海南軟件職業(yè)技術(shù)學(xué)院第3章

Windows

系統(tǒng)的數(shù)據(jù)恢復(fù)技術(shù)主編：王平均1.FAT32文件系統(tǒng)的結(jié)構(gòu)FAT32文件系統(tǒng)是從Windows95系統(tǒng)的OSR2版本開始使用的。它能夠支持容量大于32

MB且小于32GB的分區(qū)。雖然第三方的格式化程序可以把容量超過32GB的

分區(qū)格式化為FAT32文件系統(tǒng)，但微軟系統(tǒng)不允許將容量大于32GB

的分區(qū)格式化為

FAT32

文

件

系

統(tǒng)

。FAT32文

件

系

統(tǒng)由DBR及

其

保留

扇

區(qū)

、FAT1、FAT2、DATA區(qū)4個(gè)部分組成，如④FAT2FAT1DBR及其保留扇區(qū)3.1FAT32文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.1.1

FAT32文件系統(tǒng)的結(jié)構(gòu)與分析圖3-1FAT32文件系統(tǒng)的結(jié)構(gòu)圖3-

1所示。DATA區(qū)FAT32文件系統(tǒng)這4部分是在分區(qū)被格式化時(shí)創(chuàng)建出來的。它們的含義如下。DBR及其保留扇區(qū)：DOS引導(dǎo)記錄(Dos

Boot

Record,DBR)又稱操作系統(tǒng)引導(dǎo)記錄，而在DBR

之后往往有一些保留扇區(qū)。FAT1:FAT32文件系統(tǒng)一般有兩個(gè)文件分配表(

File

Allocation

Table,FAT),FAT1是FAT32文件系統(tǒng)的第一個(gè)文件分配表，也是主FAT。FAT2:FAT2是FAT32文件系統(tǒng)的第二個(gè)文件分配表，也就是FAT1的備份，又稱

備

份FAT。DATA區(qū)：也就是數(shù)據(jù)區(qū)，是FAT32文件系統(tǒng)的主要區(qū)域，其中也包含目錄區(qū)。3.1FAT32文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.1.1

FAT32文件系統(tǒng)的結(jié)構(gòu)與分析1.FAT32

文件系統(tǒng)的結(jié)構(gòu)Offset0

12

34

5

67

09

BDE

r000100000跳轉(zhuǎn)指令uuuiUuu0001000300001000400001000500001000600001000700001000800001000900001000A00001000B00001000C00001000D00001000E00001000F00001001000001001100001001200001001300001001400001001500001001600001001700001001800001001900001001A0

0001001BO0001001C00001001D00001001E00001001F0EB5890

4D

53444F

53eX

MSDOS5.0o

?yoy

OEM代號(hào)1)[LIúFAT32

3EINlō{IAIU

IN

IV@Is

1yylnf

LE@fNIa?÷alfAi

Af

·Ef÷áflFol~u81~*w2fIF

fIA》11e+éH

ú}'}l-

IAt

<yt》feiü}ea

u}eàlf

f

f`f;Fa

IJ

fj

fPSfh1~

1A》sUIV@f

I

uUI

A

I

pFBIV@lof°ufXfXfXAIEfIDfAe

÷v

101V@leA?

i,f

faITy

?

f@I

IqyANTLDRRemove

disksor

ot

hermedia.yDisk

errory

Pressany

1.

-下

結(jié)束標(biāo)志

Ue02

00

0000

F8

FF01

00

0680

00

2920

20460000005B4100DF004C54F8

003F

00

00

0098

FB33322000

BPB

20352E

303F

00

FF1

00

00〕1

00

002020

20000000002002

08

22

0000

08

00

0002

00

000000

00

00

0020

20

20

207BCDB6C92A0184EE8E13D1660000COA0C17380F777E874FB8E05E2E1322BD9B93FBD

FF2020

0300884EFF

8A

F1660F

B633

C9

028A8E56D1

BC40

B408F4ED

I06C640660F41660FB7F7

E286

CD

C0668946

F8837E

16007538837E

668B

461C

6683

C0

OC

BB

0080

B900

E94803

A0

FA

7D

B47D

8B

F0

AC173C

FF

7409

B4

OE

BB

0700

CD

10

EB7D

EB

E5

AO

F9

7D

EB

E098

CD

16

CD

193B

46

F80F

824A

00666A

00665006

10000100807E

0200

OF

852000

B4558A5640

CD

13

OF

821C

0081

FB

5566606653

666841

BBAAAAOF85140042

8A

56408B

引導(dǎo)程序OD

00

FE

4602

B4

66586658665866

58

C28AEBCA2A668B6633D266

D066

C1OFEAB74E101866

F7

F1

FE

F7761A

86

D68A56

408A

E8

CO

E4060A

CC

B80102

CD

136661

0F

82

54

FF

81

C300026640490F

8571

FF

C34E

54

4C4452202020202020000000000000

00

00

001

00000000000000000000000000

00000000000000000000000000000000

00000000000000

00000000

OD

OA

5265

6D

6F

7665206469736B

73206F

72206F

7468

6572206D

656469

612E

FF

OD

OA

446973

6B

206572726F

72

FF

OD

OA

507265737320

616E79206B657920746F20726573746172740D

OA

0000000000

AC

CB

D8000055

AA3.1

FAT32文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.1.1

FAT32文件系統(tǒng)的結(jié)構(gòu)與分析2.FAT32

文件系統(tǒng)的DBR

分析FAT32文件系統(tǒng)的DBR與FAT16

文件系統(tǒng)的DBR

很類似，也由5部

分組成，分別為跳轉(zhuǎn)指令、OEM代號(hào)、BPB(BIOSParameterBlock)、引導(dǎo)程序和結(jié)束標(biāo)志。如圖3-2

所示即為一個(gè)完整的FAT32文件系

統(tǒng)

的DBR。圖3-2一個(gè)完整的FAT32文件系統(tǒng)的DBRfXe*f30fN

f÷np1)跳轉(zhuǎn)指令跳轉(zhuǎn)指令占用2個(gè)字節(jié)。它將程序執(zhí)行流程跳轉(zhuǎn)到引導(dǎo)程序處，比如當(dāng)前DBR中

的

“EB58”

,

就代表了匯編語言的“JMP58”

。

因?yàn)橛?jì)算跳轉(zhuǎn)目標(biāo)地址是以該指令

的下一個(gè)字節(jié)為基準(zhǔn)，所以實(shí)際執(zhí)行的下一條指令應(yīng)該位于5A。跳轉(zhuǎn)指令的下一條指令是一條空指令NOP(90H)。2)OEM

代號(hào)OEM代號(hào)占用8個(gè)字節(jié)。OEM

代號(hào)由創(chuàng)建該文件系統(tǒng)的OEM廠商設(shè)定。當(dāng)前DBR中的OEM代號(hào)為“MSDOS5.0”,說明此FAT32文件系統(tǒng)是由Windows

2000以上的操作系統(tǒng)格式化創(chuàng)建的。3.1

FAT32文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.1.1FAT32文件系統(tǒng)的結(jié)構(gòu)與分析偏移地址字段長度/個(gè)字節(jié)含

義偏移地址字段長度/個(gè)字節(jié)含

義0BH2每扇區(qū)字節(jié)數(shù)28H2擴(kuò)展標(biāo)志ODH1每簇扇區(qū)數(shù)2AH2版本0EH2DBR保留扇區(qū)數(shù)2CH4根目錄首簇號(hào)10H1FAT個(gè)數(shù)30H2文件系統(tǒng)信息扇區(qū)號(hào)11H2未用32H2DBR備份扇區(qū)號(hào)13H2未用34H12保留不用15H1介質(zhì)描述符40H1BIOS驅(qū)動(dòng)器號(hào)16H2未用41H1保留不用18H2每磁道扇區(qū)數(shù)42H1擴(kuò)展啟動(dòng)標(biāo)志1AH2磁頭數(shù)43H4卷序列號(hào)1CH4隱含扇區(qū)數(shù)47H11卷標(biāo)20H4分區(qū)的扇區(qū)總數(shù)52H8文件系統(tǒng)類型24H4FAT扇區(qū)數(shù)3)BPBFAT32文件系統(tǒng)的BPB

從DBR

的第12個(gè)字節(jié)

(OBH)

開始，占用79個(gè)字節(jié)，記錄了有關(guān)該文件系統(tǒng)的重要信息。

FAT32文件系統(tǒng)的BPB各字段的含義如表3-1所示。表3-1

FAT32文件系統(tǒng)的BPB各字段的含義3.1

FAT32文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.1.1

FAT32文件系統(tǒng)的結(jié)構(gòu)與分析標(biāo)題.LNK

FILE

Record盛.LNK

FILE

Record

(non-Unicode)ExFAT用戶文件目錄項(xiàng)ExFAT用戶文件目錄項(xiàng)exfa引導(dǎo)扇區(qū)一Ext2/Ext3節(jié)點(diǎn)一Ext2/Ext3目錄項(xiàng)Ext2/Ext3組描述一Ext2/Ext3/Ext4超級(jí)選塊=FAT目錄項(xiàng)=FAT引導(dǎo)扇區(qū)FAT長文件名項(xiàng)GPT保護(hù)MBH模板=GPT磁盤分區(qū)表二GPT分區(qū)表GPT頭備份模板=GPT頭模板=HFS+B-Tree

Header描述tobeappliedto

LNK

files

to

extract

further

datatobeapplied

to

.LNK

files

to

extract

further

dataLong

entry

format用戶文件關(guān)鍵目錄項(xiàng)EXFAT分區(qū)引導(dǎo)扇區(qū)包含文件中繼信息(節(jié)點(diǎn)大小128個(gè)字節(jié))定位特定文件的信息節(jié)點(diǎn)定位選塊組應(yīng)用到偏移地址的一個(gè)Ext2/3/4分區(qū)的1024標(biāo)準(zhǔn)短項(xiàng)格式FAT12/16文件系統(tǒng)的BPB參數(shù)長項(xiàng)格式F

AT

3

2

文

件

系

統(tǒng)GPT磁盤分區(qū)的保護(hù)MBR

的

D

B

R

模

板

一次查看所有分區(qū)表項(xiàng)GPT磁盤分區(qū)的分區(qū)表，在233號(hào)扇區(qū)，計(jì)32個(gè)扇區(qū)GPT磁盤分區(qū)的GPT頭備份分析，最后一個(gè)扇區(qū)GPT磁盤分區(qū)的GPT頭分析，1號(hào)扇區(qū)Tobeappliedto

the

beginning

of

aB-Tree

file3)BPBBPB也可以使用

WinHex

中的DBR

模板

來查看。

WinHex的模

板管理器提供了FAT32

文件系統(tǒng)的DBR模板。

打開WinHex

的“模板

管理器”對(duì)話框，選

擇FAT32文件系統(tǒng)的DBR模板即可，如圖3-3所示。3.1

FAT32文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.1.1

FAT32文件系統(tǒng)的結(jié)構(gòu)與分析模板管理器

×新

建(N)..編輯(E).

..刪除[D]...圖3-3“模板管理器”對(duì)話框關(guān)閉(L)

應(yīng)用

(

P

!

《FAT32

扇區(qū)10002410002810002810002A10002C1000301000321000341000401000411000421000431000431000471000521001FEFAT扇區(qū)數(shù)(扇區(qū)/FAT)擴(kuò)展標(biāo)志FAT

mirroringdisabled?版本(通常為0)根目錄首簇號(hào)文件系統(tǒng)信息扇區(qū)號(hào)DBR備份扇區(qū)號(hào)(保留)BIOS

設(shè)備號(hào)(Hex,HD=8×)

(保留)擴(kuò)展啟動(dòng)標(biāo)志(29H)卷序列號(hào)(十進(jìn)制)卷序列號(hào)(十六進(jìn)制)卷標(biāo)文件系統(tǒng)類型結(jié)束標(biāo)志(55AA)55AA3.1FAT32文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.1.1FAT32文件系統(tǒng)的結(jié)構(gòu)與分析海南軟件職業(yè)技術(shù)學(xué)院3)BPB單擊“應(yīng)用”

按鈕后，就可以查看FAT32文件系統(tǒng)的DBR

模板信息，如圖3-4所

示

。10000B

扇區(qū)大小(字節(jié)扇區(qū))10000D

簇大小(扇區(qū)簇)10000E

DOS保留扇區(qū)數(shù)100010

FAT個(gè)數(shù)100011

目錄項(xiàng)數(shù)100013

扇區(qū)總數(shù)(描述<32M,FAT32不使用)100015

介質(zhì)描述符100016

FAT大小(FAT32文件系統(tǒng)不使用)

100018

每磁道扇區(qū)數(shù)(扇區(qū)磁道)10001A

磁頭數(shù).255.邏輯值10001C隱含扇區(qū)數(shù)(從O到DBR的扇區(qū)數(shù))100020

分區(qū)的扇區(qū)總數(shù)512834200F8063255204816775168163510002160000000000000000000000008002942210622355B

4C98FBFAT32FAT32

引導(dǎo)扇區(qū)，基本偏移：100000圖3-4FAT32文件系統(tǒng)的DBR模板EB5890MSDOS5.0Offset10000p100003跳轉(zhuǎn)指令

OEM標(biāo)志BIOS

參數(shù)塊數(shù)值標(biāo)

題3)BPB(1)OBH～OCH:每扇區(qū)字節(jié)數(shù)，以記錄每個(gè)邏輯扇區(qū)的大小。在一般情況下，

每個(gè)扇區(qū)有512個(gè)字節(jié)。但每個(gè)扇區(qū)字節(jié)數(shù)并不是固定值，可以由程序定義，其合

法值包括512、1024、2048和4096等。(2)ODH～0DH

:

每簇扇區(qū)數(shù)，以記錄FAT32文件系統(tǒng)的簇的大小，即記錄每個(gè)

簇中有多少個(gè)扇區(qū)。FAT32文件系統(tǒng)最高能支持128個(gè)扇區(qū)的簇。在FAT32文件系統(tǒng)中，所有的簇均

從2開始進(jìn)行編號(hào)，每個(gè)簇?fù)碛幸粋€(gè)自己的地址編號(hào)，且所有的簇都位于數(shù)據(jù)區(qū)內(nèi)，

在數(shù)據(jù)區(qū)之前是沒有簇的。3.1

FAT32文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.1.1

FAT32文件系統(tǒng)的結(jié)構(gòu)與分析3)BPB(3)OEH～0FH:DBR

保留扇區(qū)數(shù)。DBR

保留扇區(qū)數(shù)是指DBR

本身占用的扇區(qū)數(shù)

及其后保留扇區(qū)數(shù)的總和，也就是DBR

到FATI之間的扇區(qū)總數(shù)，或者說是FATI的開始

扇區(qū)號(hào)。對(duì)于FAT32

文件系統(tǒng)來說，

DBR保留扇區(qū)數(shù)的取值范圍是32～38。(4)10H:FAT

個(gè)數(shù)。FAT個(gè)數(shù)描述了在FAT文件系統(tǒng)中存在著幾個(gè)FAT,一般在

FAT文件系統(tǒng)中都有兩個(gè)FAT。(5)11H～12H:未用。這兩個(gè)字節(jié)在FAT16文件系統(tǒng)中用來表示FDT最大能容

納的目錄項(xiàng)數(shù)。因FAT32文件系統(tǒng)沒有固定的FDT,所以不使用這個(gè)參數(shù)。3.1

FAT32文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.1.1

FAT32文件系統(tǒng)的結(jié)構(gòu)與分析(6)13H～14H:未用。這兩個(gè)字節(jié)在FAT16文件系統(tǒng)中用來表示小于32MB分

區(qū)的扇區(qū)總數(shù)。因FAT32文件系統(tǒng)的分區(qū)總是大于32

MB,所以不使用這個(gè)參數(shù)。(7)15H:

介質(zhì)描述符。介質(zhì)描述符是描述磁盤介質(zhì)的參數(shù)，一般會(huì)根據(jù)磁盤

性質(zhì)的不同取不同的值。(8)16H～17H

:未用。這兩個(gè)字節(jié)在FAT16文件系統(tǒng)中用來表示每個(gè)FAT包含的

扇區(qū)數(shù)，但在FAT32文件系統(tǒng)不使用這個(gè)參數(shù)。(9)18H～19H

:每磁道扇區(qū)數(shù)。這是邏輯C/H/S中的一個(gè)參數(shù)，其值一般為63。(10)1AH～1BH:磁頭數(shù)。這是邏輯C/H/S中的一個(gè)參數(shù)，其值一般為255。3.1

FAT32文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.1.1

FAT32文件系統(tǒng)的結(jié)構(gòu)與分析3)BPB3)BPB(11)1CH～1FH:隱含扇區(qū)數(shù)。隱含扇區(qū)數(shù)是指在本分區(qū)之前使用的扇區(qū)數(shù)，

與分區(qū)表中所描述的該分區(qū)的起始扇區(qū)號(hào)一致。對(duì)于主磁盤分區(qū)來講，隱含扇區(qū)數(shù)

是MBR到該分區(qū)DBR

間的扇區(qū)數(shù)；對(duì)于擴(kuò)展分區(qū)中的邏輯驅(qū)動(dòng)器來講，隱含扇區(qū)數(shù)

是EBR到該分區(qū)DBR

間的扇區(qū)數(shù)。(12)20H～23H:分區(qū)的扇區(qū)總數(shù)。分區(qū)的總扇區(qū)數(shù)也就是FAT32文件系統(tǒng)分

區(qū)的大小。(13)24H～27H:FAT

扇區(qū)數(shù)。這4個(gè)字節(jié)用來記錄FAT32文件系統(tǒng)分區(qū)中每個(gè)

FAT占用的扇區(qū)數(shù)。(14)28H～29H:擴(kuò)展標(biāo)志。這兩個(gè)字節(jié)用于表示FAT2是否可用，當(dāng)將其二進(jìn)

制數(shù)最高位置1時(shí)，表示只有FAT1可用，否則FAT2也可用。3.1FAT32文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.1.1FAT32文件系統(tǒng)的結(jié)構(gòu)與分析(15)2AH～2BH:版本。這兩個(gè)字節(jié)通常都為0。(16)2CH～2FH:根目錄首簇號(hào)。分區(qū)在被格式化為FAT32文件系統(tǒng)時(shí)，格式

化程序會(huì)在數(shù)據(jù)區(qū)中指派一個(gè)簇作為FAT32文件系統(tǒng)的根目錄區(qū)的起始點(diǎn)，并把該

簇號(hào)記錄在BPB

中。在通常情況下，數(shù)據(jù)區(qū)的第1簇(也就是2號(hào)簇)被分配給根目

錄使用。(17)30H～31H:

文件系統(tǒng)信息扇區(qū)號(hào)。(18)32H～33H:DBR

備份扇區(qū)號(hào)。

FAT32文件系統(tǒng)在DBR的保留扇區(qū)中設(shè)定了

一個(gè)DBR的備份，一般在6號(hào)扇區(qū)，也就是分區(qū)的第7個(gè)扇區(qū)。該備份扇區(qū)與原DBR的

內(nèi)容完全一樣，如果原DBR

遭到破壞，可以使用備份扇區(qū)進(jìn)行修復(fù)。3.1

FAT32文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.1.1

FAT32文件系統(tǒng)的結(jié)構(gòu)與分析3)BPB3.1

FAT32文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.1.1

FAT32文件系統(tǒng)的結(jié)構(gòu)與分析3)BPB(19)34H～3FH:

保留不用。這12個(gè)字節(jié)一般保留不用。(20)40H:BIOS

驅(qū)動(dòng)器號(hào)。這是BIOS的INT

13H所描述的設(shè)備號(hào)碼，一般把硬

盤定義為8×H。(21)41H:保留不用。這個(gè)字節(jié)保留不用，為0。(22)42H:擴(kuò)展啟動(dòng)標(biāo)志。擴(kuò)展啟動(dòng)標(biāo)志可以用來確認(rèn)后面的3個(gè)參數(shù)是否

有效，

一般值為29H。(23)43H～46H:卷序列號(hào)。卷序列號(hào)是格式化程序在創(chuàng)建文件系統(tǒng)時(shí)生成

的一組4個(gè)字節(jié)的隨機(jī)數(shù)值。3)BPB(24)47H～51H:卷標(biāo)。卷標(biāo)是用戶在創(chuàng)建文件系統(tǒng)時(shí)指定的一個(gè)卷的名稱。

Windows

98之前的系統(tǒng)把卷標(biāo)記錄在這個(gè)地址處，Windows

2000之后的系統(tǒng)已經(jīng)不

再使用這個(gè)地址記錄卷標(biāo)，而是由一個(gè)目錄項(xiàng)來管理卷標(biāo)。(25)52H～59H:

文件系統(tǒng)類型，是BPB的最后一個(gè)參數(shù)，直接用ASCII記錄當(dāng)

前分區(qū)的文件系統(tǒng)類型。3.1

FAT32文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.1.1

FAT32文件系統(tǒng)的結(jié)構(gòu)與分析3.1

FAT32文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.1.1

FAT32文件系統(tǒng)的結(jié)構(gòu)與分析4)引導(dǎo)程序FAT32文件系統(tǒng)的DBR

引導(dǎo)程序占用420個(gè)字節(jié)(5AH～1FDH)。在Windows

98

之前的系統(tǒng)中，引導(dǎo)程序負(fù)責(zé)完成DOS3個(gè)系統(tǒng)文件的裝入；在Windows2000之后

的系統(tǒng)中，其負(fù)責(zé)將系統(tǒng)文件NTIDR裝入。對(duì)于沒有安裝操作系統(tǒng)的分區(qū)來說，引

導(dǎo)程序沒有用處。5)結(jié)束標(biāo)志DBR

的結(jié)束標(biāo)志與MBR、EBR

的結(jié)束標(biāo)志相同，為“55AA”。1)FAT

的作用及結(jié)構(gòu)特點(diǎn)(1)FAT32

文件系統(tǒng)的FAT也是由FAT項(xiàng)構(gòu)成的。每個(gè)FAT項(xiàng)的大小為32位(相當(dāng)于

4個(gè)字節(jié))。(2)雖然FAT32文件系統(tǒng)的FAT項(xiàng)為32位，但是Windows系統(tǒng)只能用到26位。26位

的FAT項(xiàng)最多可管理67108863個(gè)簇。(3)Windows2000之后的系統(tǒng)能管理的簇的大小可以達(dá)到128個(gè)扇區(qū)(64

KB)。(4)在FAT32文件系統(tǒng)的FAT中，未使用的簇對(duì)應(yīng)的FAT項(xiàng)用“00000000”這4個(gè)

字節(jié)表示；

一個(gè)已分配的簇號(hào)對(duì)應(yīng)的FAT項(xiàng)的取值范圍是十六進(jìn)制“0

0000002~OFFFFFFE

”;

在十六進(jìn)制

“OFFFFFF0～0FFFFFF6”范圍間的取值是保留的；壞簇對(duì)

應(yīng)的FAT項(xiàng)用“OFFFFFF7”這4個(gè)字節(jié)的十六進(jìn)制數(shù)表示；文件結(jié)束簇對(duì)應(yīng)的FAT項(xiàng)

的取值范圍是十六進(jìn)制“OFFFFFF8～0FFFFFFF”,一般取“OFFFFFFF”,按照Little-

Endian的字節(jié)序來寫就是“FFFFFFOF”。3.1

FAT32文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.1.1FAT32文件系統(tǒng)的結(jié)構(gòu)與分析3.FAT32文件系統(tǒng)的FAT分析下面模擬操作系統(tǒng)定位FAT32文件系統(tǒng)FAT的方法。操作系統(tǒng)定位FAT1的方法如下。(1)系統(tǒng)通過該分區(qū)的分區(qū)表信息，定位到其DBR扇區(qū)。(3)讀取HDOR+編移丸數(shù)的參數(shù)的堡留扇跳數(shù)到參數(shù)區(qū)的翦傅扇B8,這

里

就是FAT1的開始。3.1

FAT32文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.1.1FAT32文件系統(tǒng)的結(jié)構(gòu)與分析2)FAT

的實(shí)際應(yīng)用OffsetC0號(hào)FAT項(xiàng)3

1

號(hào)

F

A

T

項(xiàng)

7

(2號(hào)FAT項(xiàng)B

3

號(hào)

F

A

T

項(xiàng)

FF8

FF

FF

OF

FF

FF

FF

FF

QJ000004000000004010000004020000004030000004040000004050000004060000004070八FF

FF

FF0F

FF]

FF

FF

OFFF

FF

FF

OF

FF

FF

FFl0F000000100

00

00

00

00ayyyyyyyyy

yyyyyy

yyy014號(hào)FAT項(xiàng)0000

00

00

0000

00

00

0000

00

00

00

00

00

00

00

00

00

00

005號(hào)FAT項(xiàng)

0000

0000

00

00

001

001

0000

00

00

00

00

00

00

0000

00

00

00八00

0000

0000

0000

0000

00001

0000000000000000000000000000000000000000000000000000

0000

0000

00000000000000該分區(qū)是剛格式化的一個(gè)分區(qū)。當(dāng)把分區(qū)格式化為FAT32文件系統(tǒng)時(shí)，格式化程序會(huì)把分配給FAT的所有扇區(qū)都清零，然后寫入0號(hào)FAT項(xiàng)和1號(hào)FAT項(xiàng)

。FAT1的內(nèi)容如

圖3-5所示。3.1

FAT32文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.1.1FAT32文件系統(tǒng)的結(jié)構(gòu)與分析下面就具體分析38號(hào)扇區(qū)的數(shù)據(jù)結(jié)構(gòu)。圖3-5FAT1的內(nèi)容入A_從圖3-5中可以看出，每個(gè)FAT項(xiàng)占用4個(gè)字節(jié)，其中0號(hào)FAT項(xiàng)描述介質(zhì)類型，其首字節(jié)為“F8”,

表示介質(zhì)類型為硬盤；1號(hào)FAT項(xiàng)為骯臟標(biāo)志；2號(hào)FAT項(xiàng)為結(jié)束標(biāo)

志，從DBR

的BPB中可以看到根目錄的首簇號(hào)是2,而2號(hào)簇對(duì)應(yīng)的2號(hào)FAT項(xiàng)是一個(gè)結(jié)

束標(biāo)志，說明目前根目錄只占一個(gè)簇；從5號(hào)FAT項(xiàng)開始之后都是空FAT項(xiàng)，表示它們

對(duì)應(yīng)的簇為可用簇。001

00

00OffsetC0號(hào)FAT項(xiàng)3

1號(hào)FAT項(xiàng)7

(2號(hào)FAT項(xiàng)B

3號(hào)FAT項(xiàng)F8

FF

FF

OF

FF

FF

FF

FF

FF

FF

FF

0F

FF

FF

FF

OFFQJ000004000000004010000004020000004030000004040000004050000004060000004070FF

FF

FF

OF

FF

FF

FF

0F

00

00

00

00

00zyy

yyyyyyy

yyyyyy

yyy014號(hào)FAT項(xiàng)0000

00

00

00

00

00

00

0000

00

00

0000

00

00

0000

00

00

0005號(hào)FAT項(xiàng)

00

000000

00

00

00

00

0000

00

0000

00

0000000000000000000000000000000000000000000000000000000000000000000000000000000000000000

0000

0000

00000000

000000n0000

2

n

^

2

n

一^2

一

^2圖3-5

FAT1的內(nèi)容3.1

FAT32文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.1.1FAT32文件系統(tǒng)的結(jié)構(gòu)與分析Offset0

1

2

3

4

5

6

78

9

A

B

C

D

E

F/人000803000000803010000803020000803030000803040000803050000803060000803070nnn80308nF8

FF

FF

OF

FF

FF

FF

FF

FF

FF

FF

OF

FF

FF

FF

OFFFFF

FFOFFFFF

FFOF

000000000000000000

00000000000000

0000000000000000

0000000000000000

0000000000000000

00

000000000000000000000000000000

00

00

0000

00

00000000000000

00

00

000000

00

000000000000

0000000000000000

00000000000000000000000000000000nn

nn

nn

nn

nn

nn

nn

nn

nn

nn

nn

nn

nn

nn

nn

nnayyyyyyyyy

yyyyyy

yyy讀取DBR的OEH—OFH偏移地址，得到

“DBR保留扇區(qū)數(shù)”的值為38。讀取DBR

的24H—27H偏移地址，得到“每個(gè)FAT扇區(qū)數(shù)”的值為561。用

“DBR

保留扇區(qū)數(shù)”的值加上“每個(gè)FAT扇區(qū)數(shù)”的值，結(jié)果等于599,跳轉(zhuǎn)到該分區(qū)的599號(hào)扇區(qū)，這里就是FAT2的開始。

FAT2跟FAT1的內(nèi)容完全一樣。FAT2的

內(nèi)容如圖3-6所示。3.1FAT32文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.1.1FAT32文件系統(tǒng)的結(jié)構(gòu)與分析操作系統(tǒng)定位FAT2的方法如下。操作系統(tǒng)通過該分區(qū)的分區(qū)表信息，定位到其DBR

扇區(qū)。圖3-6

FAT2的內(nèi)容除了0號(hào)FAT項(xiàng)和1號(hào)FAT項(xiàng)以外，如果一個(gè)FAT項(xiàng)為非零值，那么可能有以下3種

情

況

。(

1

)

該FAT項(xiàng)映射的簇是一個(gè)不可用的壞簇，在該FAT項(xiàng)中有壞簇標(biāo)志(對(duì)于

FAT32來說為“OFFFFFF7”

)。(

2

)

該FAT項(xiàng)映射的簇是某個(gè)文件的最后一個(gè)簇，在該FAT項(xiàng)中有結(jié)束標(biāo)志(對(duì)

于FAT32來說為“OFFFFFFF”

)。(

3

)

該FAT項(xiàng)映射的簇被某個(gè)文件占用，但并不是文件的最后一個(gè)簇，在該FAT項(xiàng)中有文件下一個(gè)簇的簇號(hào)。3.1FAT32文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.1.1FAT32文件系統(tǒng)的結(jié)構(gòu)與分析0

1

2

3

4

5

6

F8FF

FF

OF

FF

FF

FF

FF

1FF

FF

FF

OF

FF

FF

FF

OF0000

00000000|0000000ooo_00000oYao_0000‘4號(hào)FAT項(xiàng)JO

OC5號(hào)FAT項(xiàng)J000

00

000000

00

000000

00

00

00

00

00

000000

00

00

00

0000

000000

0000

00

000000000000000000000000舉例來說，假設(shè)某個(gè)文件被分配到數(shù)據(jù)區(qū)的3、4、5這3個(gè)簇中存放，3號(hào)簇會(huì)在該文件的目錄項(xiàng)中被記錄，4號(hào)簇和5號(hào)簇則在FAT表中被記錄，而記錄的方法是

在3號(hào)簇所映射的3號(hào)FAT項(xiàng)中記錄簇號(hào)“4”,在4號(hào)簇所映射的4號(hào)FAT項(xiàng)中記錄簇

號(hào)“5”,在5號(hào)簇所映射的5號(hào)FAT項(xiàng)中記錄結(jié)束標(biāo)志“OFFFFFFF”。FAT項(xiàng)實(shí)例如圖

3-7所示。00

000000

000000000000,000000

00

3號(hào)FAT項(xiàng)0000

00

UU

UU

UU

0000

00

0000

0000

00

00

0000000000

00

00

001

000000

00

00

001

000000000000000000003.1

FAT32文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.1.1FAT32文件系統(tǒng)的結(jié)構(gòu)與分析Offset0000040000000040100000040200000040300000040400000040500000040600000040700000040800000040907

8

9

A

B

C

D

E

FFF

FF

FF

OF

FF

FF

FF

OF00000000000000

0000

0000

0000000000eyy

yyyyyyy

yyyyyy

yyy圖3-7FAT項(xiàng)實(shí)例此處的數(shù)值字節(jié)序?yàn)椤癓ittle-Endian”,比如3號(hào)FAT項(xiàng)中的值從高位往低位讀取應(yīng)該是“00000004”

,也就是十進(jìn)制數(shù)“3”。那么如何定位每個(gè)FAT項(xiàng)在FAT中的偏移地址呢?這個(gè)很簡(jiǎn)單，在FAT32文件系統(tǒng)中，每個(gè)FAT項(xiàng)占用4個(gè)字節(jié)，所以只要把FAT項(xiàng)號(hào)乘以4,得到的結(jié)果就是該FAT項(xiàng)在

FAT中的起始偏移地址。例如，要想知道100號(hào)FAT項(xiàng)在FAT中的偏移地址，就用100乘

以4得到結(jié)果400,從FAT的起始位置算起的400號(hào)偏移地址就是100號(hào)FAT項(xiàng)在FAT中的起始偏移地址。另外，也可以用WinHex

方便地找到每個(gè)FAT項(xiàng)的起始地址，在菜單欄中，選擇“位置”→

“轉(zhuǎn)至FAT記錄”命令就可以實(shí)現(xiàn)這個(gè)功能。3.1

FAT32文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.1.1FAT32文件系統(tǒng)的結(jié)構(gòu)與分析1)數(shù)據(jù)區(qū)的位置FAT32文件系統(tǒng)的數(shù)據(jù)區(qū)是緊跟在FAT2之后的。下面模擬操作系統(tǒng)定位數(shù)據(jù)區(qū)的方

法。這里以圖3-2中的DBR所在分區(qū)為例，介紹操作系統(tǒng)定位數(shù)據(jù)區(qū)的方法如下。(1)系統(tǒng)通過該分區(qū)的分區(qū)表信息，定位到其DBR扇區(qū)。(2)讀取DBR的OEH—OFH偏移地址，得到“DBR保留扇區(qū)數(shù)”的值為32。(3)讀取DBR

的24H—27H偏移地址，得到“每個(gè)FAT扇區(qū)數(shù)”的值為16376。(

4

)

用

“DBR保留扇區(qū)數(shù)”的值加上2倍的“每個(gè)FAT扇區(qū)數(shù)”的值，結(jié)果等于

32784,跳轉(zhuǎn)到該分區(qū)的32784號(hào)扇區(qū)，這里就是數(shù)據(jù)區(qū)的起始位置。3.1FAT32文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.1.1FAT32文件系統(tǒng)的結(jié)構(gòu)與分析4.FAT32

文件系統(tǒng)的數(shù)據(jù)區(qū)分析2)數(shù)據(jù)區(qū)的內(nèi)容FAT32文件系統(tǒng)數(shù)據(jù)區(qū)的內(nèi)容主要由3部分組成：根目錄、子目錄和文件內(nèi)容。在數(shù)據(jù)區(qū)中，操作系統(tǒng)是以“簇”為單位來管理這段空間的，第一個(gè)簇的編號(hào)為

“2”。根據(jù)該例子中DBR的BPB記錄的“根目錄首簇號(hào)”為2,可以確定2號(hào)簇被分

配給了根目錄。通過模擬操作系統(tǒng)定位數(shù)據(jù)區(qū)的方法，可以確定數(shù)據(jù)區(qū)開始于分區(qū)的1160號(hào)扇區(qū)。1160號(hào)扇區(qū)的內(nèi)容如圖3-8所示。區(qū)32784/67106816每簇字節(jié)數(shù)：空余簇：簇總數(shù)：每扇區(qū)字節(jié)數(shù)：可用扇區(qū)：數(shù)據(jù)扇區(qū)起始位置：物理磁盤：16,3842,096,0592,096,06351267,074,0163278420010020000010020100010020200010020300010020400010020500010020600010020700010020800010020900010020A00010020BO42200049006E

0066006F

00

OF

007272006D

00610074006900

6F

0000006E

00000153007900730074006500OF00726D00

200056006F

006C

00

750000006D

00650053

595354454D

7E

31202020160073117FF54C

F54C

0000127F

F54C

03000000000000

00

0000000000000000000000000000

00

00000000000000000000000000

000000

00000000000000

000000000000000000000000000000000000000000000000

0000000000000000000000000000000000000000000000000000000000000000B

I

n

fo

rr00|matio

nSyste

rm

Vo1

u

meSYSTEM~1

sδLOL

OL顯示時(shí)區(qū)：模式：字符集偏移地址：每頁字節(jié)數(shù)：當(dāng)前窗口3.1

FAT32文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.1.1FAT32文件系統(tǒng)的結(jié)構(gòu)與分析

偏移地址：

1002000

圖3-81160號(hào)扇區(qū)的內(nèi)容original十六進(jìn)制ANSIASCII十六進(jìn)制32x16=512=662每簇字節(jié)數(shù)：空余簇：簇總數(shù)：每扇區(qū)字節(jié)數(shù)：可用扇區(qū)：數(shù)據(jù)扇區(qū)起始位置：物理磁盤：16,3842,096,0562,096,06351267,074,016327840010020000010020100010020200010020300010020400010020500010020600010020700010020800010020900010020A00010020B00010020C042200049006E

0066

006F

000F

007272006D006100740069006F0000006E0000000153007900730074006500

OF

00726D

00200056

00

6F

006C00

750000006D0065005359

53

5445

4D

7E

31

202020160073117F

F54CF5

4C

00

00127F

F54C

030000000000464154

33322020205458542010078C

8E

F54CF54C

0000928E

F54C

080005000000

2452454359434C45

42494E

1600268C

8E

F54CF54C

00008D

8E

F54C

060000000000

000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000B

I

n

f

o

rrmati

o

nS

y

s

te

rmVo1

u

meSYSTEM~1S

δLδL

δLFAT32

TXT

1l

δLoL

'_18L'SRECYCLEBIN&Il

?L?L

Ⅰ8L2顯示時(shí)區(qū)：模式：字符集偏移地址：每頁字節(jié)數(shù)：當(dāng)前窗口·在分區(qū)的根目錄項(xiàng)中存入文件，數(shù)據(jù)區(qū)就有數(shù)據(jù)了?，F(xiàn)在在該分區(qū)下存入一個(gè)文件，再查看數(shù)據(jù)區(qū)的2號(hào)簇，如圖3-9所示。34,358,b89,192字節(jié)3.1

FAT32文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.1.1FAT32文件系統(tǒng)的結(jié)構(gòu)與分析扇區(qū)32784/67106816

偏移地址：

1002060

=70original十六進(jìn)制ANSIASCIl十六進(jìn)制32x16=512200M5.FAT32

文件系統(tǒng)的目錄項(xiàng)分析在FAT32文件系統(tǒng)中，分區(qū)根目錄下的文件及文件夾的目錄項(xiàng)存放在根目錄區(qū)中；

分區(qū)子目錄下的文件及文件夾的目錄項(xiàng)存放在子目錄區(qū)中；根目錄區(qū)和子目錄區(qū)都

在數(shù)據(jù)區(qū)中。FAT32文件系統(tǒng)的目錄項(xiàng)與FAT16文件系統(tǒng)的目錄項(xiàng)一樣，都可以分為短文件名目錄項(xiàng)、長文件名目錄項(xiàng)、“.”目錄項(xiàng)和“..”目錄項(xiàng)、卷標(biāo)目錄項(xiàng)4類。在FAT32文件系統(tǒng)的4類目錄項(xiàng)中，只有文件名目錄項(xiàng)的結(jié)構(gòu)跟FAT16文件系統(tǒng)的稍有區(qū)別，其他3類都完全一樣，所以本節(jié)就不再重復(fù)講解文件名目錄項(xiàng)、目錄項(xiàng)

和錄項(xiàng)及卷標(biāo)目錄項(xiàng)的具體結(jié)構(gòu)了3.1

FAT32文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.1.1FAT32文件系統(tǒng)的結(jié)構(gòu)與分析偏移地址字段子度含

義00H8主文件名08H3文件擴(kuò)展名OBH1文件屬性00000000(讀/寫)00000001(只讀)00000010(隱含)00000100(系統(tǒng))00001000(卷標(biāo))00010000(子目錄00100000(存檔)3.1

FAT32文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.1.1FAT32文件系統(tǒng)的結(jié)構(gòu)與分析FAT32文件系統(tǒng)的短文件名目錄項(xiàng)各字段的含義如表3-2所示。表3-2

FAT32文件系統(tǒng)的短文件名目錄項(xiàng)各字段的含義海南軟件職業(yè)技術(shù)學(xué)偏移地址字段長度/個(gè)字節(jié)含

義OCH1未用ODH1文件創(chuàng)建時(shí)間精確到10msOEH2文件創(chuàng)建時(shí)間，包括時(shí)、分、秒10H2文件創(chuàng)建日期，包括年、月、日12H2文件最近訪問日期，包括年、月、日14H2文件起始簇號(hào)的高位16H2文件修改時(shí)間，包括時(shí)、分、秒18H2文件修改日期，包括年、月、日1AH2文件起始簇號(hào)的低位1CH4文件大小(以字節(jié)為單位)3.1

FAT32文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.1.1FAT32文件系統(tǒng)的結(jié)構(gòu)與分析FAT32文件系統(tǒng)的短文件名目錄項(xiàng)各字段的含義如表3-2所示。表3-2

FAT32文件系統(tǒng)的短文件名目錄項(xiàng)各字段的含義(續(xù)表)海南軟件職業(yè)技術(shù)學(xué)院FAT32TXT200010000046162018-07-2117:52:2472018-07-2109:39:422018-07-2117:52:3600000800851002060

文件名(空格填充)1002068

擴(kuò)展名(空格填充)100206B

0F=LFN

項(xiàng)100206B

屬性(-?-a-dir-vol-s-h-r)100206000=從未使用，E5=已刪除100206C

(保留)100206D

創(chuàng)建時(shí)間，精確到10ms100206E

創(chuàng)建時(shí)間1002070

創(chuàng)建日期(無時(shí)間!)1002076

更新時(shí)間1002074起始簇號(hào)(高位.Hex)100207A

起始簇號(hào)(低位.Hex)100207A

起始簇號(hào)(低位.十進(jìn)制)100207C

文件大小字節(jié)](0為目錄)將光標(biāo)放在目錄項(xiàng)的第一個(gè)字節(jié)上，然后打開WinHex中FAT32文件系統(tǒng)的短文件名目錄項(xiàng)的模板，如圖3-

10所示。Offset

標(biāo)題

數(shù)值3.1

FAT32文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.1.1FAT32文件系統(tǒng)的結(jié)構(gòu)與分析圖3-10短文件名目錄項(xiàng)的模板(1)0OH～07H:文件名。文件名共占8個(gè)字節(jié)。如果文件名用不完8個(gè)字節(jié)，

后面用空格(十六進(jìn)制數(shù)為20H)填充。在當(dāng)前例子中文件名為“SYSLOG”(2)08H～0AH:擴(kuò)展名。擴(kuò)展名共占3個(gè)字節(jié)，對(duì)于文件夾來說，如果沒有擴(kuò)

展名，則這3個(gè)字節(jié)用空格填充。在當(dāng)前例子中擴(kuò)展名為“TXT”。(3)OBH:屬性。屬性占1個(gè)字節(jié)，可以表示文件的各種屬性，表示的方法是

按二進(jìn)制位定義，最高兩位保留未用，0～5位分別是只讀位、隱含位、系統(tǒng)位、卷

標(biāo)位、子目錄位和存檔位。(4)OCH

:

保留未用。(5)ODH:

創(chuàng)建時(shí)間精確到10ms。文件被創(chuàng)建的時(shí)間精確到10ms

的值一般用

該字節(jié)進(jìn)行表示。在當(dāng)前例子中該值為“01H”,

換算成十進(jìn)制數(shù)即為1,所以文件

的創(chuàng)建時(shí)間為10ms,

也就是0.01s。3.1FAT32文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.1.1FAT32文件系統(tǒng)的結(jié)構(gòu)與分析(6)OEH～0FH:創(chuàng)建時(shí)間。這是文件創(chuàng)建的時(shí)、分、秒的數(shù)值，

一般用16位

二進(jìn)制數(shù)記錄文件創(chuàng)建時(shí)間。時(shí)、分、秒3部分的表達(dá)方法如下。①0～4位：這5位記錄“秒”值，將此值乘以2即是文件創(chuàng)建時(shí)間實(shí)際的“秒”

值，其取值范圍是0～29。②5～10位：這6位記錄“分”值，其取值范圍是0～59。③11～15位：這5位記錄“時(shí)”值，其取值范圍是0～23。(7)10H～11H:創(chuàng)建日期。這是文件創(chuàng)建的年、月、日的數(shù)值，用16位二進(jìn)制

數(shù)記錄文件創(chuàng)建日期，年、月、日3部分的表達(dá)方法如下。①0～4位：這5位記錄“日”值，其取值范圍是1～31。②5～8位：這4位記錄“月”值，其取值范圍是1～12。3.1FAT32文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.1.1FAT32文件系統(tǒng)的結(jié)構(gòu)與分析③9～15位：這7位記錄“年”值，因?yàn)槠渲凳菑?980年開始計(jì)數(shù)的，所以必須加1980才能得到正確的年份，其取值范圍是0～127。(8)12H～13H:訪問日期。這是文件最后訪問的年、月、日的數(shù)值，表達(dá)方

法與創(chuàng)建日期一致。(9)14H～15H:

起始簇號(hào)(高位，

Hex)。這兩個(gè)字節(jié)作為文件起始簇號(hào)的高位使用。當(dāng)前例子中該值為“0002H”。(10)16H～17H:

更新時(shí)間。這是文件最后修改的時(shí)、分、秒的數(shù)值，用16位

二進(jìn)制數(shù)記錄文件最后修改時(shí)間。其表達(dá)方法與創(chuàng)建時(shí)間一致。(12)1AH～1BH:

起始簇號(hào)(低位，Hex)。

這兩個(gè)字節(jié)作為文件起始簇號(hào)的低位使用。當(dāng)前例子中該值為“1003H”。(13)1CH～1FH:

文件大小。文件大小占用4個(gè)字節(jié)，記錄著文件的總字節(jié)數(shù)。

當(dāng)前值為“OAHE1H”,

換算成十進(jìn)制數(shù)即為2785,說明文件大小為2785個(gè)字節(jié)。3.1FAT32文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.1.1FAT32文件系統(tǒng)的結(jié)構(gòu)與分析1)根目錄的管理FAT32文件系統(tǒng)統(tǒng)一在數(shù)據(jù)區(qū)的根目錄中為文件創(chuàng)建目錄項(xiàng)，并由FAT為文件的內(nèi)容分配簇來存放數(shù)據(jù)。而根目錄的首簇由格式化程序進(jìn)行指派，并把指派的簇號(hào)記錄在DBR的BPB中。如果根目錄下的文件數(shù)目過多，這些文件的目錄項(xiàng)在根目錄的首簇存放不下，F(xiàn)AT就會(huì)為根目錄分配新的簇來存放根目錄下文件及文件夾的目錄

項(xiàng)

。2)子目錄的管理FAT32文件系統(tǒng)的根目錄、子目錄及數(shù)據(jù)都是存放在數(shù)據(jù)區(qū)的3.1FAT32文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.1.1FAT32文件系統(tǒng)的結(jié)構(gòu)與分析6.FAT32文件系統(tǒng)根目錄與子目錄的管理3.1

FAT32文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.1.2

從FAT32文件系統(tǒng)中提取數(shù)據(jù)要想從FAT32文件系統(tǒng)中提取數(shù)據(jù)，就要先找到根目錄。下面就以“I”盤中的“WinHex

快捷鍵”文件為例來了解從FAT32文件系統(tǒng)中提取數(shù)據(jù)的步驟。“I”盤如圖3-11所示?！癢inHex

快捷鍵”文件如圖3-12所示。娛

樂(H:)>此電腦>本地磁盤(l:)

U

搜索"本地磁盤(I:)"名稱

修改日期

類

型大

小winhex快捷鍵2017/12/620:11Microsoft

Word.

2,251

KB圖3-12

“WinHex

快捷鍵”文檔3.1FAT32文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.1.2從FAT32文件系統(tǒng)中提取數(shù)據(jù)首先，用WinHex打開“I”

盤，如圖3-13所示。邏輯驅(qū)動(dòng)器(C:),HDO(D:),HDO(E:),HD1軟件(F:),HD1文

檔

(G:),HD1娛樂

(H:),HD1物理驅(qū)動(dòng)器HDO:TOSHIBAQ200EXM.2(224GB,SATA)D1:HGST

HTS541010B7E610(0.9TB,SATA)確定〔0〕

取消(A)幫

助(H)圖3-13打開

“I”

盤編輯

磁盤圖3-15分區(qū)表Offset0

1234567

89

A

B

C

D

E

F/0000001500000001600000001700000001800000001900000001A00000001B00000001C00000001DO0000001E00000001F08850

B1

69

6E7400210000005C

08

FE

C4B280

CB

81

C60006

AC

BB0F

E2FC

496E

7661

74

696F

6E

205461

67

20

6F

706572

61

65

6D

4641544E

54CD

136133C050

B8007C0

數(shù)據(jù)解釋器8

Bit(+/-):016

Bit(+/-):20487

32

Bit(+/-0:48465301

00

00

00

00

006075E8

F1

00

00

80

200000

00

F8

FF

03

00

0000

00

00

00

00

00

00

00

00

00

00

00

00

00

00

0000001

001

00

000055

AA八pA2Ií

a3AP,I’ía?id

PartleMissiing

systemFATNTFS'uèn

I

!

pyy

□yUa00000000I0000

00000000000C

FE

FF

FF

D0

0800

000000000000

00

0000000000

00000000003.1

FAT32文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.1.2從FAT32文件系統(tǒng)中提取數(shù)據(jù)分區(qū)表圖如3-15所示，可以看到DBR

是在2048號(hào)扇區(qū)中。WinHex-[硬盤2]文件(F)編輯(E)搜索(S)位置(P)查看(V)工具(T)專業(yè)工具(I)選項(xiàng)(O)窗口(W)

幫助(H)日

昌

留

選K

自

012

的

筆能的

→

→畫硬盤2分區(qū)類型：

MBR文件名稱

擴(kuò)展名文件大小創(chuàng)建時(shí)間修改時(shí)間訪分區(qū)

1

FAT32起始扇區(qū)34,358,689.…1,048,576Offset0

工

2

3

4

5

6

7

8

9

A

B

C

D

E

F/人000000000000000010000000020000000030000000040000000050000000060nnnnnnn7n33

C0

8E

DO

BC

00

7C

FB5007501F

FC50

BE

00

7C

BF

00

06

B9

00

02

F3

A4BF

1E0657

CB

33

DB33

D2

BD

00

06

BE

BE07B104

F6048075

OE

83

C6

10

E2F61

BE

74

01

B91700

E925018B

D652BE74018912

B80042

BE

7B

0103

F556

B110C6040046

E2

FA

5E

8B

FA

C60410

FE

4402

C644057C

8B

5D

08895C

088B

5D

OA

895C

OA

B28n

rn

13RF

FF

7n

81

3

55

△△

74

n9

RF

8R

n1

RQ3????

|?P

P

ūiP%

1

1óWE30

3?

±

0.4%

|

u

|

AE

a

a

a

a

t

1

é%

IORt

I,B{

V±E

Faú^lúE

pD

E

D

|1]I

l]I

2If

3hl

/ITa+

113.1

FAT32文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.1.2從FAT32文件系統(tǒng)中提取數(shù)據(jù)打開

“I”盤后，“I”盤

中

的MBR扇區(qū)如圖3-14所示。圖3-14

“I”盤中的MBR扇區(qū)3.1

FAT32文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.1.2從FAT32文件系統(tǒng)中提取數(shù)據(jù)跳轉(zhuǎn)到2048扇區(qū)，如圖3-16所示。跳至扇區(qū)◎

邏輯(L):

扇區(qū)：

2048○

物理(P):

柱面磁道：磁

頭(H)面

：扇區(qū)：確定(0)

取消〔A〕圖3-16跳轉(zhuǎn)到2048扇區(qū)01634Offset0

12

34

5

6

7

8

9

A

B

CD

EF0001000000001000100001000200001000300001000400001000500001000600001000700001000800001000900001000A00001000B00001000C00001000D00001000E00001000F00001001000001001100001001200001001300001001400001001500001001600001001700001001800001001900001001A00001001B00001001C00001001D00001001E00001001F0EB

58

90

4D53444F53352E30

0002

20200002

00

00

0000F800003F

00

FF

000008000000F8