实验三 文件恢复

【主要目的】
1.了解计算机取证技术与方法。
2.掌握FAT文件系统结构，分析其安全问题
【主要内容】

1. 使用Winhex工具查看FAT文件系统；
2. 了解BPB表、FAT、FDT组成；
3. 掌握FAT对文件增加和删除的具体执行过程；
4. 实现FAT中文件删除后的恢复；
5. 分析FAT文件系统中的安全问题。

计算机取证技术是指运用计算机辨析技术，对计算机犯罪行为进行分析以确认罪犯及计算机证据。
技术：用某种技术提取硬盘，光盘，软盘，zip磁盘，u盘，内存缓冲和其他存储介质中的有用信息。
概念：
扇区：512字节的空间，磁盘管理的最小单位
簇：FAT文件系统对磁盘管理的最小单位,一般为2n,n值大小和容量大小有关
柱面与磁道：

Paste_Image.png

整个硬盘分为主引导记录区，硬盘分区即逻辑盘区，少量保留区域。一下是基于FAT32文件系统的逻辑盘（比如C盘）结构：

Paste_Image.png

引导区（boot区）：
引导区从第一扇区(逻辑扇区号0) 开始，保存了每个扇区的字节数，一个簇的扇区数，FAT表的起始位置，FAT表的个数以及FAT表的扇区数等信息，之后还留有若干保留扇区，存储这些信息的叫做BPB表，如下

Paste_Image.png

文件分配表区（FAT区）：
FAT区是用来记录文件所在位置的表格，相当于一个指针。

根目录（root）
其保存根目录下的各文件的目录项，每个目录项占32个字节，其中第20 21字节代表该目录项所在簇索引的高位，26,27为低位，所以27+26+21+20对应的值变为该目录项所在的簇号。，28,29,30,31位为文件长度。如下表所示

Paste_Image.png

winhex对删除文件进行恢复

Paste_Image.png

Paste_Image.png

Paste_Image.png