嵌入式系统实验室-安全操作系统课件.ppt

安全操作系统 实验讲解 v口令破解，password cracking v文件恢复，file recovery v缓冲区溢出 v系统安全 v安全审计 文件事件审计 主机安全审计 文件恢复，file recovery v实验中用到的工具 v磁盘相关 磁盘物理组织和结构 磁盘逻辑组织和结构 vfat32文件恢复 vext2文件恢复 工具 vwinhex 下载evaluation版：/ vfinaldata 下载demo版，有限时间；有限使用 / v文件粉碎机 下载，很多网站 例如filekiller vdebugfs，linux自带 文件恢复，file recovery v实验中用到的工具 v磁盘相关 磁盘物理组织和结构 磁盘逻辑组织和结构 vfat32文件恢复 vext2文件恢复 /resources/documentation/windo wsnt/4/server/reskit/en- us/resguide/diskover.mspx?mfr=true illustration of a hard disk cylinder/head/sector tracks and cylinders sectors and clusters 文件恢复，file recovery v磁盘相关 磁盘物理组织和结构 磁盘逻辑组织和结构 vfat32文件恢复 vext2文件恢复 mbr via32 ibm pc系统采用mbr分区表方案 系统启动时，首先执行rom bios中的固件 该固件将会装载（ 0x7c00 ）并执行mbr中的boot loader 运行在实模式 vmbr中的boot loader将查找分区表，找到活动分 区，加载该分区启动扇区并执行 与fs类型以及os类型有关 通常用来加载os相关的secondary bootstrap loader，例 如io.sys, ntldr 关于pc的启动过程，可以参见这里： boot sequence on standard pc (ibm-pc compatible) 512字节的mbr 446字节的boot loader 64字节的分区表 2字节的signature： 0xaa55 track 0, head 0, and sector 1 演示本机磁盘管理信息 分区表, partition table v4项，mbr 446字节开始的64个字节，偏移分别 partition 1 0x01be (446) partition 2 0x01ce (462) partition 3 0x01de (478) partition 4 0x01ee (494) v每项16个字节 an example /ntdebugging/archive/2007/06/19/how-windows-starts -up-part-1-of-4.aspx 分区表项（细） 关于更多的system id，参考这里 fat partition boot sector /fat-partition-sector.htm bpb 关于windows 95的启动过程，参考这里 找到并加载io.sys ntfs partition boot sector v关于windows 2000的启动，参见ntldr vvista和server 2008： winload.exe和windows boot manager 找到并加载ntldr v演示？ 打开整个磁盘，看分区，mbr partition recovery v 误删一个分区？ testdisk gpart v 有些磁盘管理工具，在删除分区时，会写覆盖分区前部 的几个扇区 windows 2000/xp，第一个扇区 需要有备份的启动扇区配合恢复 v 病毒？ v 分区时突然掉电/死机？ v 安装或删除多os之一？ 查杀病毒恢复分区表 fdisk /mbr 重新分区？ 文件恢复，file recovery v实验中用到的工具 v磁盘相关 磁盘物理组织和结构 磁盘逻辑组织和结构 vfat32文件恢复 vext2文件恢复 fat基本概念 v扇区 v簇 v链式存储（显式） file allocation table v目录项 vfat的备份 fat1和fat2，大小相等 fat的格式 v 最早，fat12，用12bit对簇寻址 4096（000h，001h，ff0hfffh）4078个可用 软盘 v initial fat16，用16bit对簇寻址，65517 受限于16位扇区号，分区最大32mb v final fat16，1987 磁盘技术：可以使用32位的扇区号 sectors-per-cluster=64 标准扇区大小512字节，簇最大32kb，分区最大2g v fat32，32位，其中28位用来寻簇 若32kb的簇，则8tb，理论上 受限于bootsector，32位扇区号，实际上最大2tb vfat表的大小 簇数（12/16/32） 以扇区为单位向上取整 vfat表项的作用（根据表项的编号和表项的值） 标明磁盘类型 链接一个文件的各个簇 标明坏簇和可用簇 vfat表项的值 ？ 不能用作 next指针 vfat的第0项 首字节标明磁盘类型，参见这里 vfat的第1项 不用 fat 分区布局 fat32 boot sector jmp(3) bpb v25个字节 0x00oem name(8)512 sectors per cluster bytes per sectorreserved sector count 20x10 maximum number of root directory entries 2个字节，最大512 fat12/16 media descriptor 参见这里 sectors per fat for fat12/16 hidden sectors total sectors number of heads sectors per track # of fats 0x20 operating system boot code extended bpb，for fat12/16 0x20 physical drive number serial number total sectors 0x30 padded with blanks fat type，补空格，fat12或16 volume label, 55和aa reserved extended boot signature 0x1f0 total sectors extended bpb，for fat32 operating system boot code 0x20sectors /fat 0x30 fat type，补空格，“fat32 ” volume label, 补空格 55和aa 0x40 0x50 serial number physical drive number reserved extended boot signature version cluster number of root directory start reserved sector # of a copy of this boot sector sector # of fs information sector fat flags 0x1f0 file system information sector vfile system information sector 空闲簇的个数；最近分配出去的簇号 /brainy/fat32.htm fat各部分的偏移计算 vbootsector：分区的第一个扇区（start sector） vfat表1： start + # of reserved sectors vfat表2： start + # of reserved sectorsfat表大小 vdata area： start + # of reserved + (# of sectors per fat * 2) /brainy/fat32.htm fat的目录 v目录是一个特殊的文件 v每个目录项32字节 名称 扩展名 属性（archive, directory, hidden, read-only, system and volume） 创建日期和时间 第一个簇的编号 大小 vfat12/16有专门的根目录区域 vfat32的根目录存放在数据区域 ea-index (used by os/2 and nt) in fat12 and fat16, high 2 bytes of first cluster number in fat32 目录格式（8.3entry） file name，补空格,8字节extension(1) (1) (1)(2) (2)(2)(2)(2)(2)(2)size，4字节 first cluster in fat12/16； low 2 bytes of first cluster in fat32 last modified date last modified time last access date create date create time create time, 10ms*(0199) reserved file attributes 0x00 0x10 3字节 hours,5位 minutes,6位 seconds/2, 5位 时间格式： year,7位， 从19802107 月,4位 日, 5位 日期格式： 文件属性 fat的长文件名 v 8.3entry，受限；超过？ v 若干个长文件名目录项（倒序）短文件名目录项 v 一个文件最多20个，可以容纳255个utf-16字符 最后一个有效字符后，填写0x00 0x00，此后填充0xff 0xff 长文件名举例 v假设文件名“file with very long filename.ext ” 序列号的最高位（第8位）用作判断该项是否被删除 序列号的第7位，用作判断是否最后长文件名的最后一项 v演示？ 格式化fat32 查看fat 找到根目录 在根目录下，创建目录、文件；删除；恢复 再次格式化；恢复 安全删除 文件恢复，file recovery v实验中用到的工具 v磁盘相关 磁盘物理组织和结构 磁盘逻辑组织和结构 vfat32文件恢复 vext2文件恢复 ext2文件恢复 vlinux文件系统简介 v工具 debugfs v命令 dd; od; fdisk; mkfs.ext2; mount/umount; cd; ls; md5sum; stat; rm; 在linux下查看mbr v一个获得mbr内容的方法 dd bs=512 count=1 if=/dev/hda | od -ax -tx1z -v v在虚拟机中演示 v？演示 查看硬盘设备文件（/dev目录） 磁盘分区(fdisk)，后，再次看硬盘设备文件 格式化 mkfs.ext2 挂载（mount） 查看系统中的分区挂载情况 编辑（vi）并保存/文件摘要（md5sum）/文件状态（ stat） 删除文件 卸载（umount）/重新挂载为只读 debugfs，可读写方式，lsdel/dump 文件摘要并比较 thanks！ the end. the structure of a hard disk /catalog/debian/chapter/book/ch02_03.html http:/www.hddtech.co.uk/resource/hard-disk-functionality.htm ntfs文件系统，基本概念 vntfs简单发展史 v1.0 with nt 3.1, released mid-1993 v1.1 with nt 3.5, released fall 1994 v1.2 written by nt 3.51 (mid-1995) and nt 4 (mid- 1996) (occasionally referred to as “ntfs 4.0“, because os version is 4.0) v3.0 from windows 2000(autumn 2001; occasionally “ntfs v5.1“), windows server 2003 (spring 2003; occasionally “ntfs v5.2“), windows vista (mid-2005) (occasionally “ntfs v6.0“) and windows server 2008 vthe file system specification is a trade secret vmetadata，元数据 “data about data“ l例如，跟“书”相关的元数据有：作者、出版社、出版日期、 版本号、isbn号等等 vmetafile，元文件 several files which define and organize the file system 常规：不可见 $mft vdescribes all files on the volume file names timestamps stream names lists of cluster numbers where data streams reside indexes security identifiers file at