第22講-NTFS文件系統(tǒng)數(shù)據(jù)恢復(fù)

任務(wù)4NTFS文件系統(tǒng)數(shù)據(jù)恢復(fù)一、教學(xué)分析任務(wù)名稱任務(wù)4NTFS文件系統(tǒng)數(shù)據(jù)恢復(fù)課程名稱數(shù)據(jù)備份與恢復(fù)課程性質(zhì)專業(yè)核心課專業(yè)名稱信息安全管理課程類型理實(shí)一體先修課程信息安全技術(shù)與實(shí)施后續(xù)課程計(jì)算機(jī)取證技術(shù)與應(yīng)用授課方式線上線下混合、工單任務(wù)、虛擬仿真、小組合作授課學(xué)時(shí)2學(xué)時(shí)授課時(shí)間2022.5.16、2022.5.17授課地點(diǎn)理實(shí)一體化教室4103、4405、15-201授課班級信安2002、信安2003、信安2004、信安2005授課教師高靈霞、廖艷授課教材國家“十二五”規(guī)劃教材《數(shù)據(jù)恢復(fù)技術(shù)》、1+X證書制度試點(diǎn)教學(xué)用書《數(shù)據(jù)備份與恢復(fù)》內(nèi)容分析NTFS文件系統(tǒng)中，$MFT文件中存放了卷中所有的文件屬性信息，它是恢復(fù)數(shù)據(jù)的重要文件。我們?nèi)绾味ㄎ挥脩粑募挠涗涰?xiàng)，分析文件屬性、文件名、日期及簇的分配，提取文件中的數(shù)據(jù)。這是學(xué)習(xí)NTFS數(shù)據(jù)恢復(fù)的一個(gè)非常重要的過程。要求：讀取以下文件數(shù)據(jù)組成新文件，判斷是否與原文件內(nèi)容一致。學(xué)情分析知識技能基礎(chǔ)1.通過任務(wù)5的學(xué)習(xí)，學(xué)生已經(jīng)掌握了NTFS分區(qū)結(jié)構(gòu)，了解了常見屬性，對文件底層數(shù)據(jù)提取提供了一定的理論基礎(chǔ)2.通過學(xué)情調(diào)研測試，發(fā)現(xiàn)有3名學(xué)生對文件底層數(shù)據(jù)提取相關(guān)問題回答錯(cuò)誤，說明對文件底層數(shù)據(jù)提取的相關(guān)知識學(xué)習(xí)有待進(jìn)一步提高認(rèn)知實(shí)踐能力1.通過任務(wù)5的學(xué)習(xí)，學(xué)生能夠識別不同的分區(qū)類型，熟悉常見的文件屬性，了解了文件底層數(shù)據(jù)提取。2.通過課前調(diào)研了解了文件底層數(shù)據(jù)提取提取方法。但是測試顯示，學(xué)生對文件底層數(shù)據(jù)提取的學(xué)習(xí)有待提高學(xué)習(xí)特點(diǎn)1.學(xué)生喜歡借助手機(jī)APP、微課、動(dòng)畫、仿真軟件等信息化手段學(xué)習(xí)2.學(xué)生實(shí)操欲望較強(qiáng)，具有一定的自主學(xué)習(xí)能力，喜歡挑戰(zhàn)任務(wù)，通過完成任務(wù)來獲得成就感教學(xué)目標(biāo)素質(zhì)目標(biāo)注重工作流程和操作規(guī)范良好的職業(yè)道德教育學(xué)生能立足專業(yè)，遵守?cái)?shù)據(jù)恢復(fù)工程師職業(yè)操守和注意事項(xiàng)知識目標(biāo)學(xué)生掌握用戶文件記錄項(xiàng)的搜索判斷方法學(xué)生掌握常見屬性10H、30H、80H的分析方法學(xué)生掌握非常駐屬性分析、索引運(yùn)行項(xiàng)分析方法學(xué)生掌握提取文件數(shù)據(jù)的方法能力目標(biāo)學(xué)生能夠搜索NTFS分區(qū)中用戶文件的文件記錄項(xiàng)，并進(jìn)行判斷分析。學(xué)生能夠分析80H的非常駐屬性，索引運(yùn)行項(xiàng)，分析文件存放結(jié)構(gòu)。學(xué)生能讀取用戶文件數(shù)據(jù)組成新文件。學(xué)生通過文件提取，全面提升分析、計(jì)劃、實(shí)施和監(jiān)控?cái)?shù)據(jù)備份與提取任務(wù)的能力教學(xué)重點(diǎn)及解決措施教學(xué)重點(diǎn)：分析文件記錄項(xiàng)中記錄頭和屬性列表信息，掌握10H屬性、30H屬性，根據(jù)80H屬性，提取文件數(shù)據(jù)解決措施：1.課前布置任務(wù)，學(xué)生查閱資料，了解文件底層數(shù)據(jù)提取理論課中教師引導(dǎo)，構(gòu)建虛擬仿真環(huán)境，小組合作，指定解決方案，進(jìn)行仿真驗(yàn)證課后要求學(xué)生仿真結(jié)構(gòu)，強(qiáng)化技能，并安排學(xué)生到數(shù)據(jù)恢復(fù)與計(jì)算機(jī)取證研究中心進(jìn)行實(shí)戰(zhàn)，拓展能力教學(xué)難點(diǎn)及解決方案教學(xué)難點(diǎn)：非常駐屬性80H中文件數(shù)據(jù)的提取解決措施：課前將文件存儲(chǔ)結(jié)構(gòu)資料，發(fā)放到學(xué)生電腦，學(xué)生能提前熟悉難點(diǎn)知識點(diǎn)在仿真實(shí)驗(yàn)中，課中通過仿真實(shí)驗(yàn)分析強(qiáng)調(diào)非常駐屬性80H中文件數(shù)據(jù)的提取方法和原理課后要求學(xué)生仿真結(jié)構(gòu)，來強(qiáng)化對非常駐屬性80H中文件數(shù)據(jù)的提取的原理二、教學(xué)策略教學(xué)資源中國大學(xué)MOOC學(xué)習(xí)網(wǎng)址：/learn/preview/cqcet-1002526030?tid=1463444550課程資源（微課、PPT、動(dòng)畫、作業(yè)、測試、討論）自主學(xué)習(xí)，個(gè)性化學(xué)習(xí)中國大學(xué)慕課堂慕課堂二維碼：全程教學(xué)管理、實(shí)時(shí)采集數(shù)據(jù)，記錄學(xué)生的學(xué)習(xí)行為，學(xué)生成績評定和調(diào)整教學(xué)策略。動(dòng)畫課件輔助學(xué)習(xí)，幫助理解，攻克教學(xué)難點(diǎn)。企業(yè)案例工學(xué)結(jié)合，以工單任務(wù)，引出本次課的任務(wù)，提高學(xué)習(xí)興趣。虛擬仿真通過虛擬結(jié)構(gòu)磁盤驗(yàn)證數(shù)據(jù)恢復(fù)的效果，降低實(shí)訓(xùn)成本,優(yōu)化設(shè)計(jì)方案。企業(yè)級實(shí)訓(xùn)基地通過數(shù)據(jù)恢復(fù)與計(jì)算機(jī)取證研究中心，推動(dòng)產(chǎn)教融合，提供技術(shù)交流服務(wù)。技術(shù)論壇技術(shù)論壇“硬盤基地”：/；學(xué)習(xí)數(shù)據(jù)備份與恢復(fù)的新技術(shù),新應(yīng)用，拓展視野。QQ群師生交流，答疑解惑，企業(yè)導(dǎo)師分享案例與經(jīng)驗(yàn)。教學(xué)策略課程以“德技并修”為邏輯起點(diǎn)，秉承“學(xué)生為主體、教師為主導(dǎo)”的育人理念，以項(xiàng)目為驅(qū)動(dòng)，實(shí)施“德育”與“專業(yè)”雙線育人模式，“博學(xué)、審問、慎思、明辨、篤行”為學(xué)生學(xué)習(xí)的階梯線，“模-診-練-驗(yàn)-戰(zhàn)”為課堂實(shí)施的教學(xué)線，雙線并舉，以傳統(tǒng)文化之魂，探數(shù)據(jù)備份與恢復(fù)之魄，涵養(yǎng)學(xué)生新時(shí)代精神，實(shí)現(xiàn)知識目標(biāo)和價(jià)值目標(biāo)的協(xié)調(diào)統(tǒng)一，盡職履責(zé)捍衛(wèi)國家數(shù)據(jù)安全，護(hù)航國家邁入數(shù)字經(jīng)濟(jì)藍(lán)海。三、教學(xué)整體設(shè)計(jì)項(xiàng)目四：析結(jié)構(gòu)、找文件任務(wù)4NTFS文件系統(tǒng)數(shù)據(jù)恢復(fù)項(xiàng)目四：析結(jié)構(gòu)、找文件任務(wù)4NTFS文件系統(tǒng)數(shù)據(jù)恢復(fù)四、教學(xué)實(shí)施.課前準(zhǔn)備環(huán)節(jié)（用時(shí)）內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖測學(xué)情模場境【檢測學(xué)情】查閱資料，了解NTFS分區(qū)中文件底層數(shù)據(jù)提取方法在慕課堂完成課前測、在線討論【模擬場境】通過虛擬磁盤技術(shù)模擬文件底層數(shù)據(jù)提取訓(xùn)練場境1.查資料：慕課堂推送學(xué)習(xí)資料，布置資料查詢?nèi)蝿?wù)。2.答疑惑：慕課堂平臺討論區(qū)答疑，聚焦學(xué)生疑點(diǎn)。3.課前測：慕課堂平臺推送課前檢測題單。4.模場景：依據(jù)教學(xué)內(nèi)容，學(xué)情分析，通過虛擬磁盤技術(shù)模擬訓(xùn)練場環(huán)境。1.析任務(wù)：登錄慕課堂，下載學(xué)習(xí)資料，查看課前和課中任務(wù)。2.互合作：小組協(xié)作，完成課前查詢資料，上傳慕課堂。3.勤自學(xué)：在中國大學(xué)MOOC平臺，自主分析文件目錄表結(jié)構(gòu)。4.先預(yù)習(xí)：完成課前測題單，在討論區(qū)師生、生生交流。1.教師以“?！睘椴呗?，引出課堂任務(wù)。2.學(xué)生通過查閱資料，線上自主探究NTFS分區(qū)中文件底層數(shù)據(jù)提取方法，結(jié)合課前測，完成專業(yè)知識考核，引導(dǎo)學(xué)生“博學(xué)”。3.教師通過課前測過程性評價(jià)結(jié)果。依據(jù)教學(xué)目標(biāo)、結(jié)合學(xué)情，模擬訓(xùn)練場境，確定教學(xué)重難點(diǎn)給出解決方案。課中探究環(huán)節(jié)（用時(shí)）內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖析任務(wù)（10分鐘）【分析任務(wù)】發(fā)放任務(wù)工單要求學(xué)生需要完成任務(wù)1.發(fā)任務(wù)：任務(wù)工單發(fā)放學(xué)生2.做要求：教師要求學(xué)生要求1：查看任務(wù)工單中任務(wù)需求要求2：閱讀知識鏈接要求3：回答我們要學(xué)哪些知識，覺得難點(diǎn)在哪里？1.憶結(jié)構(gòu)：學(xué)生接收任務(wù)工單，查看任務(wù)需求，回顧$MFT文件記錄項(xiàng)的組成。2.閱知識：閱讀任務(wù)工單中的知識鏈接。3.多思考：思考回答要學(xué)習(xí)哪些內(nèi)容，學(xué)了哪些內(nèi)容，覺得哪里比較難，學(xué)習(xí)的目的。1.通過故障展示，理解文件底層數(shù)據(jù)提取的原理2.“診”知識要點(diǎn)，體會(huì)數(shù)據(jù)恢復(fù)的重要性，明確任務(wù)需求。探真知（20分鐘）【探索真知】引導(dǎo)學(xué)生完成工單任務(wù)鞏固基礎(chǔ)知識，10H、30H屬性講解80H屬性，分析索引運(yùn)行項(xiàng)明任務(wù)：李先生的計(jì)算機(jī)中保存了一份重要的項(xiàng)目策劃書，經(jīng)過了多次修改。在最后一次修改后，本想把文件發(fā)給上司的，結(jié)果在清理臨時(shí)文檔的時(shí)候不小心刪錯(cuò)了。眼看馬上就要交稿了，李先生只有請工程師小王來恢復(fù)這個(gè)文檔。小王正在學(xué)習(xí)NTFS結(jié)構(gòu)，正好可以嘗試一下手工恢復(fù)文件，展示自己的能力。做要求：恢復(fù)以下刪除的文件信息。關(guān)知識：（1）這份文檔可能有幾十KB到幾百KB，并且這個(gè)文件被多次編輯，很可能被分割為多個(gè)部分存放。要恢復(fù)它就得首先找到該文件的文件記錄項(xiàng)，然后分析80H屬性，把數(shù)據(jù)分別讀取出來，再合并為完整的文件。（2）MFT主控文件表中存放了文件的記錄項(xiàng)，記錄項(xiàng)由記錄頭和屬性列表組成。（3）記錄頭中的偏移位置16H-17H記錄文件標(biāo)志，00表示刪除文件，01表示使用文件。（4）屬性中10H記錄文件基本信息屬性，30H記錄文件名屬性，80H記錄文件數(shù)據(jù)屬性。通過文件名屬性定位文件的記錄項(xiàng)，80H屬性讀取并分析文件數(shù)據(jù)屬性，是學(xué)習(xí)NTFS數(shù)據(jù)恢復(fù)的重要基礎(chǔ)技能。知識引入：1.介屬性80H屬性介紹A．80H屬性是存放文件數(shù)據(jù)的屬性，正常情況下無屬性名。B．80H屬性有可能是常駐，也可能非常駐，根據(jù)屬性頭來判斷。C.文件數(shù)據(jù)提取1）如果80H屬性是常駐屬性，則在屬性頭之后就是數(shù)據(jù)內(nèi)容，屬性頭占18H個(gè)字節(jié)。2）若是非常駐屬性，屬性頭占40H個(gè)字節(jié)，之后的屬性內(nèi)容就是數(shù)據(jù)運(yùn)行表了，在屬性頭的偏移30H處給出了屬性內(nèi)容（文件數(shù)據(jù)）的實(shí)際字節(jié)數(shù)。3）若80H屬性是非常駐屬性，則屬性頭信息非常駐屬性（提示）2.分索引：索引表結(jié)構(gòu)分析如果某個(gè)文件被分割存放，則每個(gè)運(yùn)行塊記錄依次排列，最后以“00”結(jié)束。運(yùn)行項(xiàng)從偏移40H處起始，描述了一個(gè)至多個(gè)區(qū)塊。下面看一個(gè)實(shí)際的例子，該80H屬性有兩個(gè)運(yùn)行項(xiàng)提問題：提問1：此圖對應(yīng)文件的運(yùn)行索引項(xiàng)有幾項(xiàng)？提問2：此圖表示文件每部分的起始LCN號和占用簇?cái)?shù)分別多少？提問3：根據(jù)運(yùn)行索引項(xiàng)信息提取的文件數(shù)據(jù)，最后一項(xiàng)再提取數(shù)據(jù)時(shí)是否考慮文件真實(shí)大??？3.講原理：刪除文件的原理NTFS分區(qū)在刪除一個(gè)文件的時(shí)候，主要做了三件事情：一是在主控文件表中找到該文件的記錄項(xiàng)，把偏移16H字節(jié)處第0位置0，表示文件已刪除；二是在目錄索引緩沖區(qū)中，將該文件的索引項(xiàng)刪除掉（其實(shí)是重寫索引緩沖區(qū)）；第三：在位圖元文件$Bitmap中將對應(yīng)簇釋放（對應(yīng)位標(biāo)記為0）。提問提：刪除文件能不能根據(jù)文件記錄項(xiàng)的文件標(biāo)志，修改成使用文件就可以還原文件信息？4.恢復(fù)法：恢復(fù)數(shù)據(jù)的方法由于NTFS有日志功能，所以不能直接修改文件系統(tǒng)結(jié)構(gòu)信息來還原文件。要想恢復(fù)數(shù)據(jù)，得按以下的大致步驟：以Unicode編碼搜索文件名，找到該文件所在的MFT記錄項(xiàng)。檢查并判斷該文件記錄項(xiàng)是否正確。讀取文件數(shù)據(jù)內(nèi)容，寫入到另一個(gè)盤中。判斷正確文件記錄項(xiàng)的要點(diǎn)：搜尋到的位置是否在文件記錄項(xiàng)中。偏移16H處是否記錄為已刪除。偏移2CH處的MFT編號是否正常。搜尋到的文件名是否處于30H屬性中。判斷父目錄的MFT編號是否正確。1.引任務(wù)：學(xué)生熟悉今天要完成的工單任務(wù)，根據(jù)任務(wù)延申學(xué)習(xí)內(nèi)容，學(xué)會(huì)分析問題，找出重點(diǎn)，提高解決問題的能力。2.析屬性：學(xué)生能夠?qū)W會(huì)分析根據(jù)30H文件數(shù)據(jù)屬性，知道文件名和父目錄文件編號，80H記錄文件數(shù)據(jù)屬性。通過文件名屬性定位文件的記錄項(xiàng)，80H屬性讀取并分析文件數(shù)據(jù)屬性，是學(xué)習(xí)NTFS數(shù)據(jù)恢復(fù)的重要基礎(chǔ)技能。3．記知識：（1）80H屬性介紹A．學(xué)生知道80H屬性是數(shù)據(jù)屬性，有可能是常駐屬性，也有可能是非常駐屬性。是實(shí)現(xiàn)文件恢復(fù)的重要屬性。B．學(xué)生掌握若80H是常駐屬性，屬性內(nèi)容就是文件數(shù)據(jù)，屬性內(nèi)容大小就是文件真實(shí)大小。C．學(xué)生掌握若80是非常駐屬性，非常駐屬性頭如何獲取文件真實(shí)數(shù)據(jù)大小，分配空間大小D．掌握非常駐屬性的屬性頭結(jié)構(gòu)4.學(xué)技能：學(xué)生分析文件80H的非常駐屬性頭，指出文件分配空間及文件真實(shí)大小，虛擬起始VCN和虛擬結(jié)束VCN。5.算索引：索引表結(jié)構(gòu)分析計(jì)算學(xué)生能夠清楚若80H屬性為非常駐屬性，屬性內(nèi)容中存放的時(shí)文件數(shù)據(jù)運(yùn)行信息，也稱索引運(yùn)行結(jié)構(gòu)表由若干個(gè)運(yùn)行塊組成，最后以“00”結(jié)束。學(xué)生能夠分析索引運(yùn)行結(jié)構(gòu)表中每一項(xiàng)內(nèi)容的結(jié)構(gòu)信息。答問題：問題1：此圖對應(yīng)文件的運(yùn)行索引項(xiàng)有幾項(xiàng)？2項(xiàng)問題2：此圖表示文件每部分的起始LCN號和占用簇?cái)?shù)分別多少？第1項(xiàng)：起始LCN100H，占用簇?cái)?shù)4第2項(xiàng)：起始LCN150H，占用簇?cái)?shù)3問題3：根據(jù)運(yùn)行索引項(xiàng)信息提取的文件數(shù)據(jù)，最后一項(xiàng)再提取數(shù)據(jù)時(shí)是否考慮文件真實(shí)大?。恳紤]。技能掌握：學(xué)生能夠根據(jù)運(yùn)行索引表結(jié)構(gòu)，提取文件的每部分?jǐn)?shù)據(jù)，組成新文件。6.明原理：刪除文件的原理學(xué)生掌握NTFS分區(qū)刪除文件，做了3件事：文件記錄項(xiàng)中文件標(biāo)志顯示刪除。目錄索引緩沖區(qū)中，文件的索引項(xiàng)被刪除文件所占的簇的信息，標(biāo)記空閑根據(jù)刪除原理，清楚恢復(fù)文件數(shù)據(jù)可以通過文件記錄項(xiàng)中80H屬性恢復(fù)。學(xué)技能：學(xué)生能夠根據(jù)刪除文件的文件名，找到刪除文件的文件項(xiàng)，分析80H屬性，可以恢復(fù)文件數(shù)據(jù)的思路。答問題：刪除文件能不能根據(jù)文件記錄項(xiàng)的文件標(biāo)志，修改成使用文件就可以還原文件信息？不能。7.恢復(fù)法：恢復(fù)數(shù)據(jù)的方法學(xué)生掌握恢復(fù)文件數(shù)據(jù)的方法:A.以Unicode編碼搜索文件名，找到該文件所在的MFT記錄項(xiàng)。檢查并判斷該文件記錄項(xiàng)是否正確。讀取文件數(shù)據(jù)內(nèi)容，寫入到另一個(gè)盤中學(xué)技能：學(xué)生能夠提取文件名的Unicode編碼。學(xué)生能夠搜索文件的記錄項(xiàng)學(xué)生能夠判斷記錄項(xiàng)的正確性學(xué)生能夠通過分析80H屬性恢復(fù)文件數(shù)據(jù)。1.引導(dǎo)學(xué)生“審問”，理解重難點(diǎn)知識。2.小組活動(dòng)，教師引導(dǎo)共同探究80H屬性，分析索引運(yùn)行項(xiàng)。3.掌握數(shù)據(jù)恢復(fù)技術(shù)及注意事項(xiàng)，便于優(yōu)化方案，合理設(shè)計(jì)實(shí)施計(jì)劃。練技術(shù)（40分鐘）【演練技術(shù)】指導(dǎo)學(xué)生完成文件底層數(shù)據(jù)提取1.明任務(wù)：任務(wù)一：“姓名學(xué)號后三位.doc”文件數(shù)據(jù)提取指導(dǎo)并檢查學(xué)生搜索文件的記錄項(xiàng)，判斷記錄項(xiàng)的正確性，根據(jù)80H屬性提取文件中的數(shù)據(jù)。任務(wù)二：刪除文件“姓名學(xué)號后三位.doc”數(shù)據(jù)恢復(fù)2．做指導(dǎo)：指導(dǎo)學(xué)生修改word文檔中的內(nèi)容，通過“shift+Delete”命令刪除，通過搜索文件記錄項(xiàng)，分析80H屬性中的非常駐屬性頭和屬性內(nèi)容文件索引項(xiàng)的分析，提取文件數(shù)據(jù)組成新文件。并檢查每個(gè)同學(xué)的數(shù)據(jù)恢復(fù)情況。3.守規(guī)范：在指導(dǎo)過程提醒學(xué)生尊重操作規(guī)范，發(fā)揚(yáng)大國工匠精神，精益求精。4.講技能：查看學(xué)生完成情況，必要時(shí)給與總體技能傳授5．做評價(jià)：在實(shí)驗(yàn)過程中，進(jìn)行綜合評價(jià)1.提數(shù)據(jù)：（1）學(xué)生完成“姓名學(xué)號后三位.doc”文件記錄項(xiàng)的搜索并分析其組成，根據(jù)80H屬性提取文件數(shù)據(jù)。通知老師檢查（2）學(xué)生完成word文檔的修改并徹底刪除操作后，根據(jù)80H屬性中的非常駐屬性頭和屬性內(nèi)容文件索引項(xiàng)的分析，提取文件數(shù)據(jù)組成新文件。配合并通知老師檢查。2.探疑問：在任務(wù)實(shí)施中，存在疑問小組討論或與教師一起探討?！居税咐?020年4月16日，青島膠州中心醫(yī)院6千余人就診名單泄露.微信朋友圈中流傳著出入膠州中心醫(yī)院的數(shù)千人名單，涉及相關(guān)人員個(gè)人信息，已嚴(yán)重影響個(gè)人生活，并被謠傳感染了新冠肺炎。1.教師加強(qiáng)指導(dǎo)，學(xué)生“慎思”，尋找問題解決方法。2.課中“練”，通過仿真實(shí)踐，鍛煉學(xué)生通過文件底層數(shù)據(jù)提取操作系統(tǒng)使用的技能。3.教師過程性評價(jià)學(xué)生完成情況，在實(shí)踐中引導(dǎo)學(xué)生耐心專注，逐步養(yǎng)成熱愛勞動(dòng)的良好習(xí)慣，達(dá)自立。驗(yàn)成效（20分鐘）【檢驗(yàn)成果】檢驗(yàn)學(xué)生成效，總結(jié)經(jīng)驗(yàn)劃重點(diǎn)：（1）如何查找文件的文件記錄項(xiàng)？在$MFT文件，搜索文件名對應(yīng)的Unicode的編碼，根據(jù)記錄頭中文件標(biāo)志和30H屬性中父目錄編號，判斷文件記錄項(xiàng)是否正確。（2）80H屬性是非常駐屬性如何提取文件數(shù)據(jù)？80H屬性是非常駐屬性，根據(jù)屬性頭記錄文件真實(shí)大小，虛擬起始和結(jié)束簇號，文件分配大小，然后通過分析運(yùn)行索引信息提取文件的每部分?jǐn)?shù)據(jù)，組合成文件。（3）非常駐屬性頭的結(jié)構(gòu)分析重要參數(shù)有哪些，數(shù)據(jù)索引運(yùn)行表分析？屬性頭的重要參數(shù)時(shí)偏移08H位置記錄非常駐標(biāo)志01，根據(jù)10H-17H偏移記錄文件虛擬起始VCN號，18H-1FH偏移記錄虛擬結(jié)束簇號VCN。根據(jù)30H-37H偏移記錄文件真實(shí)大小，分析最后1個(gè)簇所占的扇區(qū)和字節(jié)數(shù)。通過運(yùn)行索引分析文件每部分的起始LCN和占用簇?cái)?shù)提取文件每部分?jǐn)?shù)據(jù)。（4）分析數(shù)據(jù)運(yùn)行索引項(xiàng)，如何根據(jù)起始簇號和文件所占簇?cái)?shù)提取文件數(shù)據(jù)？做總結(jié):（1）查找文件記錄項(xiàng)的方法，就是在$MFT文件，搜索文件名對應(yīng)的Unicode的編碼，根據(jù)記錄頭中文件標(biāo)志和30H屬性中父目錄編號，判斷文件記錄項(xiàng)是否正確。（2）80H屬性是非常駐屬性，根據(jù)屬性頭記錄文件真實(shí)大小，虛擬起始和結(jié)束簇號，文件分配大小，然后通過分析運(yùn)行索引信息提取文件的每部分?jǐn)?shù)據(jù)，組合成文件。（3）80H屬性是非常駐屬性中屬性頭的重要參數(shù)時(shí)偏移08H位置記錄非常駐標(biāo)志01，根據(jù)10H-17H偏移記錄文件虛擬起始VCN號，18H-1FH偏移記錄虛擬結(jié)束簇號VCN。根據(jù)30H-37H偏移記錄文件真實(shí)大小，分析最后1個(gè)簇所占的扇區(qū)和字節(jié)數(shù)。通過運(yùn)行索引分析文件每部分的起始LCN和占用簇?cái)?shù)提取文件每部分?jǐn)?shù)據(jù)。（4）分析數(shù)據(jù)運(yùn)行索引項(xiàng)，根據(jù)每部分的起始簇號定位文件所在的起始扇區(qū)號，根據(jù)跳轉(zhuǎn)偏移位置，輸入所占簇?cái)?shù)*8對應(yīng)的扇區(qū)數(shù)，前移動(dòng)1個(gè)扇區(qū)就是此文件部分的最后1個(gè)扇區(qū)，來提取文件數(shù)據(jù)。把每部分?jǐn)?shù)據(jù)保存成文件最后組成一個(gè)新文件恢復(fù)文件數(shù)據(jù)。

1.師生共“驗(yàn)”，展示成果，分享經(jīng)驗(yàn)，促進(jìn)小組之間相互學(xué)習(xí)，取長補(bǔ)短，達(dá)成共同進(jìn)步。2.提高學(xué)生表達(dá)能力，增加自信，通過“明辨”，拓展思路，學(xué)習(xí)其他同學(xué)好的想法。3.教師引導(dǎo)學(xué)生梳理知識點(diǎn)，鞏固知識和技能，提高學(xué)生總結(jié)概括能力。3.課后拓展環(huán)節(jié)（用時(shí)）內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖仿結(jié)構(gòu)【模仿結(jié)構(gòu)】做仿真，模擬文件底層數(shù)據(jù)提取，進(jìn)行分析1.布任務(wù)：協(xié)助學(xué)生模擬文件底層數(shù)據(jù)提取仿真。2.做改進(jìn)：學(xué)生任務(wù)工單，分析學(xué)情完善教學(xué)策略1.小組活動(dòng)，通過虛擬磁盤技術(shù)模擬文件底層數(shù)據(jù)提取，進(jìn)行仿真恢復(fù)。2.完善任務(wù)工單，上傳學(xué)習(xí)通1.教師和學(xué)生遵守“耐心專注”的職業(yè)素養(yǎng)。2.通過仿真，模擬磁盤故障，拓展技能，“篤行”。3.通過數(shù)據(jù)恢復(fù)與計(jì)算機(jī)取證研究中心進(jìn)行數(shù)據(jù)恢復(fù)訓(xùn)練提升能力，強(qiáng)化實(shí)“戰(zhàn)”。4.形成終結(jié)性評價(jià)考核結(jié)果，以小組互評，教師評價(jià)的方式，達(dá)成課程培養(yǎng)目標(biāo)。強(qiáng)實(shí)戰(zhàn)【強(qiáng)化實(shí)戰(zhàn)】到數(shù)據(jù)恢復(fù)與計(jì)算機(jī)取證研究中心進(jìn)行數(shù)據(jù)恢復(fù)實(shí)戰(zhàn)組織學(xué)生到數(shù)據(jù)恢復(fù)與計(jì)算機(jī)取證研究中心，觀摩學(xué)習(xí)或參與磁盤恢復(fù)實(shí)戰(zhàn)協(xié)同數(shù)據(jù)恢復(fù)大賽指導(dǎo)教練對學(xué)生進(jìn)行現(xiàn)場指導(dǎo)。學(xué)生小組活動(dòng)，認(rèn)真觀摩學(xué)習(xí)磁盤恢復(fù)技術(shù)、積極參與實(shí)戰(zhàn)。積極參加數(shù)據(jù)恢復(fù)大賽學(xué)生團(tuán)隊(duì)，爭取通過選拔。五、考核評價(jià)評價(jià)方式采用專業(yè)教師、小組互評、自評、平臺考核等多元評價(jià)方式，學(xué)生成績客觀、公正、透明、真實(shí)。課程評價(jià)標(biāo)準(zhǔn)與方式：（1）課前測：根據(jù)中國大學(xué)慕課堂平臺記錄的學(xué)習(xí)數(shù)據(jù)成績。（2）模塊測：依據(jù)學(xué)生完成效果，授課教師評閱，學(xué)習(xí)通平臺記錄測試成績。（3）工單任務(wù)：由考勤記錄（30%分）、課堂表現(xiàn)（20%）、實(shí)施成效（50%）三方面平時(shí)考勤：遲到早退各扣1分，曠課扣2分，提前10分鐘激勵(lì)1分。以平均分達(dá)到滿分，按比例打分。（扣分超過10，總評0）課堂表現(xiàn)：課程中的案例、思考、練習(xí)，鼓勵(lì)學(xué)生主動(dòng)參與討論、分享思路、幫助同學(xué)，表現(xiàn)突出的，當(dāng)場記錄加1~2分，若有影響課堂學(xué)習(xí)的（如：睡覺、玩手機(jī)）當(dāng)場記錄扣2分?？傇u以最高分達(dá)到滿分，按比例打分。實(shí)施成效：依據(jù)完成工單任務(wù)成效每次得分1-2分，總評以最高分達(dá)到滿分，按比例打分（4）實(shí)戰(zhàn)拓展：以提交學(xué)習(xí)通中工單任務(wù)報(bào)告，采用教師評價(jià)，學(xué)生互評方式，學(xué)習(xí)通平臺記錄成績。（5）期終考評：線上采用中國大學(xué)MOOC成績，線下由教學(xué)團(tuán)隊(duì)統(tǒng)一規(guī)劃出題考試教學(xué)效果1.學(xué)生通過課前查閱資料，了解文件底層數(shù)據(jù)提取原理。2.通過師生共同探究，掌握文件底層數(shù)據(jù)提取方法。3.通過課中仿真實(shí)驗(yàn)與恢復(fù)成效展示，學(xué)會(huì)了使用磁盤編輯工具Winhex、虛擬磁盤工具。特色創(chuàng)新1.利用磁盤編輯工具文件底層數(shù)據(jù)提取方法和原理，培養(yǎng)學(xué)生“立足專業(yè)”分析文件存儲(chǔ)結(jié)構(gòu)，能“自立”完成任務(wù)。2.采用虛擬磁盤技術(shù)，仿真實(shí)驗(yàn)環(huán)境，節(jié)約成本3.采用工單任務(wù)，工學(xué)結(jié)合，模擬職場情境，提高學(xué)生綜合職業(yè)技能。反思改進(jìn)1.通過課前測，有92%學(xué)生掌握知識技能，8%左右學(xué)生知識不牢固，提出預(yù)警差異指導(dǎo)對應(yīng)學(xué)生。2.通過課堂師生交流，知識講授與技能培養(yǎng)掌握情況良好，要加強(qiáng)操作技能檢查，改進(jìn)教學(xué)策略。3.通過工單任務(wù)完成情況以及學(xué)生自我評價(jià)，改進(jìn)工單任務(wù)內(nèi)容。項(xiàng)目四文件系統(tǒng)數(shù)據(jù)恢復(fù)任務(wù)名稱文件底層數(shù)據(jù)提取學(xué)時(shí)2班級學(xué)生姓名小組成員小組任務(wù)成績個(gè)人任務(wù)成績使用工具Winhex,磁盤管理工具學(xué)習(xí)場地實(shí)訓(xùn)機(jī)房日期任務(wù)需求小王同學(xué)的計(jì)算機(jī)中保存了一些重要的數(shù)據(jù)，因病毒破壞導(dǎo)致硬盤內(nèi)數(shù)據(jù)無法打開。小王正在學(xué)習(xí)NTFS結(jié)構(gòu)，正好可以嘗試一下手工提取文件，展示自己的能力。要求：提取以下提取的文件信息。任務(wù)目的學(xué)生能夠根據(jù)文件名，搜索文件的記錄項(xiàng)學(xué)生能夠分析用戶文件的80H屬性，讀取文件數(shù)據(jù)的能力學(xué)生能夠提取已提取的文件數(shù)據(jù)學(xué)生能夠全面提升分析、計(jì)劃、實(shí)施和監(jiān)控?cái)?shù)據(jù)備份與提取任務(wù)的能力資料查閱查閱資料，了解NTFS分區(qū)中文件底層數(shù)據(jù)提取方法計(jì)劃與決策根據(jù)任務(wù)需求，提供采用提供可行的解決方案。學(xué)生能夠分析NTFS分區(qū)，讀取用戶文件屬性檢驗(yàn)是否與真實(shí)相符學(xué)生根據(jù)文件的記錄項(xiàng)、提取NTFS分區(qū)文件數(shù)據(jù)。學(xué)生能夠注重工作流程和操作規(guī)范，能遵守?cái)?shù)據(jù)提取工程師職業(yè)操守和注意事項(xiàng)任務(wù)4.5文件底層數(shù)據(jù)提取

任務(wù)實(shí)施；知識鏈接（任務(wù)一：恢復(fù)文本文件中的數(shù)據(jù)------------80H常駐屬性內(nèi)容提?。?）在虛擬機(jī)中選擇一個(gè)NTFS分區(qū)（如果沒有，可格式化一個(gè)），本例假設(shè)D盤。在根目錄下拷貝實(shí)驗(yàn)文件夾中的文件，然后修改文件名為自己姓名學(xué)號后三位。=1\*GB3①提示：先復(fù)制圖片文件，在復(fù)制Word文件，最后文本文件。=2\*GB3②打開word文件中輸入自己信息。=3\*GB3③然后使用Shift+Delete鍵進(jìn)行刪除圖片文件與word文件。使用Winhex打開該分區(qū)，單擊瀏覽目錄項(xiàng)中的文本文件，打開該文件對應(yīng)的是否是文件記錄項(xiàng)？截圖并回答問題文本文件對應(yīng)的文件記錄項(xiàng)由記錄頭、10H屬性、30H屬性、結(jié)束標(biāo)志FFFFFFFF組成。=1\*GB3①讀取記錄頭中屬性值。（截圖并回答問題）1）偏移00-03H（4字節(jié)):MFT文件記錄項(xiàng)標(biāo)志？2）偏移14-15H（2字節(jié)）：第一個(gè)屬性的偏移地址？第一個(gè)屬性是什么屬性？3）偏移16-17H（2字節(jié)）：標(biāo)志是什么，代表含義？如：“00H”代表已刪除文件；“01H”代表文件；“02H”代表已刪除目錄；“03H”代表目錄。4）偏移2C---2FH：此文件的MFT記錄編號，NTFS用此編號來識別文件？=2\*GB3②讀取30H屬性頭（截圖并回答問題）1）30H屬性的大小2）查看08H處：是否是常駐屬性3）查看09H處：該屬性有沒有屬性名4）查看14-15H處：屬性內(nèi)容的起始位置=3\*GB3③讀取30H屬性內(nèi)容（截圖并回答問題）1）偏移00-03H：父目錄的文件參考號（MFT頭的記錄編號，偏移2CH）2）偏移40H：文件名長度3）偏移41H:文件名的命名空間4）偏移42H：Unicode編碼的文件名=4\*GB3④讀取80H屬性判斷是否是常駐屬性？若是常駐屬性，則文件的真實(shí)大小字節(jié)，讀取文件屬性內(nèi)容，提取內(nèi)容保存在桌面上。并打開文件數(shù)據(jù)。任務(wù)二：恢復(fù)圖片文件中的數(shù)據(jù)------------80H非常駐屬性內(nèi)容提取使用Winhex工具，單擊瀏覽目錄項(xiàng)中的圖片文件，截圖判斷打開是否是文件記錄項(xiàng)。若不是文件記錄項(xiàng)，截取圖片文件名對應(yīng)的十六進(jìn)制值。在$MFT文件中，查找圖片文件對應(yīng)的文件記錄項(xiàng)（截圖）=1\*GB3①讀取記錄頭中屬性值。（截圖并回答問題）1）偏移00-03H（4字節(jié)):MFT文件記錄項(xiàng)標(biāo)志？2）偏移16-17H（2字節(jié)）：標(biāo)志是什么，代表含義？如：“00H”代表已刪除文件；“01H”代表文件；“02H”代表已刪除目錄；“03H”代表目錄。3）偏移2C---2FH：此文件的MFT記錄編號，NTFS用此編號來識別文件？=2\*GB3②讀取30H屬性內(nèi)容（截圖并回答問題）偏移00-03H：父目錄的文件參考號（MFT頭的記錄編號，偏移2CH）=3\*GB3③讀取80H屬性頭（截圖并回答問題）1）根據(jù)屬性頭查看08H處：是否是常駐屬性2）若是非常駐屬性起始VCN簇號：結(jié)束VCN簇號：文件分配大?。何募鎸?shí)大?。赫忌葏^(qū)數(shù)/余字節(jié)=4\*GB3④讀取80H屬性內(nèi)容（截圖數(shù)據(jù)運(yùn)行表