《安全操作系統(tǒng)》

平安操作系統(tǒng)中國科學(xué)技術(shù)大學(xué)計算機系陳香蘭〔0512－87161312〕xlanchen@助教：裴建國Autumn2021實驗講解口令破解，Passwordcracking文件恢復(fù)，filerecovery緩沖區(qū)溢出系統(tǒng)平安平安審計文件事件審計主機平安審計.文件恢復(fù)，filerecovery實驗中用到的工具磁盤相關(guān)磁盤物理組織和結(jié)構(gòu)磁盤邏輯組織和結(jié)構(gòu)FAT32文件恢復(fù)Ext2文件恢復(fù).工具Winhex下載evaluation版：://winhex.en.softonic/FinalData下載Demo版，有限時間；有限使用

://finaldata/文件粉碎機下載，很多網(wǎng)站例如filekillerDebugfs，Linux自帶.文件恢復(fù)，filerecovery實驗中用到的工具磁盤相關(guān)磁盤物理組織和結(jié)構(gòu)磁盤邏輯組織和結(jié)構(gòu)FAT32文件恢復(fù)Ext2文件恢復(fù).://microsoft/resources/documentation/windowsnt/4/server/reskit/en-us/resguide/diskover.mspx?mfr=trueIllustrationofaharddisk

cylinder/head/sector

.TracksandCylinders.SectorsandClusters.文件恢復(fù)，filerecovery磁盤相關(guān)磁盤物理組織和結(jié)構(gòu)磁盤邏輯組織和結(jié)構(gòu)FAT32文件恢復(fù)Ext2文件恢復(fù).MBRIA32IBMPC系統(tǒng)采用MBR分區(qū)表方案系統(tǒng)啟動時，首先執(zhí)行ROMBIOS中的固件該固件將會裝載〔0x7C00〕并執(zhí)行MBR中的bootloader運行在實模式MBR中的bootloader將查找分區(qū)表，找到活動分區(qū)，加載該分區(qū)啟動扇區(qū)并執(zhí)行與FS類型以及OS類型有關(guān)通常用來加載OS相關(guān)的secondarybootstraploader，例如io.sys,ntldr關(guān)于PC的啟動過程，可以參見這里：

BootsequenceonstandardPC(IBM-PCcompatible).512字節(jié)的MBR＝446字節(jié)的bootloader＋64字節(jié)的分區(qū)表＋2字節(jié)的signature：0xAA55track0,head0,andsector1

演示本機磁盤管理信息.分區(qū)表,partitiontable4項，MBR446字節(jié)開始的64個字節(jié)，偏移分別Partition10x01BE(446)Partition20x01CE(462)

Partition30x01DE(478)

Partition40x01EE(494)

每項16個字節(jié)Anexample://blogs.msdn/ntdebugging/archive/2007/06/19/how-windows-starts-up-part-1-of-4.aspx.分區(qū)表項〔細〕.關(guān)于更多的systemid，參考這里..FATPartitionBootSector://ntfs/fat-partition-sector.htmBPB關(guān)于Windows95的啟動過程，參考這里找到并加載Io.sys…….NTFSPartitionBootSector關(guān)于Windows2000的啟動，參見NtldrVista和server2021：

winload.exe和WindowsBootManager找到并加載Ntldr…….演示？翻開整個磁盤，看分區(qū)，MBR.Partitionrecovery誤刪一個分區(qū)？TestDiskgpart有些磁盤管理工具，在刪除分區(qū)時，會寫覆蓋分區(qū)前部的幾個扇區(qū)Windows2000/XP，第一個扇區(qū)需要有備份的啟動扇區(qū)配合恢復(fù)病毒？分區(qū)時突然掉電/死機？安裝或刪除多OS之一？

查殺病毒恢復(fù)分區(qū)表fdisk/mbr重新分區(qū)？？.文件恢復(fù)，filerecovery實驗中用到的工具磁盤相關(guān)磁盤物理組織和結(jié)構(gòu)磁盤邏輯組織和結(jié)構(gòu)FAT32文件恢復(fù)Ext2文件恢復(fù).FAT根本概念扇區(qū)簇鏈?zhǔn)酱鎯Α诧@式〕FileAllocationTable目錄項FAT的備份FAT＃1和FAT＃2，大小相等.FAT的格式最早，F(xiàn)AT12，用12bit對簇尋址4096－〔000h，001h，F(xiàn)F0h～FFFh〕＝4078個可用軟盤InitialFAT16，用16bit對簇尋址，65517受限于16位扇區(qū)號，分區(qū)最大32MBFinalFAT16，1987磁盤技術(shù)：可以使用32位的扇區(qū)號sectors-per-cluster<=64標(biāo)準(zhǔn)扇區(qū)大小512字節(jié)，簇最大32KB，分區(qū)最大2GFAT32，32位，其中28位用來尋簇假設(shè)32KB的簇，那么8TB，理論上受限于bootsector，32位扇區(qū)號，實際上最大2TB.FAT表的大小簇數(shù)×〔12/16/32〕以扇區(qū)為單位向上取整FAT表項的作用〔根據(jù)表項的編號和表項的值〕標(biāo)明磁盤類型鏈接一個文件的各個簇標(biāo)明壞簇和可用簇.FAT表項的值？不能用作next指針.FAT的第0項首字節(jié)標(biāo)明磁盤類型，參見這里FAT的第1項不用.FAT分區(qū)布局.FAT32bootsector.JMP(3)BPB25個字節(jié)0x00OEMNAME(8)512SectorsperclusterBytespersectorReservedsectorcount20x10Maximumnumberofrootdirectoryentries2個字節(jié)，最大512FAT12/16Mediadescriptor參見這里SectorsperFATforFAT12/16HiddensectorsTotalsectorsNumberofheadsSectorspertrack#ofFATs0x20.Operatingsystembootcode…ExtendedBPB，forFAT12/160x20PhysicaldrivenumberserialnumberTotalsectors0x30…paddedwithblanksFATtype，補空格，F(xiàn)AT12或16VolumeLabel,55和AAReservedExtendedbootsignature0x1F0.TotalsectorsExtendedBPB，forFAT32Operatingsystembootcode…0x20Sectors/FAT0x30FATtype，補空格，“FAT32〞VolumeLabel,補空格…55和AA0x400x50…serialnumberPhysicaldrivenumberReservedExtendedbootsignatureVersionClusternumberofrootdirectorystartReservedSector#ofacopyofthisbootsectorSector#ofFSInformationSectorFATFlags0x1F0.FilesysteminformationsectorFilesysteminformationsector空閑簇的個數(shù)；最近分配出去的簇號://home.teleport/~brainy/fat32.htm.FAT各局部的偏移計算Bootsector：分區(qū)的第一個扇區(qū)〔startsector〕FAT表1：Start+#ofReservedSectorsFAT表2：Start+#ofReservedSectors＋FAT表大小Dataarea：Start+#ofReserved+(#ofSectorsPerFAT*2)://home.teleport/~brainy/fat32.htm.FAT的目錄目錄是一個特殊的文件每個目錄項32字節(jié)名稱擴展名屬性〔archive,directory,hidden,read-only,systemandvolume〕創(chuàng)立日期和時間第一個簇的編號大小FAT12/16有專門的根目錄區(qū)域FAT32的根目錄存放在數(shù)據(jù)區(qū)域.EA-Index(usedbyOS/2andNT)inFAT12andFAT16,High2bytesoffirstclusternumberinFAT32目錄格式〔8.3entry〕Filename，補空格,8字節(jié)extension(1)(1)(1)(2)(2)(2)(2)(2)(2)(2)Size，4字節(jié)FirstclusterinFAT12/16；Low2bytesoffirstclusterinFAT32LastmodifieddateLastmodifiedtimeLastaccessdateCreatedateCreatetimeCreatetime,10ms*(0~199)ReservedFileAttributes0x000x103字節(jié)Hours,5位Minutes,6位Seconds/2,5位時間格式：Year,7位，從1980～2107月,4位日,5位日期格式：.文件屬性.FAT的長文件名8.3entry，受限；超過？假設(shè)干個長文件名目錄項〔倒序〕＋短文件名目錄項一個文件最多20個，可以容納255個UTF-16字符最后一個有效字符后，填寫0x000x00，此后填充0xFF0xFF.長文件名舉例假設(shè)文件名“Filewithverylongfilename.ext〞序列號的最高位〔第8位〕用作判斷該項是否被刪除序列號的第7位，用作判斷是否最后長文件名的最后一項.演示？格式化FAT32查看FAT找到根目錄在根目錄下，創(chuàng)立目錄、文件；刪除；恢復(fù)再次格式化；恢復(fù)平安刪除.文件恢復(fù)，filerecovery實驗中用到的工具磁盤相關(guān)磁盤物理組織和結(jié)構(gòu)磁盤邏輯組織和結(jié)構(gòu)FAT32文件恢復(fù)Ext2文件恢復(fù).Ext2文件恢復(fù)Linux文件系統(tǒng)簡介工具Debugfs命令dd;od;fdisk;mkfs.ext2;mount/umount;cd;ls;md5sum;stat;rm;.在linux下查看MBR一個獲得MBR內(nèi)容的方法ddbs=512count=1if=/dev/hda|od-Ax-tx1z-v在虛擬機中演示.？演示查看硬盤設(shè)備文件〔/dev目錄〕磁盤分區(qū)(fdisk)，后，再次看硬盤設(shè)備文件格式化mkfs.ext2掛載〔mount〕查看系統(tǒng)中的分區(qū)掛載情況編輯〔vi〕并保存/文件摘要〔md5sum〕/文件狀態(tài)〔stat〕刪除文件卸載〔umount〕/重新掛載為只讀debugfs，可讀寫方式，lsdel/dump文件摘要并比較.Thanks！Theend.Thestructureofaharddisk://oreilly/catalog/debian/chapter/book/ch02_03.html.://hddtech.co.uk/resource/hard-disk-functionality.htm.NTFS文件系統(tǒng)，根本概念NTFS簡單開展史v1.0withNT3.1,releasedmid-1993v1.1withNT3.5,releasedfall1994v1.2writtenbyNT3.51(mid-1995)andNT4(mid-1996)(occasionallyreferredtoas"NTFS4.0",becauseOSversionis4.0)v3.0fromWindows2000(autumn2001;occasionally"NTFSV5.1"),WindowsServer2003(spring2003;occasionally"NTFSV5.2"),WindowsVista(mid-2005)(occasionally"NTFSV6.0")andWindowsServer2021Thefilesystemspecificationisatradesecret.Metadata，元數(shù)據(jù)"dataaboutdata"例如，跟“書〞相關(guān)的元數(shù)據(jù)有：作者、出版社、出版日期、版本號、ISBN號等等Metafile，元文件severalfileswhichdefine

andorganizethefilesystem常規(guī)：不可見.$MFTDescribesallfilesonthevolumefilenamesTimestampsstreamnameslistsofclusternumberswheredatastreamsresideIndexessecurityidentifiersfileattrib