最新安全操作系统PPT课件.ppt

安全操作系统安全操作系统实验讲解实验讲解v口令破解，Passwordcrackingv文件恢复，文件恢复，file recoveryv缓冲区溢出v系统安全v安全审计文件事件审计主机安全审计文件恢复，文件恢复，file recoveryv磁盘相关磁盘相关磁盘物理组织和结构磁盘逻辑组织和结构磁盘逻辑组织和结构vFAT32文件恢复vExt2文件恢复MBRvIA32IBMPC系统采用MBR分区表方案系统启动时，首先执行ROMBIOS中的固件该固件将会装载（0 x7C00）并执行MBR中的bootloader运行在实模式vMBR中的bootloader将查找分区表，找到活动分区，加载该分区启动扇区并执行与FS类型以及OS类型有关通常用来加载OS相关的secondarybootstraploader，例如io.sys,ntldr关于关于PC的启动过程，可以参见的启动过程，可以参见这里这里：BootsequenceonstandardPC(IBM-PCcompatible)512字节的MBR 446字节的boot loader 64字节的分区表 2字节的signature：0 xAA55track 0,head 0,and sector 1演示本机磁盘管理信息演示本机磁盘管理信息分区表分区表,partition tablev4项，MBR446字节开始的64个字节，偏移分别Partition10 x01BE(446)Partition20 x01CE(462)Partition30 x01DE(478)Partition40 x01EE(494)v每项16个字节Anexamplehttp:/ Partition Boot Sectorhttp:/ Partition Boot Sectorv关于Windows2000的启动，参见NtldrvVista和server2008：winload.exe和WindowsBootManager找到并加载找到并加载Ntldrv演示？打开整个磁盘，看分区，MBRPartition recoveryv误删一个分区？TestDiskgpartv有些磁盘管理工具，在删除分区时，会写覆盖分区前部的几个扇区Windows2000/XP，第一个扇区需要有备份的启动扇区配合恢复v病毒？v分区时突然掉电/死机？v安装或删除多OS之一？查杀病毒恢复分区表查杀病毒恢复分区表fdisk/mbr重新分区？重新分区？文件恢复，文件恢复，file recoveryv实验中用到的工具v磁盘相关磁盘物理组织和结构磁盘逻辑组织和结构vFAT32文件恢复文件恢复vExt2文件恢复FAT基本概念基本概念v扇区v簇v链式存储（显式）FileAllocationTablev目录项vFAT的备份FAT1和FAT2，大小相等FAT的格式的格式v最早，FAT12，用12bit对簇寻址4096（000h，001h，FF0hFFFh）4078个可用软盘vInitialFAT16，用16bit对簇寻址，65517受限于16位扇区号，分区最大32MBvFinalFAT16，1987磁盘技术：可以使用32位的扇区号sectors-per-cluster=64标准扇区大小512字节，簇最大32KB，分区最大2GvFAT32，32位，其中28位用来寻簇若32KB的簇，则8TB，理论上受限于bootsector，32位扇区号，实际上最大2TBvFAT表的大小簇数（12/16/32）以扇区为单位向上取整vFAT表项的作用（根据表项的编号和表项的值）标明磁盘类型链接一个文件的各个簇标明坏簇和可用簇vFAT表项的值？不能用作不能用作next指针指针vFAT的第0项首字节标明磁盘类型，参见这里vFAT的第1项不用FAT 分区布局分区布局FAT32 boot sectorJMP(3)BPBv25个字节0 x00OEMNAME(8)512SectorsperclusterBytespersectorReservedsectorcount20 x10Maximumnumberofrootdirectoryentries2个字节，最大个字节，最大512FAT12/16Mediadescriptor参见参见这里这里SectorsperFATforFAT12/16HiddensectorsTotalsectorsNumberofheadsSectorspertrack#ofFATs0 x20OperatingsystembootcodeExtended BPB，for FAT12/160 x20PhysicaldrivenumberserialnumberTotalsectors0 x30paddedwithblanks FATtype，补空格，补空格，FAT12或或16VolumeLabel,55和和AAReservedExtendedbootsignature0 x1F0TotalsectorsExtended BPB，for FAT32Operatingsystembootcode0 x20Sectors/FAT0 x30FATtype，补空格，补空格，“FAT32”VolumeLabel,补空格补空格55和和AA0 x400 x50serialnumberPhysicaldrivenumberReservedExtendedbootsignatureVersionClusternumberofrootdirectorystartReservedSector#ofacopyofthisbootsectorSector#ofFSInformationSectorFATFlags0 x1F0File system information sectorvFilesysteminformationsector空闲簇的个数；最近分配出去的簇号http:/ Minutes,6位位Seconds/2,5位位时间格式：时间格式：Year,7位，位，从从19802107月月,4位位日日,5位位日期格式：日期格式：文件属性文件属性FAT的长文件名的长文件名v8.3entry，受限；超过？v若干个长文件名目录项（倒序）短文件名目录项v一个文件最多20个，可以容纳255个UTF-16字符最后一个有效字符后，填写0 x000 x00，此后填充0 xFF0 xFF长文件名举例长文件名举例v假设文件名“Filewithverylongfilename.ext”序列号的最高位（第序列号的最高位（第8位）用作判断该项是否被删除位）用作判断该项是否被删除序列号的第序列号的第7位，用作判断是否最后长文件名的最后一项位，用作判断是否最后长文件名的最后一项v演示？格式化FAT32查看FAT找到根目录在根目录下，创建目录、文件；删除；恢复再次格式化；恢复安全删除文件恢复，文件恢复，file recoveryv实验中用到的工具v磁盘相关磁盘物理组织和结构磁盘逻辑组织和结构vFAT32文件恢复vExt2文件恢复文件恢复Ext2文件恢复文件恢复vLinux文件系统简介v工具Debugfsv命令dd;od;fdisk;mkfs.ext2;mount/umount;cd;ls;md5sum;stat;rm;在在linux下查看下查看MBRv一个获得MBR内容的方法ddbs=512count=1if=/dev/hda|od-Ax-tx1z-vv在虚拟机中演示v？演示查看硬盘设备文件（/dev目录目录）磁盘分区(fdisk)，后，再次看硬盘设备文件格式化mkfs.ext2挂载（mount）查看系统中的分区挂载情况编辑（vi）并保存/文件摘要（md5sum）/文件状态（stat）删除文件卸载（umount）/重新挂载为只读debugfs，可读写方式，lsdel/dump文件摘要并比较ThanksThanks！The end.The structure of a hard diskhttp:/ vDescribesallfilesonthevolumefilenamesTimestampsstreamnameslistsofclusternumberswheredatastreamsresideIndexessecurityidentifiersfileattributeslikereadonly,compressed,encrypted,etc.vForeachfile,afilerecordvMFT的前16项，系统保留第一项与MFT自身相关，MFTrecord第二项与MFT的镜像备份相关，MFTmirrorrecordl上述两个文件的位置信息都保存在NTFS分区中的启动扇区中第三项与日志文件有关，用来进行文件a simplified illustration of the MFT structure 文件和文件属性文件和文件属性v每个文件都由一组文件属性表示StandardInformation，例如时间戳和链接数AttributeList，用来链接不在MFT中的属性记录FileNameSecurityDescriptor，描述属主信息以及访问控制信息Data，文件数据ObjectIDLoggedToolStreamReparsePoint，用于卷的mount点IndexRootIndexAllocationBitmapVolumeInformation，仅$Volume，卷版本VolumeName，仅$Volume，卷标用于目录和其他索引用于目录和其他索引MFT Record for a Small File or Directory NTFS 分区布局；启动扇区分区布局；启动扇区BootsectorAbout12BPB&Extended BPB