第14讲--FAT32文件系统结构分析.pptx

《第14讲--FAT32文件系统结构分析.pptx》由会员分享，可在线阅读，更多相关《第14讲--FAT32文件系统结构分析.pptx（29页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、项项目目四四：文件系统数据恢复文件系统数据恢复任务任务1 1 FAT32FAT32文件系统结构分析文件系统结构分析子任务子任务 4.1.1 4.1.1 FAT32FAT32文件系统结构分析文件系统结构分析主讲人主讲人 周宝周宝CONTENT目 录课前学情FAT32文件系统结构DBR引导扇区010203总结与拓展教学内容05工单任务-FAT32分区结构分析04教学目标项目四 析结构、找文件任务1 FAT32文件系统结构分析子任务4.1.1 FAT32文件系统结构分析素质目标知识目标能力目标1.良好的职业道德教育2.注重工作流程和操作规范3.学生能立足专业，遵守数据恢复工程师职业操守和注意事项1.

2、学生熟悉FAT32分区组成结构（保留区、FAT区、数据区）2.学生掌握引导扇区主要内容（隐藏扇区、FAT表大小、簇的大小、分区容量、保留扇区数、分区序列号）3.学生理解簇的概念1.学生能分析FAT分区结构2.学生能利用备份和重要参数修复引导扇区3.学生能计算出数据区起始扇区思政点：自立思政点：自立（立足专业，奋发有为）（立足专业，奋发有为）【育人案例】【育人案例】FAT文件系统的历史：文件系统的历史：在1977年由比尔盖茨和马斯麦当劳为了管理磁盘而发明，并在1980年被添彼得逊的86-DOS操作系统采用。教学重点与难点 教学重点教学重点1.掌握FAT32文件系统结构分析，DBR扇区的重要组成2

3、.能够利用磁盘编辑工具Winhex，模拟DBR扇区破坏恢复 教学难点教学难点重要的BPB参数含义，计算数据区起始位置课前学情01学情分析信安2002班MOOC在线分析表表扬扬学学生生学情分析信安2002班MOOC在线成绩表表扬扬学学生生课堂活动讨论1：传统硬盘分区类型是MBR型还是GPT型？讨论2：Windows操作系统硬盘分区类型是NTFS还是FAT32？讨论3：我们常用的U盘（=32G)分区类型是NTFS还是FAT32？任务引导一天，李先生在使用U盘操作电脑的时候突然遭遇停电。当来电后再次打开电脑，插入U盘FAT32分区时，屏幕提示该分区未格式化，该分区无法访问。李先生想到里面有很多重要资

4、料，不敢乱动，请来工程师小王帮忙解决问题。是哪里的数据破坏了呢？是哪里的数据破坏了呢？U盘的数据的数据还能恢复能恢复吗？FAT32文件系统结构02一、文件系统概述在计算机中，数据是以文件形式组织存放的数据是以文件形式组织存放的，文件系统给每个文件赋予一个标识符（文件名），并规定了一组记录格式和控制方法确保我们可以正常访问这些文件。在文件系统中，除了存储文件的数据内容和文件名外，还记录了文件的相关信息，比如创建和修改的日期时间、文件属性等。格式化分区的时候，格式化程序就创建了文件系统，我们可以为不同的分区选择不同的文件系统。常见的文件系统有：FAT：用于DOS和早期Windows操作系统。NTF

5、S：用于Windows NT及后续操作系统。EXT：用于Linux操作系统。HFS：用于苹果电脑的Mac OS。重点：文件系统对分区内部数据的管理，它会把分区内部的地址重新编排。文件系统的0号扇区是本分区的第1个分区。而磁盘的0号扇区是磁盘的第一个扇区。一、文件系统概述自足专业奋发有为FAT文件系统是一种用于个人计算机小型操作系统的文件管理方案，最初由IBM公司用于DOS操作系统。FAT文件系统结构较简单，管理方便，但不具备用于商业系统的安全性、容错性、保密性等特点。FAT12FAT12用于软盘（淘汰）（扇区编址16位，容量不超过32M）FAT16FAT16用于早期操作系统-目前部分手机内存卡

6、采用-（支持支持文文件最大容量件最大容量2GB)FAT32FAT32用于目前部分移动存储设备（如U盘，内存卡）。FAT32格式对单个文件格式对单个文件容量不超过容量不超过4GB提示：提示：12,16,32表示簇的编址宽度表示簇的编址宽度一、文件系统概述FAT（File Allocation Table）文件系统大致将硬盘数据分为四大部）文件系统大致将硬盘数据分为四大部分分DBR（DOS Boot Record）引导扇区引导扇区FAT（File Allocation Table）文件分配表区文件分配表区FDT（File Directory Table）文件目录表区（也称文件目录表区（也称DIR区

7、）区）DATA数据区数据区二、FAT文件系统（U盘结构）FAT1FAT2根目录数据区 DATADBR引导扇区保留区FAT32分区MBR区三、FAT32分区结构在FAT32分区内部，由保留扇区、FAT表和数据区三个部分组成。（1）引导扇区，也称DBR扇区，该扇区是最重要的一个扇区，系统访问该分区时首先访问它。FAT1 FAT2根目录数据区引导扇区保留区FAT32分区创建虚建虚拟磁磁盘32G，写出，写出组成部分的成部分的起始扇区起始扇区善于钻研找规律（2）保留扇区是指分区内FAT表之前的扇区，也包括引导扇区。（3）在硬盘中FAT有两份，系统在写入信息时会同时写入两份FAT，但只会读取第一份的内容。

8、（4）格式化程序会创建文件系统，也就是划分该分区的各部分的位置，并写入适当的参数。同时，格式化后首先会创建根目录，由于目录也被当做文件处理，因此根目录通常位于数据区的起始位置。三、FAT32分区结构DBR 引导扇区03跳转指令，跳至引导程序处BPB记录了该分区的参数信息DBR负责执行系统引导功能引导扇区结束标志55H AAH一、分析引导扇区1.FAT32分区DBR引导扇区组成DBR扇区的位置？一、分析引导扇区引导扇区，也称DBR扇区，它由BPB（BIOS参数块）、DBR（磁盘引导记录）、以及引导扇区结束标志（55 AA）组成。BPB中记录了该分区的各项参数信息，因此至关重要，如果BPB部分被破

9、坏，此分区将不可用。DBR在安装系统的时候写入，这是一段系统引导代码，如果这部分缺失或被破坏，则该分区不可用于启动系统。引导扇区结束标志用于引导程序判断该扇区是否为引导扇区。2.FAT32分区DBR引导扇区组成部分作用偏移偏移长度长度描描 述述00H3B跳转指令，跳至后面引导记录开始处（FAT32从5AH处开始）03H8B文件系统和版本的OEM标志（MSDOS 5.0或MSWIN4.1）0BH2B每扇区字节数（通常为200H）0DH1B每簇扇区数（值为2的N次方，通常小于64）*0EH2B保留扇区数（本分区中FAT表之前的扇区总数，通常FAT16为1，FAT32为20H或24H）*10H1BF

10、AT表个数（通常为2）*11H2BFAT16系统为根目录最大项，FAT32系统为0 13H2B小卷（32MB）的分区扇区总数，大硬盘为015H1B介质描述，恒为F816H2B在小卷中为每FAT占用扇区数，大硬盘为018H2B每磁道扇区数（通常为3FH，63）1AH2B磁头数（通常为FFH，255）1CH4B隐含扇区数（本分区前的扇区总数，也就是本分区的起始逻辑扇区号）*20H4B大卷的本分区占用扇区数*24H4B大卷的每个FAT占用扇区数*28H2B延迟标记（通常为0）二、BPB参数分析找出重要参数信息？偏移偏移长度长度描描 述述2AH2B版本（通常为0）2CH4B根目录起始簇号（通常为02）

11、*30H2BFS信息扇区，即BOOT扇区占用扇区数（通常为1）32H2B备份引导扇区的位置*34H12B保留未用（全为0）40H1B磁片的BIOS驱动信息（软盘从0开始，硬盘从80H开始）41H1B未用42H1B扩展引导标记（通常为29H）43H4B卷序列号（由格式化程序随机产生）卷序列号（由格式化程序随机产生）47H12B卷标（如果没有设定卷标，则为“NO NAME”）52H8B文件系统名称的文本标识，如：FAT32*5AH420BDBR引导程序（FAT32通常从此处开始）1FEH2B结束标识“55H AAH”注：带星号的是重要字段二、BPB参数分析三、簇的概念FAT分区的数据区用于存储文件

12、数据，存储文件的基本单位是簇。一个簇由1128个扇区组成，但必须是2的n次方倍。一个分区中的簇大小是固定的，在格式化的时候决定，其大小在引导扇区的BPB中给出。如果簇设置得大些，则会造成浪费空间较多，如果簇空间过小，则会造成FAT项增大，使得链表加长，增加管理成本，而且使访问速度降低。簇大小一般由格式化程序自动指定，在32位系统中一般为4KB16KB。工单任务-FAT32结构分析04任务实施 附件：工单任务 项目四 任务 4.1.1 FAT32文件系统结构分析任务实施在PBP中唯一没有直接给出的值就是数据区的起始扇区位置，它可以通过计算得来。FAT32文件系统没有专门的根目录区，数据区的起始位

13、置也就是首簇地址，因此数据区的起始扇区位置为：保留扇区数+FAT表扇区数2FAT1 FAT2根目录数据区引导扇区保留区FAT32分区数据区起始位置？育人案例四川效率源信息安全技术股份有限公司孵化中心经理朱星海：发扬工匠精神 护航信息安全 五一劳动奖章获得者朱星海：大学毕业后潜心于信息安全领域，在广袤的数据海洋中发扬工匠精神，带领团队从事底层数据恢复核心技术研发，“数据恢复系统核心技术”和“电子数据失泄密核查技术”分别达到国际、国内领先水平。自自足足专专业业奋奋发发有有为为总结与拓展05n n总结总结1.FAT32分区的组成结构2.引导扇区中的重要BPB参数3.计算数据区起始扇区位置评价评价1.1.能在规定时间内顺利完成任务得能在规定时间内顺利完成任务得8080分分2.2.对重点和难点理解深入对重点和难点理解深入 加评加评2020分分01.总结02.课后拓展1.线上中国大学MOOC，自主学习FAT32文件系统中文件目录表参数信息2.完善工单任务-FAT32文件系统结构分析，提交学习通3.画出FAT32分区结构图，提交中国大学MOOC慕课堂