計算機數(shù)據(jù)恢復技術課件第4、5章 Linux系統(tǒng)的數(shù)據(jù)恢復、Mac系統(tǒng)的數(shù)據(jù)恢復技術

上傳人：熊*** IP屬地：浙江上傳時間：2026-01-17 格式：PPTX 頁數(shù)：44 大?。?.41MB 積分：9.6 舉報 版權申訴

計算機數(shù)據(jù)恢復技術課件第4、5章 Linux系統(tǒng)的數(shù)據(jù)恢復、Mac系統(tǒng)的數(shù)據(jù)恢復技術_第2頁

計算機數(shù)據(jù)恢復技術課件第4、5章 Linux系統(tǒng)的數(shù)據(jù)恢復、Mac系統(tǒng)的數(shù)據(jù)恢復技術_第3頁

計算機數(shù)據(jù)恢復技術課件第4、5章 Linux系統(tǒng)的數(shù)據(jù)恢復、Mac系統(tǒng)的數(shù)據(jù)恢復技術_第4頁

計算機數(shù)據(jù)恢復技術課件第4、5章 Linux系統(tǒng)的數(shù)據(jù)恢復、Mac系統(tǒng)的數(shù)據(jù)恢復技術_第5頁

已閱讀5頁，還剩39頁未讀，繼續(xù)免費閱讀

版權說明：本文檔由用戶提供并上傳，收益歸屬內(nèi)容提供方，若內(nèi)容存在侵權，請進行舉報或認領

文檔簡介

海南軟件職業(yè)技術學院第4章

Linux系統(tǒng)的數(shù)據(jù)恢復主編：王平均通過主引導記錄的結構可知，它僅包含一個64字節(jié)的分區(qū)表。因為每個分區(qū)信息需要16字節(jié)，所以對于MBR分區(qū)結構，最多只能識別4個主分區(qū)。對于一個采用

此種分區(qū)結構的磁盤，要想得到4個以上的主分區(qū)是不可能的，因此就需要引出擴

展分區(qū)的概念了。擴展分區(qū)也是主分區(qū)的一種，但它與主分區(qū)的不同是，可以從理

論上劃分為無數(shù)個邏輯分區(qū)。在擴展分區(qū)中，邏輯驅動器的引導記錄是鏈式的。每個邏輯分區(qū)都有一個和MBR分區(qū)結構類似的擴展引導記錄

(Extended

Boot

Record,EBR)

。在EBR分區(qū)表中，第一項指向該邏輯分區(qū)本身的引導扇區(qū)；第二項指向下一個邏輯驅動器的EBR;

第三項、第四項目前沒有用到。4.1

Linux系統(tǒng)的分區(qū)結構

4.1.1MBR分區(qū)結構分析Windows

系統(tǒng)在默認情況下一般只為系統(tǒng)劃分一個主分區(qū)，剩余的部分全部劃入擴展分區(qū)。這里需要注意以下幾點。在MBR分區(qū)表中，最多存在4個主分區(qū)或3個主分區(qū)+1個擴展分區(qū)，也就是說，

擴展分區(qū)只能存在一個，但是可以在此基礎上細分出多個邏輯分區(qū)。在Linux系統(tǒng)中，磁盤分區(qū)命名為sda1～sda4

或hda1～hda4

(其中a表示磁盤編

號，而磁盤編號可能是a、b、c等)。在MBR分區(qū)中，主分區(qū)(或擴展分區(qū))號為

1～4,邏輯分區(qū)號只能從5開始。在MBR分區(qū)表中，

一個分區(qū)的最大空間為2TB,且每個分區(qū)的起始柱面必須在這個磁盤的前2TB空間內(nèi)。例如，現(xiàn)有一個3TB的磁盤，根據(jù)要求應至少將其劃分為

兩個分區(qū)，且最后一個分區(qū)的起始扇區(qū)要位于磁盤的前2TB空間內(nèi)。如果磁盤太大

則必須改用GPT。4.1

Linux系統(tǒng)的分區(qū)結構

4.1.1MBR分區(qū)結構分析與支持最大卷為2TB且每個磁盤最多有4個主分區(qū)(或3個主分區(qū)、1個擴展分區(qū)和不限制數(shù)量的邏輯驅動器)的MBR分區(qū)結構相比，GPT(GUID

Partition

Table)

分

區(qū)結構最大支持128個分區(qū)，每個分區(qū)最大空間為18EB(Exabyte),

且分區(qū)的數(shù)量

只受到操作系統(tǒng)限制[由于分區(qū)表本身需要占用一定空間，在最初規(guī)劃分區(qū)時，留

給分區(qū)表的空間決定了最多可以存在多少個分區(qū)，如IA-64版Windows系統(tǒng)限制最多

存在128個分區(qū)，這也是可擴展固件接口(

Extensible

Firmware

Interface,EFI)標準

規(guī)定的分區(qū)表的最小尺寸]。與MBR分區(qū)結構不同，

GPT

分區(qū)結構的至關重要的平臺操作數(shù)據(jù)位于分區(qū)，而不是位于非分區(qū)或隱含扇區(qū)。另外，GPT

分區(qū)存在備份分區(qū)表，以用來提高分區(qū)數(shù)

據(jù)結構的完整性。在UEFI(Unified

EFI)

系統(tǒng)中，通常會通過在EFI系統(tǒng)分區(qū)中的EFI應用程序文件引導GPT硬盤上的操作系統(tǒng)，而不會通過活動主分區(qū)上的引導程序引4.1

Linux系統(tǒng)的分區(qū)結構

4.1.1

MBR分區(qū)結構分析導GPT

分區(qū)上的操作系統(tǒng)。Linux系統(tǒng)的GPT

分區(qū)結構和Windows系統(tǒng)的GPT

分區(qū)結構完全一樣。GPT

是作為EFI的一部分被引入的。1.EFI部分。EFI部分可以分為4個區(qū)域：(1)EFI信息區(qū)(GPT頭)

。GPT頭起始于磁盤的LBA1

扇區(qū)，通常只占用這個單

一扇區(qū)。其作用是定義分區(qū)表的位置和大小。

GPT

頭還包含GPT

頭和分區(qū)表的校驗和。

通過這個校驗和可以及時發(fā)現(xiàn)錯誤LBA英文全稱為Logical

Block

Address,含義為邏輯區(qū)塊地址。(2)分區(qū)表。分區(qū)表包含分區(qū)表項。這個區(qū)域由GPT

頭定義，

一般占用磁盤

LBA2～LBA33扇區(qū)(3)分區(qū)區(qū)域。GPT

分區(qū)是這部分最大的區(qū)域，由分配給分區(qū)的扇區(qū)組成。(4)備份區(qū)域。備份區(qū)域位于磁盤的尾部，包含GPT頭和分區(qū)表的備份。4.1

Linux系統(tǒng)的分區(qū)結構

4.1.2

GPT分區(qū)結構分析2.GPT

分區(qū)創(chuàng)建方法。(1)進入“初始化磁盤”對話框，如圖4-1所示，選擇“磁盤2”選項，選擇

GPT磁盤分區(qū)形式，雖然此時磁盤2依然顯示為基本磁盤，但它的引導區(qū)已不再是MBR形式的了，而是GPT

形式的了。初始化磁盤磁盤必須經(jīng)過初始化，邏輯磁盤管理器才能訪問。選擇磁盤(S):?磁

盤

2為所選磁盤使用以下磁盤分區(qū)形式：◎MBR主啟動記錄)M)◎GPT(GUID

分區(qū)表)G注意：所有早期版本的

Windows.不識別

GPT

分區(qū)形式。建議在大于2TB

的磁盤或基于

Itaniun

的計算機所用的磁盤上使用這種分區(qū)形式

。確定

取

消圖4-1

“初始化磁盤”對話框4.1

Linux系統(tǒng)的分區(qū)結構

4.1.2

GPT分區(qū)結構分析2.GPT

分區(qū)創(chuàng)建方法。(

)

在Windows系統(tǒng)桌面“運行”文本框內(nèi)輸入“diskpart”命令，如圖4-2所

示

。

查者更多結果diskpart×4.1

Linux系統(tǒng)的分區(qū)結構

4.1.2

GPT分區(qū)結構分析圖4-2

輸入

“diskpart”命令4.1

Linux系統(tǒng)的分區(qū)結構4.1.2

GPT分區(qū)結構分析2.GPT

分區(qū)創(chuàng)建方法。(3)運行該命令后，首先選擇系統(tǒng)下我們創(chuàng)建的GPT分區(qū)的磁盤2以創(chuàng)建EFI系

統(tǒng)分區(qū)，輸入命令

“select

disk2”后按回車鍵，選擇磁盤2,輸入創(chuàng)建EFI系統(tǒng)分區(qū)

的命令

“create

partition

efi

size=n”,如圖4-3所示。其中，“n”

為EFI系統(tǒng)分區(qū)的

大小，單位是MB,此處將“n”設置為100,即在磁盤2上創(chuàng)建100

MB的EFI系統(tǒng)分區(qū)

。圖4-3

創(chuàng)建EFI系統(tǒng)分區(qū)磁盤2基本468

MB100MB128MB200MB40

聯(lián)機

狀態(tài)良好(EFI

系統(tǒng)分狀態(tài)良好(EFI

系統(tǒng)分E狀態(tài)良好(EFI

系統(tǒng)分區(qū))

未分配圖4-4創(chuàng)建其他分區(qū)4.1

Linux系統(tǒng)的分區(qū)結構4.1.2

GPT分區(qū)結構分析2.GPT

分區(qū)創(chuàng)建方法。以同樣的方法創(chuàng)建其他分區(qū)，如圖4-4所示。海南軟件職業(yè)技術學院Offset0

F/000001B0000001C0000001D0000001E0000001F065

00637B9A

0000000000em

c{I02

FFFF

00iyyy

yyyy00

0000

000000

00000055

AAUa4.1Linux系統(tǒng)的分區(qū)結構4.1.2

GPT分區(qū)結構分析3.GPT

分區(qū)結構的原理GPT分區(qū)由6部分組成，如表4-1所示。(1)保護MBR區(qū)域：在一個Linux系統(tǒng)的GPT

分區(qū)中，將0號扇區(qū)(LBAO)

作為保護MBR區(qū)域，如圖4-5所示。保護MBR區(qū)域GPT頭分區(qū)表分區(qū)區(qū)域分區(qū)表備份GPT頭備份圖4-5

保護MBR區(qū)域Offset0

EF/1F3FFE001F3FFE101F3FFE201F3FFE301F3FFE401F3FFE501F3FFE601F3FFE701F3FFE801F3FFE901F3FFEA04546492050

526A

D9ABE30000

0100

0090

0FF725

0000

0000000054000000FE000000000000001

0087

0098

00000000005C0000AB00000000000000

0000

000000EFIPARTjù《a

ylIPI

lyèi《

SLoò

÷%pBII1

I<±(2)GPT

頭：GPT

頭位于GPT

分區(qū)的第二個扇區(qū)，也就是1號扇區(qū)(LBA1)。

該扇區(qū)是在創(chuàng)建GPT

分區(qū)時生成的，GPT

頭會定義分區(qū)的起始位置、分區(qū)表的結束位置、

每個分區(qū)表項的大小、分區(qū)表項的個數(shù)及分區(qū)表的校驗和等信息。GPT

頭如圖4-6所

示。4.1

Linux系統(tǒng)的分區(qū)結構

4.1.2

GPT分區(qū)結構分析圖4-6

GPT頭0000000000000000

0000000000000000-01￥I

艾<;PM

ic(s*Aaò

E>E;IE

Iγ?N/2iA?^IE

I(s*A

aò

E>é;IlóEn9k

0IE

IitionE3

4D07

00000000

0000

6600

00760000

7400690000

001F

116297154100

0000000000

008073

00740074

0069000000000000000000IF

D2111B

4E00

000000000000807300740074

00690000

00000000000000000000BA

C93E

3B498E

C66E

12D57F

0000

00450046004900

2000002000

7000

740069006F

00001

00000000000000

0000000000

004.1

Linux系統(tǒng)的分區(qū)結構4.1.2

GPT分區(qū)結構分析(3)分區(qū)表：分區(qū)表位于GPT

分區(qū)的2～33號扇區(qū)

(LBA2～LBA33),

共占用32個扇區(qū)。每個分區(qū)

表項用于記錄分區(qū)表的起

始和結束位置、分區(qū)類型

的GUID、分區(qū)名字、分區(qū)

屬性和分區(qū)GUID。一個GPT分區(qū)的4個分區(qū)表項

如圖4-7所示。00000400000004100000042000000430000004400000045000000460000004700000048000000490000004A0

000004BO

000004C0

000004DO000004E0

000004F000000500000005100000052000000530000005400000055000000560000005700000058000000590000005A0

000005B0

000005C0000005DO

000005E0

000005F028732A

986E

2008

00000000001

000000000080730079007300740065006D61007200740069003E10000000000000C99D004920

0000C9

3BD6

DF0000201

0070

006E

0000

00BA

4008897F

2004

450046

65(

006D

00740069

00000000000000

00817D

F92D9E

A587FF210001

6500

7400

0028

8000

007300

611000000

0028

7352

00000215

000000

720000

650000

吧00

00BA

8532EC7F

084500466500

7400

690000002A710100797200002A

D90400797200001圖4-7

一

個GPT

分區(qū)的4個分區(qū)表項16

0000

731

0061

0000

00C9

3B18

8B00

2000

7000

000000

00C1

000000000000C190000000000000分

區(qū)

表

項

④3

心分區(qū)表項

②

分

區(qū)

表

項

③C9

9C000073657200FO

00637220

00C9

0049206F00003E5E000000000000AUC3000000000000g

6分

區(qū)

表

項

①D2117FC

3(4)分區(qū)區(qū)域：分區(qū)區(qū)域通常都是起始于GPT分區(qū)的34號扇區(qū)

(LBA34),是

整個GPT

分區(qū)中最大的區(qū)域，由多個分區(qū)組成，如EFI系統(tǒng)分區(qū)、微軟保留分區(qū)、LDM元數(shù)據(jù)分區(qū)、LDM數(shù)據(jù)頭備份分區(qū)、OEM

分區(qū)、主分區(qū)等。分區(qū)區(qū)域的起始地

址和結束地址由GPT

頭定義。(5)分區(qū)表備份：分區(qū)區(qū)域結束后，緊跟著就是分區(qū)表備份，其地址在GPT頭

備份扇區(qū)中有描述。分區(qū)表備份是對分區(qū)表32個扇區(qū)的完整備份。如果分區(qū)表被破

壞，則系統(tǒng)就會自動讀取分區(qū)表備份，以保證正常識別分區(qū)。(6)GPT

頭備份：GPT

頭有一個備份，在GPT

分區(qū)的最后一個扇區(qū)中。這個GPT頭備份并不是簡單的GPT

頭的復制品。

GPT

頭備份和GPT

頭的結構雖然一樣，但有些

參數(shù)不一樣。4.1

Linux系統(tǒng)的分區(qū)結構

4.1.2

GPT分區(qū)結構分析第四代擴展文件系統(tǒng)簡稱Ext4文件系統(tǒng)，是Linux系統(tǒng)下的日志文件系統(tǒng)，是Ext3文件系統(tǒng)的后繼版本。Ext4文件系統(tǒng)的原始開發(fā)目標是一系列地向下兼容Ext3文件系統(tǒng)與提升其性能

的延伸包。然而，某些Linux系統(tǒng)開發(fā)者因追求穩(wěn)定性等原因拒絕將這些延伸包應用在Ext3

文件系統(tǒng)上，并要求將這些延伸包作為Ext3文件系統(tǒng)的分支，將其改名為Ext4文件

系統(tǒng)并對其另行開發(fā)，以免影響當前的Ext3文件系統(tǒng)的使用。該要求被接受以后，Ext3文件系統(tǒng)維護者曹子德在2006年6月28日公開了Ext4文件系統(tǒng)的開發(fā)項目。在Linux2.6.19版本中，首次加入了Ext4文件系統(tǒng)的一個早期開發(fā)版本。在2008

年10月11日，

Ext4文件系統(tǒng)加入Linux2.6.29版本的源代碼，從而使Ext4文件系統(tǒng)的開發(fā)階段進入尾聲。2008年12月25日，

Linux2.6.29版本公開發(fā)布，

Ext4文件系統(tǒng)成為Linux公司官方建議的默認文件系統(tǒng)。

4.2Ext4文件系統(tǒng)的特點2010年1月15日，Google公司宣布將該公司使用的文件系統(tǒng)由Ext2文件系統(tǒng)升級為Ext4文件系統(tǒng)。在同年12月14日，

Google公司宣布，他們將在Android2.3版中使

用Ext4文件系統(tǒng)來取代之前的YAFFS

(

YetAnotherFlashFileSystem)。Ext4文件系統(tǒng)的特點如下。1.

大型文件系統(tǒng)：

Ext4文件系統(tǒng)可支持最大1EB的分區(qū)與最大16TB的文件。2.Extent存儲方式：Ext4文件系統(tǒng)引進了Extent存儲方式，從而取代了Ext2文件

系統(tǒng)與Ext3文件系統(tǒng)使用的block

mapping存儲方式。3.向下兼容：

Ext4文件系統(tǒng)向下可兼容Ext3文件系統(tǒng)與Ext2文件系統(tǒng)，因此可

以將Ext3文件系統(tǒng)和Ext2文件系統(tǒng)掛載為Ext4文件系統(tǒng)的分區(qū)。4.預留磁盤空間：Ext4文件系統(tǒng)可以為一個文件預留磁盤空間。5.延遲獲取磁盤空間：Ext4文件系統(tǒng)通過allocate-on-flush

方式，使數(shù)據(jù)在被寫入磁盤前才開始獲取磁盤空間，而大多數(shù)文件系統(tǒng)會在此更早時開始獲取磁盤空間。4.2Ext4文件系統(tǒng)的特點6.

突破32000子目錄的限制：在Ext3文件系統(tǒng)的一個目錄下最多只能存在32000個子目錄，而Ext4文件系統(tǒng)的子目錄可達64000個，且使用“dir_nlink”

功

能

后可以達到更高的數(shù)量。7

日志校驗和：Ext4文件系統(tǒng)通過使用日志校驗和不僅可以提高文件系統(tǒng)可

靠性，而且可以安全地避免系統(tǒng)處理日志時磁盤的I/O等待，并可提高一些系統(tǒng)性

能

。8.磁盤整理：即使Ext4文件系統(tǒng)包含了許多避免磁盤碎片的技術，但是磁盤碎

片還是會在使用過的文件系統(tǒng)中長時間存在。目前，絕大多數(shù)主流操作系統(tǒng)的內(nèi)核

中都不具有磁盤整理工具，而Ext4文件系統(tǒng)則有一個磁盤整理工具。9.快速文件系統(tǒng)檢查：Ext4文件系統(tǒng)將未使用的區(qū)塊標記在inode

當中，這樣可

以使諸如e2fsck的工具在磁盤檢查時完全跳過這些區(qū)塊，從而節(jié)省大量文件系統(tǒng)檢查的時間。

4.2Ext4文件系統(tǒng)的特點超級塊起始扇區(qū)2個扇區(qū)超級塊

塊大小數(shù)據(jù)根目錄區(qū)2號目錄i節(jié)點

1號目錄i

節(jié)點從Ext

文件系統(tǒng)中提取數(shù)據(jù)的流程如圖4-8所示。4.3從Ext文件系統(tǒng)中提取數(shù)據(jù)圖4-8

從Ext文件系統(tǒng)中提取數(shù)據(jù)的流程Offset0

F0000001BO0000001C00000001D00000001E00000001F065

637B

802021

FF00

0000

00(00000000000000

0000

000055

AA4

.3從Ext文件系統(tǒng)中提取數(shù)據(jù)海南軟件職業(yè)技術學院Ext文件系統(tǒng)的MBR格式如圖4-9中的陰影部分所示。圖4-9Ext文件系統(tǒng)的MBR格式搜索下列十六進制數(shù)值(s):53EF□用作通配符(U):

3F搜索[el:

向

下?條件：偏移計算

512

=56□

只在選塊中搜索□在所有打開窗口中搜索(W)□

列出搜索結果，最多

10000確定回)

取消A)

幫助H)圖4-10

搜索0號超級塊(1)在起始扇區(qū)處跳轉2048個扇區(qū)，到達超級塊起始扇區(qū)，在此基礎上再跳轉2個扇區(qū)就可以找到0號超級塊。也可打開“查找十六進制數(shù)值”對話框，按照如圖4-10所示的參數(shù)進行設置，以搜索到0號超級塊。4

.3從Ext文件系統(tǒng)中提取數(shù)據(jù)查找十六進制數(shù)值圖4-110號超級塊0001003

F0000000000000000000000000000000000

00100

4000001004100001004200

00100

4300

00100

44000010045000010046000

000000FF8000100F

00000000000000FF

00000

000000

8000000000FF

FF26

0002

00F202000151

3E00

0000

000000005320EF000000000000000000000000000100

0000000000OB0000000100003C0000004202A8B4

45D8

CB430號超級塊如圖4-11所示。從圖4-11中也可以看出0號超級塊的總塊數(shù)，并可以計算出每塊大小塊。4

.3從Ext文件系統(tǒng)中提取數(shù)據(jù)(2)跳轉到1號目錄i節(jié)點有兩種方式，第一種方式是從超級塊起始扇區(qū)跳轉8個扇區(qū)到1號目錄i節(jié)點；第二種方式是從0號超級塊跳轉6個扇區(qū)到1號目錄i節(jié)點。1

號目錄i節(jié)點如圖4-12所示。其中，1號目錄i節(jié)點的第一行08H處的數(shù)值×每塊大小

=2號目錄i節(jié)點的扇區(qū)數(shù)，即1057×8=8456。數(shù)

據(jù)

解

樣

帶0000105267201

0400

0021

DD5B

1F0000105268802

0000

000000

EF0000105270402

000021

200000105272000

0300

000000

A6000010527360304

0400002108

00100

20000010527520000

0300

00000000000000

7275000010527680404

00001404000021

0000FF

00200000105278400001030000000000000000000020

DO000010528000504000015040000210C000000800020000010528160000030000000000000000000020243F000010528320604000016040000210E0000

FF7B

00200000105284800000300000000000000000000203D

A58Bit(+/-):3316

Bit(+-):105732Bit(+1):105764Bit(?:12302847789215777825Offset

1112

131415000010528640704000017040000211000000080002000001052880

00000300000000000000000000200A

E7圖4-121號目錄i節(jié)點4

.3從Ext文件系統(tǒng)中提取數(shù)據(jù)(3)從超級塊起始扇區(qū)開始跳轉8456個扇區(qū)就到了2號目錄i節(jié)點扇區(qū)，主要存放目錄區(qū)，如圖4-13所示。圖4-13中的1和2處的格式是一樣的，主要看中間的最

后字節(jié)?？梢酝ㄟ^數(shù)據(jù)解釋器發(fā)現(xiàn)其數(shù)值為9249。所用目錄區(qū)的扇區(qū)數(shù)=9249×每0000537827200005378288000000

000000

0000005378304000053783200000000000000000537833600

0800

01000000010000005378352

000000

000053783680000000000000000000000537838400005378416

00000000

000000000000000000005378448

l0000537848000000000000000000000000000000000圖4-13

2號目錄i節(jié)點扇區(qū)數(shù)據(jù)解釋齡64

Bit(?:92498Bit(+/-):3316Bit(+-):32

Bit(+1-):9249塊大小，即9249×8=73992。4.3從Ext文件系統(tǒng)中提取數(shù)據(jù)Offset00005378064000053780800000537809600005378112000053781280000537814400005378160000053781760000537819200005378208000053782240000537824000005378256UU00

0000

00000000UU

UU00

00000000

000000111213000000000000000000000000000000005378432

U0000000537840000

00U0(4)從超級起始扇區(qū)跳轉73992個扇區(qū)，從文件夾1向上搜索lost+found后的第3個字節(jié)即為代表i

節(jié)點的號，(此處的大小-1)×256=n,其中n為字節(jié)數(shù)。(5)跳轉到2號目錄i節(jié)點，從首字節(jié)開始，跳轉n個字節(jié)，找到文件的描述位置，根據(jù)文件結尾字節(jié)數(shù)×8得到根目錄扇區(qū)數(shù)。從超級塊起始扇區(qū)出發(fā)，跳轉根目錄扇區(qū)數(shù)，找到根目錄區(qū)和文件名，從文件名往上到上一個文件名尾，看一下此處的大小。由式(此處的大小-1)×256=n得到字節(jié)數(shù)后，我們跳轉到2號目錄i節(jié)點。

從首字節(jié)開始，跳轉字節(jié)數(shù)個字節(jié)，看結尾的數(shù)值，此處的大小×8=文件占用的總扇區(qū)數(shù)。至此，我們可以知道這個文件占用的總扇區(qū)數(shù)。(6)找到數(shù)據(jù)，從超級塊起始扇區(qū)跳轉到文件所在的扇區(qū)，按“ALT+1”組合

鍵選中首個字節(jié)，跳轉這個文件占用的總扇區(qū)數(shù)，按“ALT+2”組合鍵選中最后的字節(jié)，將其復制至新文件，即可獲得所需要的數(shù)據(jù)。4.3從Ext文件系統(tǒng)中提取數(shù)據(jù)4

.3從Ext文件系統(tǒng)中提取數(shù)據(jù)

Linux系統(tǒng)下的MBR分區(qū)結構和Window系統(tǒng)下的MBR分區(qū)結構完全一樣，所以也有可能被破壞。例如，

一臺裝有Linux系統(tǒng)的計算機，用WinHex

打開其硬盤，發(fā)

現(xiàn)MBR分區(qū)的分區(qū)表丟失，如圖4-14所示。圖4-

MBR分區(qū)的分區(qū)表丟失Linux系統(tǒng)一般采用Ext文件系統(tǒng)，而Ext文件以超級塊作為開頭，所以我們第一

步要搜索超級塊，讀取超級塊與塊組的描述。18AOB707EB08AOB605

00078B

0010

C92402

616C74

6162

0000

000000

0000

000000000000000000000000000000000007EB

03A0B5

7409

0700

E464

EBI

6100

0000

000000000000000000000000UU

uu435041753281

F902

01722C

666807006668000200006668080000006653665366556668000000006668007C6168000007CD

007CU1

J4BB

00000066

32E4

B40E

CD02

746900

0000

000055

AAuuuuuUULU0000000F0

000000100

000000110

000000120

000000130

000000140

000000150

000000160

000000170

000000180

000000190

0000001A0

0000001B0

0000001C00000001D0

0000001E00000001F0海南軟件職業(yè)技術學院謝謝觀看!海南軟件職業(yè)技術學院第5章

Mac

系統(tǒng)的數(shù)據(jù)恢復技術主編：王平均Mac

系統(tǒng)和Windows系統(tǒng)有著不同的操作體驗。Mac

系統(tǒng)擁有比Windows系統(tǒng)更出色的一站式體驗。這兩個系統(tǒng)在設定及使用方法上存在著不同的地方。蘋果計算機的靈魂不是硬件，而是其操作系統(tǒng)。蘋果計算機的操作系統(tǒng)經(jīng)歷了System1.0到System

6.0版本，再到System7.5.3版本的巨大變化，也從單調的黑白界面變成8色、16色、真彩色界面，并在系統(tǒng)穩(wěn)定性、應用程序數(shù)量、界面效果等各

方面向人們展示著自己日益成熟和長大的“身影”。Mac

系統(tǒng)是蘋果計算機專用系統(tǒng)，是基于Unix內(nèi)核的圖形化操作系統(tǒng)。在一般情況下，普通個人計算機無法安裝該操作系統(tǒng)。蘋果計算機目前的操作系統(tǒng)已經(jīng)到

了Mac

OSX(X為10的羅馬數(shù)字寫法)版本。該系統(tǒng)非常可靠。它的許多特點和服

務都體現(xiàn)了蘋果公司的經(jīng)營理念。另外，現(xiàn)在的計算機病毒幾乎都是針對Windows系統(tǒng)的，由于Mac系統(tǒng)的架構與Windows系統(tǒng)的架構不同，所以很少受到計算機病毒的襲擊。Mac

系統(tǒng)的界面非

常獨特，突出了形象的圖標和人機對話的功能。蘋果公司不僅自己開發(fā)系統(tǒng)，也涉

及硬件的開發(fā)。5.1

Mac系統(tǒng)的分區(qū)結構Mac

系統(tǒng)支持以下3種分區(qū)結構。1.GPT

分區(qū)結構GPT

是蘋果計算機基于英特爾處理器使用的新的分區(qū)表，是EFI標準的一個部分。

使用英特爾處理器的蘋果計算機可以使用GPT和APM(Apple

Partition

Map)

分區(qū)結

構的硬盤來啟動。GUID是蘋果公司建議使用的分區(qū)表格式。對于使用時間機器備份

的硬盤，只能使用GUID分區(qū)表格式。2.A

PM分區(qū)結構對于使用PowerPC

處理器的蘋果計算機，其硬盤只能使用APM分區(qū)結構才能作

為系統(tǒng)啟動盤。如果在分區(qū)中安裝Universal

Binary碼的Mac

OSX,則使用英特爾處

理器的蘋果計算機也可以使用APM分區(qū)結構的硬盤啟動。5.1

Mac系統(tǒng)的分區(qū)結構海南軟件職業(yè)技術學院Mac

系統(tǒng)支持以下3種分區(qū)結構。3.

MBR分區(qū)結構MBR分區(qū)結構存在著諸多限制，如最多支持4個主分區(qū)等。但由于個人計算機的廣泛使用，以及微軟操作系統(tǒng)的持續(xù)使用，所以這種分區(qū)結構依然存在。如果在蘋果計算機上給硬盤使用這種分區(qū)結構，

一般會應用在外接硬盤或U盤上，這樣可以使個人計算機在轉移數(shù)據(jù)時更方便。

Mac

X不能從這種分區(qū)結構的硬盤上啟動系

統(tǒng)

。HFS+又稱MacOSExtended,

是目前蘋果計算機默認的最常見的文件系統(tǒng)。HFS+來源于UNIX系統(tǒng)，但是又不應用于UNIX系統(tǒng)。它增加了許多新的特性，同時也有許多不同于Windows、UNIX等系統(tǒng)的概念。HFS+是蘋果公司為替代分層文件系統(tǒng)(Hierarchical

File

System,HFS)而開發(fā)的一種文件系統(tǒng)，被用在Macintosh計算機(或者其他運行Mac

OS的計算機)上，也

是iPod上使用的一種文件系統(tǒng)。在開發(fā)過程中，蘋果公司也把HFS+命名為“Sequoia”

。HFS+

是HFS的改進版本，能支持更大的文件，并用Unicode來命名文件或文件夾，代替了Mac

Roman或一

些其他的字符集。

HFS+和HFS一樣也使用B樹來存儲大部分分卷的元數(shù)據(jù)。5.2

HFS+的特點HFS+把硬盤內(nèi)的空間分為一個個邏輯塊。每個邏輯塊大小為512個字節(jié)，稱為1個扇區(qū)。所有扇區(qū)均從0開始編號，直到磁盤的總扇區(qū)數(shù)減1為止。在一個文件卷內(nèi)，文件的分配單元不是扇區(qū)，而是HFS+把所有扇區(qū)分成的等大的組。通常將這個組稱為分配塊。每個分配塊大小為2n個扇區(qū)，且占用一組連續(xù)的

扇

區(qū)

。分配塊大小為2的正整數(shù)次冪，且大于或等于512個字節(jié)。此值在卷初始化時被

設定，并且在卷存在的過程中不能被修改，除非重新對卷進行初始化。HFS+用32個位記錄分配塊的數(shù)量，因此最多可以管理232個分配塊。所有的文件結構，包括卷頭，都包含在一個或幾個分配塊中(也有例外的情況，

如備份卷頭),而HFS的特殊結構(包括啟動塊、主目錄塊和位圖)不屬于任何分配塊塊

。5.2

HFS+的特點為了減少文件碎片的產(chǎn)生，

HFS+在為文件分配存儲空間時，會盡可能地為其分配一組連續(xù)的分配塊或塊組。塊組大小通常為分配塊大小的整數(shù)倍。塊組大小在卷

頭中進行說明。對于非連續(xù)存儲的文件，

Mac

OS系統(tǒng)采用“下一可用分配”策略為其分配存儲空間，即當Mac

OS系統(tǒng)接收到文件空間分配請求時，如果找到的空閑空間無法滿足

請求的空間大小，則繼續(xù)從下一個找到的空閑塊開始繼續(xù)分配，如果該次找到的連

續(xù)空閑空間足夠大，則Mac

OS系統(tǒng)根據(jù)請求空間的大小分配塊組大小的整倍數(shù)空間

給該文件。5.2

HFS+的特點5.3

HFS+的結構海南軟件職業(yè)技術學院HFS+整體結構如圖5-1所示。其中，灰色底框為用戶數(shù)據(jù)區(qū)。下面對卷頭結構進行分析。保留1024個字節(jié)

保留512個字節(jié)圖5-1

HFS+整體結構啟動文件屬性文件編錄文件盤區(qū)

溢出文件卷頭備份分配文件卷

頭ffset0

3南軟

業(yè)技395136048D900070000002BA500CD000000000200F100000004E5143826000000D9000000000000A500020000000102000700000000E601C73D000031000000000000300000010000002E0010000000003000000000000000D9070000000000A4CE010000000092370000000000650000030000H+

UYí主要參數(shù)39514403951456分配文件信息00000000000000000000000000000000010000000000000000F900000000DO0F000000009D0000000000000000F900000000D0000000000000000000000000000000000000000F000000009D000000003951536盤區(qū)溢

出文件

信息0000000000000000000000OF000000009E00000000000000009000000000000900000000000000000000000000900000000000000000000000000000000000000000000000000900000000000000000000000000000000000000000000000000000000000018000000000000000000

000000000000000002000000000000000000D0000000000000000000002D00000000000000000000000000000000000002000000000000000000D0000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000002D00000000000000000000000000000000000000編錄文件信息屬性文件信息:395.

[776

7930000000000

00000000

0000

0000000000

000000000000

00000000

0000

000000

0000000000000000

0000000000000000nn

nn00

000000

00000000nn

nD啟動文件信息3951856nn

nn15職14件21海HFS+的卷頭位于宗卷的2號扇區(qū)，占用1個扇區(qū)，其重要性質類似FAT文件和NTFS的

DBR,

如圖5-2所示。5.3

HFS+的結構圖5-2HFS+的卷頭術學院數(shù)值H+40000010010.002019/09/16

09:14:132019/09/16

09:14:14

n/a

n/a2019/09/16

01:14:132014096130955008130937144133063655366553638610000000000000003標題signatureversionattributeslastMountedVersion

journallnfoBlockcreateDatemodifyDatebackupDatecheckedDatefileCountfolderCountblockSizetotalBlocksfreeBlocksnextAllocationrsrcClumpSizedataClumpSizenextCatalogIDwriteCountencodingsBitmapOffset343951360343951362343951364343951368343951372343951376343951380343951384343951388343951392343951396343951400343951404343951408343951412343951416343951420343951424343951428343951432卷頭中主要參數(shù)如圖5-3所示，其中包含了HFS+的主要標志示。2B

000100A502

E5D9A502E612

;35

;3;4;68

;9圖5-3

卷頭中主要的參數(shù)5.3

HFS+的結構,HFS+Volume

Header,基本偏移：343951360X三3000000000A49265360

48376

D92E0000391031003000D92卷頭中主要參數(shù)如圖5-3所示，其中包含了HFS+的主要標志示。(1)簽名：H+,也就是卷頭的標志(H+

代表HFS+格式；HX代表HFSX格式)。(2)版本：也是對宗卷格式的描述。通常來說，版本“4”表示HFS+格式；版

本“5”表示HFSX格式。(3)屬性：描述該宗卷所具備的屬性。(4)最后加載版本：用來識別最后對該宗卷做寫操作的系統(tǒng)版本。對于MacOS8.1到Mac

OS9.2系統(tǒng)版本，該參數(shù)值為“8.10”;對于MAC

OSX系統(tǒng)版本，該參

數(shù)值為“10.0”。(5)日志信息塊：描述日志信息塊的地址。(

人人文庫> 全部分類> 教育資料 > 課件下載

溫馨提示

1. 本站所有資源如無特殊說明，都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
2. 本站的文檔不包含任何第三方提供的附件圖紙等，如果需要附件，請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
3. 本站RAR壓縮包中若帶圖紙，網(wǎng)頁內(nèi)容里面會有圖紙預覽，若沒有圖紙預覽就沒有圖紙。
4. 未經(jīng)權益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
5. 人人文庫網(wǎng)僅提供信息存儲空間，僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理，對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯，并不能對任何下載內(nèi)容負責。
6. 下載文件中如有侵權或不適當內(nèi)容，請與我們聯(lián)系，我們立即糾正。
7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

計算機數(shù)據(jù)恢復技術課件第4、5章 Linux系統(tǒng)的數(shù)據(jù)恢復、Mac系統(tǒng)的數(shù)據(jù)恢復技術

文檔簡介

溫馨提示

最新文檔

評論

計算機數(shù)據(jù)恢復技術 課件 第4、5章 Linux系統(tǒng)的數(shù)據(jù)恢復、Mac系統(tǒng)的數(shù)據(jù)恢復技術

文檔簡介

溫馨提示

最新文檔

評論

相關文檔

計算機數(shù)據(jù)恢復技術課件第4、5章 Linux系統(tǒng)的數(shù)據(jù)恢復、Mac系統(tǒng)的數(shù)據(jù)恢復技術