返回
《安全操作系统》ppt课件

《安全操作系统》ppt课件

ID:39945604

大小:1003.00 KB

页数:54页

时间:2019-07-15

《安全操作系统》ppt课件_第1页
《安全操作系统》ppt课件_第2页
《安全操作系统》ppt课件_第3页
《安全操作系统》ppt课件_第4页
《安全操作系统》ppt课件_第5页
资源描述:

《《安全操作系统》ppt课件》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、安全操作系统中国科学技术大学计算机系陈香兰(0512-87161312)xlanchen@ustc.edu.cn助教:裴建国Autumn2008实验讲解口令破解,Passwordcracking文件恢复,filerecovery缓冲区溢出系统安全安全审计文件事件审计主机安全审计文件恢复,filerecovery实验中用到的工具磁盘相关磁盘物理组织和结构磁盘逻辑组织和结构FAT32文件恢复Ext2文件恢复工具Winhex下载evaluation版:http://winhex.en.softonic.com/Fi

2、nalData下载Demo版,有限时间;有限使用http://www.finaldata.com/文件粉碎机下载,很多网站例如filekillerDebugfs,Linux自带文件恢复,filerecovery实验中用到的工具磁盘相关磁盘物理组织和结构磁盘逻辑组织和结构FAT32文件恢复Ext2文件恢复http://www.microsoft.com/resources/documentation/windowsnt/4/server/reskit/en-us/resguide/diskover.mspx?m

3、fr=trueIllustrationofaharddiskcylinder/head/sectorTracksandCylindersSectorsandClusters文件恢复,filerecovery磁盘相关磁盘物理组织和结构磁盘逻辑组织和结构FAT32文件恢复Ext2文件恢复MBRIA32IBMPC系统采用MBR分区表方案系统启动时,首先执行ROMBIOS中的固件该固件将会装载(0x7C00)并执行MBR中的bootloader运行在实模式MBR中的bootloader将查找分区表,找到活动分区,加载

4、该分区启动扇区并执行与FS类型以及OS类型有关通常用来加载OS相关的secondarybootstraploader,例如io.sys,ntldr关于PC的启动过程,可以参见这里:BootsequenceonstandardPC(IBM-PCcompatible)512字节的MBR=446字节的bootloader+64字节的分区表+2字节的signature:0xAA55track0,head0,andsector1演示本机磁盘管理信息分区表,partitiontable4项,MBR446字节开始的64个字

5、节,偏移分别Partition10x01BE(446)Partition20x01CE(462)Partition30x01DE(478)Partition40x01EE(494)每项16个字节Anexamplehttp://blogs.msdn.com/ntdebugging/archive/2007/06/19/how-windows-starts-up-part-1-of-4.aspx分区表项(细)关于更多的systemid,参考这里FATPartitionBootSectorhttp://www.nt

6、fs.com/fat-partition-sector.htmBPB关于Windows95的启动过程,参考这里找到并加载Io.sys……NTFSPartitionBootSector关于Windows2000的启动,参见NtldrVista和server2008:winload.exe和WindowsBootManager找到并加载Ntldr……演示?打开整个磁盘,看分区,MBRPartitionrecovery误删一个分区?TestDiskgpart有些磁盘管理工具,在删除分区时,会写覆盖分区前部的几个扇区

7、Windows2000/XP,第一个扇区需要有备份的启动扇区配合恢复病毒?分区时突然掉电/死机?安装或删除多OS之一?查杀病毒恢复分区表fdisk/mbr重新分区??文件恢复,filerecovery实验中用到的工具磁盘相关磁盘物理组织和结构磁盘逻辑组织和结构FAT32文件恢复Ext2文件恢复FAT基本概念扇区簇链式存储(显式)FileAllocationTable目录项FAT的备份FAT#1和FAT#2,大小相等FAT的格式最早,FAT12,用12bit对簇寻址4096-(000h,001h,FF0h~FF

8、Fh)=4078个可用软盘InitialFAT16,用16bit对簇寻址,65517受限于16位扇区号,分区最大32MBFinalFAT16,1987磁盘技术:可以使用32位的扇区号sectors-per-cluster<=64标准扇区大小512字节,簇最大32KB,分区最大2GFAT32,32位,其中28位用来寻簇若32KB的簇,则8TB,理论上受限于bootsector,32位扇区号,实际上最大

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。