項目四：文件系統(tǒng)數(shù)據(jù)恢復(fù)任務(wù)1

FAT32文件系統(tǒng)結(jié)構(gòu)分析子任務(wù)4.1.2FAT文件目錄表分析主講人

高靈霞、廖艷CONTENT目錄課前學(xué)情FAT32文件目錄表結(jié)構(gòu)簇到扇區(qū)的轉(zhuǎn)換010203總結(jié)與拓展教學(xué)內(nèi)容05工單任務(wù)-FAT32文件目錄表分析04教學(xué)目標>項目四

文件系統(tǒng)數(shù)據(jù)恢復(fù)任務(wù)1FAT32文件系統(tǒng)結(jié)構(gòu)分析子任務(wù)4.1.2FAT32文件目錄表分析素質(zhì)目標知識目標能力目標1.通過編輯文件屬性，培養(yǎng)學(xué)生良好的職業(yè)道德教育2.通過文件目錄表分析學(xué)生能立足專業(yè)，使學(xué)生遵守數(shù)據(jù)恢復(fù)工

程師職業(yè)操守和注意事項1.學(xué)生掌握FAT32文件目錄表FDT結(jié)構(gòu)2.學(xué)生能夠熟悉短文件目錄中屬性字節(jié)作用，以及常用的熟悉值設(shè)置。3.學(xué)生能夠熟悉特異目錄的創(chuàng)建和刪除方法1.學(xué)生能夠熟練分析FAT32分區(qū)結(jié)構(gòu)，分析文件目錄表項2.學(xué)生能夠根據(jù)文件目錄項，計算文件實際扇區(qū)位置3.學(xué)生能夠在文件目錄項中操作文件屬性，實現(xiàn)文件的隱藏4.學(xué)生通過創(chuàng)建和刪除特異目錄，全面提升分析、計劃、實施和監(jiān)控數(shù)據(jù)備份與恢復(fù)任務(wù)的能力思政點：自立（立足專業(yè)，奮發(fā)有為）【育人案例】

2021年4月6日工信部：60款A(yù)PP因違規(guī)未完成整改被下架，這些App在3月11日就曾被通報存在侵害用戶權(quán)益行為教學(xué)重點與難點

教學(xué)重點1.掌握短文件目錄項的結(jié)構(gòu)

2.文件屬性值設(shè)置，文件所在的扇區(qū)定位，以及特異子目錄的處理>

教學(xué)難點理解目錄項的概念和作用，熟悉長文件目錄項的結(jié)構(gòu)，讀取文件名課前學(xué)情01學(xué)情分析信安2004班任務(wù)工單提交情況信安2005班任務(wù)工單只有1個同學(xué)沒有提交學(xué)情分析信安2004班MOOC在線成績---課前測答題人數(shù)25表揚學(xué)生課堂活動討論1：在FAT32分區(qū)內(nèi)部組成結(jié)構(gòu)討論2：根目錄在幾號簇？任務(wù)引導(dǎo)工程師小王在使用數(shù)據(jù)恢復(fù)軟件幫客戶恢復(fù)數(shù)據(jù)，但也起了好奇心，U盤中或FAT32分區(qū)已刪除的文件是怎么找到的呢？文件數(shù)據(jù)內(nèi)容是存儲在磁盤中的什么地方呢？通過文件目錄表記錄的文件屬性分析，能夠?qū)崿F(xiàn)文件恢復(fù)呢？FAT32文件目錄表結(jié)構(gòu)02一、文件目錄表結(jié)構(gòu)在FAT32分區(qū)中，有兩張表非常重要，構(gòu)成了文件系統(tǒng)結(jié)構(gòu)的主要部分，它們是文件分配表（FAT）和文件目錄表（FDT）。文件目錄表是記載了文件的屬性信息的結(jié)構(gòu)體，一個文件要存儲的時候，同時記錄下該文件的文件名、創(chuàng)建時間、存儲位置、大小等關(guān)鍵信息，便于辨識和索引。一、文件目錄表結(jié)構(gòu)FAT32文件系統(tǒng)中所有用戶數(shù)據(jù)都從3簇開始的數(shù)據(jù)區(qū)。2簇是所有文件的根目錄區(qū)，由位于該分區(qū)根目錄下的多個文件目錄項組成。簇的大小及FAT表的大小等由分區(qū)格式化的過程定義的。格式化成功后，就確定好了2簇的位置及扇區(qū)數(shù)。格式化的過程將這個簇中的數(shù)據(jù)進行清空過程。在根目錄中，每32個字節(jié)（兩行）為1個目錄項。提醒：目錄項根據(jù)文件名的大小，分為（1）短文件名目錄（2）長文件名目錄在FAT32分區(qū)中，目錄也被當做文件來處理，不過目錄是一種特殊的文件，它的內(nèi)容就是目錄表，記錄了在該目錄下所有文件和子目錄的信息。一個目錄項占32個字節(jié)，在Winhex中便于觀察，顯示為兩行，記錄了一個文件的信息。下圖中共有6個文件目錄項，除了第3,5項為長文件名外，其余4項記錄了4個文件的信息。

提醒：短文件名目錄（文件名不超過7個字符）記錄了文件的絕大部分屬性。長文件名目錄只記錄完整文件名。都可通過模板查看一、文件目錄表結(jié)構(gòu)偏移數(shù)據(jù)含義00H～07H主文件名，如果不到8個字節(jié)，后面用空格填充。其中首字節(jié)為0H時表示為空目錄項，為E5H時表示文件被刪除，為05時表示實際該字節(jié)值為E5H。08H～0AH文件擴展名。0BH文件屬性，各位分別代表不同屬性，可以疊加。B7、B6：未用；B5：歸檔位；20HB4：子目錄（代表該文件是一個目錄或稱文件夾）；10HB3：卷標（根目錄下才有，也視為文件）；8HB2：系統(tǒng)位；4HB1：隱藏位；2HB0：只讀位。1H0F：長文件名目錄0CH保留未用。（0CH～15H在FAT16系統(tǒng)中均保留未用）0EH～0FH文件創(chuàng)建時間（格式同修改時間）。一、文件目錄表結(jié)構(gòu)重點提問：文件屬性27H表示含義？偏移數(shù)據(jù)含義10H～11H文件最后訪問日期（格式同修改日期）。12H～13H文件創(chuàng)建日期（格式同修改日期）。14H～15H文件起始簇號的高16位。16H～17H文件最后修改時間，其中高5位代表小時，中6位代表分鐘，低5位代表以2s為增量的秒。18H～19H文件最后修改日期，其中高7位代表從1980起始的年份偏移，中4位代表月份，低5位代表天。1AH～1BH文件起始簇號的低16位。1CH～1FH文件的長度（字節(jié)）。注1：文件名和擴展名始終為大寫字符，如果手工改為小寫字符，則無法打開文件。注2：文件屬性的卷標和子目錄位不可隨意疊加，否則文件便不能在目錄中列出。一、文件目錄表結(jié)構(gòu)假設(shè)在FAT32分區(qū)中，想給某個文件賦予只讀、隱藏、系統(tǒng)屬性，該如何操作？二、編輯文件屬性系統(tǒng)在訪問文件數(shù)據(jù)時，是通過文件目錄表來進行的，如果我們對文件目錄表中的信息進行“改造”，則有可能產(chǎn)生意想不到的結(jié)果。例如，如果將某文件屬性字節(jié)的卷標位和子目錄位同時置1，文件被徹底“隱藏”起來了，有些目錄加密軟件就是利用這個特性來達到隱藏文件的目的。二、編輯文件屬性文件的隱藏簇到扇區(qū)的轉(zhuǎn)換03一、簇到扇區(qū)的轉(zhuǎn)換在目錄表中給出了文件的起始簇號，那么該簇在FAT32分區(qū)中到底位于什么地方呢？一個已知簇所對應(yīng)的在本分區(qū)中扇區(qū)位置為：數(shù)據(jù)區(qū)起始扇區(qū)號＋（簇號－2）×每簇扇區(qū)數(shù)例如某文件起始簇號為5，每簇扇區(qū)數(shù)為8，數(shù)據(jù)區(qū)起始扇區(qū)號為10000，則此文件所在的扇區(qū)地址為10000＋（5－2）×8=10024。其中，數(shù)據(jù)區(qū)起始位置也就是首簇地址。為什么簇號要減2呢？因為，由于FAT中第0和1項為FAT起始標記，記錄是從第2項開始的。而數(shù)據(jù)區(qū)中的第0和1簇卻是不會保留的，因此FAT表中的第2項對應(yīng)著數(shù)據(jù)區(qū)的第0簇，所以簇號要減2，這個在FAT學(xué)習部分會講到。一、簇到扇區(qū)的轉(zhuǎn)換二、樹形目錄結(jié)構(gòu)除根目錄外，每個子目錄的目錄表中頭兩個目錄項都是“.”和“..”。（ASCII碼為2EH）其中，“.”指向該目錄本身，“..”指向該目錄的上級目錄（父目錄）。因此，我們在命令行中使用目錄切換命令“cd..”時，便可退到上層目錄。三、處理特異子目錄曾經(jīng)一段時間流行一種叫做“autorun”的病毒，這種病毒會在硬盤和U盤的根目錄下創(chuàng)建“autorun”子目錄，這個目錄無法打開，也不能刪除，但里面卻藏有病毒程序。這個病毒的原理是利用了文件系統(tǒng)漏洞，創(chuàng)建了一個特異的子目錄，只要我們熟悉對文件目錄表的操作，就能輕易地刪除掉這個特異目錄。工單任務(wù)-FAT32文件目錄表分析04任務(wù)實施

附件：工單任務(wù)

項目四

任務(wù)4.1.2FAT32文件目錄表結(jié)構(gòu)分析自足專業(yè)奮發(fā)有為總結(jié)與拓展05總結(jié)1.FAT32分區(qū)文件目錄表結(jié)構(gòu)。2.

文件屬性字段重要作用。3.

創(chuàng)建