中国科学技术大学：《安全操作系统》课程教学资源（PPT课件讲稿）第十讲 实验讲解——文件恢复 about experiment file recovery

文件恢复，file recovery 实验中用到的工具 冬磁盘相关 >磁盘物理组织和结构 卷术 >磁盘逻辑组织和结构 FAT32文件恢复 958 必Ext2文件恢复 了cch0 嵌入式系统实验室 EMBEDDED SYSTEM LABORATORY SUZHOU INSTITUTE FON ADVANCED STUDY OF USTC

文件恢复，file recovery ❖实验中用到的工具 ❖磁盘相关 ➢磁盘物理组织和结构 ➢磁盘逻辑组织和结构 ❖FAT32文件恢复 ❖Ext2文件恢复

工具 Winhex >下载evaluation版：http:l/winhex.en.softonic.coml FinalData >下载Demo版，有限时间；有限使用 http://www.finaldata.com/ 文件粉碎机 >下载，很多网站 >例如filekiller Debugfs,Linux自带 ce and Techno。 嵌入式系统实验室 EMBEDDED SYSTEM LABORATORY SUZHOU INSTITUTE FON ADVANCED STUDY OF USTC

工具 ❖Winhex ➢下载evaluation版：http://winhex.en.softonic.com/ ❖FinalData ➢下载Demo版，有限时间；有限使用 http://www.finaldata.com/ ❖文件粉碎机 ➢下载，很多网站 ➢例如filekiller ❖Debugfs，Linux自带

文件恢复，file recovery 实验中用到的工具 心磁盘相关 >磁盘物理组织和结构 >磁盘逻辑组织和结构 FAT32文件恢复 冬Ex2文件恢复 of Science and Technoloo 嵌入式系统实验室 EMBEDDED SYSTEM LABORATORY SUZHOU INSTITUTE FON ADVANCED STUDY OF USTC

文件恢复，file recovery ❖实验中用到的工具 ❖磁盘相关 ➢磁盘物理组织和结构 ➢磁盘逻辑组织和结构 ❖FAT32文件恢复 ❖Ext2文件恢复

Main spindle Head 0 Side 0 cylinder/head/sector Armfor head 1 Head stack assembly Head 2 Armfor Tracking/Alignment head Illustration of a hard disk http://www.microsoft.com/resources/documentation/windo wsnt/4/server/reskit/en- us/resguide/diskover.mspx?mfr=true 嵌入式系统实验室 EMBEDDED SYSTEM LABORATORY SUZHOU INSTITUTE FON ADVANCED STUDY OF USTC

http://www.microsoft.com/resources/documentation/windo wsnt/4/server/reskit/en￾us/resguide/diskover.mspx?mfr=true Illustration of a hard disk cylinder/head/sector

-Track 0 Track 1023 Spindle Track N Cylinder 0: top and bottom of each platter Tracks and Cylinders 嵌入式系统实验室 EMBEDDED SYSTEM LABORATORY SUZHOU INSTITUTE FON ADVANCED STUDY OF USTC

Tracks and Cylinders

Sector Custer of 4sectors Cience and Technolo Sectors and Clusters 嵌入式系统实验室 EMBEDDED SYSTEM LABORATORY SUZHOU INSTITUTE FON ADVANCED STUDY OF USTC

Sectors and Clusters

文件恢复，file recovery 冬磁盘相关 >磁盘物理组织和结构 >磁盘逻辑组织和结构 术 FAT32文件恢复 058 冬Ex2文件恢复 0 嵌入式系统实验室 EMBEDDED SYSTEM LABORATORY SUZHOU INSTITUTE FON ADVANCED STUDY OF USTC

文件恢复，file recovery ❖磁盘相关 ➢磁盘物理组织和结构 ➢磁盘逻辑组织和结构 ❖FAT32文件恢复 ❖Ext2文件恢复

关于PC的启动过程，可以参见这里： MBR Boot sequence on standard PC(IBM-PC compatible) IA32BMPC系统采用MBR分区表方案 >系统启动时，首先执行ROM BIOS中的固件 >该固件将会装载(0x7C00)并执行MBR中的boot loader >运行在实模式 冬MBR中的poot loader'将查找分区表，找到活动分 区，加载该分区启动扇区并执行 >与FS类型以及OS类型有关 >通常用来加载OS相关的secondary bootstrap loader,例 如io.sys,ntldr e 嵌入式系统实验室 EMBEDDED SYSTEM LABORATORY SUZHOU INSTITUTE FON ADVANCED STUDY OF USTC

MBR ❖IA32 IBM PC系统采用MBR分区表方案 ➢系统启动时，首先执行ROM BIOS中的固件 ➢该固件将会装载（ 0x7C00 ）并执行MBR中的boot loader ➢运行在实模式 ❖MBR中的boot loader将查找分区表，找到活动分 区，加载该分区启动扇区并执行 ➢与FS类型以及OS类型有关 ➢通常用来加载OS相关的secondary bootstrap loader，例 如io.sys, ntldr 关于PC的启动过程，可以参见这里： Boot sequence on standard PC (IBM-PC compatible)

Master Boot Code 1st Partition Table Disk- Master -Partition Entry boot table 512字节的MBR record 2nd Partition Table Entry =446字节的boot loader 3rd Partition Table +64字节的分区表 Entry +2字节的signature: 4th Partition Table Entry 0xAA55 0x55AA Primary Boot Sector track 0,head 0,and sector 1 partition one Data Primary Boot Sector partition- two Data Primary Boot Sector partition- three Data Extended Extended- Partition boot Extended Table -Logical record yolume partition 0x55AA Boot Sector Data Extended Extended- Partition boot Table Logical volume record 0x55A4 演示本机磁盘管理信息 Boot Sector EMBEDDED SYSTEM LABORATORY SUZHOU INSTITUTE PON ADVANCED STUDY OF USTC

512字节的MBR ＝446字节的boot loader ＋64字节的分区表 ＋2字节的signature： 0xAA55 track 0, head 0, and sector 1 演示本机磁盘管理信息

分区表，partition table 4项，MBR446字节开始的64个字节，偏移分别 Partition 1 0x01BE (446) Partition 2 0x01CE (462) Partition 3 0x01DE(478) Partition 4 0x01EE (494) ”每项16个字节 000001B0: 8001 000001C0: 010007EEBE093E00 -00004B F5 7F 00 0000 000001D0: 81 0A 07 FFFF FF 8A 5-7E003D26 9C00 0000 000001E0: C1 FF 05 FF FF FF C7 1B-1C 01 D6 96 92 00 0000 000001F0: 0000 000000000000- 000000 00 00 00 An example http://blogs.msdn.com/ntdebugging/archive/2007/06/19/how-windows- starts-up-part-1-of-4.aspx 嵌入式系统实验室 EMBEDDED SYSTEM LABORATORY SUZHOU INSTITUTE FON ADVANCED STUDY OF USTC

分区表, partition table ❖4项，MBR 446字节开始的64个字节，偏移分别 ➢Partition 1 0x01BE (446) ➢Partition 2 0x01CE (462) ➢Partition 3 0x01DE (478) ➢Partition 4 0x01EE (494) ❖每项16个字节 An example http://blogs.msdn.com/ntdebugging/archive/2007/06/19/how-windows￾starts-up-part-1-of-4.aspx