FAT文件系统与文件恢复

最新推荐文章于 2024-05-27 09:51:20 发布
最新推荐文章于 2024-05-27 09:51:20 发布
阅读量3.1k 收藏 12
点赞数
分类专栏: 解决问题
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/magic_jiayu/article/details/104525238
版权

FAT文件系统与文件恢复

文章目录

一、FAT32文件系统结构介绍

FAT32文件作为Windows操作系统的主流文件,其文件系统主要由MBR、DBR及其保留扇区、FAT1、FAT2和DATA五部分组成。FAT1与FAT2的大小相同,FAT可变长度,其长度随着分区大小、每簇扇区数的变化而变化。在FAT32文件中,把目录当文件管理,所以没有独立的目录区。

1.1 主引导记录

硬盘的第1个扇区叫 MBR (Master Boot Record)扇区,为主引导扇区记录,占512字节,MBR的引导程序占前446个字节,后64个字节为硬盘分区表DPT,末尾的两个字节 “55AA”是分区有效结束标志。 引导标志位只能是 00H 和 80H,80H指活动,00H指非活动, 其余值默认非法。

1.2 操作系统引导记录

DBR (DOS Boot Record),操作系统引导记录。文件系统的 DBR 包括跳转指令、OEM 代号、BPB、引导程序和结束标志。 对 FAT32 进行数据恢复时,通常可由引导扇区 BPB 参数中的保留扇区数、FAT数、每个 FAT32所占扇区数来定位根目录的起始位置。

1.3 文件分配表

FAT(File Allocation Table),文件分配表。在FAT32文件中有两个相同的FAT,第一个称为主FAT,另一个是FAT1的备份。FAT是位于DBR之后,同一个文件的数据并不一定完整地存放在磁盘的一个连续区域内,以链式存储方式记录于FAT表中。

1.4 文件系统目录项

FAT32文件系统没有独立的根目录区,分区根目录下的文件及文件夹的目录项存放在根目录区中,分区子目录下的文件及文件夹的目录项存放在子目录区中,根目录区的和子目录区都在数据区中。文件目录项(FDT)占32字节,子目录项的长度为零,已删除目录项的首字节值为 E5H。

1.5 数据区

数据区位于FAT2之后。对数据区中数据定位,首先通过分区表信息, 定位相应的 DBR 扇区,得到 DBR 保留扇区数值和每个 FAT扇区数,通过相应的计算公式得到分区的数据区起始扇区。

二、DBR扇区及其保留扇区

FAT32引导扇区结构 (仅取关键字节)

字节偏移(16进制)字节数含义
0x00-0x022汇编指令,跳转到引导代码处
0x0B-0x0C2每扇区字节数,一般为512
0x0D1每簇扇区数,这个值为2个整数次幂 最大不超过64
0x20-0x234文件系统扇区总数
0x24-0x274每个FAT表占用扇区数
0x2C-0x2F4根目录起始簇号
0x52~0x598文件系统格式的ASCII码
0x5A~0x1FD410引导代码
0x1FE-0x1FF2签名“55AA”
0x200~0x2034扩展引导标志“52 52 61 41”
0x204~0x3E3480全部置0
0x3E4~0x3E74FSINFO签名“72 72 41 61”
0x3E8~0x3EB4文件系统的空簇数
0x3EC~0x3EF4下一可用簇号
0x3FE~0x3FF2签名“55AA”
 offset      0  1  2  3  4  5  6  7   8  9  A  B  C  D  E  F
00000000 |  EB 58 90 4D 53 44 4F 53  35 2E 30 00 02 08 22 00 
00000010 |  02 00 00 00 00 F8 00 00  3F 00 FF 00 3F 00 00 00 
00000020 |  C5 BB 3F 00 E7 0F 00 00  00 00 00 00 02 00 00 00 
00000200 |  52 52 61 41 00 00 00 00  00 00 00 00 00 00 00 00
000003E0 |  00 00 00 00 72 72 41 61  77 F3 07 00 05 00 00 00

0x00-0x10:58EB跳转指令,即JMP 5890为NOP指令,后面8个字节表示文件系统标志和版本号为MSDOS5.0,0200指每扇区512字节. 08 指每簇有8个扇区,0022指保留扇区数有34个, 02 指FAT表个数为2。

0x20-0x23 :文件系统总扇区数为003FBBC5,每个FAT表占用00000FE7个扇区,根目录所在的第一个簇的簇号为0x02

0x3E8-0x3EF: 文件系统空簇数为0007F377,下一可用簇号为00000005

三、FAT表

FAT表项的前两个FAT项为文件系统保留使用,0号FAT为介质类型,1号FAT为文件系统错误标志。用户的数据从2号FAT开始记录。

如果某个文件占用很多个簇,则第一个FAT项记录下一个FAT项的编号(既簇号),如果这个文件结束了,则用“0F FF FF FF”表示。

定位FAT与数据区绝对位置的方法:

1、从MBR的分区表中得知分区的起始扇区,偏移到此扇区。

2、从DBR的BPB中得知DBR的保留扇区数,FAT表的个数,FAT表的大小。

3、FAT1=分区起始扇区+DBR保留扇区,FAT2=分区起始扇区+DBR保留扇区+FAT1,根目录=分区起始扇区+DBR保留扇区+(FAT表 * 2)+(簇大小 * 2)

四、根目录
字节偏移(16进制)字节数含义
0x00-0x078文件名,不足8个字节0x20补全
0x08-0x0A3扩展名
0x0B1文件属性,0x20表示归档
0x0D1创建时间的10毫秒位
0x0E-0x0F2文件创建时间
0x10-0x112文件创建日期
0x12-0x132文件最后访问日期
0x14-0x152文件起始簇号的高16位
0x16-0x172文件最近修改时间
0x18-0x192文件最近修改时间
0x1A-0x1B2文件最近修改时间
0x1C-0x1F4文件的长度
五、FAT32文件恢复
实验准备

VMware Fusion + Winxp虚拟机 + Winhex

  1. 搭建FAT32文件系统:在VMware上新建硬盘并在xp虚拟机中初始化为FAT32文件系统,命名为D,在其中创建测试文件。

  2. 使用winhex打开D盘:每个扇区512字节,每个簇8个扇区,保留扇区数34,磁盘有两个FAT,每个FAT占扇区4071,每个簇占用4096个字节。
    在这里插入图片描述

  3. 查看根目录模板:TEST文件大小为0000598D即22925个字节,占6个簇。TEST文件的首簇号在00000005(14h-15h,1Ah-1Bh)。

    在这里插入图片描述

    54 45 53 54 20 20 20 20  54 58 54 20 18 56 97 80 |TEST TXT
99 4F 99 4F 00 00 66 A6  99 4F 05 00 8D 59 00 00 |

  4. 查看文件的簇链表

    06 00 00 00 07 00 00 00 08 00 00 00 09 00 00 00 
0A 00 00 00 FF FF FF 0F | 以0FFFFFFF结尾
直接右键删除文件的文件恢复

根目录下文件首字节变成E5,文件大小不变,文件首簇号不变。

E5 45 53 54 20 20 20 20 54 58 54 20 18 56 97 80 
99 4F 99 4F 00 00 66 A6 99 4F 05 00 8D 59 00 00

进入簇链表,内容也和原来一样,则只需要修改其首字节为54即可完成文件恢复。即右键E5->编辑->填充选块->输入16进制数。

Shift+delete删除文件的文件恢复

根目录下文件首字节变成E5,文件大小不变,文件首簇号不变,文件对应的簇链表内容被清空。

00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00 
00 00 00 00 00 00 00 00

根据首簇号为5,修改簇链表内容为

06 00 00 00 07 00 00 00  08 00 00 00 09 00 00 00 
0A 00 00 00 FF FF FF 0F

即恢复成功。

这种方法的前提是默认首簇号的高16位为0,判断首簇号是否为0的检验方法:

1.根据根目录中对应文件首簇号的高位和低位来计算首簇号其相应的十进制数,然后菜单->导航->转到扇区->簇->查看里面的数据是否是我们想要的数据,如果不是则猜测错误。接着猜测高位为0001,即可找出正确的高位。
2.修改了根目录的簇链高位后,进行簇链的恢复:导航->转到FAT项->输入由簇链高位低位计算得出的十进制数->修改相应的簇即可。
magic_jiayu
关注
  • 0
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
FAT32文件系统文件恢复
一期一会的博客
07-08 1324
FAT32文件系统文件恢复 1.首先添加一个60G的磁盘,划分为3个盘,每个盘分20G 2.新建一个文档111放至E盘,随后再进行删除 3.观察根目录和引导扇区模版 通过上图可知入口簇号(03H)和文件大小(94 2D 00 00) 由上图可知,每簇扇区数为32。 通过上图,我们整理出以下数据: (1)入口簇号 03H 03D (2)结束簇号 03H (3)根目录起始扇区 24576 扇区 (4)文件起始扇区 (3-2)*32+24576=24608 扇区 (5)文件大小 94 2D 0
FAT文件系统文件恢复
06-09
该执行文件是我自己编写的FAT文件系统文件恢复exe文件,没有UI,必须通过命令行来操作,解压后有操作说明,跟目前大多的FAT文件系统文件恢复相比,此exe解决了文件被删除后,如果出现文件重名就不能被恢复的BUG(也就是说文件名只有一个字节或第一个不同后面全部相同的情况),比如,在同一个目录下有1.jpg和2.jpg或11.jpg和21.jpg,目前大多软件只能恢复出一个jpg文件,而我这个exe能够全部恢复,非常实用。
WinHex软件 FAT32文件系统解析与提出
最新发布
weixin_51624616的博客
05-27 970
通常DBR位于文件系统的“”,用于记录分区中文件系统数据区对应簇的使用状态及文件不连续状态下的前后链接关系。FAT32文件系统中,统一在数据区的根目录区为根目录创建目录项,并由FAT文件的内容分配簇来存放数据。用“(文件夹位置-根目录位置)*每簇扇区数”得出文件夹的实际位置。读取第四列“A”“B”处数据 ,读取到的数据为“1971”,读取第二行“C”"D""E""F"处数据,读取到的数据为“读取第二行“C”"D""E""F"处数据,读取到的数据为“数据区的起始位置为根目录的起始位置,根目录位置固定为。
linux恢复fat文件系统,从FAT文件系统恢复已删除文件的数据
weixin_39650756的博客
05-01 224
介绍尽管FAT32FAT16是非常古老的文件系统,这反映出与其他文件系统替代产品相比,它们的性能较差,但它们仍被许多电子设备广泛使用。通常,这些设备包括USB memory 棒,数码相机,便携式摄像机等。您拥有并在FAT flesystem的设备上存储个人数据的可能性很高,因为很可能会意外删除您的重要数据。在本文中,我们将使用testdisk实用工具从FAT文件系统中取消删除文件。哎呀..我不小...
FAT文件系统数据恢复实例
weixin_34202952的博客
04-26 211
今天遇到一块硬盘没有删除也没有格式化数据却一点都看不到了,这种情况一般都是文件系统的问题,下面我来说一下恢复的思路。 可能有的人碰到这种情况就会说用软件扫描一下,但是如果硬盘容量比较大的话要花很长时间的,如果结构有错误的话肯定扫描也是浪费时间,所以只能分析原来文件系统结构。 这块硬盘只有一个fat32分区,大家想一下fat32文件系统的特点。 我们需要注意的有以下信息...
[操作系统]Fat32磁盘结构数据恢复实验报告
网络安全知识分享
08-03 3034
Fat32磁盘结构数据恢复 【实验目的】 通过本实验的学习,了解Windows磁盘结构,完成Fat32文件删除的手动恢复。 【知识点】 磁盘结构文件恢复扇区 【实验原理】 磁盘的结构一般由主引导记录 (MBR)、基本分区和扩展分区组成。其中,主引导记录又可以称为主引导扇区,由引导程序和分区组成,主引导扇区的最后两个字节为 0x55AA,代着主引导扇区的结束。在 MBR 分区中最多4个主分区或者 3 个主分区+ 1 个扩展分区,也就是说扩展分区只能有一个,然后可以再细分为多个逻辑分区。Windo
FAT文件系统中英文档.rar
05-22
通过学习FAT文件系统,我们可以更好地理解和解决与之相关的各种问题,如数据恢复、磁盘优化等。随着技术的发展,虽然FAT已被NTFS、exFAT等更高级的文件系统取代,但其基本原理仍然在现代文件系统中发挥着作用。因此...
FAT32文件系统源代码.zip
06-19
8. **文件系统的兼容性**:了解如何使得FAT32与不同操作系统和硬件设备兼容。 通过对FAT32源代码的深入学习,开发者可以更好地理解文件系统的工作原理,这对于设计和实现新的文件系统或者优化现有系统非常有帮助。...
FAT32文件系统白皮书(中英)
10-06
通过学习《FAT32文件系统白皮书》,读者不仅可以了解到FAT32的工作原理,还能深入探讨其设计思想,以及与其它文件系统(如NTFS、exFAT)的差异。这份资料对于系统管理员、软件开发者以及对计算机存储有兴趣的读者来...
FAT32文件系统结构说明文档
04-04
FAT32文件系统是微软在1990年代中期为了解决早期FAT16文件系统的限制而推出的一种文件系统格式。它广泛应用于各种存储设备,如硬盘、U盘和SD卡等。FAT32的主要优势在于支持更大的分区大小和更高效的磁盘空间管理。...
FAT32文件删除的数据恢复思路与方法
10-16
FAT32文件删除的数据恢复思路与方法,用于无意中删除数据,找回文件内容的方案和方法思路,具体流程看压缩文档
Failed to decode downloaded font: 字体文件无法使用的问题
09-30 8385
Failed to decode downloaded font: 字体文件无法使用的问题 遇到这个问题,网上搜说是后台文件过滤的问题,致使文件损坏,所以才出现这个错误。 测试了下,还真是: 首先把有问题的字体文件从 source 标签中下载下来 把项目中的文件复制一份出来 对比这两个文件的大小 发现大小确实不一样。所以说明就是文件的问题。 这个时候找后台处理文件过滤的问题就可以了,不管是哪个过滤,肯定是过滤的问题。跟前边没干什么关系。 ...
FAT32文件删除的恢复思路与方法
camel的blog
06-09 3647
 FAT32文件删除的恢复思路与方法内容提要:因为FAT32文件系统是由三部分进行管理文件文件目录项    FAT      数据区一 首先了解FAT32分区下文件删除会对硬盘底层做了哪些操作.1、文件目录项的首字节被改成E5,该文件的起始簇号的高位簇号被清零(本文只对高位簇号没有被清零或高位簇号原来就是零的进行讲解)2、FAT 对应的簇链被清零3、数据区没有发生改变
FAT32文件删除的手动恢复
weixin_44922845的博客
03-03 1936
磁盘结构 磁盘的结构一般由主引导记录 (MBR)、基本分区和扩展分区组成。其中,主引导记录又可以称为主引导扇区,由引导程序和分区组成,主引导扇区的最后两个字节为 0x55AA,代着主引导扇区的结束。 在 MBR 分区中最多4个主分区或者 3 个主分区+ 1 个扩展分区,也就是说扩展分区只能有一个,然后可以再细分为多个逻辑分区。Windows系统默认情况下,一般都是只划分一个主分区给系统,剩余...
数据恢复基础:FAT
weixin_33998125的博客
05-11 427
FAT对于FAT文件系统来讲是至关重要的,它有两个作用:一是描述一个簇的分配状态,二是用于寻找文件或目录的下一个簇。FAT的丢失将会使数据恢复工作变得非常困难。本部分将讲述正常情况下如何寻找到FAT并介绍FAT特征。 在FAT文件系统中通常会有两个FAT,引导扇区中会给出它的准确个数(1个或2个)。FAT1起始于保留扇区之后,保留扇区数由引导扇区中给出,引导扇区中还会给...
FAT32文件系统的数据结构
海天数据恢复-winhex数据恢复教程
03-30 1617
FAT32是分区格式的一种。这种格式采用32位的文件分配,使其对磁盘的管理能力大大增强,突破了FAT16对每一个分区的容量只有2 GB的限制。由于现在的硬盘生产成本下降,其容量越来越大,运用FAT32的分区格式后,我们可以将一个大硬盘定义成一个分区而不必分为几个分区使用,大大方便了对磁盘的管理。但由于FAT32分区内无法存放大于4GB的单个文件,且性能不佳,易产生磁盘碎片。目前已被性能更优异的N
FAT文件系统协议
多媒体开发者
05-27 1892
FAT(File Allocation Table) FAT文件配置。主要分FAT12/FAT16/FAT32,这三者可支配的大小越往后越大,不过协议大体相同。 FAT的整体结构图: MBR MBR是整个硬盘的起始引导处,不过对于U盘来说,MBR主要用来对整个U盘的空间进行分区,如图所示,可以分成4个大区 MBR每个字段所代的含义: 我们只关心,第一个分区所在的位...
FAT12环境中文件删除、文件恢复原理实验(单簇文件
qq_35978947的博客
10-09 1140
这是之前在xl博客上写的计算机病毒原理课程实验二的续。 原理上,文件删除是将目录项的第一字节改为e5(删除文件),并将FAT中链上每个FAT项还原为0(回收簇)。 该实验目的为验证并试验此原理。 因为完整实验的之前步骤已经在xl博客上实现了,这里就不再赘述,直接从删除文件这个步骤开始: 显而易见在根目录下有MUSIC目录,GAME目录和一个TXT文件,在这里删除这个TXT文件
FAT文件系统和NTFS文件系统有什么区别
08-03
### 回答1: FAT文件系统和NTFS文件系统是Windows操作系统中常用的两种文件系统,它们有以下几个区别: 1. 文件系统结构不同:FAT文件系统采用的是FAT的方式来管理磁盘空间,而NTFS文件系统采用的是一种称为“Master File Table”(MFT)的数据结构来管理磁盘空间。 2. 支持的最大磁盘容量不同:FAT文件系统最大支持的磁盘容量为2TB,而NTFS文件系统最大支持的磁盘容量为16EB(1EB等于1024PB)。 3. 安全性不同:NTFS文件系统支持文件加密和权限控制,可以设置对文件文件夹的访问权限,以保护文件的安全性,而FAT文件系统没有这些安全控制功能。 4. 兼容性不同:FAT文件系统具有很好的兼容性,可以在不同的操作系统平台之间共享文件,而NTFS文件系统只能在Windows平台上使用,与其他操作系统之间的兼容性不是很好。 5. 文件存储方式不同:NTFS文件系统采用一种称为“文件属性列”(FAT)的机制来存储文件的属性信息,而FAT文件系统则将文件的属性信息存储在文件的目录项中。 总体来说,NTFS文件系统FAT文件系统更安全、更稳定,支持更大的磁盘容量和更多的文件属性,但是兼容性较差。FAT文件系统则兼容性更好,但是安全性和稳定性相对较弱。 ### 回答2: FAT 文件系统和 NTFS 文件系统是常见的在 Windows 操作系统中使用的文件系统类型。它们有以下几个主要区别: 1. 功能和支持:FAT 文件系统是早期的文件系统,提供的功能有限。它主要用于低容量存储设备(如闪存驱动器),不能实现高级功能,如文件加密、磁盘配额、文件压缩、文件系统日志等。而 NTFS 是更先进和全面的文件系统,提供了更多的功能和支持。它可以实现文件文件夹级别的安全性控制、数据压缩、磁盘配额控制、容错能力、更好的性能等。 2. 文件大小和文件名支持:FAT 文件系统文件大小限制,最大只能支持 4GB 的单个文件。而 NTFS 文件系统支持更大的文件大小,允许存储几 TB 或更多的单个文件。此外,FAT 文件系统对于文件名的支持也有限,像只能使用 8 个字符为主文件名和 3 个字符为扩展名。而 NTFS 文件系统支持长文件名(高达 255 个字符)和更多的特殊字符。 3. 安全性和可靠性:NTFS 文件系统FAT 文件系统更安全可靠。NTFS 支持访问控制列(ACL),可以实现对文件文件夹的权限控制;而 FAT 文件系统没有这个功能。NTFS 文件系统还具有容错能力,可以通过文件系统日志来修复文件系统错误。 4. 兼容性:FAT 文件系统在各种操作系统和设备上都具有很好的兼容性,但 NTFS 文件系统主要用于 Windows 系统,对于其他操作系统的兼容性较差。 ### 回答3: FAT(File Allocation Table)文件系统和NTFS(New Technology File System)文件系统是Windows操作系统中常用的两种文件系统。它们之间存在着以下几点区别。 首先,FAT文件系统是早期Windows系统使用的文件系统,而NTFS文件系统是Windows NT系列操作系统引入的新一代文件系统。NTFS相比FAT具有更强大的功能和可靠性。 其次,FAT文件系统文件文件夹的命名有一定限制,文件名最长只能是8个字符加上3个字符的扩展名,而NTFS文件系统支持更长的文件名,最长可达到255个字符。 第三,FAT文件系统不支持文件文件夹的权限控制,任何用户都可以对文件进行修改或删除。而NTFS文件系统支持将权限分配给特定的用户或用户组,可以精细地控制对文件的访问权限。 第四,NTFS文件系统支持文件压缩和加密功能,可以减小磁盘占用空间和保护敏感数据的安全性。而FAT文件系统不支持这些功能。 第五,NTFS文件系统具有更强大的容错和恢复能力。当系统异常关机或发生文件损坏时,NTFS可以通过日志记录来修复文件系统,确保数据的完整性。而FAT文件系统则更容易导致数据丢失。 综上所述,FAT文件系统和NTFS文件系统文件名限制、权限控制、压缩加密、容错恢复等方面存在着显著的区别。NTFS文件系统相对于FAT文件系统更先进、更稳定、更安全,因此在现代的Windows操作系统中广泛使用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值