fat32文件系统的数据恢复

FAT32文件系统下文件误删除的数据恢复主讲老师：信息安全系王彩玲数据恢复的分类逻辑恢复：在数据存储设备正常的情况下进行的数据恢复工作，称逻辑恢复。也就是说数据遭受的破坏是逻辑破坏，比如格式化、删除、重新分区等情况。物理恢复：在数据存储设备不正常的情况下进行的数据恢复工作，称物理恢复。物理恢复往往要先进行设备的恢复，硬盘开盘操作就属于数据恢复的物理恢复。常见的文件系统Windows常用的分区格式有三种，分别是FAT16、FAT32、NTFS格式。在Linux操作系统里有Ext2、Ext3、Linuxswap和VFAT四种格式。ExFAT文件系统：微软的最新文件系统，主要是为了解决大容量闪存需要使用FAT文件系统的需要。FAT32下文件误删除的恢复FAT32下分区误格式化的恢复FAT32下文件系统损坏的恢复123FAT32文件系统数据恢复的主要内容一、文件的各部分结构分析二、文件删除后的变化三、文件删除后的恢复四、专业数据恢复工具的使用五、小结本讲主要内容一、文件的各部分结构分析FAT32文件系统由DOS引导记录（DBR）扇区、FAT表、数据区三个部分组成。FAT32把目录当做文件来管理，所以没有独立的目录区，所有的文件目录项都是在数据区里面的。1.1DBR分析DBR（DOSBOOTRECORD，DOS引导记录），位于柱面0，磁头1，扇区1，即逻辑扇区0;它包括一个引导程序和一个BPB(本分区参数记录表);DOS引导程序完成DOS系统文件（IO.SYS，MSDOS.SYS）的定位与装载;BPB用来描述本DOS分区的磁盘信息，比如：本分区的起始扇区、结束扇区等等。注意：搜索DBR的标志：FAT16的DBR:EB3C90，无备份的DBRFAT32的DBR:EB5890，有备份的DBR，通常在该分区的第6扇区NTFS的DBR:EB5290，有备份的DBR，通常在该分区的最后一个扇区DBR的构成偏移量长度/字节组成部分00H3跳转指令03H8操作系统厂商标识及版本号08H80分区参数表(又称BPB),里面存放着对该分区进行读写操作时所必备的参数5AH420DOS引导代码,它负责把DOS引导文件IO.SYS、MSDOS.SYS装入内存FEH2结束标志字”55AA”BPB的结构偏移地址长度(字节)意义0BH2每个扇区的字节数，常取512。0DH1每簇扇区数；可以是1,2,4,8,16,32,64,128，取决于文件系统格式及分区大小。0EH2为操作系统保留的扇区数；FAT32时多为十进制的32，FAT16时为1，有的格式化工具可能将它设为36或63。10H1FAT表的个数；常取2。11H2在FAT16中存放系统根目录中允许登记的目录项个数，FAT32中用于标注系统采用的是否为FAT32文件系统。其值为0000H表示磁盘使用FAT32文件系统。13H2值为00H，为保持兼容性而保留，未使用。15H1磁盘介质标志，硬盘为F8。16H2未使用，值为00H。18H2每个磁道的扇区数。1AH2磁盘的磁头数。1CH4分区前隐藏扇区的个数。20H4逻辑磁盘中的扇区总数。24H4每个FAT表所占的扇区数。28H2FAT表镜像标志，值为0表示系统保存2份互为备份的FAT表，值为1表示系统仅保存1份FAT表。2AH2文件系统的主次版本（保留）。2CH4磁盘根目录的起始簇号。30H2文件系统参数的扇区号，通常位于引导扇区的下一个扇区。32H2备份分区引导扇区的逻辑扇区号。34H12保留，未使用。40H1中断13呼叫的预设值，指明访问的设备;软盘为00H，硬盘为80H。41H1用于中断13呼叫。42H1磁盘读写参数扩展标志，其值为29H。43H4格式化时随机产生的磁盘卷的序列号。47H11格式化时人工输入的磁盘卷标号。52H8文件系统的标识号（FAT32）。BPB的3个重要参数：(1)保留扇区(RS-ReservedSector)由DOS指定的被保留用作引导区的扇区数。Windows系统一般有32个保留扇区。(2)介质描述(MD-MediaDescription)向DOS提供的所用磁盘的性质。介质描述栏中的值DOS所能识别的十六进制数，不同的介质(即不同的磁盘类型)具有不同的介质描述值。硬盘的介质描述符为“F8“，不同的软盘所对应的介质描述符也不同。十六进制数说明F8硬盘F9双面5.25软盘（15扇区高密度）、双面3.5软盘FAFA双面3.5软盘、RAM虚拟盘FCFC单面5.25软盘（9扇区/磁道）、双面8磁盘FD双面5.25软盘（9扇区/磁道）FE单面8软盘（单密度）、单面8软盘（双密度）单面5.25软盘（8扇区/磁道）FF双面5.25软盘（8扇区/磁道）(3)隐含扇区数(HS-HiddenSectors)隐含扇区一般用于硬盘分区，所以在软盘中该值为0。在硬盘分区中，它表示从磁盘起始扇区至当前分区之前的总扇区数。分区表前已用扇区第1分区第2分区第3分区第4分区第1分区的隐含扇区|||------第2分区的隐含扇区-------|||-----------------第3分区的隐含扇区-----------------||---------------------------第4分区的隐含扇区------------------------------|硬盘的隐含扇区数示意FAT（FileAllocationTable）簇（Cluster）是文件数据区被划分成的具有大小相等的区域用于磁盘文件的计量分配单位。文件分配表是位于磁盘0扇区上的一个特殊的文件，它包含了磁盘上的文件的大小以及文件存放的簇的位置等信息。文件的首簇号存放在FDT（根目录）登记项中，后续簇号存放在FAT中。1.2FAT表分析FAT文件分配表结构以簇为单位，标识分区中空间的使用情况（每个标识占4字节）。FAT的功能记录磁盘类型FAT前2簇为保留簇，不分配给文件使用。FAT16：F8FFFFFAT32：F8FFFF0FFFFFFF7F记录文件占用的各簇的簇号一个FAT表项值表明了文件占用的一个簇号并指明下一簇号的位置。记录可用簇和坏簇1.3根目录及数据区分析FDT文件目录表（FileDirectoryTable）文件目录表（FDT）是由若干个32字节的表项构成的。它记录着每个文件（目录）的文件名、扩展名，是否支持长文件名，起始单元（这是最重要的）、文件的属性、大小，创建日期等内容。用FORMAT命令对磁盘进行格式化的时候，就已经为整个磁盘建立了一个根目录FDT。根目录下的所有文件及其子目录在根目录的文件目录表（FDT）中都有一个“目录登记项”或简称为“目录项”。每个目录登记项占用32个字节，分为8个区域，提供有关文件或子目录的信息。其中包括了DOS的系统文件（IO.SYS、MSDOS.SYS、和COMMAND.COM）的目录项。文件目录项结构文件所在位置文件目录。用于标识文件的基本属性（文件名、大小、文件的位置等），每个文件占32字节。该文件大小文件名二、文件删除后的变化文件目录项的第一个字节被改为“E5”，文件名的其他字节并没有变化；”文件开始簇号“这个值发生了改变；文件删除后其FAT表的簇链全部清零；文件数据区的内容并没有改变。三、文件删除后的恢复选中数据区有两种方法：1、文件大小（字节）/16(每行16个字节)=文件数据区的行数；2、文件的总扇区数+起始扇区=结束扇区四、专业的数据恢复工具的使用目前，常用的专业数据恢复工具有很多，比如：R-Studio、EasyRecovery、FinalData等等。重点介绍FinalData。五、小结不要把数据直接恢复到源盘上。数据丢失后，要严禁往需要恢复的分区里面存新文件。不要再次格式化分区。