数据恢复技术基础复习题.docx
- 文档编号:24288746
- 上传时间:2023-05-26
- 格式:DOCX
- 页数:16
- 大小:255.64KB
数据恢复技术基础复习题.docx
《数据恢复技术基础复习题.docx》由会员分享,可在线阅读,更多相关《数据恢复技术基础复习题.docx(16页珍藏版)》请在冰豆网上搜索。
数据恢复技术基础复习题
数据恢复技术基础复习题
1加分题
1、模拟DOS操作系统磁盘的破坏,从出错提示信息逆向判断磁盘问题
对能正常进入DOS操作系统的硬盘,通过修改MBR、DBR扇区等的关键字节、或DOS操作系统的文件等内容,从而导致硬盘不能正常进入DOS操作系统,且在启动时提示出错信息的故障问题,要求逆向判断磁盘问题之所在。
要求修改的内容主要有:
对MBR扇区有(激活代码;结束标志代码;MBR程序;分区表等);对DBR扇区有(跳转指令;DBR程序;结束标志代码等);对DOS操作系统文件的破坏(如删除这些文件COMMAND.COM;IO.SYS;MSDOS.SYS)等。
提示:
本复习题的目的是:
对DOS操作系统计算机的磁盘设置故障(主要指对关键扇区的相关字节的修改),从而通过现象判断其本质。
对应考试2题
2、模拟对MBR扇区的破坏,并能找出这些问题字节
模拟MBR扇区上的关键字节被病毒的修改。
并能观察出有那些字节是被修改过的!
!
主要注意以下一些字节的修改:
激活代码;结束标志;分区的头位置;分区的结束位置;相对扇区数字节;类型字节等。
提示:
本复习题的目的是:
充分熟悉MBR的分区表信息,主要是规律和规则。
“INT19H”,硬件级最后的程序
MBR区域:
63扇区0~62或CHS0/0/1~0/0/63
MBR扇区:
主引导记录扇区(MasterBootRecorder),即0号扇区,446字节MBR引导程序、64字节DPT(分区表)2字节结束标志(55AA)
激活标志:
80/00,80表示激活结束标志:
55AA
对应考试3题
3、对硬盘存储结构的完整分析
提示:
本复习题的目的是:
能快速理清对整个磁盘的分析思路,过程和方法。
1)根据以下一个硬盘的某扇区信息,分析出以下问题:
DPT(分区表):
4部01BE~01CD01CE~01DD01DE~01ED01EE~01FD
01FE/01FF(55AA)
区分FAT16和FAT32的方法:
002C根目录起始簇号(FAT32)
0011根目录项数(FAT160002/FAT320000)
A.该硬盘有几个分区,分别是什么分区?
一共4个分区,01C2H处是系统IDNTFS/Extended/Netware/root
B.各分区开始的位置和结束的位置,用十六进制来表示其柱面、磁头和扇区值;
第一分区:
开始:
00/01/01结束:
010B/FE/3F
第二分区:
开始:
010C/00/01结束:
02A5/FE/3F
第三分区:
开始:
02A6/00/00结束:
0340/FE/3F
第四分区:
开始:
0341/00/00结束:
03B3/FE/3F
C.那个分区被激活?
第三分区
D.各分区的最大扇区数是多少?
用十六进制来表示;
各个分区的总扇区数:
第一分区:
0041B1CDH
第二分区:
0064811AH
第三分区:
0025FEDBH
第四分区:
001C30B3H
独立分区的LBA值(相对扇区数)
第一分区:
0000003FH
第二分区:
0041B20CH
第三分区:
00A63326H
第四分区:
00CC3201H
E.该MBR的结束标志是?
DPT共有多少字节?
MBR的主引导程序有多少字节?
MBR区有多少字节?
结束表示:
55AA
DPT共64字节
MBR的主引导程序446字节
MBR扇区512字节
F.对该分区的DPT部分,用表格列出各基本分区表项各字节的意义。
字节位移
字段长度
字段名和定义
01BE
Byte
引导指示符,指示该分区是否是活动分区80或00
01BF
Byte
开始磁头,最大值255
01C0
6bit
开始扇区,使用低6位,最大值为63
01C1
10bit
开始柱面,结合开始扇区字段的高2位组成10位,最大值为1023
01C2
Byte
系统ID,定义分区格式
01C3
Byte
结束磁头,最大值255
01C4
6bit
结束扇区,使用低6位,最大值63
01C5
10bit
结束柱面,结合结束扇区字段的高2位组成10位,最大值1023
01C6
Dword
相对扇区数,从磁盘的开始到该独立分区的位移量,即该独立分区的LBA值,Little-endian格式
01CA
Dword
总扇区数,该分区内的扇区总数,Little-endian格式
G.你能否判断该硬盘是否大于8GB,有什么简单方法?
该硬盘容量为7GB,将每个分区的总扇区数相加,再加上3FH,即该硬盘总扇区数
H.请在上图中用笔圈出MBR的几个结构部分。
2)根据以下一个硬盘的一个扇区结构信息,分析出以下问题(以offset偏移位置坐标的形式来表示!
如018AH-018FH是某某!
):
a.请标出其结构名称。
DBR扇区
b.每簇扇区数是多少?
保留扇区数是多少?
FAT的副本数是多少?
每簇扇区数(000DH)04H
保留扇区数(000EH)0020H
FAT的副本数(0010H)02H
c.该扇区是FAT16的还是FAT32的?
根据是什么?
FAT32,因为FAT16与FAT32最大的区别就是,FAT32的DBR扇区内不再有“根目录项数”这个参数,FAT16(0011H)为0002H,FAT32(0011H)为0000H
d.总扇区数是多少?
每FAT扇区数是多少?
FAT16的DBR区域,只有1个扇区;FAT32的DBR区域有32个扇区
每FAT扇区数(0024H)000020B9H
e.根目录簇号是多少?
备份引导扇区是多少?
根目录簇号(002CH)00000002H
备份引导扇区(0032H)0006H
f.是否有卷标?
是什么?
有卷标,0047H开始11个字节,卷标为:
DISKMAN130,现在卷标作为一个特殊文件保存在根目录中。
g.分区序号是什么?
隐藏扇区数是多少?
分区序号:
在格式化磁盘的时候产生的一个随机序号,有助于区分磁盘。
0043H开始4个字节37541BDB(T7)
隐藏扇区数(001CH)为:
0000003FH
3)根据以下这些扇区信息图片(图1――图9,共9组图片,顺序是打乱了的),请分析出以下的一些问题,
附录:
12b(H)=299(10);2c7(H)=711(10);365(H)=869(10);009b(H)=155(10);00ae4a07(H)=11422215(10);
1.请问以下9组图中,分别是什么扇区?
写出它的扇区名称。
(如答:
图1是XX扇区,…)
图1是MBR扇区;
图2是FAT32DBR扇区
图3是第一VMBR扇区
图4是第二VMBR扇区
图5是FAT16DBR扇区
图6是FAT扇区删除文件前
图7是FAT扇区删除文件后
图8是FDT扇区(根目录分区表)被删除文件前
图9是FDT扇区删除文件后
2.请问该硬盘共有几个分区?
分别叫什么分区?
(主分区、扩展分区、逻辑分区等,顺序上的第几个分区)。
(如答:
有N个分区;第一个分区是XX分区,…)
该硬盘共有4个分区
第一分区是主分区(未激活)
第二分区是主分区(活动)
第三分区是逻辑分区
第四分区是逻辑分区
3.请问该硬盘的这些分区分别是什么类型的分区?
写出各分区的类型名称(顺序上的第几个分区)。
第一分区:
1BHiddenFAT32
第二分区:
0BWin95FAT32
第三分区:
05Extended
第一逻辑分区:
06FAT16
第二逻辑分区:
16HiddenFAT16
4.请问各分区的容量(总扇区数)分别有多大(用十六进制数值来写)?
(如答:
第一个分区的容量是00000000H,…)
第一分区总容量:
00494B2CH
第二分区总容量:
0064FE9CH
第一逻辑分区总容量:
0036BADFH
第二逻辑分区总容量:
001EE2BFH
5.请问第几个分区被激活(顺序上的第几个分区)?
第二个分区
6.请问各分区开始的位置和结束的位置在哪里(顺序上的第几个分区)?
用CHS来写。
(如答:
第一个分区的开始位置是CHS=0/0/0,其结束位置是CHS=0/0/0;…)
第一分区:
开始CHS:
00/01/01结束CHS:
012A/FE/3F
第二分区:
开始CHS:
012B/00/01结束CHS:
03C6/FE/0F
扩展分区:
开始CHS:
02CF/00/01结束CHS:
03E2/FE/3F
第一逻辑分区:
开始CHS:
02C7/01/01结束CHS:
0364/FE/3F
第二逻辑分区:
开始CHS:
0365/00/01结束CHS:
03E2/FE/3F
7.请问该硬盘的容量是否大于8.4GB?
为什么?
00494B2CH+0064FE9CH+00459E1CH+0000003FH=00F3E823H=15984675=7GB<8.4GB
或者由每一个分区的CHS寻址均能正确显示也可得出结论(若硬盘容量大于8G,则CHS不能正确寻址,大于8G的部分,起始/结束CHS均为03FF/FE/3F)
8.请问哪个分区可能被高级格式化了(顺序上的第几个分区)?
第二、第三分区如何判断高级格式化?
9.请问顺序上的第3个分区是FAT16的还是FAT32文件系统的?
FAT16
10.请问顺序上的第3个分区的MBR扇区之前有多少扇区?
DBR之前呢?
(用十六进制数值来写)
AE4A07H/AE4A46H
11.请问顺序上的第3个分区的卷标是什么字符(写出ASCII字符)?
002B开始11个字节:
ABCDE9999
12.请问顺序上的第3个分区的每簇扇区数是多少(写出十六进制的数值)?
(000D2字节)40H
13.请问顺序上的第3个分区的保留扇区数和隐藏扇区数分别是多少(写出十六进制的数值)?
(000EH/001C-001F)0001H/0000003FH
14.请问顺序上的第3个分区的每FAT扇区数是多少(写出十六进制的数值)?
(0016H~0017H)009BH
15.请问顺序上的第3个分区上保存有多少文件或文件夹?
(如答:
有N个文件,有X个文件夹。
)000BH10表示子目录0F表示长文件名20表归档
15个3个子目录,12个文件
16.请问顺序上的第3个分区上删掉了那几个文件和文件夹?
写出这些被删掉的文件和文件夹的名称。
3个文件:
CHKDSK.EXEDEBUG.EXEMOUXE.EXE
2个文件夹:
ABCTYPE
17.顺序上的第3个分区上删掉的这几个文件和文件夹,请分别写出它们的首簇数值。
(用十六进制数值来写)
001AH~001BH表示首簇值
第一个0010H
第二个0011H
第三个001AH
第四个001CH
第五个001EH
18.请问“IO.SYS”、“DEBUG.EXE”及“SYSTEM.SYS”文件的具体属性分别是什么?
IO.SYS27
DEUG20
SYSTEM.SYS(MSDOS.SYS)27
19.请问“IO.SYS”、“DEBUG.EXE”及“SYSTEM.SYS”文件的长度分别是多少字节?
(用十六进制数值来写)
001CH~001FH4字节
IO.SYS00036B96H
DEBUG.EXE0000504AH
MSDOS.SYS00000009H
20.请问“COMMAND.COM”文件在FAT表中占用了那些簇?
请写出偏移地址范围。
(如答:
0000H到0000H。
)
实验项目八p23
FAT162字节表示一个表项,FAT324个字节表示一个表项
偏移地址0000H~0001H表示第0号簇表项值FFF8H,表示介质类型,不对应数据区上任何一个簇
偏移地址0002H~0003H表示第1号簇表项值FFFFH(目录)不对应数据区上任何一个簇
偏移地址0004H~0005H表示第2号簇对应数据区上第一个簇(开始簇)
后续簇的表项值为FFFFH表示结束
首簇值:
0001704AH
COMMAND.COM占用000A~000C簇偏移地址0014H-0019H
图1
图2
图3
图4
图5
图6
图7
图8
图9
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 数据 恢复 技术 基础 复习题
![提示](https://static.bdocx.com/images/bang_tan.gif)