jì)（含時(shí)間分配）（2學(xué)時(shí)）1.winhex界面介紹2.學(xué)生操作練習(xí)，熟悉winhex的界面3.通過實(shí)例演示通用數(shù)據(jù)恢復(fù)方法，以及如何創(chuàng)建和附加虛擬磁盤4.布置課堂練習(xí)，讓學(xué)生自己創(chuàng)建和附加虛擬磁盤，并發(fā)放課堂練習(xí)，讓學(xué)生動(dòng)手操作利用通用數(shù)據(jù)恢復(fù)方法恢復(fù)下發(fā)的磁盤文件。5.方法：工具-磁盤工具-按文件類型恢復(fù)心得作業(yè)自己創(chuàng)建虛擬磁盤備注水城區(qū)職業(yè)技術(shù)學(xué)校教案課程名稱數(shù)據(jù)恢復(fù)授課時(shí)間第2周第1次授課章節(jié)項(xiàng)目2使用數(shù)據(jù)恢復(fù)機(jī)恢復(fù)數(shù)據(jù)教學(xué)目的知識(shí)目標(biāo)1.掌握MBR磁盤分區(qū)表的數(shù)據(jù)結(jié)構(gòu)2．掌握分區(qū)表結(jié)構(gòu)中的08-0B，0C-0F所代表的含義技能目標(biāo)會(huì)手工分析分區(qū)表教學(xué)重點(diǎn)MBR磁盤分區(qū)表的數(shù)據(jù)結(jié)構(gòu)教學(xué)難點(diǎn)MBR磁盤分區(qū)表的數(shù)據(jù)結(jié)構(gòu)教學(xué)方法演示法，講解法，案例演示法教具計(jì)算機(jī)教學(xué)過程設(shè)計(jì)（含時(shí)間分配）（2學(xué)時(shí)）1.MBR硬盤MBR硬盤的分區(qū)表也叫DOS分區(qū)表，0號(hào)扇區(qū)是主引導(dǎo)記錄（MBR），DOS分區(qū)體系的硬盤用分區(qū)表記錄每個(gè)分區(qū)的類型起始位置和分區(qū)的大小。其中分區(qū)表就在0號(hào)扇區(qū)內(nèi)，所以0號(hào)扇區(qū)如果損壞，那么這個(gè)硬盤就不能正確識(shí)別分區(qū)。2.MBR結(jié)構(gòu)圖3.分區(qū)表項(xiàng)結(jié)構(gòu)08是指從E列開始0，F(xiàn)1，。。。，08即第6列。（1）分區(qū)類型值的含義4.MBR硬盤結(jié)構(gòu)圖由圖可知，MBR硬盤的分區(qū)是連續(xù)的，一個(gè)緊挨著一個(gè)。所以我們?cè)谧鰯?shù)據(jù)恢復(fù)時(shí)，往往找到一個(gè)分區(qū)時(shí)，很快就能找到所有的分區(qū)。5.課堂案例演示如何獲得每個(gè)分區(qū)的（類型、起始扇區(qū)號(hào)，總扇區(qū)數(shù)）心得作業(yè)手工分析分區(qū)表，并獲取每個(gè)分區(qū)的（類型、起始扇區(qū)號(hào)，總扇區(qū)數(shù)）備注水城區(qū)職業(yè)技術(shù)學(xué)校教案課程名稱數(shù)據(jù)恢復(fù)授課時(shí)間第2周第2次授課章節(jié)實(shí)驗(yàn)二修復(fù)主分區(qū)表恢復(fù)誤刪的分區(qū)教學(xué)目的知識(shí)目標(biāo)理解MBR磁盤分區(qū)表的數(shù)據(jù)結(jié)構(gòu)技能目標(biāo)能夠修復(fù)主分區(qū)表恢復(fù)誤刪的分區(qū)教學(xué)重點(diǎn)教學(xué)難點(diǎn)教學(xué)方法教具計(jì)算機(jī)，winhex教學(xué)過程設(shè)計(jì)（含時(shí)間分配）（2學(xué)時(shí)）1.回顧上節(jié)課的知識(shí)點(diǎn)；2.發(fā)放本次課的實(shí)驗(yàn)?zāi)M磁盤；3.學(xué)生進(jìn)行操作，恢復(fù)主分區(qū)表誤刪除的分區(qū)；4.發(fā)放本次實(shí)驗(yàn)指導(dǎo)內(nèi)容；5.總結(jié)學(xué)生操作過程中遇到的問題并解答。心得作業(yè)備注水城區(qū)職業(yè)技術(shù)學(xué)校教案課程名稱數(shù)據(jù)恢復(fù)授課時(shí)間第3周第1次授課章節(jié)項(xiàng)目2使用數(shù)據(jù)恢復(fù)機(jī)恢復(fù)數(shù)據(jù)教學(xué)目的知識(shí)目標(biāo)1.掌握擴(kuò)展分區(qū)表的數(shù)據(jù)結(jié)構(gòu)技能目標(biāo)1.會(huì)修復(fù)擴(kuò)展分區(qū)表分區(qū)誤刪教學(xué)重點(diǎn)擴(kuò)展分區(qū)表的數(shù)據(jù)結(jié)構(gòu)教學(xué)難點(diǎn)擴(kuò)展分區(qū)表（EBR）的結(jié)構(gòu)教學(xué)方法案例演示法，任務(wù)驅(qū)動(dòng)法教具計(jì)算機(jī)，winhex教學(xué)過程設(shè)計(jì)（含時(shí)間分配）（2學(xué)時(shí)）1.EBR(ExtendedBootRecord)的概念EBR即擴(kuò)展分區(qū)引導(dǎo)記錄。類似于主引導(dǎo)記錄MBR。因?yàn)镸BR的四條分區(qū)信息的限制，可以使用EBR方便擴(kuò)展。它的結(jié)構(gòu)與MBR類似于，但是沒有引導(dǎo)程序和磁盤簽名，僅僅保留了分區(qū)表和結(jié)束標(biāo)志。本來一塊硬盤最多支持4個(gè)分區(qū)，但是由于發(fā)展4個(gè)分區(qū)已經(jīng)不能滿足要求，但是為了在擴(kuò)展你的前提下能夠兼容以前的特性，因此采用了擴(kuò)展分區(qū)的方式。硬盤分區(qū)分布圖2.擴(kuò)展分區(qū)表（EBR）的結(jié)構(gòu)第一個(gè)表項(xiàng)：分區(qū)起始扇區(qū)號(hào)（相對(duì)于本擴(kuò)展分區(qū)表的位置）第二個(gè)表項(xiàng)：下一個(gè)擴(kuò)展分區(qū)表扇區(qū)號(hào)（相對(duì)于主擴(kuò)展分區(qū)表）3.課堂演示EBR扇區(qū)分析圖一圖二4.課堂案例講解如何手工分析磁盤鏡像中的各個(gè)分區(qū)的類型起始扇區(qū)號(hào)和總扇區(qū)數(shù)5.知識(shí)點(diǎn)小結(jié)：MBR中扇區(qū)的起始位置都是相對(duì)于0偏移的。EBR中第一個(gè)分區(qū)表項(xiàng)的表示的為邏輯磁盤時(shí),起始位置都是相對(duì)于當(dāng)前的扇區(qū)的(也就是EBR所在的扇區(qū))。EBRi中的分區(qū)表項(xiàng)表示下一個(gè)擴(kuò)展分區(qū)時(shí),它的起始位置都是相對(duì)于EBR1的。EBRi+1中的扇區(qū)總數(shù)=EBRi中指向EBRi+1的分區(qū)表項(xiàng)的總扇區(qū)數(shù)。心得作業(yè)手工分析課后練習(xí)磁盤鏡像中的各個(gè)分區(qū)的類型起始扇區(qū)號(hào)和總扇區(qū)數(shù)備注水城區(qū)職業(yè)技術(shù)學(xué)校教案課程名稱數(shù)據(jù)恢復(fù)授課時(shí)間第3周第2次授課章節(jié)實(shí)驗(yàn)三修復(fù)擴(kuò)展分區(qū)表分區(qū)誤刪教學(xué)目的知識(shí)目標(biāo)掌握擴(kuò)展分區(qū)表的數(shù)據(jù)結(jié)構(gòu)技能目標(biāo)會(huì)修復(fù)擴(kuò)展分區(qū)表分區(qū)誤刪教學(xué)重點(diǎn)教學(xué)難點(diǎn)教學(xué)方法演示法，任務(wù)驅(qū)動(dòng)法教具計(jì)算機(jī)教學(xué)過程設(shè)計(jì)（含時(shí)間分配）（2學(xué)時(shí)）1.回顧上節(jié)課的知識(shí)點(diǎn)；2.發(fā)放本次課的實(shí)驗(yàn)?zāi)M磁盤；3.學(xué)生進(jìn)行操作，恢復(fù)主分區(qū)表誤刪除的分區(qū)；4.總結(jié)學(xué)生操作過程中遇到的問題并解答。5.提示：刪除擴(kuò)展分區(qū)，由于擴(kuò)展分區(qū)位于磁盤最后部分，先找到最后一個(gè)分區(qū)的備份DBR（先跳到最后一個(gè)扇區(qū)，向上搜索eb5290），即最后一個(gè)備份DBR的起始扇區(qū)（同時(shí)記下該分區(qū)的邏輯磁盤大?。?。因?yàn)橐覕U(kuò)展分區(qū)（擴(kuò)展分區(qū)沒有eb5290，如果繼續(xù)向上搜索，會(huì)找不到擴(kuò)展分區(qū)），擴(kuò)展分區(qū)的結(jié)尾標(biāo)記55AA，所以在最后一個(gè)備份DBR處開始向上查找55AA，然后即可找到最后一個(gè)擴(kuò)展分區(qū)的ebr所在扇區(qū)，記下關(guān)鍵數(shù)據(jù)，依次向上查找（55AA）。DBR（eb5290）可以查看該邏輯磁盤大小參考計(jì)算公式：DBR3=備份DBR3所在扇區(qū)-3的邏輯磁盤的大小子擴(kuò)展分區(qū)3的總大?。ㄉ葏^(qū)）：=最后一備份DBR所在扇區(qū)-EBR3所在扇區(qū)=DBR3–EBR3+3的邏輯磁盤的大小心得作業(yè)備注水城區(qū)職業(yè)技術(shù)學(xué)校教案課程名稱數(shù)據(jù)恢復(fù)授課時(shí)間第4周第1次授課章節(jié)項(xiàng)目三修復(fù)FAT文件系統(tǒng)下的數(shù)據(jù)教學(xué)目的知識(shí)目標(biāo)1.理解什么是文件系統(tǒng)2.掌握FAT32文件系統(tǒng)結(jié)構(gòu)3.掌握FAT32DBR的數(shù)據(jù)結(jié)構(gòu)4.了解FSINFO扇區(qū)數(shù)據(jù)結(jié)構(gòu)技能目標(biāo)能夠畫出FAT32文件系統(tǒng)的結(jié)構(gòu)圖教學(xué)重點(diǎn)FAT32文件系統(tǒng)結(jié)構(gòu)教學(xué)難點(diǎn)FAT32DBR的數(shù)據(jù)結(jié)構(gòu)教學(xué)方法講解法教具計(jì)算機(jī)，winhex教學(xué)過程設(shè)計(jì)（含時(shí)間分配）（2課時(shí)）1.初識(shí)文件系統(tǒng)文件系統(tǒng)就是對(duì)數(shù)據(jù)存儲(chǔ)進(jìn)行管理的一種機(jī)制；格式化的目的就是建立文件系統(tǒng)從而管理文件；我們平時(shí)看到的NTFS、FAT32、ExFat的分區(qū)格式都是文件系統(tǒng)，每種文件系統(tǒng)都有不同的管理方式。NTFS、FAT32、Exfat文件系統(tǒng)的第一個(gè)扇區(qū)叫DBR系統(tǒng)引導(dǎo)扇區(qū)2.FAT32文件系統(tǒng)結(jié)構(gòu)DBR及保留扇區(qū)：DBR的含義是DOS引導(dǎo)記錄，也稱為操作系統(tǒng)引導(dǎo)記錄，在DBR之后往往會(huì)有一些保留扇區(qū)。FAT1：FAT的含義是文件分配表，F(xiàn)AT32一般有兩份FAT，F(xiàn)AT1是第一份，也是主FAT。FAT2：FAT2是FAT32的第二份文件分配表，也是FAT1的備份，即FAT2與FAT1是一樣的。DATA：DATA也就是數(shù)據(jù)區(qū)，是FAT32文件系統(tǒng)的主要區(qū)域，其中包含目錄區(qū)域。FAT1起始扇區(qū)=

DBR的扇區(qū)號(hào)+保留扇區(qū)數(shù)FAT2的起始扇區(qū)=FAT1的起始扇區(qū)+一個(gè)FAT的扇區(qū)數(shù)3.FAT32DBR的數(shù)據(jù)結(jié)構(gòu)3.1重要概念扇區(qū)：扇區(qū)是硬盤讀寫的基本單位，一般情況下每扇區(qū)的大小是512字節(jié)。在硬盤中每個(gè)扇區(qū)都有自己的編號(hào)，從零開始編號(hào)。簇：文件系統(tǒng)中用簇來做數(shù)據(jù)存儲(chǔ)的單位。簇大小是2的整數(shù)次冪，最大是128扇區(qū)每簇FAT表：文件分配表（FileAllocationTable）用來描述文件系統(tǒng)內(nèi)存儲(chǔ)單元的分配狀態(tài)及文件內(nèi)容的前后鏈接關(guān)系的表格根目錄的起始簇號(hào)：也是數(shù)據(jù)區(qū)的開始位置（一般為2號(hào)簇）3.2根據(jù)MBR分區(qū)查找方法，找到FAT32分區(qū)起始位置。找到起始位置的第一個(gè)扇區(qū)（DBR）如下：4.了解FSINFO扇區(qū)數(shù)據(jù)結(jié)構(gòu)在FAT32的保留區(qū)中除了DBR還有個(gè)FSINFO信息區(qū)，用來記錄文件系統(tǒng)中空閑簇?cái)?shù)和下一個(gè)可用的簇號(hào)，該扇區(qū)一般在分區(qū)的1號(hào)扇區(qū)，也就是緊跟著DBR后的一個(gè)扇區(qū)，其內(nèi)容如下：心得作業(yè)默畫一張F(tuán)AT32文件系統(tǒng)的結(jié)構(gòu)圖備注水城區(qū)職業(yè)技術(shù)學(xué)校教案課程名稱數(shù)據(jù)恢復(fù)授課時(shí)間第4周第2次授課章節(jié)項(xiàng)目三修復(fù)FAT文件系統(tǒng)下的數(shù)據(jù)教學(xué)目的知識(shí)目標(biāo)1.掌握FAT表的作用和特點(diǎn)2.掌握短文件名目錄項(xiàng)數(shù)據(jù)結(jié)構(gòu)技能目標(biāo)會(huì)計(jì)算根目錄的位置會(huì)查找文件的大小和起始簇號(hào)教學(xué)重點(diǎn)FAT表的作用和特點(diǎn)短文件名目錄項(xiàng)數(shù)據(jù)結(jié)構(gòu)教學(xué)難點(diǎn)短文件名目錄項(xiàng)數(shù)據(jù)結(jié)構(gòu)教學(xué)方法演示法，講解法教具計(jì)算機(jī)，winhex教學(xué)過程設(shè)計(jì)（含時(shí)間分配）（2課時(shí)）1．初識(shí)FAT每個(gè)FAT表項(xiàng)記錄著文件或目錄的下一個(gè)簇號(hào)FAT2是FAT1的備份FAT2的起始扇區(qū)號(hào)=FAT1的起始扇區(qū)號(hào)+FAT表大小用“FFFFFF0F”來表示文件或目錄的結(jié)束簇號(hào)用“FFFFFFF7”來表示壞簇2.課堂小練習(xí)：從虛擬磁盤鏡像文件中讀取位于4號(hào)簇的文件，結(jié)束簇是幾號(hào)簇？下圖所示，4號(hào)簇指向5號(hào)簇，5號(hào)簇指向6號(hào)簇。。。數(shù)的時(shí)候，可以看FFFFFF0F在第幾行，乘以4，如上圖結(jié)束簇號(hào)是5*4-1=19號(hào)簇可以跳轉(zhuǎn)到19號(hào)簇查看。3.FAT32文件系統(tǒng)目錄項(xiàng)分析（1）目錄：目錄所在的扇區(qū)，都是以32Bytes劃分為一個(gè)單位，每個(gè)單位稱為一個(gè)目錄項(xiàng)，即每個(gè)目錄項(xiàng)的長度都是32Bytes。根目錄由若干個(gè)目錄項(xiàng)組成，一個(gè)目錄項(xiàng)占用32個(gè)字節(jié)，可以是長文件名目錄項(xiàng)、文件目錄項(xiàng)、“.”目錄項(xiàng)和“..”目錄項(xiàng)等?！?”目錄項(xiàng)表示這個(gè)目錄本身“..”目錄項(xiàng)表示這個(gè)目錄的父級(jí)目錄如果文件名不到8個(gè)字符，用0x20填充；如果文件名超過8個(gè)字符時(shí)則會(huì)被截?cái)啵崛∏?個(gè)字符再加“~1”（如果有同名目錄項(xiàng)，這個(gè)數(shù)值會(huì)加1），然后再加上擴(kuò)展名4.短文件名目錄項(xiàng)數(shù)據(jù)結(jié)構(gòu)小提示：文件名如果有英文字母，需要先轉(zhuǎn)成大寫字母再轉(zhuǎn)成ASCII編碼。文件被刪除時(shí)，其目錄項(xiàng)的第一個(gè)字符被修改成0XE5。5.課堂案例演示（網(wǎng)課見視頻講解）練習(xí)：從虛擬磁盤鏡像文件中，找到文件名為數(shù)據(jù)恢復(fù).txt的文件，獲取這個(gè)文件的大小和起始簇號(hào)。因?yàn)槲募侵形?，所以需要字符轉(zhuǎn)換器將文件名轉(zhuǎn)換成十六進(jìn)制，然后點(diǎn)擊根目錄的第一個(gè)字節(jié)，選擇16進(jìn)制查找。查找后：具體查看，以文件名為123.txt為例。提示：下節(jié)內(nèi)容計(jì)算起始簇的方法，可以組合：00014C876.絕大多數(shù)情況下根目錄都是2號(hào)簇；7.根目錄的位置計(jì)算公式：FAT的起始扇區(qū)號(hào)+FAT表的大小*2=保留區(qū)大小+2*FAT表大小=0x0C22+2*0x000039EF=32768心得作業(yè)練習(xí)課堂的案例備注水城區(qū)職業(yè)技術(shù)學(xué)校教案課程名稱數(shù)據(jù)恢復(fù)授課時(shí)間第5周第1次授課章節(jié)項(xiàng)目三修復(fù)FAT文件系統(tǒng)下的數(shù)據(jù)教學(xué)目的知識(shí)目標(biāo)技能目標(biāo)掌握起始簇號(hào)的計(jì)算方法能夠利用FAT表找出目錄的下幾個(gè)簇教學(xué)重點(diǎn)掌握起始簇號(hào)的計(jì)算方法能夠利用FAT表找出目錄的下幾個(gè)簇教學(xué)難點(diǎn)教學(xué)方法演示法，任務(wù)驅(qū)動(dòng)法教具計(jì)算機(jī)，winhex教學(xué)過程設(shè)計(jì)（含時(shí)間分配）（2課時(shí)）1.起始簇號(hào)的計(jì)算方法起始簇號(hào)=低16位的數(shù)值+（高16位的數(shù)值*65536）或者低16位和高16位直接拼接成16進(jìn)制數(shù)，算出十進(jìn)制，得到起始簇號(hào)，查找其所在扇區(qū)。（1）課堂通過案例演示（網(wǎng)課參考視頻學(xué)習(xí)）（2）課堂練習(xí)：找出文件名為數(shù)據(jù)恢復(fù)教程.txt的目錄項(xiàng)，手工提取里面的數(shù)據(jù)。2.利用FAT表找出目錄的下個(gè)簇當(dāng)?shù)谝粋€(gè)目錄里的文件比較多時(shí)，一個(gè)簇存不下所有的文件，就會(huì)增加一個(gè)簇來存放文件。但這兩簇往往是不連續(xù)的，就需要通過FAT表來定位目錄的下個(gè)簇是第幾號(hào)簇（1）課堂通過案例演示（網(wǎng)課參考視頻學(xué)習(xí)，參考實(shí)驗(yàn)3.6）（2）課堂小練習(xí)：找出文件名為數(shù)據(jù)恢復(fù).zip的目錄項(xiàng)，手工提取里面的數(shù)據(jù)提示：查看文件大小如圖，上節(jié)課知識(shí)點(diǎn)手工提取數(shù)據(jù)時(shí)，要選中99字節(jié)，如圖選中這99個(gè)字節(jié)，右鍵——》編輯——》復(fù)制——》至新文件——》文件名（可以新的名子）+后綴名。心得作業(yè)練習(xí)課堂的案例備注水城區(qū)職業(yè)技術(shù)學(xué)校教案課程名稱數(shù)據(jù)恢復(fù)授課時(shí)間第5周第2次授課章節(jié)項(xiàng)目三修復(fù)FAT文件系統(tǒng)下的數(shù)據(jù)教學(xué)目的知識(shí)目標(biāo)1.理解長文件名目錄項(xiàng)的概念2.理解長文件名目錄項(xiàng)的數(shù)據(jù)結(jié)構(gòu)技能目標(biāo)會(huì)根據(jù)兩個(gè)子目錄算出簇大小能夠找出指定目錄的所有子目錄教學(xué)重點(diǎn)長文件名目錄項(xiàng)的數(shù)據(jù)結(jié)構(gòu)教學(xué)難點(diǎn)長文件名目錄項(xiàng)的數(shù)據(jù)結(jié)構(gòu)教學(xué)方法演示法，講解法教具計(jì)算機(jī)，winhex教學(xué)過程設(shè)計(jì)（含時(shí)間分配）（2課時(shí)）1.長文件名目錄項(xiàng)當(dāng)文件名超過8個(gè)字節(jié)時(shí)，就需要用長文件名目錄項(xiàng)來存儲(chǔ)文件名；長文件名目錄項(xiàng)的0x0B位置的標(biāo)志一定是0x0F；長文件名目錄項(xiàng)是用Unicode編碼存儲(chǔ)文件名的。2.長文件名目錄項(xiàng)的數(shù)據(jù)結(jié)構(gòu)注意：1-5個(gè)字符是連續(xù)的。偏移字節(jié)00-00：42:4表示最后一個(gè)目錄項(xiàng)，2表示序號(hào)為2的目錄項(xiàng)，具體序號(hào)是多少，要看文件名的長短。如下圖44，后面的4就是序號(hào)3.課堂練習(xí)：通過長文件名目錄項(xiàng)，找出文件名為海天數(shù)據(jù)恢復(fù).txt的目錄項(xiàng)，手工提取里面的數(shù)據(jù)。提示：（1）長文件名前1-5個(gè)字符連續(xù)，復(fù)制“海天數(shù)據(jù)恢”，計(jì)算對(duì)應(yīng)的Unicode并復(fù)制。如果超過5個(gè)字符，比如14個(gè)，只能取13個(gè)字符，見上面數(shù)據(jù)結(jié)構(gòu)圖。（2）進(jìn)行查找，如圖，00處是狀態(tài)碼，所以要相對(duì)于32字節(jié)偏移1字節(jié)（3）查找結(jié)果：以Unicode顯示，顯示亂碼，因?yàn)閁nicode兩個(gè)字節(jié)為一組，（了解）復(fù)制01-0A的數(shù)據(jù)，右鍵》編輯》復(fù)制》至新文件》命名的時(shí)候不要加后綴名，因?yàn)槭荱nicode編碼的。重新轉(zhuǎn)換ASCII，主要看短文件名，查看起始簇號(hào)252，找到對(duì)應(yīng)的扇區(qū)40768，進(jìn)行手工提取。4.子目錄每個(gè)文件夾的最前面兩個(gè)目錄項(xiàng)，一定是“.”和“..”目錄項(xiàng)，分別表示子目錄本身和父目錄。課堂（視頻）案例演示；5.課堂小練習(xí)：根據(jù)兩個(gè)目錄的參數(shù)，算出簇大小，參考公式：一個(gè)簇的扇區(qū)大小=（后面的簇號(hào)所在扇區(qū)號(hào)-前面的簇號(hào)所在扇區(qū)號(hào)）/（后面的簇號(hào)-前面的簇號(hào)）提示：如果被格式化了，有時(shí)候DBR會(huì)被清零，可以利用該方法計(jì)算簇大小。6.搜索完整的長文件名方法，長文件名按Unicode編碼，兩個(gè)字節(jié)為一組，注意winhex搜索16進(jìn)制數(shù)值最多只能搜索50個(gè)字節(jié)。只需掌握搜索一個(gè)目錄項(xiàng)的方法。7.找出指定目錄下的所有子目錄，知識(shí)點(diǎn)：（1）每個(gè)文件夾的最前面兩個(gè)目錄項(xiàng)，一定是“.”和“..”目錄項(xiàng)，分別表示子目錄本身和父目錄；（2）在根目錄下的文件夾父目錄的簇號(hào)是0；（課堂案例中，查找根目錄下的所有子目錄，就可以將“..”目錄項(xiàng)的高、低16位設(shè)置為0）（3）在別的文件夾里的文件夾，它的父目錄就是父目錄文件夾本身簇號(hào)；（4）所有子目錄項(xiàng)的第一個(gè)目錄項(xiàng)一定是“.”目錄項(xiàng)。（5）“.”文件目錄項(xiàng)的開頭：2E20202020202020202020如果以2E20202020202020202020去搜素，會(huì)搜到該盤里的所有文件夾，不僅包括子目錄，還有子目錄里的文件。8.課堂小練習(xí)：找出5號(hào)簇目錄里的所有文件夾心得作業(yè)備注水城區(qū)職業(yè)技術(shù)學(xué)校教案課程名稱數(shù)據(jù)恢復(fù)授課時(shí)間第6周第1次授課章節(jié)項(xiàng)目三修復(fù)FAT文件系統(tǒng)下的數(shù)據(jù)教學(xué)目的知識(shí)目標(biāo)理解創(chuàng)建和刪除文件對(duì)文件系統(tǒng)所作的操作技能目標(biāo)會(huì)恢復(fù)被刪除的文件教學(xué)重點(diǎn)創(chuàng)建和刪除文件對(duì)文件系統(tǒng)所作的操作教學(xué)難點(diǎn)如何恢復(fù)被刪除的文件教學(xué)方法演示法，任務(wù)驅(qū)動(dòng)法教具計(jì)算機(jī)，winhex教學(xué)過程設(shè)計(jì)（含時(shí)間分配）（2課時(shí)）1.創(chuàng)建一個(gè)文件對(duì)文件系統(tǒng)做了什么操作（1）通過視頻學(xué)習(xí)，了解創(chuàng)建一個(gè)文件對(duì)文件系統(tǒng)做了什么操作：新建一個(gè)aaa.txt的空文檔：只是多了一條目錄項(xiàng)；給aaa.txt增加內(nèi)容時(shí)：①1號(hào)扇區(qū)文件系統(tǒng)的空閑簇號(hào)減少；②下個(gè)可用簇改變；③FAT1、FAT2多了個(gè)FAT表項(xiàng)；④數(shù)據(jù)區(qū)的數(shù)據(jù)改變（2）課堂練習(xí)：默寫一遍給FAT32文件系統(tǒng)創(chuàng)建一個(gè)文件（有內(nèi)容的），對(duì)文件系統(tǒng)做了哪些操作2.用winhex手工創(chuàng)建一個(gè)文件，步驟：新建一個(gè)目錄項(xiàng)；給數(shù)據(jù)區(qū)的內(nèi)容賦值；給FAT1表相應(yīng)的FAT表項(xiàng)標(biāo)記簇已用；注：目錄項(xiàng)0C位置第5位二進(jìn)制位如果是1，那么擴(kuò)展名小寫第4位二進(jìn)制位如果是1，那么文件名小寫（1）課堂小練習(xí)：用winhex手工創(chuàng)建一個(gè)名為《abc.txt》里面的內(nèi)容是abcde1234567893.（通過視頻）了解按shift徹底刪除對(duì)文件系統(tǒng)做了什么操作：1號(hào)扇區(qū)的空閑簇號(hào)變大；下個(gè)可用簇號(hào)改變；FAT1和FAT2會(huì)釋放相應(yīng)的FAT表項(xiàng)；目錄項(xiàng)的第一個(gè)字節(jié)改成0XE5。4.恢復(fù)刪除的文件用winhex顯示刪除過的文件通過案例講解（視頻學(xué)習(xí)案例），并下發(fā)練習(xí)。5.有高位簇的文件刪除后做了哪些操作？1號(hào)扇區(qū)空閑簇?cái)?shù)和下個(gè)可用簇號(hào)改變文件對(duì)應(yīng)的FAT1和FAT2的FAT表現(xiàn)清空目錄項(xiàng)的第一個(gè)字節(jié)變成0XE5目錄的項(xiàng)的高位簇被清零6.恢復(fù)刪除的文件手工計(jì)算被清空的高位簇通過案例講解（視頻學(xué)習(xí)案例），并下發(fā)練習(xí)。心得作業(yè)備注水城區(qū)職業(yè)技術(shù)學(xué)校教案課程名稱數(shù)據(jù)恢復(fù)授課時(shí)間第6周第2次授課章節(jié)項(xiàng)目三修復(fù)FAT文件系統(tǒng)下的數(shù)據(jù)教學(xué)目的知識(shí)目標(biāo)格式化對(duì)文件系統(tǒng)所做的操作技能目標(biāo)會(huì)進(jìn)行格式化的恢復(fù)操作教學(xué)重點(diǎn)格式化對(duì)文件系統(tǒng)所做的操作教學(xué)難點(diǎn)格式化的恢復(fù)教學(xué)方法演示法，講解法教具計(jì)算機(jī)，winhex教學(xué)過程設(shè)計(jì)（含時(shí)間分配）（2課時(shí)）1.格式化對(duì)文件系統(tǒng)做了什么操作?DBR里面的參數(shù)改變；1號(hào)扇區(qū)里面的參數(shù)改變；FAT1和FAT2被清空；根目錄也被清空，如果有卷標(biāo)那么會(huì)有一條卷標(biāo)目錄項(xiàng)；2.課堂小練習(xí)：默寫一遍格式化對(duì)文件系統(tǒng)做了哪些改變3.格式化的恢復(fù)虛擬子目錄（被格式化的磁盤有3個(gè)文件夾）（1）搜索根目錄下的所有子目錄搜索條件：2E2E2020202020202020203F3F3F3F3F3F3F3F3F00003F3F3F3F0000注意勾上通配符3F。（2）將制作好的FAT目錄拖到winhex中，并復(fù)制3個(gè)子目錄項(xiàng)，32字節(jié)共兩行。（3）跳轉(zhuǎn)到根目錄項(xiàng)，在根目錄項(xiàng)的空閑區(qū)域粘貼，注意兩行為一個(gè)目錄項(xiàng)，不要隨便粘貼。4.格式化的恢復(fù)手工提取根目錄下文件提示：（1）按照上節(jié)課方法，快速恢復(fù)子目錄（2）新建一個(gè)zip壓縮包，拖到winhex中，PK開頭，可以多建幾個(gè)zip壓縮包，看到前4個(gè)字節(jié)是不變的，復(fù)制這四個(gè)字節(jié)：504B0304（3）導(dǎo)航—>位置管理器，將其清空，然后搜索十六進(jìn)制：5.格式化的恢復(fù)手工計(jì)算DBR參數(shù)提示：（1）找出根目錄下的所有子目錄，第一節(jié)內(nèi)容。（2）當(dāng)前子目錄在3號(hào)簇，但對(duì)應(yīng)的扇區(qū)和當(dāng)前扇區(qū)不一樣，說明DBR里面的參數(shù)和格式化之前的不一樣。（3）根據(jù)當(dāng)前兩個(gè)目錄，算出簇大?。海?1008-40976）/（5-3）=16扇區(qū)340976541008根目錄在2號(hào)簇，所以根目錄所在扇區(qū)=40976-16=409606.格式化的恢復(fù)取巧獲得DBR參數(shù)心得作業(yè)備注水城區(qū)職業(yè)技術(shù)學(xué)校教案課程名稱數(shù)據(jù)恢復(fù)授課時(shí)間第7周第1次授課章節(jié)項(xiàng)目3修復(fù)FAT文件系統(tǒng)下的數(shù)據(jù)教學(xué)目的知識(shí)目標(biāo)掌握DBR參數(shù)技能目標(biāo)掌握磁盤未被格式化恢復(fù)方法教學(xué)重點(diǎn)磁盤未被格式化恢復(fù)方法教學(xué)難點(diǎn)磁盤未被格式化恢復(fù)方法教學(xué)方法演示法，任務(wù)驅(qū)動(dòng)法教具計(jì)算機(jī)，winhex教學(xué)過程設(shè)計(jì)（含時(shí)間分配）（2課時(shí)）一、磁盤未被格式化恢復(fù)1.利用備份的DBR恢復(fù)（1）打開課堂練習(xí)的磁盤，雙擊分區(qū)，可以看到里面的數(shù)據(jù)，直接復(fù)制出來，如圖所示：可以得到里面的數(shù)據(jù)，該盤到底哪里出現(xiàn)問題了？（2）在分區(qū)中，跳到0號(hào)扇區(qū)，可以看到全是0，說明DBR已經(jīng)損壞了。FAT32文件系統(tǒng)中，備份DBR在6號(hào)扇區(qū)，那么跳到6號(hào)扇區(qū)：這也就是為什么系統(tǒng)識(shí)別不了，但winhex可以識(shí)別的原因。（3）將備份DBR的內(nèi)容進(jìn)行復(fù)制，返回到dbr的0號(hào)扇區(qū)進(jìn)行寫入即可。2.用系統(tǒng)格式化默認(rèn)參數(shù)恢復(fù)（1）附加本節(jié)課的磁盤，操作系統(tǒng)無法識(shí)別的文件系統(tǒng)就會(huì)顯示RAW，因?yàn)樵摫P里有數(shù)據(jù)，所以不能格式化。（2）用winhex打開后，發(fā)現(xiàn)擴(kuò)展名已經(jīng)為“？”，說明winhex也無法識(shí)別該文件系統(tǒng)，也就是說明連備份DBR也被損壞了。（3）雙擊打開分區(qū)1，發(fā)現(xiàn)0號(hào)扇區(qū)（DBR）和6號(hào)扇區(qū)（備份DBR）都是0，查找fat表，fat表的頭部是：F8FFFF0F，查找十六進(jìn)制：記錄扇區(qū)：fat表2：14343接下來虛擬一個(gè)和該盤一樣大小的磁盤，并用winhex打開，并復(fù)制DBR的內(nèi)容，寫入到損壞的磁盤中。3.手工計(jì)算DBR參數(shù)（1）附加本節(jié)課的磁盤，同上面方法一樣，搜索結(jié)果：（2）正常的fat表內(nèi)肯定有很多個(gè)FFFFFF0F標(biāo)記，因?yàn)槌霈F(xiàn)的位置是隨機(jī)的，又Fat表內(nèi)都是以4個(gè)字節(jié)為邊界，所以所以偏移地址4=0，也可以不要。心得作業(yè)備注水城區(qū)職業(yè)技術(shù)學(xué)校教案課程名稱數(shù)據(jù)恢復(fù)授課時(shí)間第7周第2次授課章節(jié)項(xiàng)目3修復(fù)FAT文件系統(tǒng)下的數(shù)據(jù)教學(xué)目的知識(shí)目標(biāo)技能目標(biāo)理解文件、目錄損壞或文件名亂碼的恢復(fù)方法教學(xué)重點(diǎn)文件、目錄損壞或文件名亂碼的恢復(fù)方法教學(xué)難點(diǎn)文件、目錄損壞或文件名亂碼的恢復(fù)方法教學(xué)方法演示法，任務(wù)驅(qū)動(dòng)法教具計(jì)算機(jī)，winhex教學(xué)過程設(shè)計(jì)（含時(shí)間分配）（2課時(shí)）1.文件或目錄損壞的原因和恢復(fù)方法操作演示總結(jié)：原因：FAT表損壞修復(fù)方法：1.直接在winhex里復(fù)制出來2.修復(fù)FAT表項(xiàng)2.文件名亂碼打開該虛擬磁盤，發(fā)現(xiàn)只有VStart50目錄下的文件是亂碼，說明該文件夾所在的數(shù)據(jù)區(qū)損壞了。（1）對(duì)比正常的文件夾（左正常，右損壞）（2）找到各個(gè)子文件夾。損壞的文件夾所在扇區(qū)：388928，找到其所在簇號(hào)（跳轉(zhuǎn)工具）：11132，并將簇號(hào)轉(zhuǎn)換成十六進(jìn)制：2b7c。搜索其子目錄。在空白的扇區(qū)寫上：2E2E2020202020202020203F3F3F3F3F3F3F3F3F00003F3F3F3F7C2B，方法前面學(xué)過。將位置管理器的內(nèi)容清空，搜索結(jié)果如下：這7個(gè)結(jié)果就是我們需要的子目錄，記下各個(gè)簇號(hào)，打開自建的FAT目錄。并將相應(yīng)內(nèi)容粘貼到損壞的文件夾所在扇區(qū)：388928，方法見前面的知識(shí)點(diǎn)。心得作業(yè)備注水城區(qū)職業(yè)技術(shù)學(xué)校教案課程名稱數(shù)據(jù)恢復(fù)授課時(shí)間第8周第1次授課章節(jié)第四章NTFS數(shù)據(jù)恢復(fù)教學(xué)目的知識(shí)目標(biāo)（1）理解NTFS文件系統(tǒng)的特性和數(shù)據(jù)結(jié)構(gòu)（2）掌握NTFS文件系統(tǒng)DBR的數(shù)據(jù)結(jié)構(gòu)（3）理解NTFS文件系統(tǒng)元文件技能目標(biāo)教學(xué)重點(diǎn)（1）NTFS文件系統(tǒng)的特性和數(shù)據(jù)結(jié)構(gòu)；（2）NTFS文件系統(tǒng)的元文件教學(xué)難點(diǎn)NTFS文件系統(tǒng)DBR的數(shù)據(jù)結(jié)構(gòu)教學(xué)方法演示法，任務(wù)驅(qū)動(dòng)法教具計(jì)算機(jī)，winhex教學(xué)過程設(shè)計(jì)（含時(shí)間分配）（2課時(shí)）1.NTFS文件系統(tǒng)的特性和數(shù)據(jù)結(jié)構(gòu)（1）NTFS文件系統(tǒng)的特性和數(shù)據(jù)結(jié)構(gòu)安全性較高，NTFS文件系統(tǒng)有日志容錯(cuò)功能，所以安全性比FAT文件系統(tǒng)高。NTFS文件系統(tǒng)可以給文件設(shè)置訪問權(quán)限文件壓縮和文件加密磁盤配額NTFS文件系統(tǒng)支持大分區(qū)（在MBR磁盤最大支持2T，在GPT磁盤支持的分區(qū)更大）NTFS文件系統(tǒng)支持大文件（大于4G）（2）NTFS文件系統(tǒng)的總體結(jié)構(gòu)NTFS文件系統(tǒng)的總體結(jié)構(gòu)二2.NTFS-DBR的數(shù)據(jù)結(jié)構(gòu)3.DBR數(shù)據(jù)結(jié)構(gòu)參數(shù)4.NTFS文件系統(tǒng)的元文件（1）什么是元文件：在格式化成NTFS文件系統(tǒng)時(shí)，對(duì)這個(gè)分區(qū)寫入的文件就是元文件。然后用這些元文件管理這個(gè)分區(qū)內(nèi)的用戶文件。這些文件用戶是不能訪問的，它們的文件名第一個(gè)字符都是“$”，表示該文件是隱藏的。（2）NTFS文件系統(tǒng)的元文件在NTFS文件系統(tǒng)中，這樣的文件共有16個(gè)，如圖：心得作業(yè)備注水城區(qū)職業(yè)技術(shù)學(xué)校教案課程名稱數(shù)據(jù)恢復(fù)授課時(shí)間第8周第2次授課章節(jié)第四章NTFS數(shù)據(jù)恢復(fù)教學(xué)目的知識(shí)目標(biāo)（1）理解主文件表MFT（2）理解MFT的文件記錄頭數(shù)據(jù)結(jié)構(gòu)（3）掌握MFT的屬性頭數(shù)據(jù)結(jié)構(gòu)（4）理解MFT的簇流運(yùn)行數(shù)據(jù)結(jié)構(gòu)技能目標(biāo)（1）會(huì)手工提取有片段數(shù)據(jù)（2）會(huì)手動(dòng)提取起始簇為負(fù)數(shù)的數(shù)據(jù)實(shí)例教學(xué)重點(diǎn)主文件表MFT的數(shù)據(jù)結(jié)構(gòu)教學(xué)難點(diǎn)主文件表MFT的數(shù)據(jù)結(jié)構(gòu)教學(xué)方法演示法，任務(wù)驅(qū)動(dòng)法教具計(jì)算機(jī)，winhex教學(xué)過程設(shè)計(jì)（含時(shí)間分配）（2課時(shí)）1.主文件表MFT（1）MFT的特點(diǎn)以明文“FILE”開頭每個(gè)MFT項(xiàng)都占用1024字節(jié)，即兩個(gè)扇區(qū)NTFS文件系統(tǒng)中的所有文件，都有一個(gè)MFT項(xiàng)記錄相應(yīng)的數(shù)據(jù)每個(gè)MFT項(xiàng)占用的兩個(gè)扇區(qū)，最后兩個(gè)字節(jié)是一個(gè)修正值，這個(gè)修正值和MFT項(xiàng)中的更新序列號(hào)相同，如果系統(tǒng)發(fā)現(xiàn)不同，就會(huì)認(rèn)為這個(gè)MFT項(xiàng)錯(cuò)誤，會(huì)把開頭標(biāo)志明文“FILE”改成“BAAD”（2）MFT屬性類型（3）MFT的結(jié)構(gòu)文件記錄由兩部分組成：一部分是文件記錄頭，另一部分是屬性列表。最后結(jié)尾是四個(gè)“FF”。在同一系統(tǒng)中，文件記錄頭的長度和具體偏移位置的數(shù)據(jù)含義是不變的，而屬性列表是可變的，其不同的屬性有著不同的含義。在NTFS文件系統(tǒng)中所有與文件相關(guān)的數(shù)據(jù)結(jié)構(gòu)均被認(rèn)為是屬性，包括文件的內(nèi)容。文件記錄是一個(gè)與文件相對(duì)應(yīng)的文件屬性數(shù)據(jù)庫，它記錄了文件的所有屬性。每個(gè)文件記錄中都有多個(gè)屬性，他們相對(duì)獨(dú)立，有各自的類型和名稱。每個(gè)屬性都由兩部分組成，既屬性頭和屬性體。屬性頭的前四個(gè)字節(jié)為屬性的類型。（4）MFT的文件記錄頭數(shù)據(jù)結(jié)構(gòu)更新序列號(hào)（5）簇流運(yùn)行數(shù)據(jù)結(jié)構(gòu)第一個(gè)數(shù)值的低4位2:后面2個(gè)數(shù)值第一個(gè)數(shù)值的高4位3:簇流大小后面的3個(gè)數(shù)值C002：簇流的大小00000C:簇流的起始簇（6）簇流運(yùn)行如果后面是00，那么這個(gè)簇流運(yùn)行結(jié)束，否則表示還有簇流運(yùn)行。下一個(gè)簇流的起始簇號(hào)是相對(duì)于這個(gè)簇流的起始簇號(hào)。如果下個(gè)簇流的起始簇號(hào)是負(fù)數(shù)，那么表示下個(gè)簇流在這個(gè)簇流的前面心得作業(yè)默寫一遍10屬性30屬性80屬性90屬性A0屬性各代表什么屬性備注水城區(qū)職業(yè)技術(shù)學(xué)校教案課程名稱數(shù)據(jù)恢復(fù)授課時(shí)間第9周第1次授課章節(jié)第四章NTFS數(shù)據(jù)恢復(fù)教學(xué)目的知識(shí)目標(biāo)（1）掌握10屬性、30屬性、80屬性、90屬性、A0屬性的數(shù)據(jù)結(jié)構(gòu)技能目標(biāo)教學(xué)重點(diǎn)10屬性、30屬性、80屬性、90屬性、A0屬性的數(shù)據(jù)結(jié)構(gòu)教學(xué)難點(diǎn)教學(xué)方法演示法，任務(wù)驅(qū)動(dòng)法教具計(jì)算機(jī)，winhex教學(xué)過程設(shè)計(jì)（含時(shí)間分配）（2課時(shí)）本次課主要是通過winhex講解各個(gè)屬性的數(shù)據(jù)結(jié)構(gòu)：1.10屬性10屬性是MFT的第一個(gè)屬性，10H屬性體的數(shù)據(jù)結(jié)構(gòu)如圖：2.30屬性（1）30H屬性是文件名屬性，文件名最長是255個(gè)字符，30H屬性體的數(shù)據(jù)結(jié)構(gòu)如下圖：（2）文件名的命名方式①00：POSIX命名方式：文件名大小寫敏感除了”\”和空字符不能用，其他的UNICODE編碼字符都可以用②01：WIN32命名方式：是POSIX的子集，除了“*/:<>?\”之外的所有UNICODE編碼字符都可以用，但最后一個(gè)字符不能是“.”或空格結(jié)束③02:DOS命名方式：是win32的子集，只允許大寫字符，只有1-8個(gè)字符的文件名,然后是”.”連接符，最后是0-3個(gè)的擴(kuò)展名。④03：win32&DOS命名方式：這種文件名空間表示文件有一個(gè)標(biāo)準(zhǔn)的DOS命名空間，不需要兩個(gè)文件名3.80屬性80H屬性是數(shù)據(jù)屬性常駐80H屬性的屬性體是數(shù)據(jù)內(nèi)容非常駐80H屬性的屬性體是簇流運(yùn)行4.90屬性（1）90H屬性是根索引屬性，是個(gè)常駐屬性，如下圖實(shí)例：（2）索引根節(jié)點(diǎn)數(shù)據(jù)結(jié)構(gòu)（3）索引頭的數(shù)據(jù)結(jié)構(gòu)（4）索引項(xiàng)數(shù)據(jù)結(jié)構(gòu)5.A0屬性（1）A0H屬性是索引分配屬性，是個(gè)非常駐屬性，A0H索引緩沖區(qū)如下圖：（2）標(biāo)準(zhǔn)索引頭數(shù)據(jù)結(jié)構(gòu)（3）索引項(xiàng)數(shù)據(jù)結(jié)構(gòu)心得作業(yè)備注水城區(qū)職業(yè)技術(shù)學(xué)校教案課程名稱數(shù)據(jù)恢復(fù)授課時(shí)間第9周第2次授課章節(jié)第四章NTFS數(shù)據(jù)恢復(fù)教學(xué)目的知識(shí)目標(biāo)1.理解把文件刪除到回收站對(duì)文件系統(tǒng)做了什么改變2.理解清空回收站對(duì)文件系統(tǒng)做了什么改變3.理解按住shift鍵刪除文件對(duì)文件系統(tǒng)做了什么改變技能目標(biāo)1.會(huì)恢復(fù)從回收站清空的文件2.會(huì)手工恢復(fù)按shift鍵刪除的文件教學(xué)重點(diǎn)不同方法的文件刪除，文件系統(tǒng)所做的改變教學(xué)難點(diǎn)如何恢復(fù)刪除的文件教學(xué)方法演示法，任務(wù)驅(qū)動(dòng)法教具計(jì)算機(jī)，winhex教學(xué)過程設(shè)計(jì)（含時(shí)間分配）（2課時(shí)）1.刪除到回收站對(duì)文件系統(tǒng)做了什么改變?①回收站的數(shù)據(jù)區(qū)內(nèi)容②根目錄的數(shù)據(jù)區(qū)內(nèi)容③日志文件記錄④$AttrDef的更新序列號(hào)⑤根目錄的MFT（5）⑥目標(biāo)文件的MFT項(xiàng)文件名改變2.清空回收站對(duì)文件系統(tǒng)做了什么改變目標(biāo)文件的狀態(tài)標(biāo)志改變3.恢復(fù)從回收站清空的文件步驟略，課堂演示。4.按住shift鍵刪除文件對(duì)文件系統(tǒng)做了什么改變根目錄的A0屬性內(nèi)容日志文件內(nèi)容位圖文件MFT位圖文件根目錄的MFT項(xiàng)Bitmap的MFT項(xiàng)BOOT的MFT項(xiàng)回收站里的一個(gè)子目錄MFT項(xiàng)回收站里的deaktop.iniMFT項(xiàng)被刪文件的MFT項(xiàng)5.恢復(fù)按shift鍵刪除的文件具體步驟略，課堂演示。心得作業(yè)加載課后練習(xí)鏡像文件，恢復(fù)文件名為《ReadDisk.rar》的壓縮包備注水城區(qū)職業(yè)技術(shù)學(xué)校教案課程名稱數(shù)據(jù)恢復(fù)授課時(shí)間第10周第1次授課章節(jié)第四章NTFS數(shù)據(jù)恢復(fù)教學(xué)目的知識(shí)目標(biāo)技能目標(biāo)掌握磁盤未被格式化的恢復(fù)方法掌握文件或目錄損壞且無法讀取的方法教學(xué)重點(diǎn)1.利用備份DBR恢復(fù)2.手工計(jì)算出DBR參數(shù)3.手工修復(fù)MFT教學(xué)難點(diǎn)教學(xué)方法演示法，任務(wù)驅(qū)動(dòng)法教具計(jì)算機(jī)，winhex教學(xué)過程設(shè)計(jì)（含時(shí)間分配）（2課時(shí)）1.磁盤未被格式化的恢復(fù)（1）利用備份DBR恢復(fù)課堂案例演示（2）手工計(jì)算出DBR參數(shù)，關(guān)鍵參數(shù)如下：簇大小MFT的起始簇MFTMirr的起始簇文件系統(tǒng)的大小實(shí)例演示，步驟提示：（1）打開課堂案例磁盤，并用winhex打開，發(fā)現(xiàn)DBR全是0，拉到最后一個(gè)扇區(qū)，向上搜索55aa，發(fā)現(xiàn)搜不到，說明備份DBR也被損壞了。（2）winhex雙擊打開該分區(qū)，通過MFT來尋找，搜索46494c45，從0號(hào)扇區(qū)開始，向下搜索。（3）計(jì)算并需改相應(yīng)的參數(shù)，保存：2.MFT偏移文件或目錄損壞且無法讀取的修復(fù)方法課堂案例演示3.文件或目錄損壞且無法讀取的恢復(fù)方法（1）手工修復(fù)mft（2）手工修復(fù)后用命令直接修復(fù)分區(qū)，修復(fù)命令：chkdskh:/fh是盤符注意修復(fù)需要先備份MFT心得作業(yè)備注水城區(qū)職業(yè)技術(shù)學(xué)校教案課程名稱數(shù)據(jù)恢復(fù)授課時(shí)間第10周第2次授課章節(jié)第四章NTFS數(shù)據(jù)恢復(fù)教學(xué)目的知識(shí)目標(biāo)1.格式化對(duì)分區(qū)做了什么操作技能目標(biāo)1.會(huì)恢復(fù)被格式化磁盤里的數(shù)據(jù)教學(xué)重點(diǎn)如何恢復(fù)被格式化磁盤里的數(shù)據(jù)教學(xué)難點(diǎn)教學(xué)方法演示法，任務(wù)驅(qū)動(dòng)法教具計(jì)算機(jī)，winhex教學(xué)過程設(shè)計(jì)（含時(shí)間分配）（2課時(shí)）1.格式化對(duì)分區(qū)做了什么操作（1）寫入一些元文件注：雖然初始化$MFT的大小，但格式化之前的MFT項(xiàng)還保留著步驟提示：（1）新建一個(gè)虛擬磁盤，初始化，新建分區(qū)，但不要格式化磁盤，用winhex打開該磁盤，在打開分區(qū)，做好鏡像文件。（2）將該鏡像文件轉(zhuǎn)換成磁盤，并將該盤格式化。（3）格式化后用winhex重新打開該盤，比較兩個(gè)文件（4）如果沒有什么結(jié)果，那么在該盤存放文件，MFT變大，格式化后即MFT的初始大?。ú煌到y(tǒng)可能不一樣），發(fā)現(xiàn)變小了，如何恢復(fù)以前的數(shù)據(jù)？（5）自己找合適的扇區(qū)，跳出MFT所在扇區(qū)的尾部之后的扇區(qū)，然后向上搜索46494c45，找到最后一個(gè)MFT項(xiàng)（6）驗(yàn)證是不是最后一個(gè)MFT項(xiàng)，用當(dāng)前扇區(qū)減去兩個(gè)5887=697000（7）算出MFT的簇大?。?4722.恢復(fù)被格式化磁盤里的數(shù)據(jù)（1）修復(fù)MFT（2）手工計(jì)算簇大?。?）重組有片段的MFT心得作業(yè)備注水城區(qū)職業(yè)技術(shù)學(xué)校教案課程名稱數(shù)據(jù)恢復(fù)授課時(shí)間第11周第1次授課章節(jié)第五章修復(fù)ExFAT文件系統(tǒng)下的數(shù)據(jù)教學(xué)目的知識(shí)目標(biāo)1.掌握EXFAT特點(diǎn)2.掌握EXFAT文件系統(tǒng)整體結(jié)構(gòu)技能目標(biāo)教學(xué)重點(diǎn)掌握EXFAT特點(diǎn)教學(xué)難點(diǎn)EXFAT文件系統(tǒng)整體結(jié)構(gòu)教學(xué)方法演示法，任務(wù)驅(qū)動(dòng)法教具計(jì)算機(jī)教學(xué)過程設(shè)計(jì)（含時(shí)間分配）（2課時(shí)）1.初識(shí)EXFAT文件系統(tǒng)EXFAT文件系統(tǒng)的理解EXFAT文件系統(tǒng)也叫擴(kuò)展分配表文件系統(tǒng)，是微軟在WindowsEmbeded6.0（包括WindowsCE6.0、WindowsMobile）中引入的一種適合于閃存的文件系統(tǒng)；可以說它是FAT32文件系統(tǒng)的升級(jí)版。（2）EXFAT特點(diǎn)：ExFAT是為閃存介質(zhì)而生的，如優(yōu)盤、數(shù)碼卡等。與原來的FAT文件系統(tǒng)相比，主要有以下特點(diǎn)支持更大的分區(qū)原來的FAT16文件系統(tǒng)最大可以支持4GB的分區(qū)，F(xiàn)AT32文件系統(tǒng)最大支持32GB的分區(qū)，而微軟官方網(wǎng)站提供的信息稱：ExFAT理論上最大可以支持64ZB的分區(qū)，系統(tǒng)建議支持的最大分區(qū)為512TB。支持更大的文件原來的FAT16、FAT32文件系統(tǒng)對(duì)單個(gè)文件的大小最大支持4GB，而微軟官方網(wǎng)站提供的信息稱：ExFAT理論上最大可以支持64ZB的文件，系統(tǒng)建議支持的最大文件為512TB。支持更大的簇大小原來的FAT16、FAT32文件系統(tǒng)支持最大的簇大小為64KB，而ExFAT能夠支持最大32MB的簇大小。下圖是在Windows7系統(tǒng)上對(duì)一個(gè)8GB優(yōu)盤格式化的界面。支持訪問控制列表訪問控制列表（AccessControlLists）是類似于NTFS文件系統(tǒng)中權(quán)限控制的一種功能。支持TFATTFAT（Transaction-SafeFAT，安全FAT文件系統(tǒng)）的作用是保證操作的完整性，是為了彌補(bǔ)FAT系統(tǒng)缺陷而生的。就拿一個(gè)FAT格式的優(yōu)盤來說，如果在復(fù)制或移動(dòng)、建立文件或目錄時(shí)，突然將優(yōu)盤拔掉或是突然斷電等因素都會(huì)造成數(shù)據(jù)的中斷，也就是無法保證數(shù)據(jù)完整地寫入到優(yōu)盤中。而在TFAT的支持下，文件在傳輸時(shí)采用雙索引機(jī)制，即當(dāng)文件從一個(gè)設(shè)備移動(dòng)到另一個(gè)設(shè)備時(shí)，首先在目標(biāo)設(shè)備中建立一個(gè)臨時(shí)索引，直到傳輸完畢之后這個(gè)臨時(shí)索引才轉(zhuǎn)存為標(biāo)準(zhǔn)的索引，然后再將原文件刪去，從而避免了移動(dòng)過程中可能遭遇的數(shù)據(jù)丟失問題。支持快速分配的簇位圖功能更好的磁盤連續(xù)布局功能支持通用協(xié)調(diào)時(shí)間（UTC）的時(shí)間戳增加了臺(tái)式計(jì)算機(jī)與移動(dòng)媒體之間的兼容性雖然ExFAT有這么多優(yōu)越性，但要被廣泛接受還需要有較長的時(shí)間，它更多的是一項(xiàng)立足于未來的技術(shù)。因?yàn)橹辽貳xFAT首先需要被各個(gè)設(shè)備支持才行。操作系統(tǒng)方面，只有最新的Windows7和Windows8才可以支持ExFAT，WindowsXP則需要打?qū)ｉT的補(bǔ)丁，而Mac、Linux、UNIX等操作系統(tǒng)暫時(shí)還不能支持。至于數(shù)碼相機(jī)、智能手機(jī)等設(shè)備，可以通過固件升級(jí)來支持ExFAT，但這也得等到廠商推出相應(yīng)的固件才行。2.ExFAT文件系統(tǒng)結(jié)構(gòu)總覽ExFAT文件系統(tǒng)由DBR及保留扇區(qū)、FAT、簇位圖文件、大寫字符文件、用戶數(shù)據(jù)區(qū)五個(gè)部分組成，其結(jié)構(gòu)如圖所示。這些結(jié)構(gòu)是在分區(qū)被格式化時(shí)創(chuàng)建出來的，它們的含義如下：①DBR及其保留扇區(qū)。DBR的全稱為DOSBootRecord，含義是DOS引導(dǎo)記錄，也稱為操作系統(tǒng)引導(dǎo)記錄。在DBR之后往往有一些保留扇區(qū)，其中12號(hào)扇區(qū)為DBR的備份。②FAT。FAT的全稱為FileAllocationTable，含義是文件分配表。ExFAT一般只有一份FAT，而不像FAT文件系統(tǒng)那樣有兩個(gè)FAT表：FAT1和FAT2。③簇位圖文件。簇位圖文件是ExFAT文件系統(tǒng)中的一個(gè)元文件，類似于NTFS文件系統(tǒng)中的元文件$BitMap，用來管理分區(qū)中簇的使用情況。④大寫字符文件。是ExFAT文件系統(tǒng)中的第二個(gè)元文件，類似于NTFS文件系統(tǒng)中的元文件$UpCase，Unicode字母表中每一個(gè)字符在這個(gè)文件中都有一個(gè)對(duì)應(yīng)的條目，用于比較、排序、計(jì)算Hash值等方面。該文件大小固定為5836字節(jié)。⑤用戶數(shù)據(jù)區(qū)。是ExFAT文件系統(tǒng)的主要區(qū)域，用來存放用戶的文件及目錄。心得作業(yè)備注水城區(qū)職業(yè)技術(shù)學(xué)校教案課程名稱數(shù)據(jù)恢復(fù)授課時(shí)間第11周第2次授課章節(jié)第五章修復(fù)ExFAT文件系統(tǒng)下的數(shù)據(jù)教學(xué)目的知識(shí)目標(biāo)1.掌握EXFAT文件系統(tǒng)DBR的數(shù)據(jù)結(jié)構(gòu)2.理解FAT表的作用及結(jié)構(gòu)特點(diǎn)技能目標(biāo)教學(xué)重點(diǎn)EXFAT文件系統(tǒng)DBR的數(shù)據(jù)結(jié)構(gòu)，F(xiàn)AT表的結(jié)構(gòu)教學(xué)難點(diǎn)EXFAT文件系統(tǒng)DBR的數(shù)據(jù)結(jié)構(gòu)教學(xué)方法演示法，任務(wù)驅(qū)動(dòng)法教具計(jì)算機(jī)教學(xué)過程設(shè)計(jì)（含時(shí)間分配）（2課時(shí)）1.ExFAT文件系統(tǒng)的DBR分析DBR開始于ExFAT文件系統(tǒng)的第一個(gè)扇區(qū)，計(jì)算機(jī)啟動(dòng)時(shí)首先由BIOS讀入主引導(dǎo)盤MBR的內(nèi)容，以確定各個(gè)邏輯驅(qū)動(dòng)器及其起始地址，然后調(diào)入活動(dòng)分區(qū)的DBR，將控制權(quán)交給DBR，由DBR來引導(dǎo)操作系統(tǒng)。ExFAT文件系統(tǒng)的DBR由6部分組成，分別為跳轉(zhuǎn)指令、OEM代號(hào)、保留區(qū)、BPB參數(shù)、引導(dǎo)程序和結(jié)束標(biāo)志。下圖是一個(gè)完整的ExFAT文件系統(tǒng)的DBR。（1）跳轉(zhuǎn)指令跳轉(zhuǎn)指令本身占用兩個(gè)字節(jié)，它將程序執(zhí)行流程跳轉(zhuǎn)到引導(dǎo)程序處。例如，當(dāng)前DBR中的“EB76”，就是代表匯編語言的“JMP76”。需要注意該指令本身占用兩個(gè)字節(jié)，計(jì)算跳轉(zhuǎn)目標(biāo)地址時(shí)以該指令的下一字節(jié)為基準(zhǔn)，所以實(shí)際執(zhí)行的下一條指令應(yīng)該位于78H。緊接著跳轉(zhuǎn)指令的是一條空指令NOP（90H）。（2）OEM代號(hào)這部分占8字節(jié)，其內(nèi)容由創(chuàng)建該文件系統(tǒng)的OEM廠商具體安排。例如，微軟的WindowsVista系統(tǒng)將此處設(shè)置為文件系統(tǒng)類型“ExFAT”。（3）保留區(qū)從DBR的0BH～3FH處是原來的FAT文件系統(tǒng)BPB所占用的空間，ExFAT文件系統(tǒng)不使用這些字節(jié)。（4）BPB（BIOSParameterBlock，BIOS參數(shù)塊）ExFAT的BPB從第DBR的40BH偏移處開始，占用56字節(jié)，記錄了有關(guān)該文件系統(tǒng)的重要信息，其中各個(gè)參數(shù)的含義見表：下面對(duì)這些參數(shù)作詳細(xì)分析。（1）0x40～0x47：隱藏扇區(qū)數(shù)隱藏扇區(qū)數(shù)是指本分區(qū)之前使用的扇區(qū)數(shù)，該值與分區(qū)表中所描述的該分區(qū)的起始扇區(qū)號(hào)一致：對(duì)于主磁盤分區(qū)來講，是MBR到該分區(qū)DBR之間的扇區(qū)數(shù)；對(duì)于擴(kuò)展分區(qū)中的邏輯驅(qū)動(dòng)器來講，是其EBR到該分區(qū)DBR之間的扇區(qū)數(shù)。（2）0x48～0x4F：扇區(qū)總數(shù)扇區(qū)總數(shù)是指分區(qū)的總扇區(qū)數(shù)，由8字節(jié)組成，也就是64位，所以能管理的最大分區(qū)為264×512＝273Byte＝8ZB。微軟官方網(wǎng)站提供的信息稱：ExFAT理論上最大可以支持64ZB的分區(qū)，但從這里只能算出8ZB。（3）0x50～0x53：FAT起始扇區(qū)號(hào)該值為相對(duì)于文件系統(tǒng)起始號(hào)扇區(qū)而言，也就是從DBR到FAT表之間的扇區(qū)數(shù)。（4）0x54～0x57：FAT扇區(qū)數(shù)是指FAT表包含的扇區(qū)數(shù)，ExFAT文件系統(tǒng)只有一份FAT表。（5）0x58～0x5B：首簇起始扇區(qū)號(hào)該值用來描述文件系統(tǒng)中的第1個(gè)簇的起始扇區(qū)號(hào)。與傳統(tǒng)FAT文件系統(tǒng)一樣，ExFAT文件系統(tǒng)的第一個(gè)簇也是2號(hào)簇，通常2號(hào)簇分配給簇位圖文件使用，因此，該值也就是簇位圖文件的起始扇區(qū)號(hào)。（6）0x5C～0x5F：分區(qū)內(nèi)的總簇?cái)?shù)分區(qū)內(nèi)的總簇?cái)?shù)是指從分區(qū)內(nèi)第一個(gè)簇算起，到分區(qū)末尾所包含的簇的總數(shù)。（7）0x60～0x63：根目錄首簇號(hào)分區(qū)在格式化為ExFAT文件系統(tǒng)時(shí)，格式化程序會(huì)在數(shù)據(jù)區(qū)中指派一個(gè)簇作為ExFAT的根目錄區(qū)的開始，并把該簇號(hào)記錄在BPB中。通常分區(qū)中的第一個(gè)簇被分配給簇位圖文件使用，簇位圖文件之后是大寫字符文件，大寫字符文件的下一個(gè)簇就根目錄的起始位置了。（8）0x64～0x67：卷序列號(hào)卷序列號(hào)是格式化程序在創(chuàng)建文件系統(tǒng)時(shí)生成的一組4字節(jié)的隨機(jī)數(shù)值。（9）0x6C～0x6C：每扇區(qū)字節(jié)數(shù)描述這個(gè)字節(jié)用來描述每扇區(qū)包含的字節(jié)數(shù)，描述方法為，假設(shè)此處值為N，則每扇區(qū)大小字節(jié)數(shù)為2N。例如，本例中該值為“09”，即每扇區(qū)大小字節(jié)數(shù)為29＝512。（10）0x6C～0x6C：每簇扇區(qū)數(shù)描述這個(gè)字節(jié)用來描述每簇包含的扇區(qū)數(shù)，描述方法為，假設(shè)此處值為N，則每簇扇區(qū)數(shù)為2N。例如，本例中該值為“06”，即每簇扇區(qū)數(shù)為26＝64。ExFAT文件系統(tǒng)能夠支持從512B～32MB的簇大小。5．引導(dǎo)程序ExFAT的DBR引導(dǎo)程序占用390字節(jié)（78H～1FDH）。這部分字節(jié)對(duì)于ExFAT來說也是很重要的，如果這些數(shù)據(jù)被破壞，文件系統(tǒng)將無法使用。6．結(jié)束標(biāo)志ExFAT的DBR結(jié)束標(biāo)志與FAT的DBR結(jié)束標(biāo)志一樣，也是“55AA”。在ExFAT的DBR之后還有很多保留扇區(qū)，其中12號(hào)扇區(qū)為DBR的備份，如果DBR遭到破壞，可以用其備份DBR進(jìn)行修復(fù)。2.ExFAT文件系統(tǒng)的FAT表分析FAT（FileAllocationTable）即文件分配表，對(duì)于\o"瀏覽關(guān)于"ExFAT文件系統(tǒng)來講也是很重要的一個(gè)組成部分，其主要作用及結(jié)構(gòu)特點(diǎn)如下：①ExFAT文件系統(tǒng)一般只有一份FAT，它們由格式化程序在對(duì)分區(qū)進(jìn)行格式化時(shí)創(chuàng)建。②FAT表跟在DBR之后，其具體地址由DBR的BPB參數(shù)中偏移量為50H～53H的4字節(jié)描述。③FAT表是由FAT表項(xiàng)構(gòu)成的，我們把FAT表項(xiàng)簡(jiǎn)稱為FAT項(xiàng)，ExFAT的每個(gè)FAT項(xiàng)由4字節(jié)構(gòu)成，也就是32位的表項(xiàng)。④每個(gè)FAT項(xiàng)都有一個(gè)固定的編號(hào)，這個(gè)編號(hào)從0開始，也就是說，第一個(gè)FAT項(xiàng)是0號(hào)FAT項(xiàng)，第二個(gè)FAT項(xiàng)是1號(hào)FAT項(xiàng)，以此類推。⑤FAT表的前兩個(gè)FAT項(xiàng)有專門的用途，0號(hào)FAT項(xiàng)通常用來存放分區(qū)所在的介質(zhì)類型，比如硬盤的介質(zhì)類型為“F8”，那么硬盤上分區(qū)的FAT表第一個(gè)FAT項(xiàng)就以“F8”開始；1號(hào)FAT項(xiàng)一般都是4字節(jié)的“FF”。⑥分區(qū)的數(shù)據(jù)區(qū)中每一個(gè)簇都會(huì)映射到FAT表中的唯一一個(gè)FAT項(xiàng)。因?yàn)?號(hào)FAT項(xiàng)和1號(hào)FAT項(xiàng)有特殊用途，無法與數(shù)據(jù)區(qū)中的簇形成映射，只能從2號(hào)FAT項(xiàng)開始于數(shù)據(jù)區(qū)中的第一個(gè)簇映射，所以數(shù)據(jù)區(qū)中的第一個(gè)簇也就編號(hào)為2號(hào)簇，這也是沒有0號(hào)簇和1號(hào)簇的原因，然后3號(hào)簇與3號(hào)FAT項(xiàng)映射，4號(hào)簇與4號(hào)FAT項(xiàng)映射，以此類推，直到數(shù)據(jù)區(qū)中的最后一個(gè)簇。⑦分區(qū)格式化后，分區(qū)的兩個(gè)元文件及用戶文件都以簇為單位存放在數(shù)據(jù)區(qū)中，一個(gè)文件至少占用一個(gè)簇。當(dāng)一個(gè)文件占用多個(gè)簇時(shí)，這些簇的簇號(hào)可能是連續(xù)的，也可能是不連續(xù)的。如果文件存放的簇不連續(xù)，這些簇的簇號(hào)就以簇鏈的形式登記在FAT表中；而如果文件存放在連續(xù)的簇中，F(xiàn)AT表則不登記這些連續(xù)的簇鏈。⑧綜合上面的說明可以看出，ExFAT文件系統(tǒng)FAT表的功能主要是記錄不連續(xù)存儲(chǔ)的文件的簇鏈，所以在FAT中看到數(shù)值為0的FAT項(xiàng)，并不能說明該FAT項(xiàng)對(duì)應(yīng)的簇是可用簇。FAT表的實(shí)際應(yīng)用要分析FAT表，就需要找到FAT表，下面模擬一下操作系統(tǒng)定位FAT表的方法。定位FAT表的步驟如下：①系統(tǒng)通過該分區(qū)的分區(qū)表信息，定位到其DBR扇區(qū)。②讀取DBR的BPB，主要讀取“FAT表起始扇區(qū)號(hào)”這個(gè)參數(shù)，它在DBR的50H～54H偏移處，當(dāng)前值為2048（具體參數(shù)可以查看圖4-521中的DBR模板）。③讀取到“FAT表起始扇區(qū)號(hào)”這個(gè)參數(shù)的值為2048之后，跳轉(zhuǎn)到該分區(qū)的2048號(hào)扇區(qū)，這里就是FAT表的開始。下面就跳轉(zhuǎn)到2048號(hào)扇區(qū)，具體分析這個(gè)扇區(qū)的數(shù)據(jù)結(jié)構(gòu)。該分區(qū)是剛格式化的一個(gè)分區(qū)，把分區(qū)格式化為ExFAT文件系統(tǒng)時(shí)，格式化程序會(huì)把分配給FAT表的第一個(gè)扇區(qū)清零，然后寫入0號(hào)FAT項(xiàng)和1號(hào)FAT項(xiàng)，另外還會(huì)寫入簇位圖文件、大寫字符文件及根目錄所占簇對(duì)應(yīng)的FAT項(xiàng)，其內(nèi)容如圖可以看出每個(gè)FAT項(xiàng)占用4字節(jié)：其中0號(hào)FAT項(xiàng)描述介質(zhì)類型，其首字節(jié)為“F8”，表示介質(zhì)類型為硬盤；1號(hào)FAT項(xiàng)寫入4個(gè)“FF”；從2號(hào)FAT項(xiàng)開始對(duì)應(yīng)2號(hào)簇，3號(hào)FAT項(xiàng)對(duì)應(yīng)3號(hào)簇，一直到最后一個(gè)簇。目前2、3、4三個(gè)FAT項(xiàng)中都是結(jié)束標(biāo)志，說明簇位圖文件、大寫字符文件、根目錄各占一個(gè)簇。除了這5個(gè)FAT項(xiàng)以外，其他FAT項(xiàng)都是0，但這并不能說這些FAT項(xiàng)對(duì)應(yīng)的簇就是空簇。心得作業(yè)備注水城區(qū)職業(yè)技術(shù)學(xué)校教案課程名稱數(shù)據(jù)恢復(fù)授課時(shí)間第12周第1次授課章節(jié)第五章修復(fù)ExFAT文件系統(tǒng)下的數(shù)據(jù)教學(xué)目的知識(shí)目標(biāo)1.理解ExFAT文件系統(tǒng)的簇位圖2.理解ExFAT文件系統(tǒng)的大寫字符文件3.掌握EXFAT文件系統(tǒng)的目錄項(xiàng)數(shù)據(jù)結(jié)構(gòu)技能目標(biāo)教學(xué)重點(diǎn)EXFAT文件系統(tǒng)的目錄項(xiàng)數(shù)據(jù)結(jié)構(gòu)教學(xué)難點(diǎn)教學(xué)方法演示法，任務(wù)驅(qū)動(dòng)法教具計(jì)算機(jī)教學(xué)過程設(shè)計(jì)（含時(shí)間分配）（2課時(shí)）1.ExFAT文件系統(tǒng)的簇位圖文件分析ExFAT文件系統(tǒng)的FAT表之后就是數(shù)據(jù)區(qū)了，但數(shù)據(jù)區(qū)并不一定緊跟在FAT表之后，F(xiàn)AT表后面可能還會(huì)有一些保留扇區(qū)，每個(gè)分區(qū)不一樣，這要看實(shí)際情況。數(shù)據(jù)區(qū)的開始位置在DBR的BPB中有描述，“首簇起始扇區(qū)號(hào)”起始就是數(shù)據(jù)區(qū)的開始。數(shù)據(jù)區(qū)中第一個(gè)簇就是2號(hào)簇，2號(hào)簇一般都分配給簇位圖文件使用。簇位圖文件是在分區(qū)格式化時(shí)創(chuàng)建的，該文件不允許用戶訪問和修改。從偏移58H～5BH處可以看到“首簇起始扇區(qū)號(hào)”是4096，跳轉(zhuǎn)到4096扇區(qū)，內(nèi)容如圖所示。該扇區(qū)中只有一個(gè)字節(jié)“07H”，這就是簇位圖文件的內(nèi)容。簇位圖文件是ExFAT文件系統(tǒng)中的一個(gè)元文件，類似于NTFS文件系統(tǒng)中的元文件$BitMap，它的作用是用來管理分區(qū)中簇的使用情況。簇位圖文件中的每一個(gè)位，映射到數(shù)據(jù)區(qū)中的每一個(gè)簇。如果某個(gè)簇分配給了文件，該簇在簇位圖文件中對(duì)應(yīng)的位就會(huì)被填入“1”，表示該簇已經(jīng)占用；如果沒用使用的空簇，它們?cè)诖匚粓D文件中對(duì)應(yīng)的位就是“0”。上圖中簇位圖文件的內(nèi)容為“07H”，換算成二進(jìn)制等于“00000111”，這8位就對(duì)應(yīng)數(shù)據(jù)區(qū)的8個(gè)簇，也就是2號(hào)簇到9號(hào)簇這八個(gè)簇。從“00000111”這個(gè)數(shù)值中能夠很明確地看出2、3、4這三個(gè)簇是被使用的，其他五個(gè)簇未被使用。而2、3、4這三個(gè)簇正是被簇位圖文件、大寫字符文件、根目錄所占用的。有關(guān)簇位圖文件的開始位置和大小在其目錄項(xiàng)中有記錄，目錄項(xiàng)結(jié)構(gòu)將會(huì)在后面章節(jié)中介紹。2.ExFAT文件系統(tǒng)的大寫字符文件分析大寫字符文件是ExFAT文件系統(tǒng)中的第二個(gè)元文件，類似于NTFS文件系統(tǒng)中的元文件$UpCase。Unicode字母表中每一個(gè)字符在這個(gè)文件中都有一個(gè)對(duì)應(yīng)的條目，用于比較、排序、計(jì)算Hash值等方面。大寫字符文件是在分區(qū)格式化時(shí)創(chuàng)建的，該文件不允許用戶訪問和修改。簇位圖文件結(jié)束后的下一個(gè)簇一般就分配給大寫字符文件使用。在圖4-519的DBR所在分區(qū)中，簇位圖文件只占用一個(gè)簇，當(dāng)前分區(qū)每簇8個(gè)扇區(qū)，所以從簇位圖文件的開始位置往后跳轉(zhuǎn)8個(gè)扇區(qū)就到了大寫字符文件的開始位置了，也就是3號(hào)簇的開始，其內(nèi)容如圖所示。上圖是大寫字符文件第一個(gè)扇區(qū)的前半部分，從圖中可以看到其內(nèi)容都是Unicode字母表中的字符，每一個(gè)字符占用兩個(gè)字節(jié)。大寫字符文件的大小固定為5836字節(jié)。3.ExFAT文件系統(tǒng)的目錄項(xiàng)分析3.1目錄項(xiàng)的作用及結(jié)構(gòu)特點(diǎn)目錄項(xiàng)對(duì)于ExFAT文件系統(tǒng)來講是非常重要的組成部分，其主要作用及結(jié)構(gòu)特點(diǎn)如下：①分區(qū)中的每個(gè)文件和文件夾（也稱為目錄）都被分配多個(gè)大小為32字節(jié)的目錄項(xiàng)，用以描述文件或文件夾的屬性、大小、起始簇號(hào)和時(shí)間、日期等信息，當(dāng)然還會(huì)把文件名或目錄名也記錄在目錄項(xiàng)中。②在ExFAT文件系統(tǒng)中，目錄也被視為特殊類型的文件，所以每個(gè)目錄也與文件一樣有目錄項(xiàng)。③在ExFAT文件系統(tǒng)下，分區(qū)根目錄下的文件及文件夾的目錄項(xiàng)存放在根目錄區(qū)中，分區(qū)子目錄下的文件及文件夾的目錄項(xiàng)存放在數(shù)據(jù)區(qū)相應(yīng)的簇中。④ExFAT文件系統(tǒng)目錄項(xiàng)的第一個(gè)字節(jié)用來描述目錄項(xiàng)的類型，剩下的31字節(jié)用來記錄文件的相關(guān)信息。⑤根據(jù)目錄項(xiàng)的作用和結(jié)構(gòu)特點(diǎn)，可以把目錄項(xiàng)分為四種類型：卷標(biāo)目錄項(xiàng)；簇位圖文件的目錄項(xiàng)；大寫字符文件的目錄項(xiàng)；用戶文件的目錄項(xiàng)。3.2目錄項(xiàng)的類型值含義0x03：卷標(biāo)保留目錄項(xiàng)(只有在格式化是沒設(shè)備卷標(biāo)才會(huì)有這個(gè)目錄項(xiàng))0x83：卷標(biāo)目錄項(xiàng)0x81：簇位圖目錄項(xiàng)0x82：大寫轉(zhuǎn)換表目錄項(xiàng)0x85：文件屬性目錄項(xiàng)10xC0：文件屬性目錄項(xiàng)20xC1：文件名目錄項(xiàng)0x05：0x85目錄項(xiàng)，文件被刪除后的狀態(tài)0x40：0xC0目錄項(xiàng)，文件被刪除后的狀態(tài)0x41：0xC1目錄項(xiàng)，文件被刪除后的狀態(tài)0xA0：卷GUID目錄項(xiàng)（1）目錄項(xiàng)對(duì)應(yīng)的文件在刪除后，它的類型值會(huì)減0x80（2）0x85文件屬性目錄項(xiàng)10x85目錄項(xiàng)是文件的第一個(gè)目錄項(xiàng)，它用來記錄文件的附加目錄項(xiàng)數(shù)、校驗(yàn)、等屬性。（3）0XC0文件屬性目錄項(xiàng)20xC0目錄項(xiàng)是文件或文件夾的第二個(gè)屬性目錄項(xiàng)。它記錄著文件是否有碎片、文件的起始簇號(hào)和文件的大小等信息。（4）0xC1文件名目錄項(xiàng)文件名目錄項(xiàng)非常簡(jiǎn)單，除了前面2個(gè)字節(jié)，后面的30個(gè)字節(jié)全部是存儲(chǔ)文件名的UNICODE碼心得作業(yè)備注水城區(qū)職業(yè)技術(shù)學(xué)校教案課程名稱數(shù)據(jù)恢復(fù)授課時(shí)間第12周第2次授課章節(jié)第五章修復(fù)ExFAT文件系統(tǒng)下的數(shù)據(jù)教學(xué)目的知識(shí)目標(biāo)理解ExFAT文件系統(tǒng)根目錄與子目錄的管理技能目標(biāo)會(huì)查看ExFAT文件系統(tǒng)如何管理一個(gè)文件教學(xué)重點(diǎn)ExFAT文件系統(tǒng)根目錄與子目錄的管理教學(xué)難點(diǎn)教學(xué)方法演示法，講解法教具計(jì)算機(jī)教學(xué)過程設(shè)計(jì)（含時(shí)間分配）（2課時(shí)）1.根目錄的管理ExFAT文件系統(tǒng)對(duì)于根目錄下文件的管理，統(tǒng)一在數(shù)據(jù)區(qū)中的根目錄區(qū)為這些文件創(chuàng)建目錄項(xiàng)，并由簇位圖文件為用戶文件的內(nèi)容分配簇存放數(shù)據(jù)。而根目錄區(qū)的首簇由格式化程序指派，并把指派的簇號(hào)記錄在DBR的BPB中。如果根目錄下文件數(shù)目過多，這些文件的目錄項(xiàng)在根目錄區(qū)的首簇存放不下，簇位圖文件就會(huì)為根目錄分配新的簇來存放根目錄下文件及文件夾的目錄項(xiàng)，并在FAT表中記錄簇鏈。具體看一個(gè)例子。目前在G盤根目錄下有一個(gè)文件“ExFAT.txt”，我們看ExFAT文件系統(tǒng)如何管理這個(gè)文件。第1步定位DBR。通過分區(qū)表定位到G盤的開始位置在63號(hào)扇區(qū)，這個(gè)扇區(qū)就是G盤的DBR扇區(qū)。第2步定位根目錄首簇。訪問DBR扇區(qū)的BPB，BPB的參數(shù)如圖所示。通過“首簇起始扇區(qū)號(hào)”、“根目錄首簇號(hào)”和“每簇扇區(qū)數(shù)N”三個(gè)參數(shù)的值便可計(jì)算出根目錄首簇的開始扇區(qū)。具體算法：首簇起始扇區(qū)號(hào)＋（根目錄首簇號(hào)-2）×每簇扇區(qū)數(shù)。以圖中的數(shù)值為例，計(jì)算結(jié)果為4224，所以根目錄開始于4224扇區(qū)。第3步定位目錄項(xiàng)。找到根目錄首簇后，通過文件名定位到目標(biāo)文件的目錄項(xiàng)，該文件有三個(gè)目錄項(xiàng)，其目錄項(xiàng)如下圖中的陰影部分所示的目標(biāo)文件的3個(gè)目錄項(xiàng)。第4步定位FAT。因?yàn)槲募_始于5號(hào)簇，我們可以看看5號(hào)簇對(duì)應(yīng)的5號(hào)FAT項(xiàng)內(nèi)的數(shù)據(jù)。通過DBR的BPB參數(shù)“FAT起始扇區(qū)號(hào)”定位FAT的開始扇區(qū)，并跳轉(zhuǎn)過去，找到5號(hào)FAT項(xiàng)，其數(shù)值如下圖所示的FAT表所在扇區(qū)。上圖中陰影部分就是FAT表的5號(hào)FAT項(xiàng)，數(shù)值為“00000000”，但這并不能說明5號(hào)簇是個(gè)空簇，因?yàn)镋xFAT對(duì)連續(xù)存放的文件并不記錄簇鏈。第5步定位簇位圖文件。簇位圖文件是ExFAT文件系統(tǒng)中真正管理簇的分配和使用情況的文件，我們?nèi)タ纯催@個(gè)文件。該文件一般都存放在數(shù)據(jù)區(qū)第一個(gè)簇中，也就是2號(hào)簇，可以根據(jù)BPB參數(shù)的“首簇起始扇區(qū)號(hào)”定位到該文件的第一個(gè)扇區(qū)，目前在4096，跳轉(zhuǎn)到該扇區(qū)，如下圖所示的簇位圖文件。該文件目前只有一個(gè)字節(jié)“0F”，換算為二進(jìn)制等于“00001111”，也就說明2、3、4、5這四個(gè)簇是使用的，其中2、3、4簇分別被簇位圖文件、大寫字符文件和根目錄占用，5號(hào)簇就是被“ExFAT.txt”文件所占的。第6步定位數(shù)據(jù)區(qū)。確定了文件存放在數(shù)據(jù)區(qū)的5號(hào)簇，最后就該去5號(hào)簇查看數(shù)據(jù)了。因?yàn)閿?shù)據(jù)區(qū)中的簇從2開始編號(hào)，所以5號(hào)簇所對(duì)應(yīng)的扇區(qū)號(hào)計(jì)算方法如下：首簇起始扇區(qū)號(hào)＋（5-2）×每簇扇區(qū)數(shù)計(jì)算出結(jié)果后跳轉(zhuǎn)過去，內(nèi)容如下圖所示的文件的內(nèi)容。因?yàn)槲募笮∈?7字節(jié)，所以從5號(hào)簇的第一個(gè)字節(jié)起，連續(xù)的37字節(jié)就是文件“ExFAT.txt”的內(nèi)容，即圖4-545中的陰影部分。以上就是ExFAT文件系統(tǒng)根目錄的管理。2.子目錄的管理ExFAT的根目錄、子目錄及數(shù)據(jù)都是放在數(shù)據(jù)區(qū)的。下面根據(jù)一個(gè)實(shí)際的例子分析子目錄的管理方法，同時(shí)也能看出數(shù)據(jù)區(qū)中的根目錄、子目錄及其數(shù)據(jù)的結(jié)構(gòu)和關(guān)系。例子：在一分區(qū)根目錄下有一個(gè)文件夾“123”，文件夾“123”內(nèi)有一文件夾“456”，文件夾“456”內(nèi)有一文本文件“sjhf.txt”，打開文本文件“sjhf.txt”，觀察其里面的內(nèi)容。下面來分析這一系列目錄及其數(shù)據(jù)的結(jié)構(gòu)。首先通過WinHex在該分區(qū)根目下查看文件夾“123”的目錄項(xiàng)，如下圖所示的文件夾“123”的目錄項(xiàng)。從中可看出文件夾“123”的屬性二進(jìn)制數(shù)為“00010000”，表示子目錄，起始簇號(hào)為5，文件大小為32768字節(jié)。這與傳統(tǒng)FAT不一樣，傳統(tǒng)FAT中文件夾的目錄項(xiàng)是沒有大小的，ExFAT中對(duì)文件夾的目錄項(xiàng)也描述大小，其實(shí)就是其下級(jí)目錄項(xiàng)所占用的空間，也就是1個(gè)簇的大小。當(dāng)前分區(qū)每簇64扇區(qū)，換算為字節(jié)數(shù)就是32768。在WinHex中跳轉(zhuǎn)到5號(hào)簇，其內(nèi)容如下圖所示5號(hào)簇的內(nèi)容?？梢钥闯鲈摯刂杏腥齻€(gè)目錄項(xiàng)，也就是文件夾“456”的目錄項(xiàng)，其內(nèi)容見模板，從模板中可看出文件夾“456”的起始簇號(hào)為6，在WinHex中跳轉(zhuǎn)到6號(hào)簇，其內(nèi)容如下圖所示6號(hào)簇的內(nèi)容?？梢钥闯鲈摯刂杏腥齻€(gè)目錄項(xiàng)，也就是文本文件“sjhf.txt”的目錄項(xiàng)，其內(nèi)容見模板。從中可看出文本文件“sjhf.txt”的屬性二進(jìn)制數(shù)為“00100000”，表示存檔，起始簇號(hào)為7，文件大小為50字節(jié)。在WinHex中跳轉(zhuǎn)到7號(hào)簇，其內(nèi)容如下圖所示7號(hào)簇的內(nèi)容。該簇中的前50字節(jié)也就是文本文件“sjhf.txt”的內(nèi)容了。心得作業(yè)備注水城區(qū)職業(yè)技術(shù)學(xué)校教案課程名稱數(shù)據(jù)恢復(fù)授課時(shí)間第13周第1次授課章節(jié)第五章修復(fù)ExFAT文件系統(tǒng)下的數(shù)據(jù)教學(xué)目的知識(shí)目標(biāo)ExFAT文件系統(tǒng)刪除文件的分析技能目標(biāo)會(huì)恢復(fù)被刪除的文件-EXFAT文件系統(tǒng)教學(xué)重點(diǎn)ExFAT文件系統(tǒng)刪除文件的分析教學(xué)難點(diǎn)教學(xué)方法演示法教具計(jì)算機(jī)教學(xué)過程設(shè)計(jì)（含時(shí)間分配）（2課時(shí)）1.以記事本“sjhf.txt”文件為例，看看其被刪除之后的底層變化及恢復(fù)的方法。（1）現(xiàn)在我們將“sjhf.txt”文件徹底刪除，刪除后再來看看它的目錄項(xiàng)，如圖所示。（2）可以發(fā)現(xiàn)文件刪除后只是每個(gè)目錄項(xiàng)的首字節(jié)發(fā)生了變化，由原來的“85H”、“C0H”、“C1H”改變?yōu)椤?5H”、“40H”、“41H”，其他字節(jié)沒有任何改變，文件的起始簇號(hào)、大小、文件名這些關(guān)鍵信息都完好地存在。該文件原來存放在7號(hào)簇，現(xiàn)在跳轉(zhuǎn)到7號(hào)簇，其內(nèi)容如下圖所示。（3）很明顯文件“sjhf.txt”的內(nèi)容還在這里，也就是文件刪除并沒有清空其數(shù)據(jù)區(qū)。當(dāng)然，因?yàn)槲募皊jhf.txt”只占一個(gè)簇，不可能有碎片，所以其在FAT表中也就沒有登記項(xiàng)，但該文件在簇位圖文件中對(duì)應(yīng)的位上會(huì)被清零，以表示文件“sjhf.txt”所占用的簇已被釋放。既然文件刪除后文件名、起始簇號(hào)、大小及數(shù)據(jù)內(nèi)容這些信息都沒有損壞，所以只需要定位到這些信息并且另外保存就相當(dāng)于恢復(fù)了刪除的文件。需要注意的是，如果文件原來沒有連續(xù)存放，也就是存在碎片，那么該文件在FAT表中就有簇鏈。當(dāng)文件刪除后，這些簇鏈會(huì)被清零，所以有碎片的文件刪除后也不容易恢復(fù)。2.恢復(fù)被刪除的文件（1）附件本節(jié)課的虛擬磁盤，并用winhex打開該虛擬磁盤（2）按住shift鍵完全刪除其中的一個(gè)文件夾，更新winhex快照（3）在目錄瀏覽器中，單擊一下被刪除的文件夾，跳轉(zhuǎn)到該文件夾對(duì)應(yīng)的扇區(qū)號(hào)（4）找其中的一個(gè)文件，如.MP4的文件，記錄下文件的大小、起始簇，如圖：（5）跳轉(zhuǎn)到該簇所對(duì)應(yīng)的扇區(qū)，按照文件大小進(jìn)行偏移，跳轉(zhuǎn)到該文件的末尾。選中該文件，開頭和結(jié)尾，進(jìn)行復(fù)制—>新文件心得作業(yè)備注水城區(qū)職業(yè)技術(shù)學(xué)校教案課程名稱數(shù)據(jù)恢復(fù)授課時(shí)間第13周第2次授課章節(jié)第五章修復(fù)ExFAT文件系統(tǒng)下的數(shù)據(jù)教學(xué)目的知識(shí)目標(biāo)ExFAT文件系統(tǒng)誤格式化及其數(shù)據(jù)恢復(fù)分析技能目標(biāo)教學(xué)重點(diǎn)ExFAT文件系統(tǒng)誤格式化及其數(shù)據(jù)恢復(fù)分析教學(xué)難點(diǎn)教學(xué)方法演示法，任務(wù)驅(qū)動(dòng)法教具計(jì)算機(jī)教學(xué)過程設(shè)計(jì)（含時(shí)間分配）（2課時(shí)）1.格式化的底層分析格式化就是給分區(qū)創(chuàng)建一個(gè)文件系統(tǒng)。首先看一個(gè)有數(shù)據(jù)的\o"瀏覽關(guān)于"ExFAT分區(qū)，然后將其格式化，并分析格式化后原來數(shù)據(jù)的改變。下圖所示是一個(gè)ExFAT分區(qū)“H”中的數(shù)據(jù)，有一個(gè)文件“456.txt”和一個(gè)文件夾“123”。文件夾“123”下有一個(gè)文件“sjhf.txt”，如下圖所示。該分區(qū)的FAT表的部分內(nèi)容如下圖所示。該分區(qū)簇位圖文件的部分內(nèi)容如下圖所示。簇位圖文件的內(nèi)容只有一個(gè)字節(jié)“BFH”，換算成二進(jìn)制等于“10111111”，說明2、3、4、5、6、7、9號(hào)簇被使用，其他簇為空簇。該分區(qū)根目錄的內(nèi)容如下圖所示。根目錄中應(yīng)該有9個(gè)目錄項(xiàng)：“①”是卷標(biāo)的目錄項(xiàng)，該分區(qū)卷標(biāo)為“數(shù)據(jù)恢復(fù)”；“②”是簇位圖文件的目錄項(xiàng)；“③”是大寫文件的目錄項(xiàng)；“④、⑤、⑥”是文件夾“123”的目錄項(xiàng)；“⑦、⑧、⑨”是文件“456.txt”的目錄項(xiàng)。文件夾“123”下的文件“sjhf.txt”的文件目錄項(xiàng)如下圖所示?！皊jhf.txt”開始于9號(hào)簇，大小是50字節(jié)，轉(zhuǎn)到9號(hào)簇，其內(nèi)容如圖4-565所示。分析完以上結(jié)構(gòu)后將這個(gè)ExFAT分區(qū)“H”格式化。格式化完再來看這個(gè)分區(qū)的FAT表，發(fā)現(xiàn)FAT表與格式化前完全一樣，如下圖所示。但這里并不是說ExFAT格式化不改變FAT表，其實(shí)ExFAT格式化會(huì)把FAT表第一個(gè)扇區(qū)的原有數(shù)據(jù)清零，并寫入元文件和根目錄對(duì)應(yīng)的FAT項(xiàng)。該分區(qū)的FAT表第一個(gè)扇區(qū)的數(shù)據(jù)格式化前后沒有變化是因?yàn)樵募案夸浾嫉奈恢眉按髮懳募诟袷交昂鬀]有發(fā)生改變。再看看格式化后的簇位圖文件，該分區(qū)簇位圖文件的內(nèi)容如下圖所示。簇位圖文件的內(nèi)容只有一個(gè)字節(jié)“0FH”，換算成二進(jìn)制等于“00001111”，說明2、3、4、5簇被使用，其他簇為空簇，其中簇位圖文件占用2號(hào)簇，大寫文件占用3、4兩個(gè)簇，根目錄占用5號(hào)簇。該分區(qū)根目錄的內(nèi)容如下圖所示。根目錄中只剩下3個(gè)目錄項(xiàng)，分別是卷標(biāo)的目錄項(xiàng)、簇位圖文件的目錄項(xiàng)和大寫文件的目錄項(xiàng)，其他的目錄項(xiàng)已被清零。再看文件夾“123”下的文件“sjhf.txt”的文件目錄項(xiàng)，如下圖所示?？梢钥吹轿募A“123”下的文件“sjhf.txt”的文件目錄項(xiàng)依然存在，沒有任何破壞。跳轉(zhuǎn)到“sjhf.txt”文件的開始位置9號(hào)簇，其內(nèi)容如下圖所示。很明顯，文件“sjhf.txt”的內(nèi)容也完好無損。2.格式化之后文件的恢復(fù)從前面的分析可以知道，ExFAT文件系統(tǒng)格式化之后，F(xiàn)AT表中如果有簇鏈，第一個(gè)扇區(qū)的簇鏈會(huì)清零，根目錄區(qū)中的用戶文件目錄項(xiàng)也被清零，所以根目錄下的文件就很難被恢復(fù)了，因?yàn)闆]有目錄項(xiàng)就無法知道這些文件名及它們存放的地址。子目錄的目錄項(xiàng)還保存著，沒有被清零，所以子目錄下的文件是有機(jī)會(huì)恢復(fù)的。例如“sjhf.jpg”這個(gè)文件，從圖4-569中可以看出文件開始簇號(hào)為09H，文件大小為32H（十進(jìn)制值為50），跳轉(zhuǎn)到9號(hào)簇，連續(xù)選中50字節(jié)，并另外保存，就可以將文件恢復(fù)。這種方法只適用于文件連續(xù)存放及文件的數(shù)據(jù)沒有被覆蓋的情況。如果文件不連續(xù)，或者文件的數(shù)據(jù)已經(jīng)被覆蓋，這樣恢復(fù)出來的數(shù)據(jù)就是不正確的。心得作業(yè)備注水城區(qū)職業(yè)技術(shù)學(xué)校教案課程名稱數(shù)據(jù)恢復(fù)授課時(shí)間第14周第1次授課章節(jié)第五章修復(fù)ExFAT文件系統(tǒng)下的數(shù)據(jù)教學(xué)目的知識(shí)目標(biāo)技能目標(biāo)ExFAT文件系統(tǒng)DBR手工重建的實(shí)例教學(xué)重點(diǎn)教學(xué)難點(diǎn)教學(xué)方法講解法，任務(wù)驅(qū)動(dòng)法教具計(jì)算機(jī)教學(xué)過程設(shè)計(jì)（含時(shí)間分配）（2課時(shí)）1.一個(gè)ExFAT分區(qū)“K”雙擊打開時(shí)出現(xiàn)如圖4-571所示的提示信息。這個(gè)分區(qū)“K”所在的硬盤沒有任何物理故障，顯然是文件系統(tǒng)遭到破壞，所以系統(tǒng)會(huì)提示分區(qū)未格式化。用WinHex打開分區(qū)“K”，出現(xiàn)如圖所示的信息?？磥鞼inHex也無法打開分區(qū)“K”，可以斷定DBR一定有錯(cuò)誤，只能用WinHex打開分區(qū)“K”所在的物理硬盤，然后跳轉(zhuǎn)到“K”盤的DBR扇區(qū)，如圖所示。從圖中可以看到“K”盤的DBR扇區(qū)已經(jīng)被完全破壞。DBR是文件系統(tǒng)中的一個(gè)非常重要的扇區(qū)，這個(gè)扇區(qū)被破壞了，分區(qū)當(dāng)然無法打開。下面來修復(fù)DBR扇區(qū)。首先考慮到ExFAT分區(qū)的DBR有一個(gè)備份，在分區(qū)的12號(hào)扇區(qū)，如果能把這個(gè)DBR找到，直接復(fù)制過來就可以了。跳轉(zhuǎn)到分區(qū)相對(duì)的12號(hào)扇區(qū)，結(jié)果這個(gè)扇區(qū)也被破壞了，已經(jīng)不是DBR的結(jié)構(gòu)。用WinHex又搜索“55AA”標(biāo)志，結(jié)果還是找不到DBR的備份。通常情況下，ExFAT分區(qū)是有自我保護(hù)機(jī)制的，數(shù)據(jù)被破壞的概率是比較小的，但也不能完全排除被破壞的可能?，F(xiàn)在來看“K”盤的DBR及其備份確實(shí)被破壞了，那么只能采取手工重建的方法來修復(fù)這個(gè)DBR。手工重建ExFAT文件系統(tǒng)DBR的方法與手工重建FAT文件系統(tǒng)DBR的方法類似，都是以計(jì)算并修改BPB參數(shù)為主，下面實(shí)際操作。第1步復(fù)制同版本的DBR先從其他ExFAT分區(qū)中復(fù)制一個(gè)完好的DBR扇區(qū)，放到“K”盤的第一個(gè)扇區(qū)處。但不能把這個(gè)DBR當(dāng)作“K”盤的DBR直接使用，因?yàn)殡m然目前這個(gè)DBR在結(jié)構(gòu)上沒什么問題，但其中的參數(shù)跟K盤的文件系統(tǒng)結(jié)構(gòu)不匹配，所以無法用這個(gè)DBR訪問K盤。第2步計(jì)算并修改BPB參數(shù)ExFAT文件系統(tǒng)的BPB中需要修改的參數(shù)有：隱藏扇區(qū)數(shù)（也就是分區(qū)的相對(duì)開始扇區(qū)號(hào)）；扇區(qū)總數(shù)（也就是分區(qū)大?。?；FAT起始扇區(qū)號(hào)；FAT扇區(qū)數(shù)；首簇起始扇區(qū)號(hào)；總簇?cái)?shù)；根目錄首簇號(hào)；每簇扇區(qū)數(shù)。這8個(gè)參數(shù)需要計(jì)算并修改，其他的就不用修改了。我們先用ExFAT的DBR模板查看一下從其他分區(qū)復(fù)制過來的DBR，如圖所示。上圖里圈中的8個(gè)參數(shù)就是需要計(jì)算并修改的，下面開始計(jì)算這些參數(shù)，為了計(jì)算的方便，計(jì)算時(shí)并不一定按照上面排列的順序進(jìn)行。（1）隱藏扇區(qū)數(shù)隱藏扇區(qū)數(shù)這個(gè)參數(shù)也就是分區(qū)的相對(duì)開始扇區(qū)號(hào)。如果硬盤的分區(qū)表沒有被破壞，這個(gè)參數(shù)可以從分區(qū)表中查看。分區(qū)“K”是其所在的硬盤的第一個(gè)分區(qū)，它的分區(qū)表在MBR中。MBR并沒有破壞，用分區(qū)表模板查看這個(gè)分區(qū)表，如圖所示。從分區(qū)表模板中可以看到“隱藏扇區(qū)數(shù)”為63。（2）扇區(qū)總數(shù)扇區(qū)總數(shù)也可以從分區(qū)表中看到，查看圖4-575的分區(qū)表模板，該值為60050907。（3）FAT起始扇區(qū)號(hào)FAT起始扇區(qū)號(hào)可以通過搜索FAT表的方法獲得。搜索FAT表的具體方法是搜索FAT表頭標(biāo)志“F8FFFFFF”，如圖所示。通過搜索很快找到了FAT表，如圖所示。搜索到的FAT表位于硬盤的2111號(hào)扇區(qū)，減去分區(qū)開始扇區(qū)號(hào)63，所以FAT表開始于分區(qū)的2048號(hào)扇區(qū)。另外還能夠從FAT表中獲得一些有用的信息。因?yàn)榉謪^(qū)的首簇（也就是2號(hào)簇）一定是分配給簇位圖文件使用的，現(xiàn)在2號(hào)FAT項(xiàng)中的值為“00000003”、3號(hào)FAT項(xiàng)中的值為“00000004”、4號(hào)FAT項(xiàng)中的值為“00000005”、5號(hào)FAT項(xiàng)中的值為結(jié)束標(biāo)志“FFFFFFFF”，這就說明簇位圖文件占用4個(gè)簇。把這個(gè)信息記住，后面的計(jì)算會(huì)用到。（4）首簇起始扇區(qū)號(hào)首簇起始扇區(qū)號(hào)的計(jì)算方法是找到簇位圖文件的開始位置，因?yàn)榇匚粓D文件一般都占用第一個(gè)簇。數(shù)據(jù)區(qū)開始的一些簇一般都會(huì)被使用，所以簇位圖文件的前幾個(gè)字節(jié)大多都是“FF”，如果理解了這一點(diǎn)，就能夠通過搜索“FFFF”來找簇位圖文件的開始地址。搜索設(shè)置如圖所示。結(jié)果在10303扇區(qū)搜到了簇位圖文件，如圖下所示。（5）每簇扇區(qū)數(shù)簇位圖文件之后就是大寫字符文件了。大寫字符文件的內(nèi)容是固定的，前4個(gè)字節(jié)是“0000