【主要目的】
1.了解計(jì)算機(jī)取證技術(shù)與方法。
2.掌握FAT文件系統(tǒng)結(jié)構(gòu),分析其安全問(wèn)題
【主要內(nèi)容】
- 使用Winhex工具查看FAT文件系統(tǒng);
- 了解BPB表、FAT、FDT組成;
- 掌握FAT對(duì)文件增加和刪除的具體執(zhí)行過(guò)程;
- 實(shí)現(xiàn)FAT中文件刪除后的恢復(fù);
- 分析FAT文件系統(tǒng)中的安全問(wèn)題。
計(jì)算機(jī)取證技術(shù)是指運(yùn)用計(jì)算機(jī)辨析技術(shù),對(duì)計(jì)算機(jī)犯罪行為進(jìn)行分析以確認(rèn)罪犯及計(jì)算機(jī)證據(jù)。
技術(shù):用某種技術(shù)提取硬盤(pán),光盤(pán),軟盤(pán),zip磁盤(pán),u盤(pán),內(nèi)存緩沖和其他存儲(chǔ)介質(zhì)中的有用信息。
概念:
扇區(qū):512字節(jié)的空間,磁盤(pán)管理的最小單位
簇:FAT文件系統(tǒng)對(duì)磁盤(pán)管理的最小單位,一般為2n,n值大小和容量大小有關(guān)
柱面與磁道:
整個(gè)硬盤(pán)分為主引導(dǎo)記錄區(qū),硬盤(pán)分區(qū)即邏輯盤(pán)區(qū),少量保留區(qū)域。一下是基于FAT32文件系統(tǒng)的邏輯盤(pán)(比如C盤(pán))結(jié)構(gòu):
引導(dǎo)區(qū)(boot區(qū)):
引導(dǎo)區(qū)從第一扇區(qū)(邏輯扇區(qū)號(hào)0) 開(kāi)始,保存了每個(gè)扇區(qū)的字節(jié)數(shù),一個(gè)簇的扇區(qū)數(shù),F(xiàn)AT表的起始位置,F(xiàn)AT表的個(gè)數(shù)以及FAT表的扇區(qū)數(shù)等信息,之后還留有若干保留扇區(qū),存儲(chǔ)這些信息的叫做BPB表,如下
文件分配表區(qū)(FAT區(qū)):
FAT區(qū)是用來(lái)記錄文件所在位置的表格,相當(dāng)于一個(gè)指針。
根目錄(root)
其保存根目錄下的各文件的目錄項(xiàng),每個(gè)目錄項(xiàng)占32個(gè)字節(jié),其中第20 21字節(jié)代表該目錄項(xiàng)所在簇索引的高位,26,27為低位,所以27+26+21+20對(duì)應(yīng)的值變?yōu)樵撃夸涰?xiàng)所在的簇號(hào)。,28,29,30,31位為文件長(zhǎng)度。如下表所示
winhex對(duì)刪除文件進(jìn)行恢復(fù)
