第6章-ExFAT文件系统数据恢复PPT.ppt

《第6章-ExFAT文件系统数据恢复PPT.ppt》由会员分享，可在线阅读，更多相关《第6章-ExFAT文件系统数据恢复PPT.ppt（75页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第第6 6章章 ExFAT ExFAT文件系统数据恢复文件系统数据恢复1 ExFAT文件系统也称为扩展文件分配表文件系统，由此也可知它是由FAT文件系统扩展而来。ExFAT继承了原FAT类文件系统的架构，使用FAT表、目录结构等对数据进行管理。但ExFAT对FAT表项进行了扩展，在FAT32文件系统中，每个FAT表项虽然占用4个字节(32bit)，但却只使用了其中的28bit，所以它管理的簇地址并不能够达到32bit的理想上限。ExFAT则启用了FAT32原来未使用的4bit，真正使可管理的地址编号达到32bit的上限。这是ExFAT文件系统可管理容量增大的一个原因。ExFAT对簇的大小进行了

2、扩展。早先的FAT类文件系统，簇的上限为32KB，而ExFAT则将这个上限扩展到32MB。实际上，理论上这个上限值可以达到2的255次方，只不过微软将其限制在了32MB以内。这也使得ExFAT可管理的容量大大增加。6.1 ExFAT6.1 ExFAT特性特性22024/7/8在FAT32中，分区所占用扇区数用4个字节表示，ExFAT则使用8个字节表示，这也使ExFAT在可管理的分区大小上有了非常大的突破。不过，由于MBR分区表的局限性，虽然文件系统本身可以管理超过2TB的空间，但使用4个字节表示扇区数的分区表项最大只能表述到大约2TB，所以使用MBR分区表表述的分区，即使使用ExFAT文件系统

3、，也无法突破2TB的容量限制。ExFAT支持更大的单一文件。FAT32中，文件的大小使用4个字节表述，可表示的单一文件上限大约为4GB。ExFAT使用8个字节对文件大小进行表述，可表示的单一文件大小上限大约为16EB。32024/7/8由于ExFAT仍然属于FAT类文件系统，所以它的布局结构总体上仍与FAT12/16/32大同小异，如图6.1所示。6.2 ExFAT6.2 ExFAT布局结构布局结构42024/7/8ExFAT保持了FAT类文件系统的总休架构，大致分为DBR及其保留扇区、FAT表和用户数据区三大部分。DBR及其保留扇区是FAT表前的区域，大致可分为三个部分，一是主引导区域，二是

4、备份引导区域，再就是其他保留区域。主引导区域通常占用011号扇区，其中0号扇区作为DOS引导记录，简称为DBR；备份引导区域占用1223号扇区，其中12号扇区是DBR的完整备份；由24号扇区开始至FAT表前一个扇区这部分通常不被使用，我们权且称其为其他保留区域。FAT表区域由FAT表组成，不同的是，目前01.00版本的ExFAT文件系统通常只有一个FAT表(事务ExFAT-TexFAT文件系统有两个FAT表)，FAT表中的每个FAT项占用4个字节，并全部使用这4个字节的32个bit。用户数据区则用于存储用户数据。ExFAT的数据区的起始簇号也是2，该簇通常由簇位图文件占用，其位置如图6.1中所

5、示，该文件的各种信息记录在根目录下的一个0 x81类型的目录项中。跟在簇位图文件后的是大写转换表文件，其位置如图6.1中所示，这个文件的大小是固定的，为5836个字节。再后面则是根目录，这是所有文件及文件夹的入口，其位置如图6.1中所示。根目录之后，如图6.1中所示，是真正的用户数据区。52024/7/8ExFAT文件系统也将0号扇区做为引导记录扇区，除引导信息外，还记录着文件系统的各项参数，如分区大小、FAT表位置及大小、簇起始位置、根目录起始簇号、每扇区大小、每簇扇区数等等。ExFAT引导记录扇区的主要结构见表6.1。6.3 ExFAT6.3 ExFAT文件系统的文件系统的DBRDBR分析

6、分析62024/7/872024/7/882024/7/8(1)0 x000 x02：3个字节，跳转代码。(2)0 x030 x0A：分区类型标志，也称为OEM标签，是一个8字节的ASCII码，用以说明文件系统的类型名称，即“45 58 46 41 54”，明文“EXFAT”，剩余未用的字节使用“20”填充。由于ExFAT与NTFS一样使用0 x07做为分区表中的分区类型值，单纯由分区表项中的该值无法判断这个分区是NTFS分区还是ExFAT分区，这时可以通过引导记录扇区中的分区类型标志值对它们进行区分。(3)0 x0B0 x3F：53个字节，全部为“00”。(4)0 x400 x47：8个字节

7、，分区隐藏扇区数。注意：注意：实验中发现，该值为当前扇区的物理扇区号，即使该分区位于扩展分区内也不例外，这点与FAT32或NTFS引导记录扇区中“分区前已用扇区数”的描述方法略有不同。92024/7/8(5)0 x480 x4F：8个字节，分区扇区总数。(6)0 x500 x53：4个字节，FAT表起始扇区号，该值为相对于文件系统0号扇区而言。(7)0 x540 x57：4个字节，FAT表扇区数。(8)0 x580 x5B：4个字节，首簇起始扇区号，该值用以描述文件系统中的第1个簇（即2号簇）的起始扇区号。通常2号簇分配给簇位图使用，因此，该值也就是簇位图的起始扇区号。虽然该簇跟在FAT表后，

8、但实际上它并不一定等于FAT表起始扇区号加上FAT表的大小。(9)0 x5C0 x5F：4个字节，分区内的总簇数。(10)0 x600 x63：4个字节，根目录起始簇号。(11)0 x640 x67：4个字节，卷ID。(12)0 x680 x69：2个字节，文件系统版本。(13)0 x6A0 x6B：2个字节，卷标志。该标志用以描述主FAT号、卷是否干净等信息。(14)0 x6C0 x6C：1个字节，每扇区字节数，表示方法为，假设此处值为N，则每扇区大小字节数为2的N次方个字节。此处的值通常为“09”，即每扇区大小字节数为512。微软将该处的值限定为最大为12，也就是每扇区大小字节数最大为21

9、2=4096。102024/7/8(15)0 x6D0 x6D：1个字节，每簇扇区数，表示方法为，假设此处值为N，则每簇大小扇区数为2的N次方个扇区。此处值最小为1，最大值取决于每扇区大小字节数，因为ExFAT的簇大小上限为32MB，也就是225个字节，所以0 x6C处的值与0 x6D处的值相加不得超过25。(16)0 x6E0 x6E：1个字节，FAT表个数，事务ExFAT中为2个FAT表，版本01.00只有一个FAT表。(17)0 x6F0 x6F：1个字节，介质描述符。(18)0 x700 x70：1个字节，似乎是卷中已用簇空间的百分比。(19)0 x710 x77：7个字节，保留。(2

10、0)0 x780 x1FD：390个字节，引导代码。(21)0 x1FE0 x1FF：2个字节，有效结束标志“55AA”。如果扇区大小超过512个字节，“55AA”仍然位于扇区的最后两个字节，引导代码至“55AA”之间可能会使用“00”进行填充。112024/7/8现在，我们来实验分析一个ExFAT文件系统的引导记录扇区部分参数，如图6.2所示。122024/7/8(1)0 x000 x02：3个字节，“EB 76 90”，跳转代码。(2)0 x030 x07：分区类型标志，“45 58 46 41 54”，明文“EXFAT”。(3)0 x0B0 x3F：53个字节，全部为“00”。(4)0

11、x400 x47：8个字节，“3F00000000000000”，分区起始扇区号，63。(5)0 x480 x4F：8个字节，“00823E0000000000”，分区扇区总数，4096512。(6)0 x500 x53：4个字节，“80000000”，FAT表起始扇区号，128。(7)0 x540 x57：4个字节，“00020000”，FAT表扇区数，512。(8)0 x580 x5B：4个字节，“80020000”，数据区起始位置扇区号，640。(9)0 x5C0 x5F：4个字节，“FEF90000”，卷内的总簇数，63998。(10)0 x600 x63：4个字节，“04000000

12、”，根目录起始簇号，4。(11)0 x640 x67：4个字节，卷ID。(12)0 x680 x69：2个字节，“0001”，文件系统版本，01.00。(13)0 x6A0 x6B：2个字节，“0000”，卷标志。(14)0 x6C0 x6C：1个字节，“09”，每扇区字节数，即扇区大小为29=512字节。(15)0 x6D0 x6D：1个字节，“06”，每簇扇区数，即26=64个扇区。(16)0 x6E0 x6E：1个字节，“01”，FAT表个数，1。(17)0 x6F0 x6F：1个字节，“80”，介质描述符。(18)0 x700 x70：1个字节，“00”，卷中已用簇空间的百分比，这是一

13、个刚刚格式化的文件系统，基本尚未使用。(19)0 x1FE0 x1FF：2个字节，有效结束标志“55AA”。132024/7/8如果我们的WinHex已经集成了ExFAT的引导扇区模板，这些参数也可以使用WinHex模板来查看。打开WinHex的模板管理器，选择Boot Sector exFAT模板，如图6.3所示。142024/7/8双击模板后就可以查看ExFAT的DBR信息了，如图6.4所示。152024/7/8在DBR及其保留扇区之后是FAT（File Allocation Table）即文件分配表，其具体位置由DBR的BPB参数中偏移量为50H53H的4个字节描述。在FAT12/16/

14、32中，FAT表不只用于记录FAT链，同时还用于表示当前FAT对应的簇是否被使用：表项为0表示该表项对应的簇未使用，否则为已分配使用。ExFAT文件系统的FAT表则只用于描述FAT链，而不再用以说明某个簇的分配情况，簇的分配情况另外使用簇位图进行描述。FAT32中，虽然每个FAT表项占用32个bit，但真正使用的却只是其中的28个bit。ExFAT的FAT表项也占用32个bit，并且全部启用了这32bit。ExFAT中，FAT项的取值含义见表6.2。6.4 ExFAT6.4 ExFAT文件系统的文件系统的FATFAT表分析表分析162024/7/8172024/7/8分区刚刚格式化后，未被分配

15、使用的FAT项将会设置为零，表示该FAT项对应的簇是空闲的。同时，由于ExFAT文件系统的FAT表则只用于描述FAT链，而不再用以说明某个簇的分配情况；当一个文件占用多个簇时，这些簇的簇号可能是连续的，也可能是不连续的；如果文件存放的簇不连续，这些簇的簇号就以簇链的形式登记在FAT表中；而如果文件存放在连续的簇中，FAT表则不登记这些连续的簇链，这些簇链的FAT表项取值也为零。FAT表的前五个FAT项通常都有专门的用途，0号FAT项用来存放分区所在的介质类型，比如硬盘的介质类型为“F8”，那么硬盘上分区的FAT表的第一个FAT项就固定为“F8 FF FF FF”；1号FAT项一般都固定为“FF

16、 FF FF FF”；从2号表项开始每个FAT表项与数据区中的簇进行一对一的映射，并且ExFAT的第一簇(也就是2号簇)分配给簇位图文件，第二簇（也就是3号簇）分配给大写转换表文件，第三簇（也就是4号簇）分配给根目录，所以FAT表的第2、3、4表项一般情况下都为“FF FF FFF FF”。图6.5为一个新格式化的ExFAT文件系统的FAT表。182024/7/8由图中可以看到，2、3、4号FAT项都写入了结束标记0 xFFFFFFFF，说明这三个FAT项对应的簇分别分配给了三个文件或目录。这三个文件或目录即簇位图文件，大写转换表文件和根目录。192024/7/8分区在格式化为ExFAT文件系

17、统后，会创建两个元文件，一个是簇位图文件$BitMap，一个是大写转换表文件$UpCase，下面对这两个文件作简要分析。6.5 ExFAT6.5 ExFAT文件系统的元文件分析文件系统的元文件分析202024/7/8ExFAT文件系统的FAT表之后就是数据区了，但数据区并不一定紧跟在FAT表之后，FAT表之后可能会有一些保留区。数据区的具体开始位置由DBR中的“首簇起始扇区号”来确定，而数据区的第一个簇就是2号簇，2号簇一般就分配给簇位图文件使用。以一个刚完成格式化操作的分区为例，我们观察其DBR，内容如图6.6所示。偏移58H5BH处可以看到“首簇起始扇区号”为384，跳转到384扇区，内容

18、如图6.7所示。6.5.1 6.5.1 簇位图文件分析簇位图文件分析212024/7/8该扇区只有一个字节“07H”，这就是簇位图文件的内容。簇位图文件类似于NTFS文件系统中的元文件$BitMap，它的作用是用来管理分区中簇的使用情况。簇位图文件中的每一位，映射到数据区中的每一个簇。如果某个簇分配给了文件，该簇在簇位图文件中对应的位就会被填入“1”，表示该簇已经占用；如果簇没有被使用，它们在簇位图文件中对应的位就是“0”。图6.7中簇位图文件的内容为“07H”，换算成二进制等于“00000111”，这8位就对应数据区中的8个簇，也就是2号簇到9号簇这八个簇。从“00000111”这个二进制序

19、列中我们可以看出2、3、4这三个簇是被使用的，其它五个簇未被使用。而2、3、4这三个簇正是被簇位图文件、大写转换表文件、根目录所占用，这与我们前面在FAT表中的描述是一致的。要计算某个簇在位图中的对应bit，可以将该簇的簇号减去2，然后用得到的差对除以8，得到的商即该簇在位图中的字节号，余数为该簇在该字节中的bit号。例如，要计算12号簇在位图中的对应bit位置，计算方法如下：(12 2)/8=1.2也就是说，12号簇在位图中的对应bit是1号字节中的2号bit。有关簇位图文件的开始位置和大小记录在其目录项中，目录项结构见6.6节。222024/7/8大写转换表文件是ExFAT文件系统中的第二

20、个元文件，类似于NTFS文件系统中的元文件$UpCase。Unicode字母表中每一个字符在这个文件中都有一个对应的条目，用于比较、排序、计算Hash值等方面。大写转换表文件一般占用数据区中的第二个簇也就是3号簇，其内容如图6.8所示。6.5.2 6.5.2 大写转换表文件分析大写转换表文件分析图6.8是大写转换表文件第一个扇区的部分内容，从图中可以看出其内容都是Unicode字母表中的字符，每一个字符占用两个字节。大写转换表文件的大小固定为5836字节。232024/7/8ExFAT文件系统与其它FAT文件系统一样，也为分区中的每个文件及文件夹（目录）分配大小为32个字节的目录项，用以描述文

21、件或文件夹的属性、大小、文件（目录）名、起始簇号和时间、日期等信息。分区根目录下的文件及文件夹的目录项存放在根目录区，分区子目录下的文件及文件夹的目录项存放在数据区相应的簇中。但是，ExFAT文件系统目录项的结构已不再与FAT32中的目录项一样，而是采取了全新的结构。总体来讲，每个目录项可以被分成两大部分：目录项类型值和目录项数据。目录项的通用结构见表6.3。6.6 ExFAT6.6 ExFAT文件系统的目录项分析文件系统的目录项分析242024/7/8根据目录项的作用和结构特点，可以把目录项分为四种类型：卷标目录项簇位图文件目录项大写转换表文件目录项用户文件目录项下面分类型对目录项结构作简要

22、介绍。252024/7/8卷标就是一个分区的名字，可以在格式化时创建，也可以随时修改。ExFAT文件系统把卷标当做文件，用文件目录项进行管理，并放在根目录区中。卷标目录项占用根目录下的第一个目录项位置，格式化时如果没有设置卷标，该目录项除第一个字节为“03”外，其他31个字节全部为零，这时这个目录项称为“卷标目录项保留项”，如图6.9所示。6.6.1 6.6.1 卷标目录项卷标目录项262024/7/8卷标目录项的结构见表6.4。(1)0 x000 x00：1个字节，目录项类型值，对于卷标目录项，该类型值为0 x83。(2)0 x010 x01：1个字节，卷标长度字符数，理论上要求在11个之内

23、，但最多可以达到15个。(3)0 x020 x17：22个字节，卷标，使用Unicode字符，每个字符占用两个字节。如果长度超过11个字符，卷标将占用保留区。不足11个字符时，未使用的部分用0填充。(4)0 x180 x1F：8个字节，保留，用0填充。卷标目录项也可以用模板来查看其结构，图6.10所示卷标目录项用模板显示结果如图6.11所示。272024/7/8282024/7/8ExFAT用一个簇位图来描述每个簇的分配情况，并在根目录下建立一个类型值为0 x81的簇位图目录项来描述它的位置及大小，这个目录项占用根目录下的第二个目录项位置。某ExFAT分区簇位图文件目录项如图6.12所示。6.

24、6.26.6.2簇位图文件目录项簇位图文件目录项簇位图文件目录项各字节含义见表6.5。292024/7/8（1）簇位图文件的起始簇号一般都为2。（2）簇位图文件的目录项中不记录时间戳。下面用WinHex模板查看图6.12所示簇位图文件目录项的结构，如图6.13所示。302024/7/8在ExFAT中，文件属性目录项中记录文件名时会产生一个文件名校验，文件名参加校验时需要先将文件名进行大写转换后再进行计算。为此，ExFAT用一个表存储大写转换信息，并在根目录下建立一个类型值为0 x82的大写转换表目录项，描述它的起始位置及大小，这个目录项位于根目录下的第3个目录项位置。某ExFAT分区簇位图文件

25、目录项如图6.14示。6.6.3 6.6.3 大写转换表文件目录项大写转换表文件目录项312024/7/8大写转换表文件目录项各字节含义见表6.6。（1）大写转换表的起始簇号一般都为3。（2）大写转换表的大小字节数，固定为5836个字节。下面用WinHex模板查看图6.14所示大写转换表文件目录项的结构，如图6.15所示。322024/7/8ExFAT文件系统中每个用户文件至少有三个目录项，这三个目录项被称为三个属性：第一个目录项称为“属性1”，目录项首字节的特征值为“85H”；第二个目录项称为“属性2”，目录项首字节的特征值为“C0H”；第三个目录项称为“属性3”，目录项首字节的特征值为“C

26、1H”。（1）“属性1”目录项“属性1”目录项用来记录该目录项的附属目录项数、校验和、文件属性、时间戳等信息。用户文件的“属性1”目录项如图6.16所示。6.6.46.6.4用户文件目录项用户文件目录项332024/7/8用户文件的“属性1”目录项中各字节含义见表6.7。342024/7/80 x010 x02：附属目录项数。该参数指除此目录项外，该文件还有几个目录项，当前值为2，说明这个文件除了“属性1”目录项外，后面还有两个目录项，也就是“属性2”目录项和“属性3”目录项。0 x020 x03：校验和。该参数是校验算法算出来的目录项的校验和。0 x040 x07：文件属性。该参数描述文件的

27、常规属性，属性具体含义见表6.8。352024/7/8下面用WinHex模板查看图6.16所示用户文件“属性1”目录项的结构，如图6.17所示。362024/7/8（2）“属性2：目录项“属性2“目录项用来记录文件是否有碎片、文件名的字符数、文件名的Hash值、文件的起始簇号及大小等信息。用户文件的“属性2”目录项如图6.18所示。372024/7/8用户文件的“属性2”目录项中各字节含义见表6.8。382024/7/80 x010 x01：文件碎片标志。该参数反映文件是否连续存放。如果是连续存放没有碎片，该标志为03H，如果不连续存放，文件有碎片，该标志为01H。0 x030 x03：文件名

28、字符数。该参数用来说明文件名的长度，ExFAT文件系统的文件名用Unicode码表示，每个字符占用两个字节。0 x040 x05：文件名Hash值。该参数根据相应算法算出文件名的校验值，当文件名发生改变时，Hash值也发生相应的变化，但当文件移动时，该值不变。0 x080 x0F：文件大小1。该参数是文件的总字节数，用64位记录文件大小。0 x140 x17：起始簇号。该参数描述文件的起始簇号。0 x180 x1F：文件大小2.该参数也是文件的总字节数，是为NTFS文件系统的压缩属性准备的，一般情况下与“文件大小1”保持一致。392024/7/8下面用WinHex模板查看图6.18所示用户文件

29、“属性2”目录项的结构，如图6.19所示。402024/7/8（3）“属性3”目录项“属性3”目录项用来具体记录文件的名称。如果文件名很长，“属性3”可以包含多个目录项，每个目录项称为一个片段，从上至下依次记录文件名的每一个字符。412024/7/8用户文件的“属性3”目录项中各字节含义见表6.9。422024/7/8因为该文件名很短，所以只有一个片段。下面再看一个文件，文件名为“shu-ju-hui-fu-zhao-zhen-zhou-zheng-fa-xue-yuan.txt”，其目录项如图6.22所示。432024/7/8从图6.22和图6.23中可以看出该文件有6个目录项，一个“属性1

30、”目录项、一个“属性2”目录项、四个“属性3”目录项。442024/7/86.7.1 6.7.1 根目录的管理根目录的管理第第1 1步步，定位DBR，通过引导扇区模板，查看根目录首簇。引导扇区模板如图6.24所示。6.7 ExFAT6.7 ExFAT文件系统根目录与子目录的文件系统根目录与子目录的管理管理452024/7/8第第2 2步步，通过文件名定位目标文件的目录项。从图6.24可以看出根目录首簇号为4，跳转到4号簇，通过文件名定位目标文件的目录项（如图6.25所示），并用用户文件目录项模板查看，如图6.26所示。462024/7/8472024/7/8第第3 3步步，定位FAT表和簇位图

31、文件，查看文件存放簇链。因为文件test.txt存放的起始簇号为5，所以我们定位到FAT表查看5号FAT项的数据，从图6.24 引导扇区模板我们可以看出FAT表在128号扇区，跳转到128号扇区，FAT表内如如图6.27所示。从图6.28可以看出，该文件目前只有一个字节的数据“0F”，换算为二进制“00001111”，说明2、3、4、5这四个簇目前被使用，其中2、3、4簇分别被簇位图文件、大写转换表文件和根目录占用，5号簇就是被test.txt文件占用。482024/7/8第4步，定位数据区。通过上一步我们得出test.txt文件仅占用1个簇，即5号簇，下面我们定位到5号簇，查看其内容，如图6

32、.29所示。因为文件大小为44个字节，所以从第一个字节开始连续的44个字节即是文件test.txt文件的内容。以上就是ExFAT文件系统对根目录下文件的管理。492024/7/8I盘的根目录下有个文件夹“123”，文件夹“123”下面有一个文件“数据恢复.txt”，下面我们看看ExFAT文件系统是如何管理子目录及子目录下的文件的。首先通过WinHex查看文件夹“123”的目录项，如图6.30所示。6.7.2 6.7.2 子目录的管理子目录的管理502024/7/8该目录项各字节的含义见其模板，如图6.31所示。512024/7/8以6.7.1节分析的“test.txt”文件为例，看看其被删除后

33、的底层变化及恢复的方法。“test.txt”文件的目录项及其内容参看图6.25、图6.26及图6.29。现在我们将文件“test.txt”彻底删除。删除后文件的目录项如图6.35所示。6.8 ExFAT6.8 ExFAT文件系统删除文件的分析文件系统删除文件的分析522024/7/8经过与图6.25中该文件删除前的目录项的对比，可以发现文件删除后只是目录项的首字节发生了变化，由原来的“85H”、“C0H”、“C1H”改变为“05H”、“40H”、“41H”，其它字节没有任何改变，文件的起始簇号、文件大小、文件名等关键信息都完好地存在。该文件存放在5号簇，现在跳转到5号簇，其内容如图6.36所示

34、。532024/7/8通过对比图6.29和图6.36的内容，我们发现5号簇的内容也就是文件的内容没有任何变化，这就说明了删除文件并没有清空其数据区。因为文件“test.txt”只占用一个簇，不可能有碎片，所以其在FAT表中也就没有登记项，文件删除前后FAT表中5号表项都为“00 00 00 00”。但文件删除后，文件所占用的5号簇会被释放，以便其它文件使用，所以该文件在簇位图文件中对应的位会被清零，“test.txt”文件删除后，分区的簇位图文件如图6.37所示。542024/7/8从图6.37可以看出文件删除后簇位图文件的内容变成了“37”，把十六进制的“37”转换成二进制为“0011011

35、1”，5号簇所对应的二进制位已经由“1”变成了“0”，说明5号簇被释放。通过前面的分析，我们知道文件删除后文件名、起始簇号、大小及数据内容都没有变化，所以只要根据这些信息定位到文件的内容并另外保存即可恢复删除的文件。通过实验发现，即使文件没有连续存放，也就是文件在FAT表中有簇链，当文件删除后，文件所对应的簇链也不会被清空，所以不管文件是否连续存放，其恢复的方法是一致的。552024/7/86.9.1 6.9.1 格式化的底层分析格式化的底层分析格式化就是给分区创建一个文件系统。首先看一个有数据的ExFAT分区，然后将其格式化，分析格式化前后原来数据的变化。图6.38是一个ExFAT分区“I”

36、中的数据，有两个文本文件和一个文件夹。6.9 ExFAT6.9 ExFAT文件系统误格式化的分析文件系统误格式化的分析562024/7/8下面我们在WinHex下打开该分区的FAT表，FAT表的位置通过DBR参数获得。当前分区I的FAT表如图6.40所示。572024/7/8簇位图文件的位置也可以通过DBR参数获得，一般在2号簇。分区I的簇位图文件内容如图6.41所示。582024/7/8分区I根目录也就是4号簇的内容如图6.42所示。592024/7/8文件夹“abc”下的文件“333.txt”的目录项如图6.43所示。602024/7/8612024/7/8622024/7/8通过前面的分

37、析知道，ExFAT文件系统格式化后，FAT表第一个扇区中用户文件的簇链会被清零，根目录的用户文件目录项也被清零，所以根目录下的文件就很难被恢复了，因为没有目录项就无法知道原有文件的文件名及它们存放的位置。但不是绝对不能恢复，因为格式化是不破坏用户文件的数据区的，利用用户文件头部特征及文件内容特征还是有可能恢复的。子目录下的文件目录项没有遭到任何破坏。如果文件是连续存放的，那么子目录下的文件是完全能够恢复的。我们只需根据文件名定位文件目录项，再根据文件目录项获取文件起始簇号和文件大小信息，最后到数据区选中相应数据另存到一个新的文件即可。如果文件是不连续存放的，即使文件目录项还在，但由于文件存放的

38、簇链已被清空，所以还是很难恢复的。6.9.2 6.9.2 格式化后文件的恢复格式化后文件的恢复632024/7/86.10 ExFAT6.10 ExFAT文件系统文件系统DBRDBR手工重建实手工重建实例例642024/7/8手工重建ExFAT文件系统DBR的方法与手工重建FAT文件系统、NTFS文件系统DBR的方法类似，都是以计算并修改BPB参数为主，但重建ExFAT文件系统的DBR后还需要计算分区引导区域的校验值并填写到第11号扇区，分区才能够正常打开。下面看实际操作。652024/7/8第第1 1步步 复制同版本的DBR先从其它ExFAT分区中复制一份完好的DBR扇区，然后写入“H”盘的

39、0扇区。此操作的目的是获取DBR扇区里的引导程序信息，因为不同ExFAT分区的引导程序是通用的。第第2 2步步 计算BPB参数ExFAT文件系统的BPB中需要修改的参数有：隐藏扇区数（Partition Sector Offset）扇区总数（Total Sectors in Volume）FAT起始扇区号（FAT Location Sector Number）FAT扇区数（Size of FAT in Sectors）首簇起始扇区号（Bitmap Location Sector Number）总簇数（Number of Clusters）根目录首簇号（Root Directory Locati

40、on Cluster Number）每簇扇区数（Sectors per Cluster）662024/7/8我们先用ExFAT的DBR模板查看一下复制过来的DBR，如图6.53所示。672024/7/8682024/7/8692024/7/8702024/7/8712024/7/8第第4 4步步 计算校验值ExFAT文件系统的主引导区域包括分区的前12个扇区，并且最后一个扇区是校验扇区，其内存储的是前11个扇区通过校验函数生成的校验值，校验值是4个字节的数据，在校验扇区内重复填写。修改前11个扇区的任何一个字节都会导致校验值发生变化、校验失效。因此，经过以上三步后，虽然已经保证BPB参数的正确

41、，但由于前11个扇区除了BPB参数之外的某些字节的数据也发生了变化，已经无法通过校验，分区同样还是会提示格式化。解决办法就是利用校验函数对分区的前11个扇区重新进行校验运算，生成校验值，填入校验扇区。跳转到11号扇区，即原始的校验扇区，内容如图6.63所示。722024/7/8732024/7/8下面利用工具对修改BPB参数之后的分区前11个扇区重新进行校验运算，生成校验值，并填入11号扇区，覆盖原来的校验值，覆盖后的校验扇区如图6.64。742024/7/8覆盖校验扇区后保存，然后再把主引导区域（011号扇区）的数据复制、粘帖到备份引导区域（1223号扇区）保存，最后在“我的电脑”里双击“H”盘即可正常打开。注：校验值计算工具可根据校验算法自行开发，也可向作者索取：752024/7/8