最近修的课程里面有数据恢复的内容,随着老师的进度学习,发现还是有点意思的。
当然,里面的内容也比较繁琐,毕竟都是结构性的东西,除了专门取证的人员比较熟悉以外,业余的我们只要知道思路。
到时候知道怎么去查资料,怎么去找结构就行了。嘿嘿嘿,
虽然以前知道这个结构是这么回事,现在是亲身去观察了,了解了他们删除以及覆盖的特点了,还是很奇妙的。
文件的删除,就是把 FDT目录 表里面的索引给删除了,数据区还是有数据的, 并且还有方法标记是否被删除了。
从认知学的角度来说,就是需要一步一步的看,以及学习的。所以现在就是从基础的FAT16格式谈起吧~
内容比较多,但是思想比较简单,在熟悉了之后。
以下是按照课程实验的内容进行排列的。
4、分区表结构区
5、分析分区表(MBR)信息
一号分区:
00 02 03 00 06 40 1A 26 80 00 00 00 00 6009 00
00:非活动区
02 03 00:起始位置(0000 0000 000000110000 0010)2柱面,0磁头,3扇区
06:FAT16
40 1A 26:结束位置(0010 0110 000110100100 0000)64柱面,38磁头,26扇区
8000 00 00:第一个扇区的位置差 0x80 个扇区
0060 09 00:分区总扇区数 0x96000
二号分区:
0040 1B 26 06 FE 3F 3E 80 60 09 00 00 28 06 00
00:非活动区
40 1B 26:起始位置(0010 0110 0001 10110100 0000)64柱面,38磁头,27扇区
06:FAT16
FE3F 3E:结束位置(0011 1110 0011 11111111 1110)254柱面,62磁头,63扇区
8060 09 00:第一个扇区的位置差 0x96080 个扇区
0028 06 00:分区总扇区数 0x62800
8、确定引导扇区(DBR),记录重要信息
该图是一号扇区信息:
00 02:每扇区字节数 0x200 (512B)
10:每簇扇区数 0x10 (16)
04 00:保留扇区数 0x4 (4)
00 02:根目录项数 0x200 (512)
00 96:每个FAT占的扇区数 0x96 (150)
9、添加数据后,FAT信息表和FDT信息表,还有数据区
FAT信息表
FDT信息表
数据区 0x20 * 0x200 / 0x200
11、删除文件后的信息
FAT
FDT
数据
一次的删除之后,除了FAT表有变化以外,其他不变。
12、重复删除与添加观察
新建两个文件
FAT
FDT
数据已经被覆盖
第一个文本:
第二个文本:
接着删除,覆盖,小文件
FAT
FDT
数据,按照扇区的最小单位覆盖了(512B)