• / 25
  • 下载费用:10 金币  

l002007004-fat32数据恢复实验.doc

关 键 词:
l002007004 fat32 数据 恢复 实验
资源描述:
课程编写类别内容实验课题名称FAT32数据恢复实验实验目的与要求1、了解FAT32各分区的含义和区别2、掌握FAT32文件系统的原理3、会使用WINHEX进行数据恢复实验环境VPC1虚拟PC)WINDOWSXP实验环境描述WINDOWSXP预备知识一、FAT32简介FAT32是WINDOWS系统硬盘分区格式的一种。这种格式采用32位的文件分配表,使其对磁盘的管理能力大大增强,突破了FAT16对每一个分区的容量只有2DB的限制。由于现在的硬盘生产成本下降,其容量越来越大,运用FAT32的分区格式后,我们可以将一个大硬盘定义成一个分区而不必分为几个分区使用,大大方便了对磁盘的管理。目前已被性能更优异的NTFS分区格式所取代。二、主磁盘结构主启动区文件分配表1文件,分配表2根目录,其他所有资料,剩下磁盘空间一个FAT文件系统包括四个不同的部分。1、保留扇区位于最开始的位置。第一个保留扇区是引导区(分区启动记录)。它包括一个称为基本输入输出参数块的区域(包括一些基本的文件系统信息尤其是它的类型和其它指向其它扇区的指针),通常包括操作系统的启动调用代码。保留扇区的总数记录在引导扇区中的一个参数中。引导扇区中的重要信息可以被DOS和OS/2中称为驱动器参数块的操作系统结构访问。2、FAT区域它包含有两份文件分配表,这是出于系统冗余考虑,尽管它很少使用,即使是磁盘修复工具也很少使用它。它是分区信息的映射表,指示簇是如何存储的。3、根目录区域它是在根目录中存储文件和目录信息的目录表。在FAT32下它可以存在分区中的任何位置,但是在早期的版本中它永远紧随FAT区域之后。4、数据区域这是实际的文件和目录数据存储的区域,它占据了分区的绝大部分。通过简单地在FAT中添加文件链接的个数可以任意增加文件大小和子目录个数(只要有空簇存在)。然而需要注意的是每个簇只能被一个文件占有,这样的话如果在32KB大小的簇中有一个1KB大小的文件,那么31KB的空间就浪费掉了。实验内容1、了解FAT32各分区的含义和区别2、掌握FAT32文件系统的原理3、会使用WINHEX进行数据恢复实验步骤1、学生单击“试验环境试验”进入试验场景,单击“打开控制台”按钮,进入目标主机,如图1所示图12、手动恢复删除的文件(1)格式化D盘,在“资源管理器”左侧树状结构中,右键单击“本地磁盘D|格式化”,如图2所示,在文件系统中选择“FAT32”|开始|确定”,对D盘进行格式化。图2图3图4(2)桌面上找到压缩包WINHEX,解压缩。图5图6(3)使用WINHEX获取D盘快照。双击打开WINHEX,单击“工具|打开磁盘”,在逻辑驱动器中选择“D”,确定不要选择“不要再显示此提示信息”,如果选中了则不能获取新快照,可以通过“帮助|设置|初始化”来取消选择。获取新快照后可以看到驱动器D中所包含的目录、文件、文件分配表的大小和起始位置等相关信息。图7图8(4)查看FAT1单击WINHEX中D盘快照中文件列表中的FAT1即可查看FAT1。单击FAT1中的数据可在左侧的参数框中看到数据所代表的簇号和簇的当前状态。(5)计算FDT的起始位置在文件列表中可以看到FAT1和FAT2的第1扇区位置,FAT2是FAT1的备份,所以大小相等内容相同,如图9所示。因此可以推算出它的大小为FAT2的第1扇区位置-FAT1的第1扇区位置,记录FAT1的大小。FDT的位置在FAT2之后,所以可以通过FAT2的第1扇区位置+FAT1的大小来得到FDT的起始位置,记录FDT的起始位置的逻辑扇区编号。FAT1的第一扇区位置34,FAT2的第一扇区位置629,则FAT1的大小62934595,则FDT的起始位置为5956291224。图9(6)跳转到FDT的起始地址单击“位置|转到扇区”,如图10所示,在扇区输入框中输入FDT的起始位置的逻辑扇区编号1224,“确定”,即可跳转到FDT的起始地址。图10图11(7)在D盘根目录下新建文本文档“123TXT”,内容为“123”的文本文件,如图12所示。图12(8)重新获取磁盘快照关闭“驱动器D”,并重新打来驱动器D。此时弹出对话框提示“有快照可以重用”,单击“获取新快照”即可获得逻辑驱动器的当前快照。图13(9)备份FDT中“123TXT”的目录登记项根据FDT的起始位置的逻辑扇区编号(1224)跳转到FDT的起始地址。找到文件“123TXT”的登记项。根据数据区右侧的明文找到倒数32个与文件“123TXT”相关的字节,即是文件的目录登记项,如图14所示。按住鼠标左键拖动选中文件“123TXT”的目录登记项的32个字节。右键单击被选中的数据块“编辑|复制选块|置入新文件”,将新文件命名为“FDTDAT”保存位置是C盘根目录下,保存。此时新文件会在WINHEX中被打开,如图15所示。图14根据实验原理中对目录登记项各部份的定义,从下图中可以知道,OX000X07用于表示文件“123TXT”的文件名,0X080X0A表示文件“123TXT”的扩展名,0X1C0X1F表示文件的大小。图15(10)备份FAT1中的相关数据参考FDT数据的备份步骤,如图16所示,将FAT1中的有效数据备份到C盘根目录下,文件名为“FATDAT”。图16图17(11)查看DATA区域中文件“123TXT”的数据单击文件目录的“123TXT”,即可跳转到文件“123TXT”的起始地址,如图18所示,记录此地址。图18(12)删除文件。在D盘根目录下选中文件“123TXT”,按“SHIFTDELETE”键将其删除。然后重新获取D盘快照。A对比当前FDT中文件“123TXT”的目录登记项和FDTDAT中的相关数据。可以发现FDT中文件“123TXT”的目录登记项的第一个字节是由原来的31变成了E5。图19B对比FAT1中相关数据的变化。FATDAT中文件“123TXT”簇链相关位置的十六进制值是FFFFFF0F。上述位置的值在当前FAT1中相同位置的值是00000000。图20C查看DATA区域中文件“123TXT”的数据。根据前面记录的文件“123TXT”的地址跳转相关簇并查看文件数据。文件数据没有发生变化。图2113根据备份数据恢复文件A根据备份数据FDTDAT和FATDAT恢复FDT与FAT1中的相关数据。在FDT与FAT1的数据部分,用鼠标单击要修改的数据,然后通过键盘输入数值,如图22和图23所示。按“CTRLS”键保存上述修改。出现提示信息,单击“确定|是”完成保存。图22图23B刷新D盘根目录查看文件是否被恢复。图243、手动恢复被格式化分区的文件(1)格式化D盘,使用WINHEX重新获取D盘快照,对比格式化前后FDT和FAT1中数据的变化。图25(2)根据FDTDAT中的记录跳转到文件“123TXT”首簇位置查看文件数据。文件数据是否有变化没有。图27(3)根据文件首簇位置和文件大小修改FDT和FAT1。根据FDT的定义,文件“123TXT”的目录登记项中表示文件首簇位置的0X140X15。根据DATA区域中文件“123TXT”的相关内容,在这些位置中应填入0000。表示文件大小的是目录登记项中的第0X1C至0X1F。根据DATA区域中的相关内容,在这些位置中应填入03000000。根据DATA区的数据内容修改FAT1。文件“123TXT”没有写满一个簇,因此找到文件“123TXT”在FAT1中的首簇位置写入“FFFFFF0F”,表示文件结束。(4)修改文件名。表示文件名及其扩展名的是登记项中的第0至10字节。此时,假设只知道文件类型是文本文件而不知道文件名,则可以在相关字节中填入其它十六进制值,但是必须保证这些值符合文件名命名规则。0-7字节为文件名,可以全部填入十六进制值“46”;8-10字节为文件扩展名,填入十六进制值“545854”。按“CTRLS”键保存上述修改。图28图29(5)刷新D盘根目录查看文件。图30
展开阅读全文
  麦档网所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
0条评论

还可以输入200字符

暂无评论,赶快抢占沙发吧。

关于本文
本文标题:l002007004-fat32数据恢复实验.doc
链接地址:https://www.maidoc.com/p-1562.html
关于我们 - 网站声明 - 网站地图 - 资源地图 - 友情链接 - 网站客服 - 联系我们

[email protected] 2018-2020 maidoc.com版权所有  文库上传用户QQ群:3303921 

麦档网为“文档C2C模式”,即用户上传的文档所得金币直接给(下载)用户,本站只是中间服务平台,本站所有文档下载所得的金币归上传人(含作者)所有。
备案号:蜀ICP备17040478号-3  
川公网安备:51019002001290号 


收起
展开