網(wǎng)絡空間安全概論 實驗8文件恢復 winhex文件恢復實驗樣例2_第1頁
網(wǎng)絡空間安全概論 實驗8文件恢復 winhex文件恢復實驗樣例2_第2頁
網(wǎng)絡空間安全概論 實驗8文件恢復 winhex文件恢復實驗樣例2_第3頁
網(wǎng)絡空間安全概論 實驗8文件恢復 winhex文件恢復實驗樣例2_第4頁
網(wǎng)絡空間安全概論 實驗8文件恢復 winhex文件恢復實驗樣例2_第5頁
已閱讀5頁,還剩17頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領

文檔簡介

實驗一文件系統(tǒng)取證一、實驗目的1.通過使用WinHex軟件,熟悉磁盤信息,從而了解存儲機制;2.查看磁盤信息,及其使用狀況;3.能夠恢復已刪除的文件;二、實驗內(nèi)容1.查看計算機磁盤及U盤的信息,及相應的文件信息;2.使用WinHes自動、手動恢復文件;三、實驗步驟1.下載WinHex工具,打開文件夾中的WinHex.exe文件,熟悉工作界面;2.打開相應的磁盤,查詢信息,并進行相關的恢復操作;四、文件系統(tǒng)格式4.1FAT32文件系統(tǒng)FAT文件系統(tǒng)主要有FAT12、FAT16和FAT32幾種形式,其中FAT32是FAT發(fā)展的最后形式。這里FAT32的意思是簇的編址采用32bit寬度的數(shù),所以FAT32文件系統(tǒng)最多能尋址2**32=4294967296個簇,其他FAT變種類似。FAT32文件系統(tǒng)由DBR及保留扇區(qū),F(xiàn)AT1,F(xiàn)AT2和數(shù)據(jù)區(qū)組成:DBR及保留扇區(qū)FAT2FATDBR及保留扇區(qū)FAT2FAT1數(shù)據(jù)區(qū)圖1.4.1.1FAT32結(jié)構(gòu)DBR及保留扇區(qū):DBR的含義是DOS引導記錄,也稱為操作系統(tǒng)引導記錄,在DBR之后往往還會有一些保留扇區(qū)。FAT1:FAT的含義是文件分配表,F(xiàn)AT32一般有兩份FAT,F(xiàn)AT1是第一份,也是主FAT。FAT2:FAT2是FAT32的第二份文件分配表,也是FAT1的備份。DATA:DATA也就是數(shù)據(jù)區(qū),是FAT32文件系統(tǒng)的主要區(qū)域,其中包含目錄區(qū)域。用WinHew打開一個FAT32格式的磁盤,其DBR如下,對內(nèi)容進行簡要的表明。圖1.4.1.2DBR跳轉(zhuǎn)指令將呈現(xiàn)執(zhí)行流程跳轉(zhuǎn)到引導程序處;OEMID由廠商指定,這里是MSDOS5.0;BPB記錄文件系統(tǒng)相關的重要信息,由BPB和拓展BPB組成,具體參數(shù)解釋如下:字節(jié)偏移字段長度(字節(jié))對應取值名稱和定義0x0B20x0200扇區(qū)字節(jié)數(shù)0x0D10x20每簇扇區(qū)數(shù)0x0E20x080E保留扇區(qū)數(shù)0x1010x02FAT數(shù)0x1120x0000根目錄項數(shù)0x1320x0000小扇區(qū)數(shù)0x1510xF8媒體描述符0x1620x0000每FAT扇區(qū)數(shù)(FAT32為0)0x1820x003F每道扇區(qū)數(shù)0x1A20x00FF磁頭數(shù)0x1C40x00000060隱藏扇區(qū)數(shù)0x2040x03BFFF0A總扇區(qū)數(shù)0x2440x00003BF9每FAT扇區(qū)數(shù)0x2820x0000擴展標志0x2A20x0000文件系統(tǒng)版本0x2C40x00000002根目錄簇號0x3020x0001文件系統(tǒng)信息扇區(qū)號0x3420x0006備份引導扇區(qū)0x361212字節(jié)均為0x00保留拓展BPB參數(shù)如下:字節(jié)偏移字段長度(字節(jié))對應取值名稱和定義0x4010x00物理驅(qū)動器號0x4110x00每保留0x4210x29擴展引導標簽0x4340x5168C523分區(qū)序號0x4711"NONAME"卷標0x528"FAT32"系統(tǒng)IDFAT32文件系統(tǒng)在DBR的保留扇區(qū)中還安排了一個文件系統(tǒng)信息扇區(qū),用以記錄數(shù)據(jù)區(qū)中空閑簇的數(shù)量及下一個空閑簇的簇號,該扇區(qū)一般在分區(qū)的1號扇區(qū),也就是緊跟著DBR后的一個扇區(qū),其內(nèi)容如下圖(其中字節(jié)值為零的,都沒有被使用):圖1.4.1.3文件系統(tǒng)信息扇區(qū)在DBR之后,就是FAT,文件分配表。FAT一般有兩個,一個正常使用稱為FAT1,另一個是備份稱為FAT2,F(xiàn)AT1和FAT2的內(nèi)容完全一樣。FAT是一組與數(shù)據(jù)簇號對應的列表,表項的編號從0開始,但是編號0表示FAT介質(zhì)類型,編號1表示FAT文件系統(tǒng)錯誤標志,所以實際存儲從2號開始。大文件占用多個簇的話,則FAT項紀錄下一個FAT項編號,依次類推直到最后以“0FFFFFFF“表示文件末尾。文件至少占用一個簇,所以新建文件的時候,即使只寫入1字節(jié)的數(shù)據(jù),它也會占用一個簇的空間。而且,從之前DBR偏移0xB的兩字節(jié)和00x0D的一字節(jié)可以看出,一簇為32扇區(qū),每扇區(qū)512字節(jié),一簇大小為16KB。下面對FAT1的部分內(nèi)容進行一下標記(圖上只標注了0-7項,后面的FAT表項依此類推):圖1.4.1.4FAT1部分標注從上圖中,可以看到第4-7項存儲了一個文件。第4項的存儲內(nèi)容說明下一個簇號在第5項,后面一樣,直到第7項表明該文件存儲結(jié)束。每一項對應一個簇,該文件就占用了4簇。FAT2和FAT1內(nèi)容完全一樣,不單獨拿出分析。最后是數(shù)據(jù)區(qū),是真正存儲文件內(nèi)容的區(qū)域。數(shù)據(jù)區(qū)緊跟在FAT2之后,被劃分成一個個的簇。所有的簇從2開始進行編號,也就是說,2號簇的起始位置就是數(shù)據(jù)區(qū)的起始位置。在WinHex中,根目錄起始扇區(qū)號即為數(shù)據(jù)區(qū)起始扇區(qū)號。在數(shù)據(jù)區(qū)中,目錄所在的扇區(qū),都以32字節(jié)劃分為一個單位,每個單位稱為一個目錄項。根目錄由若干個目錄項組成,一個目錄項占用32個字節(jié),可以是長文件名目錄項、文件目錄項、子目錄項等。這些目錄項用來存儲文件名、文件屬性、最后修改時間、最后保存時間等信息。對短文件目錄項(文件名<=8字節(jié)且后綴名<=3字節(jié)),其字節(jié)有如下定義:字節(jié)偏移字節(jié)數(shù)定義0x08文件名0x83拓展名0xB1屬性字節(jié):00000000:讀寫00000001:只讀00000010:隱藏00000100:系統(tǒng)00001000:卷標00010000:子目錄00100000:歸檔0xC1系統(tǒng)保留0xD1創(chuàng)建文件的10毫秒位0xE2文件創(chuàng)建時間0x102文件創(chuàng)建日期0x122文件最后訪問時間0x142文件起始簇號的高16位0x162文件最近修改時間0x182文件最近修改日期0x1A2文件起始簇號的低16位0x1C4文件長度對長文件目錄項(文件名>8字節(jié)或后綴名>3字節(jié)),其字節(jié)有如下定義:字節(jié)偏移字節(jié)數(shù)定義0x01屬性字節(jié)位意義:7:保留未用6:表示長文件最后的目錄項5:保留未用4:順序號數(shù)值3:順序號數(shù)值2:子順序號數(shù)值1:順序號數(shù)值0:順序號數(shù)值0x110長文件名Unicode碼10xB1長文件名目錄標志0xC1系統(tǒng)保留0xD1校驗值0xE12長文件名Unicode碼20x1A2文件起始簇號0x1C4長文件名Unicode碼3當需要找文件真正存儲內(nèi)容的時候,就可以根據(jù)上面目錄項的起始簇號去尋找文件內(nèi)容。而每個文件所占用的簇信息,又在FAT表項中進行了標識,再按照FAT的信息進行查找,即可找到相應文件的所有內(nèi)容。比較方便的是,WinHex還提供了簇號和扇區(qū)的轉(zhuǎn)換,可以根據(jù)簇號來跳轉(zhuǎn)到相應的扇區(qū)。圖1.4.1.5WinHex簇號轉(zhuǎn)換4.2NTFS文件系統(tǒng)NTFS文件系統(tǒng)(NewTecnologyFileSystem),是現(xiàn)在絕大多數(shù)電腦磁盤分區(qū)使用的文件系統(tǒng)。NTFS文件系統(tǒng)具有安全性高、穩(wěn)定性好、不易產(chǎn)生文件碎片等優(yōu)點。DBRNTFS文件系統(tǒng)大致結(jié)構(gòu)如下:DBR部分MFT備份數(shù)據(jù)區(qū)DBR備份MFT數(shù)據(jù)區(qū)部分MFT備份數(shù)據(jù)區(qū)DBR備份MFT數(shù)據(jù)區(qū)數(shù)據(jù)區(qū)圖1.4.2.1NTFS結(jié)構(gòu)DBR:由“跳轉(zhuǎn)指令”、“OEM代號”、“BPB”、“引導程序”和“結(jié)束標志”組成,這里和FAT32文件系統(tǒng)的DBR一樣。數(shù)據(jù)區(qū):數(shù)據(jù)區(qū)分為三部分,這是真正存儲文件內(nèi)容的地方。MFT:它由一個個表項構(gòu)成,每一個表項是一個文件記錄,大小一般為1KB(兩個扇區(qū)),記錄著卷中每一個目錄和文件的信息,每個文件記錄的結(jié)構(gòu)都是固定的,由文件記錄頭和若干屬性構(gòu)成。部分MFT備份:用來備份MFT部分信息。DBR備份:備份DBR。NTFS中DBR的大致結(jié)構(gòu)和FAT32相同,但部分字節(jié)的定義有差異。圖1.4.2.2DBR字節(jié)定義使用WinHex,并結(jié)合上圖就可以理解各個字節(jié)的意思。在NTFS的MFT文件中,會預先建立16個重要的文件(MFT記錄的ID編號固定為0-15)和8個保留文件(MFT記錄的ID編號固定為16-23),這24個文件是被稱為元文件(Metafiles)或元數(shù)據(jù)(metadata)的系統(tǒng)文件、,NTFS文件系統(tǒng)將這些數(shù)據(jù)都當做文件進行管理,這些文件用戶是不能訪問的,它們的文件名的第一個字符都是“$”,表示該文件是隱藏的。而用戶的文件在MFT中的ID編號從24后開始排,用戶每添加一個文件,ID號加1。圖1.4.2.3MFT結(jié)構(gòu)上面是MFT的元文件及相應功能,元文件序號和數(shù)量不是不變的,隨著操作系統(tǒng)的變化,它的內(nèi)容也會發(fā)生部分變化。下來解析MFT中的用戶文件記錄部分。文件記錄由兩部分組成,一部分是文件記錄頭,另一部分是屬性列表,結(jié)尾是四個“FF”。一個完整的文件記錄如下圖:圖1.4.2.4文件記錄文件記錄頭的字節(jié)定義如下圖如下圖:圖1.4.2.5文件記錄頭字節(jié)定義在屬性列表中,每個MFT的屬性分為兩類常駐屬性和非常駐屬性。?常駐屬性:直接在MFT項中記錄屬性體,例如10和30屬性???優(yōu)點:直接在MFT項中記錄屬體,訪問速度快???缺點:只能記錄少量的數(shù)據(jù)?非常駐屬性:在MFT之外的區(qū)域記錄屬性體,例如80屬性(當數(shù)據(jù)較小時為常駐屬性)???優(yōu)點:用簇流記錄文件存儲的數(shù)據(jù)區(qū)域,可以記錄很大的數(shù)據(jù)???缺點:訪問速度較慢對每個MFT的屬性來說,它又分為兩部分:屬性頭和屬性體。對常駐屬性,它屬性頭的結(jié)構(gòu)如下:圖1.4.2.6常駐屬性的結(jié)構(gòu)對非常駐屬性,它屬性頭的結(jié)構(gòu)如下:圖1.4.2.7非常駐屬性的結(jié)構(gòu)對上面的00-03偏移字段,MFT中所有的屬性類型表如下:圖1.4.2.8MFT屬性類型表下面,給出10、30和80屬性體的結(jié)構(gòu)。圖1.4.2.910屬性體結(jié)構(gòu)圖1.4.2.930屬性體結(jié)構(gòu)80屬性是存儲數(shù)據(jù)的地方,如果相應文件存儲的內(nèi)容較小那它就是常駐屬性,屬性頭即為前面的常駐屬性屬性頭,緊跟在屬性頭后面的屬性體即為文件內(nèi)容。而如果文件存儲的內(nèi)容較大,在當前MFT表裝不下(一半般沒個MFT項都占用1024字節(jié),即兩個扇區(qū))。此時,80屬性就是非常駐屬性,緊跟它屬性頭后面的屬性體就是簇流記錄信息。80為非常駐時,又分為單個運行列表和多個運行列表。圖1.4.2.1080屬性單運行列表對上圖中80屬性體的單運行列表分析。開頭的0x33,低4位的3表示它后面的3字節(jié)內(nèi)容為運行簇個數(shù),這里為0x00BC40;高4位的3表示簇大小后面的3字節(jié)內(nèi)容為起始簇,這里為0x0C0000。而且,這個起始簇是整個文件卷的相對位置。圖1.4.2.1080屬性多運行列表對上圖中80屬性體的多運行列表分析。對第一個運行列表開頭的0x31,低4位的1表示它后面的1字節(jié)內(nèi)容為運行簇個數(shù),這里為0x03;高4位的3表示簇大小后面的3字節(jié)內(nèi)容為起始簇,這里為0x009A65。這個起始簇是整個文件卷的相對位置,是LCN(logicalclusternumber)。對第二個運行列表開頭的0x11,低4位的1表示它后面的1字節(jié)內(nèi)容為運行簇個數(shù),這里為0x01;高4位的1表示簇大小后面的1字節(jié)內(nèi)容為起始簇,這里為0x13。但這里的起始簇是整個文件內(nèi)部的相對位置,是VCN(virtualclusternumber)。所以有計算公式:第N個運行列表的LCN=第一個運行列表的起始簇(LCN)+第二個運行列表的起始簇(VCN)+...+第n個運行列表的起始簇(VCN)五、實驗結(jié)果5.1FAT32文件刪除與恢復現(xiàn)在Windows10操作系統(tǒng)的磁盤已經(jīng)不使用FAT格式,這里選擇U盤來做FAT的實驗。在WinHex工具欄,選擇“工具”—“打開磁盤”。圖1.5.1.1打開磁盤在磁盤選擇窗口,選擇接入電腦的U盤并打開。圖1.5.1.2選擇磁盤打開U盤之后,WinHex顯示如下,可以看到U盤中的文件。圖1.5.1.3U盤內(nèi)容5.1.1自動恢復先在U盤中創(chuàng)建一個文件—“計算機取證05171759.txt”,用于刪除。圖1.5.1.4新建文件新建文件內(nèi)容是我的名字。圖1.5.1.5新建文件內(nèi)容確認文件內(nèi)容之后,就可以把文件刪除。刪除之后,要在WinHex中更新磁盤。在WinHex工具欄,選擇“專業(yè)工具”—“進行磁盤快照”。圖1.5.1.6進行磁盤快照在彈出的對話框中,勾選“更新快照”。圖1.5.1.7更新磁盤快照更新磁盤之后,可以在Winhex找到刪除的文件。右鍵單擊,選擇“恢復/復制”,導出到新文件。圖1.5.1.8恢復文件將恢復文件的位置選擇為U盤。圖1.5.1.9導出文件在U盤中查看文件內(nèi)容,看到名字和內(nèi)容都和原來一樣。圖1.5.1.10查看恢復文件5.1.2手動恢復這里仍然可以在U盤中找到對應的文件。圖1.5.1.11找到刪除文件但文件內(nèi)容是亂碼的,在編碼頁面選擇GBK編碼,就可以看到正確的文件內(nèi)容。圖1.5.1.12選擇GBK編碼圖1.5.1.13GBK編碼文件內(nèi)容之后選中文件區(qū)域,右鍵選擇“復制選塊”—“至新文件”。圖1.5.1.14選中文件內(nèi)容將文件命名“恢復文件.txt”,另存到U盤中。圖1.5.1.15另存文件到U盤中驗證文件內(nèi)容,看到是跟原來文件內(nèi)容是一樣的。圖1.5.1.16驗證恢復文件內(nèi)容下面我還想嘗試下大文件的刪除恢復,這里刪的是一個程序設計實踐報告,大小為6975KB。圖1.5.1.17刪除大文件下面在WinHex中更新磁盤,找到這個文件并列出它所占用的簇。發(fā)現(xiàn)簇并不是完全連續(xù)的,而是呈現(xiàn)出片段狀。手工恢復的話,就要找到這些簇,并把這些簇拼接到一起輸出為文件。比較麻煩,下面不再嘗試了。圖1.5.1.18查看大文件占用簇5.2NTFS文件刪除與恢復在這個實驗剛開始時,我是一直使用虛擬機的C盤來操作的。結(jié)果C盤文件太多,每次搜索刪除的文件明時,非常費事,中間還出現(xiàn)刪除文件,搜索不到等現(xiàn)象。后來是,新建了一個容量較小的拓展磁盤來進行這次實驗,使得文件搜索分析等操作變得容易進行。在E盤中新建一個文件,名為“wgz.txt”,確認文件內(nèi)容。圖1.5.2.1查看文件內(nèi)容之后長按“Shift”鍵,再右鍵選擇“刪除”,來將文件直接刪除。如果不按“Shift”,而是將文件直接刪除,那樣文件會移動到回收站里面,文件名也會被更改,后面就不能通過搜索文件名來找

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論