第21講-主控文件表結(jié)構(gòu)分析

任務(wù)4.3.2主控文件表結(jié)構(gòu)分析一、教學(xué)分析任務(wù)名稱任務(wù)4.3.2主控文件表結(jié)構(gòu)分析課程名稱數(shù)據(jù)備份與恢復(fù)課程性質(zhì)專業(yè)核心課專業(yè)名稱信息安全管理課程類型理實(shí)一體先修課程信息安全技術(shù)與實(shí)施后續(xù)課程計(jì)算機(jī)取證技術(shù)與應(yīng)用授課方式線上線下混合、工單任務(wù)、虛擬仿真、小組合作授課學(xué)時(shí)2學(xué)時(shí)授課時(shí)間2022.5.11、2022.5.12授課地點(diǎn)理實(shí)一體化教室4103、4405、15-201授課班級(jí)信安2002、信安2003、信安2004、信安2005授課教師高靈霞、廖艷授課教材國(guó)家“十二五”規(guī)劃教材《數(shù)據(jù)恢復(fù)技術(shù)》、1+X證書制度試點(diǎn)教學(xué)用書《數(shù)據(jù)備份與恢復(fù)》內(nèi)容分析根據(jù)五標(biāo)準(zhǔn)、一方案，即《信息安全與管理》專業(yè)教學(xué)標(biāo)準(zhǔn)，“電子數(shù)據(jù)分析師”國(guó)家職業(yè)技能標(biāo)準(zhǔn)，“網(wǎng)絡(luò)安全運(yùn)維”職業(yè)技能等級(jí)標(biāo)準(zhǔn)（X證書），“芯片級(jí)維修與數(shù)據(jù)恢復(fù)”國(guó)家技能競(jìng)賽規(guī)程標(biāo)準(zhǔn)，《數(shù)據(jù)備份與恢復(fù)》實(shí)施性課程標(biāo)準(zhǔn)，以及《信息安全管理》專業(yè)人才培養(yǎng)方案。參考校企合編十二五國(guó)家規(guī)劃教材，結(jié)合1+X證書制度試點(diǎn)教學(xué)用書，將課程重組為五個(gè)項(xiàng)目。本次課的內(nèi)容為項(xiàng)目四任務(wù)3，主控文件表結(jié)構(gòu)分析。學(xué)情分析知識(shí)技能基礎(chǔ)1.通過任務(wù)3的學(xué)習(xí)，學(xué)生已經(jīng)掌握了NTFS分區(qū)結(jié)構(gòu)，了解了元文件，對(duì)主控文件表結(jié)構(gòu)分析提供了一定的理論基礎(chǔ)2.通過學(xué)情調(diào)研測(cè)試，發(fā)現(xiàn)有3名學(xué)生對(duì)文件屬性相關(guān)問題回答錯(cuò)誤，說明對(duì)文件屬性的相關(guān)知識(shí)學(xué)習(xí)有待進(jìn)一步提高認(rèn)知實(shí)踐能力1.通過任務(wù)3的學(xué)習(xí)，學(xué)生能夠識(shí)別不同的分區(qū)類型，熟悉主控文件表結(jié)構(gòu)，以及常見的文件屬性。2.通過課前調(diào)研了解了主控文件表結(jié)構(gòu)。但是測(cè)試顯示，學(xué)生對(duì)主控文件表中常見的文件屬性的學(xué)習(xí)有待提高學(xué)習(xí)特點(diǎn)1.學(xué)生喜歡借助手機(jī)APP、微課、動(dòng)畫、仿真軟件等信息化手段學(xué)習(xí)2.學(xué)生實(shí)操欲望較強(qiáng)，具有一定的自主學(xué)習(xí)能力，喜歡挑戰(zhàn)任務(wù)，通過完成任務(wù)來獲得成就感教學(xué)目標(biāo)素質(zhì)目標(biāo)注重工作流程和操作規(guī)范良好的職業(yè)道德教育學(xué)生能立足專業(yè)，遵守?cái)?shù)據(jù)恢復(fù)工程師職業(yè)操守和注意事項(xiàng)知識(shí)目標(biāo)學(xué)生熟悉MFT結(jié)構(gòu)組成，分析記錄頭和熟悉列表組成信息學(xué)生掌握文件屬性結(jié)構(gòu)，分析屬性頭結(jié)構(gòu)信息學(xué)生掌握常見屬性內(nèi)容，10H和30H屬性學(xué)生了解字符編碼（ASCII碼、GB碼、Unicode碼）能力目標(biāo)學(xué)生能分析MFT文件記錄項(xiàng)結(jié)構(gòu)學(xué)生能搜尋指定的文件記錄項(xiàng)學(xué)生能讀取文件屬性學(xué)生通過文件恢復(fù)，全面提升分析、計(jì)劃、實(shí)施和監(jiān)控?cái)?shù)據(jù)備份與恢復(fù)任務(wù)的能力教學(xué)重點(diǎn)及解決措施教學(xué)重點(diǎn)：分析主控文件表結(jié)構(gòu)，掌握屬性頭結(jié)構(gòu)，區(qū)分常駐屬性和非常駐屬性，掌握基本文件屬性30H屬性內(nèi)容，80H常駐屬性內(nèi)容解決措施：1.課前布置任務(wù)，學(xué)生查閱資料，了解主控文件表結(jié)構(gòu)課中教師引導(dǎo)，構(gòu)建虛擬仿真環(huán)境，小組合作，指定解決方案，進(jìn)行仿真驗(yàn)證課后要求學(xué)生仿真結(jié)構(gòu)，強(qiáng)化技能，并安排學(xué)生到數(shù)據(jù)恢復(fù)與計(jì)算機(jī)取證研究中心進(jìn)行實(shí)戰(zhàn)，拓展能力教學(xué)難點(diǎn)及解決方案教學(xué)難點(diǎn)：掌握常見屬性頭結(jié)構(gòu)和屬性內(nèi)容結(jié)構(gòu)解決措施：課前將主控文件表資料，發(fā)放到學(xué)生電腦，學(xué)生能提前熟悉難點(diǎn)知識(shí)點(diǎn)在仿真實(shí)驗(yàn)中，課中通過仿真實(shí)驗(yàn)分析強(qiáng)調(diào)理解主控文件表中常見屬性的概念和作用課后要求學(xué)生仿真結(jié)構(gòu)，來強(qiáng)化對(duì)主控文件表中常見屬性頭結(jié)構(gòu)和屬性內(nèi)容結(jié)構(gòu)的理解二、教學(xué)策略教學(xué)資源中國(guó)大學(xué)MOOC學(xué)習(xí)網(wǎng)址：/learn/preview/cqcet-1002526030?tid=1463444550課程資源（微課、PPT、動(dòng)畫、作業(yè)、測(cè)試、討論）自主學(xué)習(xí)，個(gè)性化學(xué)習(xí)中國(guó)大學(xué)慕課堂慕課堂二維碼：全程教學(xué)管理、實(shí)時(shí)采集數(shù)據(jù)，記錄學(xué)生的學(xué)習(xí)行為，學(xué)生成績(jī)?cè)u(píng)定和調(diào)整教學(xué)策略。動(dòng)畫課件輔助學(xué)習(xí)，幫助理解，攻克教學(xué)難點(diǎn)。企業(yè)案例工學(xué)結(jié)合，以工單任務(wù)，引出本次課的任務(wù)，提高學(xué)習(xí)興趣。虛擬仿真通過虛擬結(jié)構(gòu)磁盤驗(yàn)證數(shù)據(jù)恢復(fù)的效果，降低實(shí)訓(xùn)成本,優(yōu)化設(shè)計(jì)方案。企業(yè)級(jí)實(shí)訓(xùn)基地通過數(shù)據(jù)恢復(fù)與計(jì)算機(jī)取證研究中心，推動(dòng)產(chǎn)教融合，提供技術(shù)交流服務(wù)。技術(shù)論壇技術(shù)論壇“硬盤基地”：/；學(xué)習(xí)數(shù)據(jù)備份與恢復(fù)的新技術(shù),新應(yīng)用，拓展視野。QQ群師生交流，答疑解惑，企業(yè)導(dǎo)師分享案例與經(jīng)驗(yàn)。教學(xué)策略課程以“德技并修”為邏輯起點(diǎn)，秉承“學(xué)生為主體、教師為主導(dǎo)”的育人理念，以項(xiàng)目為驅(qū)動(dòng)，實(shí)施“德育”與“專業(yè)”雙線育人模式，“博學(xué)、審問、慎思、明辨、篤行”為學(xué)生學(xué)習(xí)的階梯線，“模-診-練-驗(yàn)-戰(zhàn)”為課堂實(shí)施的教學(xué)線，雙線并舉，以傳統(tǒng)文化之魂，探數(shù)據(jù)備份與恢復(fù)之魄，涵養(yǎng)學(xué)生新時(shí)代精神，實(shí)現(xiàn)知識(shí)目標(biāo)和價(jià)值目標(biāo)的協(xié)調(diào)統(tǒng)一，盡職履責(zé)捍衛(wèi)國(guó)家數(shù)據(jù)安全，護(hù)航國(guó)家邁入數(shù)字經(jīng)濟(jì)藍(lán)海。三、教學(xué)整體設(shè)計(jì)項(xiàng)目四：析結(jié)構(gòu)、找文件任務(wù)3：NTFS文件系統(tǒng)數(shù)據(jù)恢復(fù)項(xiàng)目四：析結(jié)構(gòu)、找文件任務(wù)3：NTFS文件系統(tǒng)數(shù)據(jù)恢復(fù)任務(wù)4.3.2主控文件表結(jié)構(gòu)分析四、教學(xué)實(shí)施.課前準(zhǔn)備環(huán)節(jié)（用時(shí)）內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖測(cè)學(xué)情模場(chǎng)境【檢測(cè)學(xué)情】查閱資料，了解NTFS分區(qū)中主控文件表結(jié)構(gòu)課程教學(xué)平臺(tái)，自主分析主控文件表結(jié)構(gòu)在慕課堂完成課前測(cè)、在線討論【模擬場(chǎng)境】通過虛擬磁盤技術(shù)模擬主控文件表結(jié)構(gòu)分析訓(xùn)練場(chǎng)境1.查資料：慕課堂推送學(xué)習(xí)資料，布置資料查詢?nèi)蝿?wù)。2.答疑惑：慕課堂平臺(tái)討論區(qū)答疑，聚焦學(xué)生疑點(diǎn)。3.課前測(cè)：慕課堂平臺(tái)推送課前檢測(cè)題單。4.模場(chǎng)景：依據(jù)教學(xué)內(nèi)容，學(xué)情分析，通過虛擬磁盤技術(shù)模擬訓(xùn)練場(chǎng)環(huán)境。1.析任務(wù)：登錄慕課堂，下載學(xué)習(xí)資料，查看課前和課中任務(wù)。2.互合作：小組協(xié)作，完成課前查詢資料，上傳慕課堂。3.勤自學(xué)：在中國(guó)大學(xué)MOOC平臺(tái)，自主分析文件目錄表結(jié)構(gòu)。4.先預(yù)習(xí)：完成課前測(cè)題單，在討論區(qū)師生、生生交流。1.教師以“?！睘椴呗裕稣n堂任務(wù)。2.學(xué)生通過查閱資料，線上自主探究主控文件表結(jié)構(gòu)，分析方法，結(jié)合課前測(cè)，完成專業(yè)知識(shí)考核，引導(dǎo)學(xué)生“博學(xué)”。3.教師通過課前測(cè)過程性評(píng)價(jià)結(jié)果。依據(jù)教學(xué)目標(biāo)、結(jié)合學(xué)情，模擬訓(xùn)練場(chǎng)境，確定教學(xué)重難點(diǎn)給出解決方案。課中探究環(huán)節(jié)（用時(shí)）內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖析任務(wù)（10分鐘）【分析任務(wù)】發(fā)放任務(wù)工單分析主控文件表MFT結(jié)構(gòu)1.發(fā)任務(wù)：任務(wù)工單發(fā)放學(xué)生提要求：教師要求學(xué)生要求1：查看任務(wù)工單中任務(wù)需求要求2：閱讀知識(shí)鏈接要求3：回答我們要學(xué)哪些知識(shí)，覺得難點(diǎn)在哪里？1.查需求：學(xué)生接收任務(wù)工單，查看任務(wù)需求，回顧FAT32分區(qū)結(jié)構(gòu)組成。2.閱知識(shí)：閱讀任務(wù)工單中的知識(shí)鏈接。3.多思考：思考回答要學(xué)習(xí)哪些內(nèi)容，覺得哪里比較難，學(xué)習(xí)的目的。1.通過結(jié)構(gòu)展示，理解主控文件表MFT結(jié)構(gòu)2.“診”知識(shí)要點(diǎn)，體會(huì)數(shù)據(jù)恢復(fù)的重要性，明確任務(wù)需求。探真知（20分鐘）【探索真知】講解主控文件表的組成分析文件記錄頭和文件屬性講知識(shí)：（1）主控文件表主控文件表由若干個(gè)文件記錄項(xiàng)組成，每個(gè)文件記錄項(xiàng)占1024字節(jié)，也就是2個(gè)扇區(qū)。在NTFS分區(qū)中，每個(gè)文件都有一個(gè)編號(hào)。第0項(xiàng)便是$MFT。第5項(xiàng)：$Root根目錄文件第7項(xiàng)：$Boot引導(dǎo)元文件每個(gè)文件記錄項(xiàng)包含記錄頭和屬性列表兩大部分，每個(gè)文件記錄項(xiàng)由字符串“FILE0”起頭，作為文件記錄項(xiàng)的起始標(biāo)記，然后是記錄頭的其他字段。在所有屬性的最后是結(jié)束標(biāo)志“FFFFFFFF”。當(dāng)某文件的屬性表在一個(gè)基本記錄項(xiàng)里放不下時(shí)，就會(huì)另外在MFT中另外申請(qǐng)一個(gè)記錄項(xiàng)來存儲(chǔ)文件屬性，稱為擴(kuò)展記錄項(xiàng)。課程思政：一切勞動(dòng)者，只要肯學(xué)肯干肯鉆研，練就一身真本領(lǐng)，掌握一手好技術(shù)，就能立足崗位成長(zhǎng)成才，就都能在勞動(dòng)中發(fā)現(xiàn)廣闊的天地，在勞動(dòng)中體現(xiàn)價(jià)值、展現(xiàn)風(fēng)采、感受快樂（2）文件記錄頭文件記錄頭標(biāo)識(shí)了這個(gè)文件記錄項(xiàng)的結(jié)構(gòu)信息，對(duì)于數(shù)據(jù)恢復(fù)而言，有幾個(gè)字段很重要：偏移14-15H（2字節(jié)）：第一個(gè)屬性的偏移地址。偏移16-17H（2字節(jié)）：標(biāo)志，二進(jìn)制第0位代表是否刪除，第1位代表文件或目錄。如：“00H”代表已刪除文件；“01H”代表文件；“02H”代表已刪除目錄；“03H”代表目錄。偏移2C-2FH（4字節(jié)）：此文件的MFT記錄編號(hào)，NTFS用此編號(hào)來識(shí)別文件。（3）文件屬性每個(gè)屬性的頭4個(gè)字節(jié)表示屬性類型，接下來的4個(gè)字節(jié)表示本屬性大小，根據(jù)這個(gè)信息，我們可以遍歷文件的屬性列表。MFT中的各屬性的大小均以8字節(jié)為邊界。表1基本文件屬性1）屬性頭每個(gè)屬性又分為屬性頭和屬性內(nèi)容兩部分，屬性頭給出了該屬性的結(jié)構(gòu)信息。有的屬性內(nèi)容存儲(chǔ)在記錄項(xiàng)中（如文件名），稱為常駐屬性。有的屬性內(nèi)容很大，需要在MFT外另外開辟空間存儲(chǔ)（如文件數(shù)據(jù)），則稱為非常駐屬性。有的屬性有屬性名，有的屬性沒有屬性名。2）文件名屬性----30H屬性30H屬性很重要，它記錄了文件的文件名、創(chuàng)建和修改時(shí)間、文件大小、傳統(tǒng)屬性等內(nèi)容，包含了除數(shù)據(jù)以外的文件基本信息。30H屬性總是常駐屬性，可容納255個(gè)Unicode字符的文件名長(zhǎng)度（包含主文件名和擴(kuò)展名）。NTFS針對(duì)不同的操作系統(tǒng)提出了三種文件名命名空間，其字符集從小到大依次為：DOS、WIN32、POSIX（Unix可移植操作系統(tǒng)接口）。也就是說，一個(gè)文件可以有多個(gè)支持不同系統(tǒng)的文件名，所以也可能有不止一個(gè)文件名屬性。由于使用了Unicode編碼，假如我們要搜索某個(gè)文件，應(yīng)當(dāng)先將該文件的文件名寫在記事本里，然后轉(zhuǎn)成Unicode編碼，再使用轉(zhuǎn)換后的二進(jìn)制編碼搜索。需注意：雖然漢字都能正常顯示，看起來沒有區(qū)別，但底層編碼是不同的。記知識(shí)：（1）主控文件表學(xué)生掌握主控文件表的組成，熟悉每個(gè)文件記錄項(xiàng)占2個(gè)扇區(qū)。每個(gè)文件都是MFT文件編號(hào)。$MFT編號(hào)0，$Root編號(hào)5，$Boot編號(hào)7.學(xué)技能：學(xué)生能夠定位$MFT的起始扇區(qū)，分析$MFT文件的文件頭和熟悉列表。（2）文件記錄學(xué)生能夠提前$MFT文件的記錄頭，分析，第1個(gè)屬性的偏移位置，文件標(biāo)志（01表示使用的文件，00表示刪除文件，“02H”代表已刪除目錄；“03H”代表目錄），找到文件記錄的編號(hào)位置。文件屬性學(xué)生能夠熟悉常見的文件熟悉，10H，30H，80H。掌握每個(gè)熟悉的4個(gè)字節(jié)表示屬性類型，接下來的4個(gè)字節(jié)表示本屬性大小。實(shí)現(xiàn)遍歷文件的所有屬性列表。能夠區(qū)分常駐屬性和非常駐屬性，學(xué)會(huì)分析非常駐屬性。掌握非常駐屬性結(jié)構(gòu)。能夠分析30H屬性，掌握父目錄編號(hào)的位置，文件名長(zhǎng)度，文件名命名空間，以及文件名采用Unicode編碼，每個(gè)字符占2個(gè)字節(jié)。做區(qū)分：學(xué)生能夠通過文件名搜索文件名的記錄項(xiàng)，分析文件記錄項(xiàng)的記錄頭，屬性列表，掌握30H屬性中父目錄文件編號(hào)，文件傳統(tǒng)屬性，文件名的命名空間，同時(shí)能夠根據(jù)分析80H屬性，若是常駐屬性可以提取文件數(shù)據(jù)。【育人案例】2021年6月17日淘寶近12億條用戶數(shù)據(jù)遭泄露，一名住在河南商丘市的本科畢業(yè)的大學(xué)生逯某自2019年11月起，對(duì)淘寶實(shí)施了長(zhǎng)達(dá)八個(gè)月的數(shù)據(jù)爬取并盜走大量用戶數(shù)據(jù)。在阿里巴巴注意到這一問題前，已經(jīng)有約13億條用戶信息泄露。1.引導(dǎo)學(xué)生“審問”，理解重難點(diǎn)知識(shí)。2.小組活動(dòng)，教師引導(dǎo)共同探究分析文件記錄頭和文件屬性。3.掌握數(shù)據(jù)恢復(fù)技術(shù)及注意事項(xiàng)，便于優(yōu)化方案，合理設(shè)計(jì)實(shí)施計(jì)劃。練技術(shù)（40分鐘）【演練技術(shù)】學(xué)生自主分析主控文件表結(jié)構(gòu)明任務(wù)：任務(wù)一：分析$MFT元文件在物理機(jī)中選擇一個(gè)NTFS分區(qū)，本例假設(shè)D盤。打開$MFT元文件，查看該文件的文件記錄項(xiàng)文件記錄項(xiàng)由文件記錄頭和文件屬性組成做要求：1）要求學(xué)生截圖記錄頭，分析記錄頭重要參數(shù)信息。2）截圖$MFT文件目錄項(xiàng)的屬性列表，分析由哪些屬性組成。3）截圖并分析10H和30H屬性中的屬性頭和屬性內(nèi)容做指導(dǎo)：指導(dǎo)學(xué)生對(duì)$MFT文件的記錄項(xiàng)結(jié)構(gòu)分析和屬性頭及10H和30H屬性內(nèi)容的分析。在指導(dǎo)過程提醒學(xué)生尊重操作規(guī)范，發(fā)揚(yáng)大國(guó)工匠精神，精益求精。查過程：查看學(xué)生完成過程，必要時(shí)給與總體技能傳授1.定位置：學(xué)生完成定位到$MFT文件，文件記錄項(xiàng)的組成，找出記錄頭中文件編號(hào)，文件標(biāo)志，第1個(gè)屬性位置，以及屬性組成。通知老師檢查2.做分析：學(xué)生完成對(duì)10H和30H中屬性頭和屬性內(nèi)容的分析，配合并通知老師檢查。3.探疑問：在任務(wù)實(shí)施中，存在疑問小組討論或與教師一起探討。4.記過程：根據(jù)真實(shí)實(shí)驗(yàn)過程，記錄詳細(xì)步驟，完善任務(wù)工單，并上傳至平臺(tái)。1.教師加強(qiáng)指導(dǎo)，學(xué)生“慎思”，尋找問題解決方法。2.課中“練”，通過仿真實(shí)踐，鍛煉學(xué)生通過分析主控文件表結(jié)構(gòu)，操作系統(tǒng)使用的技能。3.教師過程性評(píng)價(jià)學(xué)生完成情況，在實(shí)踐中引導(dǎo)學(xué)生耐心專注，逐步養(yǎng)成熱愛勞動(dòng)的良好習(xí)慣，達(dá)自立。驗(yàn)成效（20分鐘）【檢驗(yàn)成果】檢驗(yàn)學(xué)生成效，總結(jié)經(jīng)驗(yàn)劃重點(diǎn)：（1）MFT中的文件目錄項(xiàng)固定占多少字節(jié)，文件目錄項(xiàng)由什么組成？（2）文件記錄項(xiàng)的簽名是什么，第1個(gè)屬性的偏移位置，文件的標(biāo)志有哪些，文件編號(hào)的位置？（3）文件記錄項(xiàng)中的屬性分類，如何區(qū)分？（4）文件屬性中30H的內(nèi)容結(jié)構(gòu)？做總結(jié):（1）MFT中的文件目錄項(xiàng)固定占多少字節(jié)，文件目錄項(xiàng)由什么組成？（2）文件記錄項(xiàng)的簽名是什么，第1個(gè)屬性的偏移位置，文件的標(biāo)志有哪些，文件編號(hào)的位置？（3）文件記錄項(xiàng)中的屬性分類，如何區(qū)分？（4）文件屬性中30H的內(nèi)容結(jié)構(gòu)？1.師生共“驗(yàn)”，展示成果，分享經(jīng)驗(yàn)，促進(jìn)小組之間相互學(xué)習(xí)，取長(zhǎng)補(bǔ)短，達(dá)成共同進(jìn)步。2.提高學(xué)生表達(dá)能力，增加自信，通過“明辨”，拓展思路，學(xué)習(xí)其他同學(xué)好的想法。3.教師引導(dǎo)學(xué)生梳理知識(shí)點(diǎn)，鞏固知識(shí)和技能，提高學(xué)生總結(jié)概括能力。3.課后拓展環(huán)節(jié)（用時(shí)）內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖仿結(jié)構(gòu)【模仿結(jié)構(gòu)】做仿真，模擬主控文件表結(jié)構(gòu)，進(jìn)行分析1.布任務(wù)：協(xié)助學(xué)生模擬主控文件表結(jié)構(gòu)仿真。2.做改進(jìn)：學(xué)生任務(wù)工單，分析學(xué)情完善教學(xué)策略1.小組活動(dòng)，通過虛擬磁盤技術(shù)模擬磁盤結(jié)構(gòu)，進(jìn)行仿真恢復(fù)。2.完善任務(wù)工單，上傳學(xué)習(xí)通1.教師和學(xué)生遵守“耐心專注”的職業(yè)素養(yǎng)。2.通過仿真，模擬磁盤故障，拓展技能，“篤行”。3.通過數(shù)據(jù)恢復(fù)與計(jì)算機(jī)取證研究中心進(jìn)行數(shù)據(jù)恢復(fù)訓(xùn)練提升能力，強(qiáng)化實(shí)“戰(zhàn)”。4.形成終結(jié)性評(píng)價(jià)考核結(jié)果，以小組互評(píng)，教師評(píng)價(jià)的方式，達(dá)成課程培養(yǎng)目標(biāo)。強(qiáng)實(shí)戰(zhàn)【強(qiáng)化實(shí)戰(zhàn)】到數(shù)據(jù)恢復(fù)與計(jì)算機(jī)取證研究中心進(jìn)行數(shù)據(jù)恢復(fù)實(shí)戰(zhàn)組織學(xué)生到數(shù)據(jù)恢復(fù)與計(jì)算機(jī)取證研究中心，觀摩學(xué)習(xí)或參與磁盤恢復(fù)實(shí)戰(zhàn)協(xié)同數(shù)據(jù)恢復(fù)大賽指導(dǎo)教練對(duì)學(xué)生進(jìn)行現(xiàn)場(chǎng)指導(dǎo)。學(xué)生小組活動(dòng)，認(rèn)真觀摩學(xué)習(xí)磁盤恢復(fù)技術(shù)、積極參與實(shí)戰(zhàn)。積極參加數(shù)據(jù)恢復(fù)大賽學(xué)生團(tuán)隊(duì)，爭(zhēng)取通過選拔。五、考核評(píng)價(jià)評(píng)價(jià)方式采用專業(yè)教師、小組互評(píng)、自評(píng)、平臺(tái)考核等多元評(píng)價(jià)方式，學(xué)生成績(jī)客觀、公正、透明、真實(shí)。課程評(píng)價(jià)標(biāo)準(zhǔn)與方式：（1）課前測(cè)：根據(jù)中國(guó)大學(xué)慕課堂平臺(tái)記錄的學(xué)習(xí)數(shù)據(jù)成績(jī)。（2）模塊測(cè)：依據(jù)學(xué)生完成效果，授課教師評(píng)閱，學(xué)習(xí)通平臺(tái)記錄測(cè)試成績(jī)。（3）工單任務(wù)：由考勤記錄（30%分）、課堂表現(xiàn)（20%）、實(shí)施成效（50%）三方面平時(shí)考勤：遲到早退各扣1分，曠課扣2分，提前10分鐘激勵(lì)1分。以平均分達(dá)到滿分，按比例打分。（扣分超過10，總評(píng)0）課堂表現(xiàn)：課程中的案例、思考、練習(xí)，鼓勵(lì)學(xué)生主動(dòng)參與討論、分享思路、幫助同學(xué)，表現(xiàn)突出的，當(dāng)場(chǎng)記錄加1~2分，若有影響課堂學(xué)習(xí)的（如：睡覺、玩手機(jī)）當(dāng)場(chǎng)記錄扣2分?？傇u(píng)以最高分達(dá)到滿分，按比例打分。實(shí)施成效：依據(jù)完成工單任務(wù)成效每次得分1-2分，總評(píng)以最高分達(dá)到滿分，按比例打分（4）實(shí)戰(zhàn)拓展：以提交學(xué)習(xí)通中工單任務(wù)報(bào)告，采用教師評(píng)價(jià)，學(xué)生互評(píng)方式，學(xué)習(xí)通平臺(tái)記錄成績(jī)。（5）期終考評(píng)：線上采用中國(guó)大學(xué)MOOC成績(jī)，線下由教學(xué)團(tuán)隊(duì)統(tǒng)一規(guī)劃出題考試教學(xué)效果1.學(xué)生通過課前查閱資料，了解主控文件表結(jié)構(gòu)分析。2.通過師生共同探究，掌握分析主控文件表結(jié)構(gòu)方法。3.通過課中仿真實(shí)驗(yàn)與恢復(fù)成效展示，學(xué)會(huì)了使用磁盤編輯工具Winhex、虛擬磁盤工具。特色創(chuàng)新1.利用磁盤編輯工具分析主控文件表結(jié)構(gòu)，培養(yǎng)學(xué)生“立足專業(yè)”分析主控文件表，能“自立”完成任務(wù)。2.采用虛擬磁盤技術(shù)，仿真實(shí)驗(yàn)環(huán)境，節(jié)約成本3.采用工單任務(wù)，工學(xué)結(jié)合，模擬職場(chǎng)情境，提高學(xué)生綜合職業(yè)技能。反思改進(jìn)1.通過課前測(cè)，有92%學(xué)生掌握知識(shí)技能，8%左右學(xué)生知識(shí)不牢固，提出預(yù)警差異指導(dǎo)對(duì)應(yīng)學(xué)生。2.通過課堂師生交流，知識(shí)講授與技能培養(yǎng)掌握情況良好，要加強(qiáng)操作技能檢查，改進(jìn)教學(xué)策略。3.通過工單任務(wù)完成情況以及學(xué)生自我評(píng)價(jià)，改進(jìn)工單任務(wù)內(nèi)容。任務(wù)名稱主控文件表結(jié)構(gòu)分析學(xué)時(shí)2班級(jí)學(xué)生姓名小組成員小組任務(wù)成績(jī)個(gè)人任務(wù)成績(jī)使用工具Winhex,磁盤管理工具學(xué)習(xí)場(chǎng)地實(shí)訓(xùn)機(jī)房日期任務(wù)需求：工程師小王想學(xué)習(xí)NTFS是怎么實(shí)現(xiàn)對(duì)文件的管理的，在組織文件的屬性、文件名、日期、簇號(hào)分配等方面是如何實(shí)現(xiàn)的，因?yàn)檫@是學(xué)習(xí)NTFS數(shù)據(jù)恢復(fù)的一個(gè)必須的過程。任務(wù)目的：學(xué)生能夠分析MFT文件記錄項(xiàng)結(jié)構(gòu)學(xué)生能夠讀取文件屬性學(xué)生能搜尋指定的文件記錄項(xiàng)學(xué)生能夠全面提升分析、計(jì)劃、實(shí)施和監(jiān)控?cái)?shù)據(jù)備份與恢復(fù)任務(wù)的能力查閱資料：查閱資料，了解NTFS分區(qū)中主控文件表結(jié)構(gòu)計(jì)劃與決策根據(jù)任務(wù)需求，提供采用提供可行的解決方案。學(xué)生能夠創(chuàng)建虛擬磁盤劃分分區(qū)，模擬實(shí)驗(yàn)環(huán)境，檢驗(yàn)是否與真實(shí)相符學(xué)生根據(jù)NTFS結(jié)構(gòu)信息，具有手工搜尋指定的文件記錄項(xiàng)的能力。學(xué)生能夠根據(jù)文件目錄項(xiàng)，分析文件屬性的能力工單任務(wù)

任務(wù)實(shí)施；知識(shí)鏈接（1）主控文件表主控文件表由若干個(gè)文件記錄項(xiàng)組成，每個(gè)文件記錄項(xiàng)占1024字節(jié)，也就是2個(gè)扇區(qū)。在NTFS分區(qū)中，每個(gè)文件都有一個(gè)編號(hào)。第0項(xiàng)便是$MFT。第5項(xiàng)：$Root根目錄文件第7項(xiàng)：$Boot引導(dǎo)元文件每個(gè)文件記錄項(xiàng)包含記錄頭和屬性列表兩大部分，每個(gè)文件記錄項(xiàng)由字符串“FILE0”起頭，作為文件記錄項(xiàng)的起始標(biāo)記，然后是記錄頭的其他字段。在所有屬性的最后是結(jié)束標(biāo)志“FFFFFFFF”。當(dāng)某文件的屬性表在一個(gè)基本記錄項(xiàng)里放不下時(shí)，就會(huì)另外在MFT中另外申請(qǐng)一個(gè)記錄項(xiàng)來存儲(chǔ)文件屬性，稱為擴(kuò)展記錄項(xiàng)。（2）文件記錄頭文件記錄頭標(biāo)識(shí)了這個(gè)文件記錄項(xiàng)的結(jié)構(gòu)信息，對(duì)于數(shù)據(jù)恢復(fù)而言，有幾個(gè)字段很重要：偏移14-15H（2字節(jié)）：第一個(gè)屬性的偏移地址。偏移16-17H（2字節(jié)）：標(biāo)志，二進(jìn)制第0位代表是否刪除，第1位代表文件或目錄。如：“00H”代表已刪除文件；“01H”代表文件；“02H”代表已刪除目錄；“03H”代表目錄。偏移2C-2FH（4字節(jié)）：此文件的MFT記錄編號(hào)，NTFS用此編號(hào)來識(shí)別文件。（3）文件屬性每個(gè)屬性的頭4個(gè)字節(jié)表示屬性類型，接下來的4個(gè)字節(jié)表示本屬性大小，根據(jù)這個(gè)信息，我們可以遍歷文件的屬性列表。MFT中的各屬性的大小均以8字節(jié)為邊界。對(duì)于數(shù)據(jù)恢復(fù)工作而言，最重要的幾個(gè)屬性是：屬性類型屬性名屬性描述10H$STANDARD_INFOMATION標(biāo)準(zhǔn)信息：文件傳統(tǒng)屬性，時(shí)間、硬鏈接等20H$ATTRIBUTE_LIST屬性列表：描述擴(kuò)展文件記錄項(xiàng)中屬性的信息30H$FILE_NAME文件名：用Unicode字符表示的文件名80H$DATA數(shù)據(jù)：文件的實(shí)際數(shù)據(jù)內(nèi)容90H$INDEX_ROOT索引根：文件目錄的根節(jié)點(diǎn)A0H$INDEX_ALLOCATION索引分配：文件目錄表的子節(jié)點(diǎn)表1基本文件屬性（1）屬性頭每個(gè)屬性又分為屬性頭和屬性內(nèi)容兩部分，屬性頭給出了該屬性的結(jié)構(gòu)信息。有的屬性內(nèi)容存儲(chǔ)在記錄項(xiàng)中（如文件名），稱為常駐屬性。有的屬性內(nèi)容很大，需要在MFT外另外開辟空間存儲(chǔ)（如文件數(shù)據(jù)），則稱為非常駐屬性，如表2、表3所示。有的屬性有屬性名，有的屬性沒有屬性名。（2）文件名屬性-30H屬性30H屬性很重要，它記錄了文件的文件名、創(chuàng)建和修改時(shí)間、文件大小、傳統(tǒng)屬性等內(nèi)容，包含了除數(shù)據(jù)以外的文件基本信息。30H屬性總是常駐屬性，可容納255個(gè)Unicode字符的文件名長(zhǎng)度（包含主文件名和擴(kuò)展名）。NTFS針對(duì)不同的操作系統(tǒng)提出了三種文件名命名空間，其字符集從小到大依次為：DOS、WIN32、POSIX（Unix可移植操作系統(tǒng)接口）。也就是說，一個(gè)文件可以有多個(gè)支持不同系統(tǒng)的文件名，所以也可能有不止一個(gè)文件名屬性。由于使用了Unicode編碼，假如我們要搜索某個(gè)文件，應(yīng)當(dāng)先將該文件的文件名寫在記事本里，然后轉(zhuǎn)成Unicode編碼，再使用轉(zhuǎn)換后的二進(jìn)制編碼搜索。注意：雖然漢字都能正常顯示，看起來沒有區(qū)別，但底層編碼是不同的。2．任務(wù)實(shí)施步驟任務(wù)一：分析$MFT元文件在物理機(jī)中選擇一個(gè)NTFS分區(qū)，本例假設(shè)D盤。打開$MFT元文件，查看該文件的文件記錄項(xiàng)文件記錄項(xiàng)由文件記錄頭和文件屬性組成第一步操作：截圖文件記錄頭文件記錄頭結(jié)構(gòu)000102030405060708090A0B0C0D0E0F00HMFT標(biāo)志更新序列號(hào)偏移更新序列號(hào)數(shù)組數(shù)日志序列號(hào)10H序列號(hào)，文件記錄項(xiàng)使用次數(shù)硬連接數(shù)第1個(gè)屬性偏移文件標(biāo)志記錄頭和屬性表的實(shí)際使用總長(zhǎng)度總共分配的總長(zhǎng)度20H是否文件基本記錄項(xiàng)下一屬性ＩＤ邊界MFT文件記錄項(xiàng)的編號(hào)30H更新序列號(hào)數(shù)組文件屬性偏移14-15H（2字節(jié)）：第一個(gè)屬性的偏移地址（）。偏移16-17H（2字節(jié)）：文件標(biāo)志（）說明：二進(jìn)制第0位代表是否刪除，第1位代表文件或目錄。如：“00H”代表已刪除文件；“01H”代表文件；“02H”代表已刪除目錄；“03H”代表目錄。偏移2C-2FH：此文件的MFT記錄編號(hào)（），NTFS用此編號(hào)來識(shí)別文件。第2步操作：截圖$MFT文件目錄項(xiàng)的屬性列表分析$MFT文件由（）、（）、（）、（）屬性組成，屬性的結(jié)束標(biāo)志（）。第三步操作：截圖10H屬性每個(gè)屬性又分為屬性頭和屬性內(nèi)容兩部分，屬性頭給出了該屬性的結(jié)構(gòu)信息。有的屬性內(nèi)容存儲(chǔ)在記錄項(xiàng)中（如文件名），稱為常駐屬性。有的屬性內(nèi)容很大，需要在MFT外另外開辟空間存儲(chǔ)（如文件數(shù)據(jù)），則稱為非常駐屬性判斷10屬性為（）屬性，是標(biāo)準(zhǔn)信息每個(gè)屬性的頭4個(gè)字節(jié)表示屬性類型，接下來的4個(gè)字節(jié)表示本屬性大?。ǎ傩灶^分析：偏移位置：08H，值為（），表示是（）屬性，描述標(biāo)準(zhǔn)信息偏移位置：09H，值為（），表示有沒有屬性名（）偏移位置：10H-13H，值為（），表示屬性的內(nèi)容長(zhǎng)度偏移位置：14H-15H，值為（），表示屬性內(nèi)