用WinHex软件解析FAT32文件系统

最新推荐文章于 2024-05-10 08:46:34 发布
置顶 最新推荐文章于 2024-05-10 08:46:34 发布
阅读量1.4w 收藏 70
点赞数 7
分类专栏: 信息安全_计算机病毒原理 欢迎关注我的公众号 文章标签: 文件系统 FAT32 WinHex软件
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/KoalaZB/article/details/52829864
版权

在这里插入图片描述

一、工欲善其事

1. 准备工作

将一个U盘格式化为FAT32格式,在U盘内创建几个文件,最好是TXT文档,其中至少有一个是长文件(命名较长)。

2. 补充知识

短文件名表示

短文件名表示

长文件名表示

长文件名表示
**Note:**当一个文件名为长文件名时,会由几个长文件名表示法和一个缩略名的短文间名表示,并且其文件大小以及首簇号等信息存放在短文件内

二、开始解析

1. 查看U盘信息

U盘信息
保留扇区:2226
文件目录首簇号:2
FAT表大小 :15271
簇大小:8

2. 查看U盘DBR

U盘DBR
FAT32分区上DBR中各部分划分位置对应表

偏移字节字段长度/ B字段名
0x003跳转指令
0x038厂商标志与OS版本号
0x0B53BPB
0x4026扩展BPB
0x5A420引导程序代码
0x01FE2有效结束标志

3. 查看FAT表1

跳转2226个扇区到FAT表1

FAT表1

4. 查看FAT表2

跳转15271个扇区到FAT表2

FAT表2

5. 查看文件目录表

再跳转15271个扇区到文件目录表
文件目录表

6. 文件解析

U盘根目录文件如下如所示
U盘根目录文件

解析长文件

A Long Long Test Txt File.Txt

长文件A Long Long Test Txt File.Txt
长文件的缩写名(短文件)看出文件首簇号为: 00 00 00 07
大小为00 00 40 BE =16574 Bytes
推测占的簇数为16574/4096 =4.04>4 故需要5个簇存放
目录表首簇号为2

从目录表跳转7-2=5个簇,即5 X 8=40个扇区到达文件位置:

文件位置
在FAT表中找出簇号链:从FAT表跳转7 X 4 =28 bytes找到首簇号
这里写图片描述

得到簇号链 第七个簇内容为00 00 00 08,第八个簇内容是00 00 00 09——>00 00 00 0A——>00 00 00 0B——>FF FF FF 0F与之前推测相符合

Note:在FAT32系统中FAT表中每个簇占四个字节

文献参考:《计算机病毒与反病毒技术》2006-6-1清华大学出版社出版,作者:张仁斌,李钢,侯整风

KoalaZB
关注
  • 7
    点赞
  • 70
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
winhex分析fat32
04-02
winhex分析fat32,可学习fat32实际分区
WinHex软件 FAT32文件系统解析与提出
最新发布
weixin_51624616的博客
05-27 902
通常DBR位于文件系统的“”,用于记录分区中文件系统数据区对应簇的使用状态及文件不连续状态下的前后链接关系。FAT32文件系统中,统一在数据区的根目录区为根目录创建目录项,并由FAT表为文件的内容分配簇来存放数据。用“(文件夹位置-根目录位置)*每簇扇区数”得出文件夹的实际位置。读取第四列“A”“B”处数据 ,读取到的数据为“1971”,读取第二行“C”"D""E""F"处数据,读取到的数据为“读取第二行“C”"D""E""F"处数据,读取到的数据为“数据区的起始位置为根目录的起始位置,根目录位置固定为。
Liunx文件系统和日志分析(最完整)
w2304948626的博客
05-10 797
Linux,全称 GNU/Linux,是一套免费使用和自由传播的类 Unix 操作系统,是一个基于 POSIX 的多用户、多任务、支持多线程和多 CPU 的操作系统。伴随着互联网的发展,Linux 得到了来自全世界软件爱好者、组织、公司的支持。它除了在服务器方面保持着强劲的发展势头以外,在个人电脑、嵌入式系统上都有着长足的进步。使用者不仅可以直观地获取该操作系统的实现机制,而且可以根据自身的需要来修改完善Linux,使其最大化地适应用户的需要。Linux 的基本思想有两点:一切都是文件;
winhex查看FAT32文件系统并分析
06-22
利用WINHEX查看FAT系统的过程,基础的
WinHex查看SD卡FAT32文件系统结构
vigour1000的专栏
07-29 7559
一鼓作气,今儿忙抽个闲,既然前篇”原创猛料“开了个好头,今晚就继续敲一篇补补更,呵呵~     前段时间自己曾经写了一篇关于sd卡和Fat文件系统的自学笔记(http://blog.chinaaet.com/detail/29284.html),分享了一些当年自己写SD卡驱动和FAT文件系统的心得。其中大多数内容都是基础的,而且后来看看颇有些”授之以鱼“的嫌疑,与俺一直以来”授之以渔“的宗旨颇
FAT32文件系统研究1-winhex工具的使用
zhu378287521的博客
10-17 978
为了能详细看到文件系统的内部结构和各个字段,需要有一种工具,可以直接读取到某存储介质的底层信息。而winHEX这个工具就非常强大和实用了。 按照很简单,安装包一直下一步就行了。 先来一张大图预览一下。 此工具最大的亮点: 1.可以查看某个文件,分区,设备的所有数据,并会智能的跳转到数据的起始位置 2.有ASCII和HEX两种格式显示 3.界面清爽直观 4.能查看内存数据 1.查看磁盘的数据-比如...
WinHex分析FAT32的磁盘存储结构
06-14
磁盘专家学习:用WinHex分析FAT32的磁盘存储结构
fat32文件系统分析工具
02-13
fat32文件系统分析工具,支持u盘,tf卡,硬盘等常用存储介质。 存储稳定性测试工具,文件系统优化工具。
SD卡中FAT32文件系统快速入门.docx
09-17
"SD卡中FAT32文件系统快速入门" FAT32文件系统是当前最常用的文件系统之一,广泛应用于各种存储设备中,包括SD卡、U盘、硬盘等。了解FAT32文件系统的结构和工作原理对于IT专业人员和开发者都是非常重要的。本文将...
winhex数据恢复FAT16文件系统.pdf
11-05
Winhex 数据恢复 FAT16 文件系统 Winhex 是一款功能强大且灵活的十六进制编辑器,可以对 FAT16 文件系统进行数据恢复。FAT16 文件系统是一种古老的文件系统,但是在今天仍然被广泛使用。下面是对 Winhex 数据恢复 ...
嵌入式系统-FAT32文件系统详解.pdf
12-09
【嵌入式系统-FAT32文件系统详解】 在嵌入式系统应用中,FAT32文件系统是一个至关重要的组成部分。FAT32是由Microsoft开发的一种文件分配表(File Allocation Table)格式,广泛应用于各种操作系统,如Windows 7和...
WinHex分析FAT32的磁盘存储结构
03-23
WinHex分析FAT32的磁盘存储结构
基于U盘FAT32文件系统的分析
07-20
基于U盘FAT32文件系统的分析基于U盘FAT32文件系统的分析基于U盘FAT32文件系统的分析
WINHEX重建DBR(FAT32) .doc
03-16
介绍一下FAT32格式在硬盘存储区域结构和各部分的作用。 硬盘上的数据按照其不同的特点和作用大致可分为以下五部分:MBR区,DBR区,FAT区,DIR区和DATA区。 下面我们着重介绍一下DBR区。DBR操作系统引导记录区。第一个分区的DBR通常位于硬盘0柱1面1扇区,是操作系统可以直接访问的第一个扇区。他包括一个引导程序和一个被称为BPB(BIOS Parameter Block)的本分区参数记录表。引导程序的主要任务就是,当MBR把系统统治权交给它时,判断本分区根目录前l两个文件是不是操作系统的引导文件。BPB参数块的作用就是记录本分区的起始扇区,结束扇区,文件存储格式,硬盘介质描述符,根目录大小,FAT个数,分配单元大小等重要参数。
ai怎么调界面大小_ai怎么更改图像大小?ai如何更改图像大小
weixin_32273159的博客
01-06 7879
ai调整图像大小技巧教程:步骤1:在Adobe Illustrator中创建一个新文件.步骤2:在页面上绘制一个矩形,一个椭圆形和一个星形.步骤3:选择“矩形”,然后使用“选择”工具调整对象的大小.步骤4: 若要调整对象的整体大小,并使用统一的宽度和高度,请使用“缩放”工具,如下图所示.步骤5: 使用工具箱中的Free Transform工具.使用此工具,我们可以使用Free Distort,Di...
使用winhexfat16文件系统分析
csdn_ndsc
12-08 1791
使用winhexfat16文件系统分析
WinHex数据恢复—FAT32文件系统
anquanfun的博客
01-02 690
本文先是对FAT32文件系统的结构进行了介绍,之后利用WinHex工具恢复格式化磁盘中的数据、彻底删除的文件以及手动恢复损坏的DBR分区。
PE文件格式分析-WinHex工具-文件头-32位PE-部分64位PE
插件开发
06-17 4658
  PE即Portable Executable,是Windows OS下使用的可执行文件格式。PE文件是指32位的可执行文件,亦称为PE32。64位的可执行文件称为PE+或PE32+,是PE文件的一种扩展形式。常见PE文件格式如下图所示:   PE文件最前面是IMAGE_DOS_HEADER结构体,用来扩展已有的DOS EXE头。该结构体大小为40(h)字节,其中有两个重要的成员e_magic和e_lfanew。   e_magic:DOS签名(4D5Z,即“MZ”)。   e_lfanew:指示NT头的
利用winhex在NTFS文件系统下定位文件,找到其目录项和簇号等等
热门推荐
小雅的博客
03-26 2万+
软件安全的实验,记录一下,首先需要对NTFS文件系统有了解,有时间的推荐先看这篇博客一、NTFS需要的基础1、MFT:磁盘上的所有数据都是以文件的形式存储,其中包括元文件。 每个文件都有一个或多个文件记录,每个文件记录占用两个扇区 $MFT元文件就是专门记录每个文件的文件记录。 其中第五个目录是根目录的文件记录。 第一个目录是MFT本身的文件记录。2、簇号: NTFS文件系统使用逻辑簇号(LCN)和
winhex20.6 FAT文件系统
05-31
WinHex 20.6是一款十六进制编辑器和磁盘编辑器软件。FAT(File Allocation Table)文件系统是一种常见的文件系统,用于在Windows操作系统和其他系统上存储数据。WinHex可以用于编辑和分析FAT文件系统,在文件分配表中查找文件,恢复已删除的文件,以及修改文件和目录的属性。此外,WinHex还支持许多其他文件系统,如NTFS、ext2/3和HFS+。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值