《计算机病毒第二讲磁盘格式与数据恢复.ppt》由会员分享,可在线阅读,更多相关《计算机病毒第二讲磁盘格式与数据恢复.ppt(69页珍藏版)》请在三一办公上搜索。
1、计算机病毒分析与对抗第二讲磁盘格式与数据恢复,武汉大学计算机学院 彭国军,引言,数据的地位数据安全,数据恢复是指由于各种原因导致数据损失时把保留在介质上的数据重新恢复的过程。即使数据被删除或硬盘出现故障,只要在介质没有严重受损的情况下,数据就有可能被完好无损地恢复。格式化或误删除引起的数据损失的情况下,大部分数据仍未损坏,用软件重新恢复连接环节的话,可以重读数据。如果硬盘因硬件损坏而无法访问时,更换发生故障的零件,即可恢复数据。在介质严重受损或数据被覆盖情况,数据将无法恢复。,课前我们应该思考的问题,磁盘物理结构是怎样的?其由哪些部分组成?磁盘中的数据是如何存储和索引的?磁盘中的数据如何被删除
2、?删除之后的数据是否可以恢复?如何恢复磁盘中丢失的数据?,本讲的内容提纲,硬盘基础知识硬盘的数据存储结构FAT32文件系统及数据恢复原理NTFS文件系统数据恢复实例安全删除技术,1.硬盘基础知识,1.1硬盘外观,IBM 10MB硬盘的内部结构图及外观图,20GB的7200RPM高速西部数据硬盘,全球最小的HDD,东芝推出的0.85英寸硬盘被吉尼斯承认为一项世界记录“全球最小的HDD”。0.85英寸的HDD大小为322435mm(长宽高),重量只有10g,容量为2-4GB。,1.2硬盘物理结构,硬盘外部结构 接口(电源接口+数据接口)硬盘控制电路固定面板 硬盘内部结构盘片、磁头、盘片主轴、控制电
3、机、磁头控制器、数据转换器,硬盘外部结构,接口,硬盘背面及各部件名称,硬盘外部结构,硬盘控制电路,拆下硬盘控制电路后,西数硬盘控制电路近照,硬盘外部结构,固定面板:就是硬盘正面的面板,它与底板结合成一个密封的整体,保证了硬盘盘片和机构的稳定运行。在面板上最显眼的莫过于产品标签,上面印着产品型号、产品序列号、产品、生产日期等信息。除此,还有一个透气孔,它的作用就是使硬盘内部气压与大气气压保持一致。,硬盘内部结构,现在的硬盘主要包括:盘片、磁头、盘片主轴、控制电机、磁头控制器、数据转换器、接口、缓存等几个部份。硬盘上所有的盘片都固定在一个旋转轴上,这个轴即盘片主轴。其中所有盘片之间是绝对平行的,在
4、每个盘片的存储面上都有一个磁头,磁头与盘片之间的距离比头发丝的直径还要小。所有的磁头都连在一个磁头控制器上,由磁头控制器负责各个磁头的运动。磁头可沿盘片的半径方向动作,而盘片在这里以每分钟数千转的速度在高速旋转,这样磁头便可对盘片上的指定位置进行数据的读写操作。,硬盘内部结构,1)磁头组件,它由读写磁头、传动手臂、传动轴三部份组成。硬盘的工作原理,它是利用特定的磁粒子的极性来记录数据。那磁头是怎么读取数据的呢?首先磁头将磁粒子的不同极性转换成不同的电脉冲信号,再利用数据转换器将这些原始信号变成电脑可以使用的数据,写的操作正好与此相反。,西数WD200BB硬盘采用单碟双磁头设计,该磁头组件能支持
5、四个磁头,不过其中有两个磁头传动手臂没有安装磁头。,2)磁头驱动机构:,磁头驱动机构由电磁线圈电机、磁头驱动小车、防震动装置构成,高精度的轻型磁头驱动机构能够对磁头进行正确的驱动和定位,并能在很短的时间内精确定位系统指令指定的磁道。,3)磁盘片,金属或玻璃,4)主轴组件,主轴组件包括主轴部件如轴承和驱动电机等。,5)前置控制电路,前置电路控制磁头感应的信号、主轴电机调速、磁头驱动和服务定位等,由于磁头读取的信号微弱,将放大电路密封在腔体内可减少外来信号的干扰,提高操作指令的准确性。,1.3硬盘逻辑结构,硬盘由很多盘片(platter)组成,每个盘片的每个面都有一个读写磁头。如果有N个盘片。就有
6、2N个面,对应2N个磁头(Heads),从0、1、2开始编号。每个盘片被划分成若干个同心圆磁道(逻辑上的,是不可见的。)每个盘片的划分规则通常是一样的。这样每个盘片的半径均为固定值R的同心圆再逻辑上形成了一个以电机主轴为轴的柱面(Cylinders),从外至里编号为0、1、2每个盘片上的每个磁道又被划分为几十个扇区(Sector),通常的容量是512byte,并按照一定规则编号为1、2、3形成CylindersHeadsSector个扇区。,1.3硬盘逻辑结构,1.硬盘参数 CHS(Cylinder/Head/Sector)参数 磁头数(Heads)表示硬盘总共有几个磁头,也就是有几面盘片,最
7、大为 255(用 8 个二进制位存储);柱面数(Cylinders)表示硬盘每一面盘片上有几条磁道,最大为 1023(用 10 个二进制位存储);扇区数(Sectors)表示每一条磁道上有几个扇区,最大为 63(用 6个二进制位存储).每个扇区一般是 512个字节 磁盘最大容量255*1023*63*512/1048576=8024 MB(1M=1048576 Bytes)或硬盘厂商常用的单位:255*1023*63*512/1000000=8414 MB(1M=1000000 Bytes),硬盘空间扩展,在老式硬盘中,由于每个磁道的扇区数相等,所以外道的记录密度要远低于内道,因此会浪费很多磁
8、盘空间(与软盘一样).为了解决这一问题,进一步提高硬盘容量,人们改用等密度结构生产硬盘.也就是说,外圈磁道的扇区比内圈磁道多.采用这种结构后,硬盘不再具有实际的3D参数,寻址方式也改为线性寻址,即以扇区为单位进行寻址.为了与使用3D寻址的老软件兼容(如使用BIOS Int13H接口的软件),在硬盘控制器内部安装了一个地址翻译器,由它负责将老式3D参数翻译成新的线性参数.,2.硬盘的数据存储结构,2.1硬盘总体结构表,2.2MBR,MBR(Master Boot Record),即主引导记录,有时也称主引导扇区。位于整个硬盘的0柱面0磁头1扇区(可以看作是硬盘的第一个扇区),BIOS在执行自己固
9、有的程序以后就会jump到MBR中的第一条指令。将系统的控制权交由MBR来执行。在总共512byte的主引导记录中,MBR的引导程序占了其中的前446个字节(偏移0H偏移1BDH)随后的64个字节(偏移1BEH偏移1FDH)为DPT(Disk Partition Table,硬盘分区表)最后的两个字节“55 AA”(偏移1FEH偏移1FFH)是分区有效结束标志。,WinHex查看的一块希捷120GB硬盘的mbr,2.3DPT(硬盘分区表),在DPT共64个字节中,以16个字节为分区表项单位描述一个分区的属性。通常情况下,第一个分区表项描述一个分区的属性,一般为基本分区。第二个分区表项描述除基本
10、分区外的其余空间,即我们所说的扩展分区。,DPT(硬盘分区表)示例,DPT分区项各字段含义,DPT的4个分区项,C盘之前为1个主引导扇区和62个保留扇区。C盘从63号扇区开始,结束于14329979(63+14329917-1)扇区。C盘大小为7,336,916,992字节。主扩展分区从14329980扇区开始,结束于(14329980+220106565-1)扇区。主扩展分区大小为112,694,560,768字节。,扩展分区表,扩展分区表,前面各项均为0,仅存分区项和结束标记,该硬盘详细结构,MBR(1)+Res(62)+DBR(1)+Res(31)+FAT1+FAT2+DIR+DATA+
11、,2.4DBR各字段含义,DBR各自段具体解释,包括:跳转指令厂商标志和操作系统版本号BPB(BIOS Parameter Block)扩展BPBOS引导程序结束标志右图以FAT32为例说明分区DBR各字节的含义。,FAT32下DBR各字段含义,0H02H 一条跳转指令,指针指向后面的引导程序 03H0AH 厂商名和系统版本 0BH0CH 每扇字节数,一般为512字节 0DH 每簇扇区数(有关簇的概念我们在后面会详细介绍),对于FAT32的磁盘该字节一般为08H,既每簇为8H*512B=4K。0EH0FH 保留扇区数 10H 磁盘FAT的个数,一般为2个 11H12H 对于FAT16的磁盘为根
12、目录的最大目录项,对于FAT32的磁盘该值总为“00H 00H”13H14H 对于软盘或早期小硬盘该处为分区总扇区数,对于硬盘一般此值为“00H 00H”15H 介质描述,对于1.44软盘此处长为“F0H”,对于硬盘此处长为“F8H”16H17H 对于软盘或早期小硬盘该处为每个FAT占用的扇区数,对于硬盘一般此值为“00H 00H”18H19H 每道扇区数,一般为“3FH 00H”,即每道有63个扇区 1AH1BH 磁头数,一般为“FFH 00H”,即每个柱面有255个磁头 1CH1FH 隐含扇区数 20H23H 对于大硬盘来说该处存放的是该分区占用的扇区数 24H27H 对于大硬盘来说该处存
13、放的是每个FAT占用的扇区数 40H 该处为磁盘BIOS信息,第一块硬盘为“80H”,一般软盘为“00H”47H51H 用户设置的卷标,如果没有卷标此处常为字符串“NO NAME”52H59H 文件系统,对于FAT32文件系统此处常为“FAT32”1FEH1FFH 结束标识,和上文提到的主引导区的结束标识一样为“55H AAH”,NTFS下DBR,00:3 bytes跳转指令03:OEM ID 0B:25 bytesBPB24:48 bytes扩展 BPB54:426 bytes引导程序代码1FE:结束标记(0 xAA55),NTFS下BPB和扩展BPB中参数的含义,3.FAT32文件系统及数
14、据恢复原理,3.1 FAT32分区结构,引导扇区在前面已经论述,其中的BPB和扩展的BPB记录了分区的属性,即其它5个部分的属性。保留扇区:FAT32中的保留扇区除了磁盘总第0扇区用作DBR,总第2扇区(win98 系统)或总第0 xC扇区(win2000,winxp)用作OS引导代码扩展部分外,其余扇区都不参与操作系统管理与磁盘数据管理,通常情况下是不起作用的。操作系统之所以在 FAT32 中设置保留扇区,是为了对DBR作备份或留待以后升级时用,比如引导程序以后的扩展,FAT32中DBR偏移0 x34占2字节的数据指明了DBR备份扇区所在一般为0 x06即第6扇区,当FAT32分区DBR扇区
15、被破坏导致分区无法访问时可以用第6扇区的原备份替换第0扇区来找回数据。,FAT表(File Allocation Table 文件分配表)是Microsoft在FAT文件系统中用于磁盘数据(文件)索引和定位引进的一种链式结构。FAT表记录了磁盘数据文件的存储链表。文件系统将磁盘空间按一定数目的扇区为单位进行划分,这样的单位称为簇。通常情况下,每扇区512字节的原则是不变的。簇的大小一般是2n(n 为整数)个扇区的大小,可以是512B、1KB、2KB、4KB、8KB、16KB、32KB、64KB。实际中通常不超过32K。,FAT表,通常情况其第 1、2个记录项 用作介质描述。从第三个记录项开始记
16、录除根目录外的其他文件及文件夹的簇链情况。根据簇的表现情况 FAT 用相应的取值来描述,见下表:,根目录首簇对于根目录的第一个簇,系统并不编号为第 0 簇或第 1 簇,而是编号为第 2 簇,也就是说数据区顺序上的第 1个簇也是编号上的第 2 簇。,FAT中将目录当文件进行处理。文件和目录都以32字节的目录项来进行索引,长文件名拥有多个目录项。,实际目录的目录项例子,实际文件的目录项例子,3.2文件存储与恢复原理,4.NTFS文件系统,NTFS文件系统总体结构图,引导扇区将NTLDR区域的代码读入内存并移交控制权MFT(主控文件表)是NTFS卷结构的核心。MFT是一个与文件相对应的文件属性数据库
17、,它记录了除文件数据外的所有属性,甚至小文件的数据本身也包含在MFT中。MFT以文件数组来实现,每个文件记录的大小固定为1KB。,NTFS引导分区,实际含义,MFT(Master File Table):组织结构示意表,最开始是保存系统关键信息的16个元数据文件。从第24个记录开始,MFT记录的都是文件或者目录(其实被NTFS同样视为文件)的描述信息,MFT(Master File Table):主控文件表,主控文件表中的每个文件记录由两部分组成:表头(文件记录头)长度和偏移处的数据含义不变属性列表属性是File具体信息的载体,一个File的所有信息(包括文件的内容)都通过属性体现。通过获取属
18、性的值,就能够得到File的各种所需的信息。不同的属性列表的对应偏移对应着不同的含义MFT中每个文件记录的结束标记为FFFFFFFFH,File Record(FR),File Record(文件记录,以下简称FR),大小保持为1KB,即2个扇区如果一个File足够小(大概700多字节以下),NTFS将其数据直接存放在该File的FR中;否则,NTFS将开辟新空间存放File的具体数据,其存放位置记录在FR中,通过Data Run指明每段起始簇号和每段(即碎片)占用的簇的个数。,File Record组织结构示意表,实例:Serial.txt文件,FR头,属性,按照有无属性名,是否常驻可以分为
19、四类:常驻、没有属性名常驻、有属性名非常驻、没有属性名非常驻、有属性名每类属性的头部具体偏移含义有所不同。从每个属性的偏移00H-03H处,可以得到该属性的类型标志,不同的属性其结构和含义各不相同。10 00 00 00H-00 10 00 00H如30 00 00 00H表示该属性为文件名。80 00 00 00H表示该属性为文件数据。,实例:数据可容纳在一个FR中的Serial.txt文件,数据无法容纳在一个FR中的例子:Setup.exe,5.数据恢复实例,相关工具,EasyRecovery金山数据安全2006,6.安全删除,数据被删除之后为什么能够被恢复?如何防止被删除的数据被恢复?,课后作业,使用相关工具对数码相机中的已删除相片进行恢复。手工恢复FAT32文件系统下被删除的一个doc文档对NTFS文件系统格式进行详细分析,熟悉NTFS下的数据恢复原理,
