数据恢复-FAT文件系统

（一）整体结构

fat结构

（二）DBR和boot sector

一个压缩卷后的fat文件系统的dbr

模板

50字节06表示备份dbr所在位置为06扇区

13字节表示簇大小为08

14、15字节表示保留扇区数目为201E即8222

16字节表示FAT文件表数为02个

44字节表示FAT文件目录首簇号为02

36字节表示每个FAT系统有4081个扇区

FAT在保留扇区之后即8222扇区

FAT2在8222+4081即12303扇区

DIR在12303+4081=16384扇区

（三）FAT和FAT directory

跳转到fat

fat dictionary

前两行卷标，之后每两行（或四行，扩张文件名占两行）为一个文件

前八个字节是文件名称

9到11字节是扩展名

15、16创建时间

17、18最后访问时期

19、20创建日期

21、22起始簇号高16位

27、28起始簇号低16位

23、24、25、26修改时间和修改日期

（四）底层恢复已删除文件（未彻底删除）

上层已经删除：

删除文件夹

Ctrl+f通过搜索文件名搜索文件位置(如12345678txt)

ctrl+f输入文件名搜索

计算8400896/512=16408

得到簇号为5

前面文件名只影响文件名不影响里面的内容，扩展名202020为文件属性，之后属性填10

时间属性随便填，上图为复制的12345678txt的时间属性，位置为刚才计算的00000500分别填入相应位置

保存，就成功了（这种方法要搜索文件名）

下层手动修改

删除的文件夹被恢复

（五）数据隐藏分析

隐藏在其他文件数据区：

把很多35放在一个内容为aaa的文本文件中

上层查看

发现数据没有出现，成功隐藏，这是因为此文件大小属性记录在目录项中，单在数据项改变数据不能改变记录项中文件大小属性，而文件打开时通过记录项来打开，记录项只记录了之前输入的大小，所以只能显示aaa。

在再上层的aaa.txt中写入观察底层：

写入bbc

数据消失

所以放在已有数据的文本内或可修改数据的文件内是不安全的。

而存在其他簇中相对安全，因为数据占用簇时，在整个系统中显示被占用，之后的上层操作不会对已占用的簇有影响。