網(wǎng)絡(luò)空間安全概論 實驗8文件恢復(fù) winhex文件恢復(fù)實驗樣例2

實驗一文件系統(tǒng)取證一、實驗?zāi)康?.通過使用WinHex軟件，熟悉磁盤信息，從而了解存儲機制；2.查看磁盤信息，及其使用狀況；3.能夠恢復(fù)已刪除的文件；二、實驗內(nèi)容1.查看計算機磁盤及U盤的信息，及相應(yīng)的文件信息；2.使用WinHes自動、手動恢復(fù)文件；三、實驗步驟1.下載WinHex工具，打開文件夾中的WinHex.exe文件，熟悉工作界面；2.打開相應(yīng)的磁盤，查詢信息，并進行相關(guān)的恢復(fù)操作；四、文件系統(tǒng)格式4.1FAT32文件系統(tǒng)FAT文件系統(tǒng)主要有FAT12、FAT16和FAT32幾種形式，其中FAT32是FAT發(fā)展的最后形式。這里FAT32的意思是簇的編址采用32bit寬度的數(shù)，所以FAT32文件系統(tǒng)最多能尋址2**32=4294967296個簇，其他FAT變種類似。FAT32文件系統(tǒng)由DBR及保留扇區(qū)，F(xiàn)AT1，F(xiàn)AT2和數(shù)據(jù)區(qū)組成：DBR及保留扇區(qū)FAT2FATDBR及保留扇區(qū)FAT2FAT1數(shù)據(jù)區(qū)圖1.4.1.1FAT32結(jié)構(gòu)DBR及保留扇區(qū)：DBR的含義是DOS引導(dǎo)記錄，也稱為操作系統(tǒng)引導(dǎo)記錄，在DBR之后往往還會有一些保留扇區(qū)。FAT1：FAT的含義是文件分配表，F(xiàn)AT32一般有兩份FAT，F(xiàn)AT1是第一份，也是主FAT。FAT2：FAT2是FAT32的第二份文件分配表，也是FAT1的備份。DATA：DATA也就是數(shù)據(jù)區(qū)，是FAT32文件系統(tǒng)的主要區(qū)域，其中包含目錄區(qū)域。用WinHew打開一個FAT32格式的磁盤，其DBR如下，對內(nèi)容進行簡要的表明。圖1.4.1.2DBR跳轉(zhuǎn)指令將呈現(xiàn)執(zhí)行流程跳轉(zhuǎn)到引導(dǎo)程序處；OEMID由廠商指定，這里是MSDOS5.0；BPB記錄文件系統(tǒng)相關(guān)的重要信息，由BPB和拓展BPB組成，具體參數(shù)解釋如下：字節(jié)偏移字段長度(字節(jié))對應(yīng)取值名稱和定義0x0B20x0200扇區(qū)字節(jié)數(shù)0x0D10x20每簇扇區(qū)數(shù)0x0E20x080E保留扇區(qū)數(shù)0x1010x02FAT數(shù)0x1120x0000根目錄項數(shù)0x1320x0000小扇區(qū)數(shù)0x1510xF8媒體描述符0x1620x0000每FAT扇區(qū)數(shù)（FAT32為0）0x1820x003F每道扇區(qū)數(shù)0x1A20x00FF磁頭數(shù)0x1C40x00000060隱藏扇區(qū)數(shù)0x2040x03BFFF0A總扇區(qū)數(shù)0x2440x00003BF9每FAT扇區(qū)數(shù)0x2820x0000擴展標(biāo)志0x2A20x0000文件系統(tǒng)版本0x2C40x00000002根目錄簇號0x3020x0001文件系統(tǒng)信息扇區(qū)號0x3420x0006備份引導(dǎo)扇區(qū)0x361212字節(jié)均為0x00保留拓展BPB參數(shù)如下：字節(jié)偏移字段長度(字節(jié))對應(yīng)取值名稱和定義0x4010x00物理驅(qū)動器號0x4110x00每保留0x4210x29擴展引導(dǎo)標(biāo)簽0x4340x5168C523分區(qū)序號0x4711"NONAME"卷標(biāo)0x528"FAT32"系統(tǒng)IDFAT32文件系統(tǒng)在DBR的保留扇區(qū)中還安排了一個文件系統(tǒng)信息扇區(qū)，用以記錄數(shù)據(jù)區(qū)中空閑簇的數(shù)量及下一個空閑簇的簇號，該扇區(qū)一般在分區(qū)的1號扇區(qū)，也就是緊跟著DBR后的一個扇區(qū)，其內(nèi)容如下圖（其中字節(jié)值為零的，都沒有被使用）：圖1.4.1.3文件系統(tǒng)信息扇區(qū)在DBR之后，就是FAT，文件分配表。FAT一般有兩個，一個正常使用稱為FAT1，另一個是備份稱為FAT2，F(xiàn)AT1和FAT2的內(nèi)容完全一樣。FAT是一組與數(shù)據(jù)簇號對應(yīng)的列表，表項的編號從0開始，但是編號0表示FAT介質(zhì)類型，編號1表示FAT文件系統(tǒng)錯誤標(biāo)志，所以實際存儲從2號開始。大文件占用多個簇的話，則FAT項紀(jì)錄下一個FAT項編號，依次類推直到最后以“0FFFFFFF“表示文件末尾。文件至少占用一個簇，所以新建文件的時候，即使只寫入1字節(jié)的數(shù)據(jù)，它也會占用一個簇的空間。而且，從之前DBR偏移0xB的兩字節(jié)和00x0D的一字節(jié)可以看出，一簇為32扇區(qū)，每扇區(qū)512字節(jié)，一簇大小為16KB。下面對FAT1的部分內(nèi)容進行一下標(biāo)記（圖上只標(biāo)注了0-7項，后面的FAT表項依此類推）：圖1.4.1.4FAT1部分標(biāo)注從上圖中，可以看到第4-7項存儲了一個文件。第4項的存儲內(nèi)容說明下一個簇號在第5項，后面一樣，直到第7項表明該文件存儲結(jié)束。每一項對應(yīng)一個簇，該文件就占用了4簇。FAT2和FAT1內(nèi)容完全一樣，不單獨拿出分析。最后是數(shù)據(jù)區(qū)，是真正存儲文件內(nèi)容的區(qū)域。數(shù)據(jù)區(qū)緊跟在FAT2之后，被劃分成一個個的簇。所有的簇從2開始進行編號，也就是說，2號簇的起始位置就是數(shù)據(jù)區(qū)的起始位置。在WinHex中，根目錄起始扇區(qū)號即為數(shù)據(jù)區(qū)起始扇區(qū)號。在數(shù)據(jù)區(qū)中，目錄所在的扇區(qū)，都以32字節(jié)劃分為一個單位，每個單位稱為一個目錄項。根目錄由若干個目錄項組成，一個目錄項占用32個字節(jié)，可以是長文件名目錄項、文件目錄項、子目錄項等。這些目錄項用來存儲文件名、文件屬性、最后修改時間、最后保存時間等信息。對短文件目錄項（文件名<=8字節(jié)且后綴名<=3字節(jié)），其字節(jié)有如下定義：字節(jié)偏移字節(jié)數(shù)定義0x08文件名0x83拓展名0xB1屬性字節(jié)：00000000：讀寫00000001：只讀00000010：隱藏00000100：系統(tǒng)00001000：卷標(biāo)00010000：子目錄00100000：歸檔0xC1系統(tǒng)保留0xD1創(chuàng)建文件的10毫秒位0xE2文件創(chuàng)建時間0x102文件創(chuàng)建日期0x122文件最后訪問時間0x142文件起始簇號的高16位0x162文件最近修改時間0x182文件最近修改日期0x1A2文件起始簇號的低16位0x1C4文件長度對長文件目錄項（文件名>8字節(jié)或后綴名>3字節(jié)），其字節(jié)有如下定義：字節(jié)偏移字節(jié)數(shù)定義0x01屬性字節(jié)位意義：7：保留未用6：表示長文件最后的目錄項5：保留未用4：順序號數(shù)值3：順序號數(shù)值2：子順序號數(shù)值1：順序號數(shù)值0：順序號數(shù)值0x110長文件名Unicode碼10xB1長文件名目錄標(biāo)志0xC1系統(tǒng)保留0xD1校驗值0xE12長文件名Unicode碼20x1A2文件起始簇號0x1C4長文件名Unicode碼3當(dāng)需要找文件真正存儲內(nèi)容的時候，就可以根據(jù)上面目錄項的起始簇號去尋找文件內(nèi)容。而每個文件所占用的簇信息，又在FAT表項中進行了標(biāo)識，再按照FAT的信息進行查找，即可找到相應(yīng)文件的所有內(nèi)容。比較方便的是，WinHex還提供了簇號和扇區(qū)的轉(zhuǎn)換，可以根據(jù)簇號來跳轉(zhuǎn)到相應(yīng)的扇區(qū)。圖1.4.1.5WinHex簇號轉(zhuǎn)換4.2NTFS文件系統(tǒng)NTFS文件系統(tǒng)（NewTecnologyFileSystem），是現(xiàn)在絕大多數(shù)電腦磁盤分區(qū)使用的文件系統(tǒng)。NTFS文件系統(tǒng)具有安全性高、穩(wěn)定性好、不易產(chǎn)生文件碎片等優(yōu)點。DBRNTFS文件系統(tǒng)大致結(jié)構(gòu)如下：DBR部分MFT備份數(shù)據(jù)區(qū)DBR備份MFT數(shù)據(jù)區(qū)部分MFT備份數(shù)據(jù)區(qū)DBR備份MFT數(shù)據(jù)區(qū)數(shù)據(jù)區(qū)圖1.4.2.1NTFS結(jié)構(gòu)DBR：由“跳轉(zhuǎn)指令”、“OEM代號”、“BPB”、“引導(dǎo)程序”和“結(jié)束標(biāo)志”組成，這里和FAT32文件系統(tǒng)的DBR一樣。數(shù)據(jù)區(qū)：數(shù)據(jù)區(qū)分為三部分，這是真正存儲文件內(nèi)容的地方。MFT：它由一個個表項構(gòu)成，每一個表項是一個文件記錄，大小一般為1KB(兩個扇區(qū))，記錄著卷中每一個目錄和文件的信息，每個文件記錄的結(jié)構(gòu)都是固定的，由文件記錄頭和若干屬性構(gòu)成。部分MFT備份：用來備份MFT部分信息。DBR備份：備份DBR。NTFS中DBR的大致結(jié)構(gòu)和FAT32相同，但部分字節(jié)的定義有差異。圖1.4.2.2DBR字節(jié)定義使用WinHex，并結(jié)合上圖就可以理解各個字節(jié)的意思。在NTFS的MFT文件中，會預(yù)先建立16個重要的文件（MFT記錄的ID編號固定為0-15）和8個保留文件（MFT記錄的ID編號固定為16-23），這24個文件是被稱為元文件（Metafiles）或元數(shù)據(jù)（metadata）的系統(tǒng)文件、，NTFS文件系統(tǒng)將這些數(shù)據(jù)都當(dāng)做文件進行管理，這些文件用戶是不能訪問的，它們的文件名的第一個字符都是“$”，表示該文件是隱藏的。而用戶的文件在MFT中的ID編號從24后開始排，用戶每添加一個文件，ID號加1。圖1.4.2.3MFT結(jié)構(gòu)上面是MFT的元文件及相應(yīng)功能，元文件序號和數(shù)量不是不變的，隨著操作系統(tǒng)的變化，它的內(nèi)容也會發(fā)生部分變化。下來解析MFT中的用戶文件記錄部分。文件記錄由兩部分組成，一部分是文件記錄頭，另一部分是屬性列表，結(jié)尾是四個“FF”。一個完整的文件記錄如下圖：圖1.4.2.4文件記錄文件記錄頭的字節(jié)定義如下圖如下圖：圖1.4.2.5文件記錄頭字節(jié)定義在屬性列表中，每個MFT的屬性分為兩類常駐屬性和非常駐屬性。?常駐屬性：直接在MFT項中記錄屬性體，例如10和30屬性???優(yōu)點：直接在MFT項中記錄屬體，訪問速度快???缺點：只能記錄少量的數(shù)據(jù)?非常駐屬性：在MFT之外的區(qū)域記錄屬性體，例如80屬性（當(dāng)數(shù)據(jù)較小時為常駐屬性）???優(yōu)點：用簇流記錄文件存儲的數(shù)據(jù)區(qū)域，可以記錄很大的數(shù)據(jù)???缺點：訪問速度較慢對每個MFT的屬性來說，它又分為兩部分：屬性頭和屬性體。對常駐屬性，它屬性頭的結(jié)構(gòu)如下：圖1.4.2.6常駐屬性的結(jié)構(gòu)對非常駐屬性，它屬性頭的結(jié)構(gòu)如下：圖1.4.2.7非常駐屬性的結(jié)構(gòu)對上面的00-03偏移字段，MFT中所有的屬性類型表如下：圖1.4.2.8MFT屬性類型表下面，給出10、30和80屬性體的結(jié)構(gòu)。圖1.4.2.910屬性體結(jié)構(gòu)圖1.4.2.930屬性體結(jié)構(gòu)80屬性是存儲數(shù)據(jù)的地方，如果相應(yīng)文件存儲的內(nèi)容較小那它就是常駐屬性，屬性頭即為前面的常駐屬性屬性頭，緊跟在屬性頭后面的屬性體即為文件內(nèi)容。而如果文件存儲的內(nèi)容較大，在當(dāng)前MFT表裝不下（一半般沒個MFT項都占用1024字節(jié)，即兩個扇區(qū)）。此時，80屬性就是非常駐屬性，緊跟它屬性頭后面的屬性體就是簇流記錄信息。80為非常駐時，又分為單個運行列表和多個運行列表。圖1.4.2.1080屬性單運行列表對上圖中80屬性體的單運行列表分析。開頭的0x33，低4位的3表示它后面的3字節(jié)內(nèi)容為運行簇個數(shù)，這里為0x00BC40；高4位的3表示簇大小后面的3字節(jié)內(nèi)容為起始簇，這里為0x0C0000。而且，這個起始簇是整個文件卷的相對位置。圖1.4.2.1080屬性多運行列表對上圖中80屬性體的多運行列表分析。對第一個運行列表開頭的0x31，低4位的1表示它后面的1字節(jié)內(nèi)容為運行簇個數(shù)，這里為0x03；高4位的3表示簇大小后面的3字節(jié)內(nèi)容為起始簇，這里為0x009A65。這個起始簇是整個文件卷的相對位置，是LCN(logicalclusternumber)。對第二個運行列表開頭的0x11，低4位的1表示它后面的1字節(jié)內(nèi)容為運行簇個數(shù)，這里為0x01；高4位的1表示簇大小后面的1字節(jié)內(nèi)容為起始簇，這里為0x13。但這里的起始簇是整個文件內(nèi)部的相對位置，是VCN(virtualclusternumber)。所以有計算公式：第N個運行列表的LCN=第一個運行列表的起始簇(LCN)+第二個運行列表的起始簇(VCN)+...+第n個運行列表的起始簇(VCN)五、實驗結(jié)果5.1FAT32文件刪除與恢復(fù)現(xiàn)在Windows10操作系統(tǒng)的磁盤已經(jīng)不使用FAT格式，這里選擇U盤來做FAT的實驗。在WinHex工具欄，選擇“工具”—“打開磁盤”。圖1.5.1.1打開磁盤在磁盤選擇窗口，選擇接入電腦的U盤并打開。圖1.5.1.2選擇磁盤打開U盤之后，WinHex顯示如下，可以看到U盤中的文件。圖1.5.1.3U盤內(nèi)容5.1.1自動恢復(fù)先在U盤中創(chuàng)建一個文件—“計算機取證05171759.txt”，用于刪除。圖1.5.1.4新建文件新建文件內(nèi)容是我的名字。圖1.5.1.5新建文件內(nèi)容確認(rèn)文件內(nèi)容之后，就可以把文件刪除。刪除之后，要在WinHex中更新磁盤。在WinHex工具欄，選擇“專業(yè)工具”—“進行磁盤快照”。圖1.5.1.6進行磁盤快照在彈出的對話框中，勾選“更新快照”。圖1.5.1.7更新磁盤快照更新磁盤之后，可以在Winhex找到刪除的文件。右鍵單擊，選擇“恢復(fù)/復(fù)制”，導(dǎo)出到新文件。圖1.5.1.8恢復(fù)文件將恢復(fù)文件的位置選擇為U盤。圖1.5.1.9導(dǎo)出文件在U盤中查看文件內(nèi)容，看到名字和內(nèi)容都和原來一樣。圖1.5.1.10查看恢復(fù)文件5.1.2手動恢復(fù)這里仍然可以在U盤中找到對應(yīng)的文件。圖1.5.1.11找到刪除文件但文件內(nèi)容是亂碼的，在編碼頁面選擇GBK編碼，就可以看到正確的文件內(nèi)容。圖1.5.1.12選擇GBK編碼圖1.5.1.13GBK編碼文件內(nèi)容之后選中文件區(qū)域，右鍵選擇“復(fù)制選塊”—“至新文件”。圖1.5.1.14選中文件內(nèi)容將文件命名“恢復(fù)文件.txt”，另存到U盤中。圖1.5.1.15另存文件到U盤中驗證文件內(nèi)容，看到是跟原來文件內(nèi)容是一樣的。圖1.5.1.16驗證恢復(fù)文件內(nèi)容下面我還想嘗試下大文件的刪除恢復(fù)，這里刪的是一個程序設(shè)計實踐報告，大小為6975KB。圖1.5.1.17刪除大文件下面在WinHex中更新磁盤，找到這個文件并列出它所占用的簇。發(fā)現(xiàn)簇并不是完全連續(xù)的，而是呈現(xiàn)出片段狀。手工恢復(fù)的話，就要找到這些簇，并把這些簇拼接到一起輸出為文件。比較麻煩，下面不再嘗試了。圖1.5.1.18查看大文件占用簇5.2NTFS文件刪除與恢復(fù)在這個實驗剛開始時，我是一直使用虛擬機的C盤來操作的。結(jié)果C盤文件太多，每次搜索刪除的文件明時，非常費事，中間還出現(xiàn)刪除文件，搜索不到等現(xiàn)象。后來是，新建了一個容量較小的拓展磁盤來進行這次實驗，使得文件搜索分析等操作變得容易進行。在E盤中新建一個文件，名為“wgz.txt”,確認(rèn)文件內(nèi)容。圖1.5.2.1查看文件內(nèi)容之后長按“Shift”鍵，再右鍵選擇“刪除”，來將文件直接刪除。如果不按“Shift”，而是將文件直接刪除，那樣文件會移動到回收站里面，文件名也會被更改，后面就不能通過搜索文件名來找