網(wǎng)絡(luò)空間安全概論 實(shí)驗(yàn)8文件恢復(fù) winhex文件恢復(fù)實(shí)驗(yàn)樣例2

實(shí)驗(yàn)一文件系統(tǒng)取證一、實(shí)驗(yàn)?zāi)康?.通過(guò)使用WinHex軟件，熟悉磁盤(pán)信息，從而了解存儲(chǔ)機(jī)制；2.查看磁盤(pán)信息，及其使用狀況；3.能夠恢復(fù)已刪除的文件；二、實(shí)驗(yàn)內(nèi)容1.查看計(jì)算機(jī)磁盤(pán)及U盤(pán)的信息，及相應(yīng)的文件信息；2.使用WinHes自動(dòng)、手動(dòng)恢復(fù)文件；三、實(shí)驗(yàn)步驟1.下載WinHex工具，打開(kāi)文件夾中的WinHex.exe文件，熟悉工作界面；2.打開(kāi)相應(yīng)的磁盤(pán)，查詢信息，并進(jìn)行相關(guān)的恢復(fù)操作；四、文件系統(tǒng)格式4.1FAT32文件系統(tǒng)FAT文件系統(tǒng)主要有FAT12、FAT16和FAT32幾種形式，其中FAT32是FAT發(fā)展的最后形式。這里FAT32的意思是簇的編址采用32bit寬度的數(shù)，所以FAT32文件系統(tǒng)最多能尋址2**32=4294967296個(gè)簇，其他FAT變種類(lèi)似。FAT32文件系統(tǒng)由DBR及保留扇區(qū)，F(xiàn)AT1，F(xiàn)AT2和數(shù)據(jù)區(qū)組成：DBR及保留扇區(qū)FAT2FATDBR及保留扇區(qū)FAT2FAT1數(shù)據(jù)區(qū)圖1.4.1.1FAT32結(jié)構(gòu)DBR及保留扇區(qū)：DBR的含義是DOS引導(dǎo)記錄，也稱(chēng)為操作系統(tǒng)引導(dǎo)記錄，在DBR之后往往還會(huì)有一些保留扇區(qū)。FAT1：FAT的含義是文件分配表，F(xiàn)AT32一般有兩份FAT，F(xiàn)AT1是第一份，也是主FAT。FAT2：FAT2是FAT32的第二份文件分配表，也是FAT1的備份。DATA：DATA也就是數(shù)據(jù)區(qū)，是FAT32文件系統(tǒng)的主要區(qū)域，其中包含目錄區(qū)域。用WinHew打開(kāi)一個(gè)FAT32格式的磁盤(pán)，其DBR如下，對(duì)內(nèi)容進(jìn)行簡(jiǎn)要的表明。圖1.4.1.2DBR跳轉(zhuǎn)指令將呈現(xiàn)執(zhí)行流程跳轉(zhuǎn)到引導(dǎo)程序處；OEMID由廠商指定，這里是MSDOS5.0；BPB記錄文件系統(tǒng)相關(guān)的重要信息，由BPB和拓展BPB組成，具體參數(shù)解釋如下：字節(jié)偏移字段長(zhǎng)度(字節(jié))對(duì)應(yīng)取值名稱(chēng)和定義0x0B20x0200扇區(qū)字節(jié)數(shù)0x0D10x20每簇扇區(qū)數(shù)0x0E20x080E保留扇區(qū)數(shù)0x1010x02FAT數(shù)0x1120x0000根目錄項(xiàng)數(shù)0x1320x0000小扇區(qū)數(shù)0x1510xF8媒體描述符0x1620x0000每FAT扇區(qū)數(shù)（FAT32為0）0x1820x003F每道扇區(qū)數(shù)0x1A20x00FF磁頭數(shù)0x1C40x00000060隱藏扇區(qū)數(shù)0x2040x03BFFF0A總扇區(qū)數(shù)0x2440x00003BF9每FAT扇區(qū)數(shù)0x2820x0000擴(kuò)展標(biāo)志0x2A20x0000文件系統(tǒng)版本0x2C40x00000002根目錄簇號(hào)0x3020x0001文件系統(tǒng)信息扇區(qū)號(hào)0x3420x0006備份引導(dǎo)扇區(qū)0x361212字節(jié)均為0x00保留拓展BPB參數(shù)如下：字節(jié)偏移字段長(zhǎng)度(字節(jié))對(duì)應(yīng)取值名稱(chēng)和定義0x4010x00物理驅(qū)動(dòng)器號(hào)0x4110x00每保留0x4210x29擴(kuò)展引導(dǎo)標(biāo)簽0x4340x5168C523分區(qū)序號(hào)0x4711"NONAME"卷標(biāo)0x528"FAT32"系統(tǒng)IDFAT32文件系統(tǒng)在DBR的保留扇區(qū)中還安排了一個(gè)文件系統(tǒng)信息扇區(qū)，用以記錄數(shù)據(jù)區(qū)中空閑簇的數(shù)量及下一個(gè)空閑簇的簇號(hào)，該扇區(qū)一般在分區(qū)的1號(hào)扇區(qū)，也就是緊跟著DBR后的一個(gè)扇區(qū)，其內(nèi)容如下圖（其中字節(jié)值為零的，都沒(méi)有被使用）：圖1.4.1.3文件系統(tǒng)信息扇區(qū)在DBR之后，就是FAT，文件分配表。FAT一般有兩個(gè)，一個(gè)正常使用稱(chēng)為FAT1，另一個(gè)是備份稱(chēng)為FAT2，F(xiàn)AT1和FAT2的內(nèi)容完全一樣。FAT是一組與數(shù)據(jù)簇號(hào)對(duì)應(yīng)的列表，表項(xiàng)的編號(hào)從0開(kāi)始，但是編號(hào)0表示FAT介質(zhì)類(lèi)型，編號(hào)1表示FAT文件系統(tǒng)錯(cuò)誤標(biāo)志，所以實(shí)際存儲(chǔ)從2號(hào)開(kāi)始。大文件占用多個(gè)簇的話，則FAT項(xiàng)紀(jì)錄下一個(gè)FAT項(xiàng)編號(hào)，依次類(lèi)推直到最后以“0FFFFFFF“表示文件末尾。文件至少占用一個(gè)簇，所以新建文件的時(shí)候，即使只寫(xiě)入1字節(jié)的數(shù)據(jù)，它也會(huì)占用一個(gè)簇的空間。而且，從之前DBR偏移0xB的兩字節(jié)和00x0D的一字節(jié)可以看出，一簇為32扇區(qū)，每扇區(qū)512字節(jié)，一簇大小為16KB。下面對(duì)FAT1的部分內(nèi)容進(jìn)行一下標(biāo)記（圖上只標(biāo)注了0-7項(xiàng)，后面的FAT表項(xiàng)依此類(lèi)推）：圖1.4.1.4FAT1部分標(biāo)注從上圖中，可以看到第4-7項(xiàng)存儲(chǔ)了一個(gè)文件。第4項(xiàng)的存儲(chǔ)內(nèi)容說(shuō)明下一個(gè)簇號(hào)在第5項(xiàng)，后面一樣，直到第7項(xiàng)表明該文件存儲(chǔ)結(jié)束。每一項(xiàng)對(duì)應(yīng)一個(gè)簇，該文件就占用了4簇。FAT2和FAT1內(nèi)容完全一樣，不單獨(dú)拿出分析。最后是數(shù)據(jù)區(qū)，是真正存儲(chǔ)文件內(nèi)容的區(qū)域。數(shù)據(jù)區(qū)緊跟在FAT2之后，被劃分成一個(gè)個(gè)的簇。所有的簇從2開(kāi)始進(jìn)行編號(hào)，也就是說(shuō)，2號(hào)簇的起始位置就是數(shù)據(jù)區(qū)的起始位置。在WinHex中，根目錄起始扇區(qū)號(hào)即為數(shù)據(jù)區(qū)起始扇區(qū)號(hào)。在數(shù)據(jù)區(qū)中，目錄所在的扇區(qū)，都以32字節(jié)劃分為一個(gè)單位，每個(gè)單位稱(chēng)為一個(gè)目錄項(xiàng)。根目錄由若干個(gè)目錄項(xiàng)組成，一個(gè)目錄項(xiàng)占用32個(gè)字節(jié)，可以是長(zhǎng)文件名目錄項(xiàng)、文件目錄項(xiàng)、子目錄項(xiàng)等。這些目錄項(xiàng)用來(lái)存儲(chǔ)文件名、文件屬性、最后修改時(shí)間、最后保存時(shí)間等信息。對(duì)短文件目錄項(xiàng)（文件名<=8字節(jié)且后綴名<=3字節(jié)），其字節(jié)有如下定義：字節(jié)偏移字節(jié)數(shù)定義0x08文件名0x83拓展名0xB1屬性字節(jié)：00000000：讀寫(xiě)00000001：只讀00000010：隱藏00000100：系統(tǒng)00001000：卷標(biāo)00010000：子目錄00100000：歸檔0xC1系統(tǒng)保留0xD1創(chuàng)建文件的10毫秒位0xE2文件創(chuàng)建時(shí)間0x102文件創(chuàng)建日期0x122文件最后訪問(wèn)時(shí)間0x142文件起始簇號(hào)的高16位0x162文件最近修改時(shí)間0x182文件最近修改日期0x1A2文件起始簇號(hào)的低16位0x1C4文件長(zhǎng)度對(duì)長(zhǎng)文件目錄項(xiàng)（文件名>8字節(jié)或后綴名>3字節(jié)），其字節(jié)有如下定義：字節(jié)偏移字節(jié)數(shù)定義0x01屬性字節(jié)位意義：7：保留未用6：表示長(zhǎng)文件最后的目錄項(xiàng)5：保留未用4：順序號(hào)數(shù)值3：順序號(hào)數(shù)值2：子順序號(hào)數(shù)值1：順序號(hào)數(shù)值0：順序號(hào)數(shù)值0x110長(zhǎng)文件名Unicode碼10xB1長(zhǎng)文件名目錄標(biāo)志0xC1系統(tǒng)保留0xD1校驗(yàn)值0xE12長(zhǎng)文件名Unicode碼20x1A2文件起始簇號(hào)0x1C4長(zhǎng)文件名Unicode碼3當(dāng)需要找文件真正存儲(chǔ)內(nèi)容的時(shí)候，就可以根據(jù)上面目錄項(xiàng)的起始簇號(hào)去尋找文件內(nèi)容。而每個(gè)文件所占用的簇信息，又在FAT表項(xiàng)中進(jìn)行了標(biāo)識(shí)，再按照FAT的信息進(jìn)行查找，即可找到相應(yīng)文件的所有內(nèi)容。比較方便的是，WinHex還提供了簇號(hào)和扇區(qū)的轉(zhuǎn)換，可以根據(jù)簇號(hào)來(lái)跳轉(zhuǎn)到相應(yīng)的扇區(qū)。圖1.4.1.5WinHex簇號(hào)轉(zhuǎn)換4.2NTFS文件系統(tǒng)NTFS文件系統(tǒng)（NewTecnologyFileSystem），是現(xiàn)在絕大多數(shù)電腦磁盤(pán)分區(qū)使用的文件系統(tǒng)。NTFS文件系統(tǒng)具有安全性高、穩(wěn)定性好、不易產(chǎn)生文件碎片等優(yōu)點(diǎn)。DBRNTFS文件系統(tǒng)大致結(jié)構(gòu)如下：DBR部分MFT備份數(shù)據(jù)區(qū)DBR備份MFT數(shù)據(jù)區(qū)部分MFT備份數(shù)據(jù)區(qū)DBR備份MFT數(shù)據(jù)區(qū)數(shù)據(jù)區(qū)圖1.4.2.1NTFS結(jié)構(gòu)DBR：由“跳轉(zhuǎn)指令”、“OEM代號(hào)”、“BPB”、“引導(dǎo)程序”和“結(jié)束標(biāo)志”組成，這里和FAT32文件系統(tǒng)的DBR一樣。數(shù)據(jù)區(qū)：數(shù)據(jù)區(qū)分為三部分，這是真正存儲(chǔ)文件內(nèi)容的地方。MFT：它由一個(gè)個(gè)表項(xiàng)構(gòu)成，每一個(gè)表項(xiàng)是一個(gè)文件記錄，大小一般為1KB(兩個(gè)扇區(qū))，記錄著卷中每一個(gè)目錄和文件的信息，每個(gè)文件記錄的結(jié)構(gòu)都是固定的，由文件記錄頭和若干屬性構(gòu)成。部分MFT備份：用來(lái)備份MFT部分信息。DBR備份：備份DBR。NTFS中DBR的大致結(jié)構(gòu)和FAT32相同，但部分字節(jié)的定義有差異。圖1.4.2.2DBR字節(jié)定義使用WinHex，并結(jié)合上圖就可以理解各個(gè)字節(jié)的意思。在NTFS的MFT文件中，會(huì)預(yù)先建立16個(gè)重要的文件（MFT記錄的ID編號(hào)固定為0-15）和8個(gè)保留文件（MFT記錄的ID編號(hào)固定為16-23），這24個(gè)文件是被稱(chēng)為元文件（Metafiles）或元數(shù)據(jù)（metadata）的系統(tǒng)文件、，NTFS文件系統(tǒng)將這些數(shù)據(jù)都當(dāng)做文件進(jìn)行管理，這些文件用戶是不能訪問(wèn)的，它們的文件名的第一個(gè)字符都是“$”，表示該文件是隱藏的。而用戶的文件在MFT中的ID編號(hào)從24后開(kāi)始排，用戶每添加一個(gè)文件，ID號(hào)加1。圖1.4.2.3MFT結(jié)構(gòu)上面是MFT的元文件及相應(yīng)功能，元文件序號(hào)和數(shù)量不是不變的，隨著操作系統(tǒng)的變化，它的內(nèi)容也會(huì)發(fā)生部分變化。下來(lái)解析MFT中的用戶文件記錄部分。文件記錄由兩部分組成，一部分是文件記錄頭，另一部分是屬性列表，結(jié)尾是四個(gè)“FF”。一個(gè)完整的文件記錄如下圖：圖1.4.2.4文件記錄文件記錄頭的字節(jié)定義如下圖如下圖：圖1.4.2.5文件記錄頭字節(jié)定義在屬性列表中，每個(gè)MFT的屬性分為兩類(lèi)常駐屬性和非常駐屬性。?常駐屬性：直接在MFT項(xiàng)中記錄屬性體，例如10和30屬性???優(yōu)點(diǎn)：直接在MFT項(xiàng)中記錄屬體，訪問(wèn)速度快???缺點(diǎn)：只能記錄少量的數(shù)據(jù)?非常駐屬性：在MFT之外的區(qū)域記錄屬性體，例如80屬性（當(dāng)數(shù)據(jù)較小時(shí)為常駐屬性）???優(yōu)點(diǎn)：用簇流記錄文件存儲(chǔ)的數(shù)據(jù)區(qū)域，可以記錄很大的數(shù)據(jù)???缺點(diǎn)：訪問(wèn)速度較慢對(duì)每個(gè)MFT的屬性來(lái)說(shuō)，它又分為兩部分：屬性頭和屬性體。對(duì)常駐屬性，它屬性頭的結(jié)構(gòu)如下：圖1.4.2.6常駐屬性的結(jié)構(gòu)對(duì)非常駐屬性，它屬性頭的結(jié)構(gòu)如下：圖1.4.2.7非常駐屬性的結(jié)構(gòu)對(duì)上面的00-03偏移字段，MFT中所有的屬性類(lèi)型表如下：圖1.4.2.8MFT屬性類(lèi)型表下面，給出10、30和80屬性體的結(jié)構(gòu)。圖1.4.2.910屬性體結(jié)構(gòu)圖1.4.2.930屬性體結(jié)構(gòu)80屬性是存儲(chǔ)數(shù)據(jù)的地方，如果相應(yīng)文件存儲(chǔ)的內(nèi)容較小那它就是常駐屬性，屬性頭即為前面的常駐屬性屬性頭，緊跟在屬性頭后面的屬性體即為文件內(nèi)容。而如果文件存儲(chǔ)的內(nèi)容較大，在當(dāng)前MFT表裝不下（一半般沒(méi)個(gè)MFT項(xiàng)都占用1024字節(jié)，即兩個(gè)扇區(qū)）。此時(shí)，80屬性就是非常駐屬性，緊跟它屬性頭后面的屬性體就是簇流記錄信息。80為非常駐時(shí)，又分為單個(gè)運(yùn)行列表和多個(gè)運(yùn)行列表。圖1.4.2.1080屬性單運(yùn)行列表對(duì)上圖中80屬性體的單運(yùn)行列表分析。開(kāi)頭的0x33，低4位的3表示它后面的3字節(jié)內(nèi)容為運(yùn)行簇個(gè)數(shù)，這里為0x00BC40；高4位的3表示簇大小后面的3字節(jié)內(nèi)容為起始簇，這里為0x0C0000。而且，這個(gè)起始簇是整個(gè)文件卷的相對(duì)位置。圖1.4.2.1080屬性多運(yùn)行列表對(duì)上圖中80屬性體的多運(yùn)行列表分析。對(duì)第一個(gè)運(yùn)行列表開(kāi)頭的0x31，低4位的1表示它后面的1字節(jié)內(nèi)容為運(yùn)行簇個(gè)數(shù)，這里為0x03；高4位的3表示簇大小后面的3字節(jié)內(nèi)容為起始簇，這里為0x009A65。這個(gè)起始簇是整個(gè)文件卷的相對(duì)位置，是LCN(logicalclusternumber)。對(duì)第二個(gè)運(yùn)行列表開(kāi)頭的0x11，低4位的1表示它后面的1字節(jié)內(nèi)容為運(yùn)行簇個(gè)數(shù)，這里為0x01；高4位的1表示簇大小后面的1字節(jié)內(nèi)容為起始簇，這里為0x13。但這里的起始簇是整個(gè)文件內(nèi)部的相對(duì)位置，是VCN(virtualclusternumber)。所以有計(jì)算公式：第N個(gè)運(yùn)行列表的LCN=第一個(gè)運(yùn)行列表的起始簇(LCN)+第二個(gè)運(yùn)行列表的起始簇(VCN)+...+第n個(gè)運(yùn)行列表的起始簇(VCN)五、實(shí)驗(yàn)結(jié)果5.1FAT32文件刪除與恢復(fù)現(xiàn)在Windows10操作系統(tǒng)的磁盤(pán)已經(jīng)不使用FAT格式，這里選擇U盤(pán)來(lái)做FAT的實(shí)驗(yàn)。在WinHex工具欄，選擇“工具”—“打開(kāi)磁盤(pán)”。圖1.5.1.1打開(kāi)磁盤(pán)在磁盤(pán)選擇窗口，選擇接入電腦的U盤(pán)并打開(kāi)。圖1.5.1.2選擇磁盤(pán)打開(kāi)U盤(pán)之后，WinHex顯示如下，可以看到U盤(pán)中的文件。圖1.5.1.3U盤(pán)內(nèi)容5.1.1自動(dòng)恢復(fù)先在U盤(pán)中創(chuàng)建一個(gè)文件—“計(jì)算機(jī)取證05171759.txt”，用于刪除。圖1.5.1.4新建文件新建文件內(nèi)容是我的名字。圖1.5.1.5新建文件內(nèi)容確認(rèn)文件內(nèi)容之后，就可以把文件刪除。刪除之后，要在WinHex中更新磁盤(pán)。在WinHex工具欄，選擇“專(zhuān)業(yè)工具”—“進(jìn)行磁盤(pán)快照”。圖1.5.1.6進(jìn)行磁盤(pán)快照在彈出的對(duì)話框中，勾選“更新快照”。圖1.5.1.7更新磁盤(pán)快照更新磁盤(pán)之后，可以在Winhex找到刪除的文件。右鍵單擊，選擇“恢復(fù)/復(fù)制”，導(dǎo)出到新文件。圖1.5.1.8恢復(fù)文件將恢復(fù)文件的位置選擇為U盤(pán)。圖1.5.1.9導(dǎo)出文件在U盤(pán)中查看文件內(nèi)容，看到名字和內(nèi)容都和原來(lái)一樣。圖1.5.1.10查看恢復(fù)文件5.1.2手動(dòng)恢復(fù)這里仍然可以在U盤(pán)中找到對(duì)應(yīng)的文件。圖1.5.1.11找到刪除文件但文件內(nèi)容是亂碼的，在編碼頁(yè)面選擇GBK編碼，就可以看到正確的文件內(nèi)容。圖1.5.1.12選擇GBK編碼圖1.5.1.13GBK編碼文件內(nèi)容之后選中文件區(qū)域，右鍵選擇“復(fù)制選塊”—“至新文件”。圖1.5.1.14選中文件內(nèi)容將文件命名“恢復(fù)文件.txt”，另存到U盤(pán)中。圖1.5.1.15另存文件到U盤(pán)中驗(yàn)證文件內(nèi)容，看到是跟原來(lái)文件內(nèi)容是一樣的。圖1.5.1.16驗(yàn)證恢復(fù)文件內(nèi)容下面我還想嘗試下大文件的刪除恢復(fù)，這里刪的是一個(gè)程序設(shè)計(jì)實(shí)踐報(bào)告，大小為6975KB。圖1.5.1.17刪除大文件下面在WinHex中更新磁盤(pán)，找到這個(gè)文件并列出它所占用的簇。發(fā)現(xiàn)簇并不是完全連續(xù)的，而是呈現(xiàn)出片段狀。手工恢復(fù)的話，就要找到這些簇，并把這些簇拼接到一起輸出為文件。比較麻煩，下面不再?lài)L試了。圖1.5.1.18查看大文件占用簇5.2NTFS文件刪除與恢復(fù)在這個(gè)實(shí)驗(yàn)剛開(kāi)始時(shí)，我是一直使用虛擬機(jī)的C盤(pán)來(lái)操作的。結(jié)果C盤(pán)文件太多，每次搜索刪除的文件明時(shí)，非常費(fèi)事，中間還出現(xiàn)刪除文件，搜索不到等現(xiàn)象。后來(lái)是，新建了一個(gè)容量較小的拓展磁盤(pán)來(lái)進(jìn)行這次實(shí)驗(yàn)，使得文件搜索分析等操作變得容易進(jìn)行。在E盤(pán)中新建一個(gè)文件，名為“wgz.txt”,確認(rèn)文件內(nèi)容。圖1.5.2.1查看文件內(nèi)容之后長(zhǎng)按“Shift”鍵，再右鍵選擇“刪除”，來(lái)將文件直接刪除。如果不按“Shift”，而是將文件直接刪除，那樣文件會(huì)移動(dòng)到回收站里面，文件名也會(huì)被更改，后面就不能通過(guò)搜索文件名來(lái)找