【主要目的】
1.了解计算机取证技术与方法。
2.掌握FAT文件系统结构,分析其安全问题
【主要内容】
- 使用Winhex工具查看FAT文件系统;
- 了解BPB表、FAT、FDT组成;
- 掌握FAT对文件增加和删除的具体执行过程;
- 实现FAT中文件删除后的恢复;
- 分析FAT文件系统中的安全问题。
计算机取证技术是指运用计算机辨析技术,对计算机犯罪行为进行分析以确认罪犯及计算机证据。
技术:用某种技术提取硬盘,光盘,软盘,zip磁盘,u盘,内存缓冲和其他存储介质中的有用信息。
概念:
扇区:512字节的空间,磁盘管理的最小单位
簇:FAT文件系统对磁盘管理的最小单位,一般为2n,n值大小和容量大小有关
柱面与磁道:
Paste_Image.png
整个硬盘分为主引导记录区,硬盘分区即逻辑盘区,少量保留区域。一下是基于FAT32文件系统的逻辑盘(比如C盘)结构:
Paste_Image.png
引导区(boot区):
引导区从第一扇区(逻辑扇区号0) 开始,保存了每个扇区的字节数,一个簇的扇区数,FAT表的起始位置,FAT表的个数以及FAT表的扇区数等信息,之后还留有若干保留扇区,存储这些信息的叫做BPB表,如下
Paste_Image.png
文件分配表区(FAT区):
FAT区是用来记录文件所在位置的表格,相当于一个指针。
根目录(root)
其保存根目录下的各文件的目录项,每个目录项占32个字节,其中第20 21字节代表该目录项所在簇索引的高位,26,27为低位,所以27+26+21+20对应的值变为该目录项所在的簇号。,28,29,30,31位为文件长度。如下表所示
Paste_Image.png
winhex对删除文件进行恢复
Paste_Image.png
Paste_Image.png
Paste_Image.png
网友评论