L00004FAT32数据恢复实验.docx
- 文档编号:23968760
- 上传时间:2023-05-23
- 格式:DOCX
- 页数:24
- 大小:3.78MB
L00004FAT32数据恢复实验.docx
《L00004FAT32数据恢复实验.docx》由会员分享,可在线阅读,更多相关《L00004FAT32数据恢复实验.docx(24页珍藏版)》请在冰豆网上搜索。
L00004FAT32数据恢复实验
课程编写
类别
内容
实验课题名称
FAT32数据恢复实验
实验目的与要求
1、了解FAT32各分区的含义和区别
2、掌握FAT32文件系统的原理
3、会使用WinHex进行数据恢复
实验环境
VPC1(虚拟PC)
WindowsXP
实验环境描述
WindowsXP
预备知识
一、FAT32简介
FAT32是Windows系统硬盘分区格式的一种。
这种格式采用32位的文件分配表,使其对磁盘的管理能力大大增强,突破了FAT16对每一个分区的容量只有2DB的限制。
由于现在的硬盘生产成本下降,其容量越来越大,运用FAT32的分区格式后,我们可以将一个大硬盘定义成一个分区而不必分为几个分区使用,大大方便了对磁盘的管理。
目前已被性能更优异的NTFS分区格式所取代。
二、主磁盘结构
主启动区文件分配表#1文件,分配表#2根目录,其他所有资料,剩下磁盘空间
一个FAT文件系统包括四个不同的部分。
1、保留扇区
位于最开始的位置。
第一个保留扇区是引导区(分区启动记录)。
它包括一个称为基本输入输出参数块的区域(包括一些基本的文件系统信息尤其是它的类型和其它指向其它扇区的指针),通常包括操作系统的启动调用代码。
保留扇区的总数记录在引导扇区中的一个参数中。
引导扇区中的重要信息可以被DOS和OS/2中称为驱动器参数块的操作系统结构访问。
2、FAT区域
它包含有两份文件分配表,这是出于系统冗余考虑,尽管它很少使用,即使是磁盘修复工具也很少使用它。
它是分区信息的映射表,指示簇是如何存储的。
3、根目录区域
它是在根目录中存储文件和目录信息的目录表。
在FAT32下它可以存在分区中的任何位置,但是在早期的版本中它永远紧随FAT区域之后。
4、数据区域
这是实际的文件和目录数据存储的区域,它占据了分区的绝大部分。
通过简单地在FAT中添加文件链接的个数可以任意增加文件大小和子目录个数(只要有空簇存在)。
然而需要注意的是每个簇只能被一个文件占有,这样的话如果在32KB大小的簇中有一个1KB大小的文件,那么31KB的空间就浪费掉了。
实验内容
1、了解FAT32各分区的含义和区别
2、掌握FAT32文件系统的原理
3、会使用WinHex进行数据恢复
实验步骤
1、学生单击“试验环境试验”进入试验场景,单击“打开控制台”按钮,进入目标主机,如图1所示:
图1
2、手动恢复删除的文件
(1)格式化D盘,在“资源管理器”左侧树状结构中,右键单击“本地磁盘(D:
)|格式化”,如图2所示,在文件系统中选择“FAT32”|开始|确定”,对D盘进行格式化。
图2
图3
图4
(2)桌面上找到压缩包Winhex,解压缩。
图5
图6
(3)使用WinHex获取D盘快照。
双击打开WinHex,单击“工具|打开磁盘”,在逻辑驱动器中选择“(D:
)”,确定不要选择“不要再显示此提示信息”,如果选中了则不能获取新快照,可以通过“帮助|设置|初始化”来取消选择。
获取新快照后可以看到驱动器D中所包含的目录、文件、文件分配表的大小和起始位置等相关信息。
图7
图8
(4)查看FAT1
单击WinHex中D盘快照中文件列表中的FAT1即可查看FAT1。
单击FAT1中的数据可在左侧的参数框中看到数据所代表的簇号和簇的当前状态。
(5)计算FDT的起始位置
在文件列表中可以看到FAT1和FAT2的第1扇区位置,FAT2是FAT1的备份,所以大小相等内容相同,如图9所示。
因此可以推算出它的大小为:
FAT2的第1扇区位置-FAT1的第1扇区位置,记录FAT1的大小。
FDT的位置在FAT2之后,所以可以通过:
FAT2的第1扇区位置+FAT1的大小来得到FDT的起始位置,记录FDT的起始位置的逻辑扇区编号。
FAT1的第一扇区位置34,FAT2的第一扇区位置629,则FAT1的大小:
629-34=595,则FDT的起始位置为595+629=1224。
图9
(6)跳转到FDT的起始地址
单击“位置|转到扇区”,如图10所示,在扇区输入框中输入FDT的起始位置的逻辑扇区编号1224,“确定”,即可跳转到FDT的起始地址。
图10
图11
(7)在D盘根目录下新建文本文档“123.txt”,内容为“123”的文本文件,如图12所示。
图12
(8)重新获取磁盘快照
关闭“驱动器D:
”,并重新打来驱动器D。
此时弹出对话框提示“有快照可以重用”,单击“获取新快照”即可获得逻辑驱动器的当前快照。
图13
(9)备份FDT中“123.txt”的目录登记项
根据FDT的起始位置的逻辑扇区编号(1224)跳转到FDT的起始地址。
找到文件“123.txt”的登记项。
根据数据区右侧的明文找到倒数32个与文件“123.txt”相关的字节,即是文件的目录登记项,如图14所示。
按住鼠标左键拖动选中文件“123.txt”的目录登记项的32个字节。
右键单击被选中的数据块“编辑|复制选块|置入新文件”,将新文件命名为“fdt.dat”保存位置是C盘根目录下,保存。
此时新文件会在WinHex中被打开,如图15所示。
图14
根据实验原理中对目录登记项各部份的定义,从下图中可以知道,Ox00-0x07用于表示文件“123.txt”的文件名,0x08-0x0A表示文件“123.txt”的扩展名,0x1C-0x1F表示文件的大小。
图15
(10)备份FAT1中的相关数据
参考FDT数据的备份步骤,如图16所示,将FAT1中的有效数据备份到C盘根目录下,文件名为“fat.dat”。
图16
图17
(11)查看DATA区域中文件“123.txt”的数据
单击文件目录的“123.txt”,即可跳转到文件“123.txt”的起始地址,如图18所示,记录此地址。
图18
(12)删除文件。
在D盘根目录下选中文件“123.txt”,按“Shift+Delete”键将其删除。
然后重新获取D盘快照。
a.对比当前FDT中文件“123.txt”的目录登记项和fdt.dat中的相关数据。
可以发现FDT中文件“123.txt”的目录登记项的第一个字节是由原来的31变成了E5。
图19
b.对比FAT1中相关数据的变化。
fat.dat中文件“123.txt”簇链相关位置的十六进制值是FFFFFF0F。
上述位置的值在当前FAT1中相同位置的值是00000000。
图20
c.查看DATA区域中文件“123.txt”的数据。
根据前面记录的文件“123.txt”的地址跳转相关簇并查看文件数据。
文件数据没有发生变化。
图21
(13)根据备份数据恢复文件
a.根据备份数据fdt.dat和fat.dat恢复FDT与FAT1中的相关数据。
在FDT与FAT1的数据部分,用鼠标单击要修改的数据,然后通过键盘输入数值,如图22和图23所示。
按“Ctrl+S”键保存上述修改。
出现提示信息,单击“确定|是”完成保存。
图22
图23
b.刷新D盘根目录查看文件是否被恢复。
图24
3、手动恢复被格式化分区的文件
(1)格式化D盘,使用WinHex重新获取D盘快照,对比格式化前后FDT和FAT1中数据的变化。
图25
(2)根据fdt.dat中的记录跳转到文件“123.txt”首簇位置查看文件数据。
文件数据是否有变化?
没有。
图27
(3)根据文件首簇位置和文件大小修改FDT和FAT1。
根据FDT的定义,文件“123.txt”的目录登记项中表示文件首簇位置的0x14-0x15。
根据DATA区域中文件“123.txt”的相关内容,在这些位置中应填入0000。
表示文件大小的是目录登记项中的第0x1C至0x1F。
根据DATA区域中的相关内容,在这些位置中应填入03000000。
根据DATA区的数据内容修改FAT1。
文件“123.txt”没有写满一个簇,因此找到文件“123.txt”在FAT1中的首簇位置写入“FFFFFF0F”,表示文件结束。
(4)修改文件名。
表示文件名及其扩展名的是登记项中的第0至10字节。
此时,假设只知道文件类型是文本文件而不知道文件名,则可以在相关字节中填入其它十六进制值,但是必须保证这些值符合文件名命名规则。
0-7字节为文件名,可以全部填入十六进制值“46”;8-10字节为文件扩展名,填入十六进制值“545854”。
按“Ctrl+S”键保存上述修改。
图28
图29
(5)刷新D盘根目录查看文件。
图30
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- L00004FAT32 数据 恢复 实验
![提示](https://static.bdocx.com/images/bang_tan.gif)