返回
基于文件系统的数据恢复与隐藏技术ppt培训课件

基于文件系统的数据恢复与隐藏技术ppt培训课件

ID:33597950

大小:397.50 KB

页数:43页

时间:2019-02-27

基于文件系统的数据恢复与隐藏技术ppt培训课件_第1页
基于文件系统的数据恢复与隐藏技术ppt培训课件_第2页
基于文件系统的数据恢复与隐藏技术ppt培训课件_第3页
基于文件系统的数据恢复与隐藏技术ppt培训课件_第4页
基于文件系统的数据恢复与隐藏技术ppt培训课件_第5页
资源描述:

《基于文件系统的数据恢复与隐藏技术ppt培训课件》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、基于文件系统的数据恢复 与隐藏技术刘旭liuxu51@gmail.comhttp://blog.csdn.net/blog51标题含义数据恢复磁盘上数据文件被删除后,利用数据恢复技术有条件地恢复被删除的数据。此技术也可用于磁盘灾难挽救。数据隐藏通过对磁盘扇区数据的修改与数据加密,实现对私有数据的有效隐藏。介绍哪些内容=on-going恢复与隐藏技术解决的问题理论基础C++读写物理扇区的方法数据恢复应用开发流程安全删除和彻底格式化的方法恢复与隐藏技术解决的问题恢复解决的问题隐藏解决的问题找回误操作造成的数据丢失计算机取证其他敏感数据保护

2、网络攻击中隐藏木马等其他理论基础以FAT32为例FAT32文件系统中三个主要的数据结构几个重要的计算公式数据恢复技术原理数据隐藏技术原理理论基础-FAT32FAT32(FileAllocationTable32)是Microsoft公司开发研制的目前最流行的文件系统之一,之前的FAT16及FAT12与之机制类似。Microsoft推出的另一种文件系统NTFS(NewTechnologyFileSystem)虽然较FAT更复杂,主要加入了有关容错性、安全性、文件压缩、磁盘配额等新特性等,但从数据恢复的角度而言基本原理相同。原理对于在UN

3、IX/LINUX操作系统下使用的文件系统也具指导意义。理论基础-FAT32-几个名词FAT:FileAllocationTable,文件分配表,有FAT12、FAT16和FAT32三类。簇:文件系统为数据写入磁盘时分配的最小存储单位。簇由一个或多个扇区组成。1一个文件即使只有一个字节大小,也要占用一个簇的空间。卷:逻辑上的分区标识。(不是物理上的)理论基础-FAT32(续)每个FAT卷均由三个基本区域组成0–启动扇区,即0扇区1–FAT区,文件分配表区域2–数据区0扇区、FAT表(存在于FAT区)和FAT目录结构(存在于数据区中)是F

4、AT文件系统三个最主要的数据结构。理论基础-FAT32(续)-0扇区0扇区是FAT卷的第一个扇区,也称“启动扇区”。保存着FAT文件系统的第一个重要的数据结构BPB(BIOSParameterBlock)。BPB中保存着该FAT卷的各种关键信息0扇区物理数据0扇区结构表0扇区结构表(续)理论基础-FAT32(续)-FAT表FAT表是对应于数据区簇号号码的列表表项的大小与FAT的类型有关。FAT32用32-bit来表示一个表项,因此被称为FAT32。相应的,FAT16使用16-bit表示一个表项,FAT12为12-bit。FAT表提供了

5、链式存储机制,这使得文件并不需要存放在磁盘的连续簇中。理论基础-FAT32(续)-FAT表FAT表的表项需要完成以下几项功能:准确记录磁盘中已经被文件占用了的簇。为每个已被占用的簇指明后继簇。能够指明某簇是文件的最后一簇,即没有后继簇。能指明簇已损坏。为了完成上述功能,FAT表的每一个表项记录的内容为该簇后继簇的簇号。如果该簇没有后继簇,则将值设为0xFFFFFF0F。理论基础-FAT32(续)-FAT表FAT表数据FAT表表项示例理论基础-FAT32(续)-FAT表FAT表中项的总数与磁盘卷的总簇数有关,簇越多项数也越多。只要为一个

6、文件指明了开始簇,就能够借助FAT表找到保存此文件数据的所有簇。FAT32对目录(文件夹)和文件作相同看待,除属性外没有区别。由前表可知,数据区从第二簇开始。理论基础-FAT32(续)-FAT表第5簇在FAT32表项中表示成0x05000000为什么不是0x00000005?FAT32使用little-endian(小端)结构存储数据。对应则有Big-endian结构。比如:存储数据为0x05040302,计算对应的10进制:Little-endian:02*0x01000000+03*0x010000+04*0x0100+05Big

7、-endian:05*0x01000000+04*0x010000+03*0x0100+02理论基础-FAT32-目录结构目录项分为长目录项和短目录项。任意一个文件(或文件夹)在磁盘上均保存有自己对应的32位字节的目录项。一个文件可以没有长目录项(如果主文件名长度小于8),但不能没有短目录项。从数据恢复的角度出发,只需考虑短目录项,因为它已经包含了对应文件除长文件名之外的所有信息。理论基础-FAT32-目录结构(续)Readme.txt、Test.txt、Mydir文件夹的目录结构理论基础-FAT32-目录结构(续)FAT32对目录(

8、文件夹)和文件作相同看待,除属性外没有区别。对于长文件名文件,文件系统除了要保存其长文件名信息外,还生成对应的短文件名目录项,并用短目录项保存该文件的各种关键信息。理论基础-FAT32-目录结构(续)上表各项中,有4个变

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。