（计算机软件与理论专业论文）基于数据恢复的信息获取技术的研究.pdf

信息工程大学硕士学位论文 摘要 随着计算机和网络的普及，高科技犯罪日益猖獗，不法分子会想方设法掩盖犯罪证据。 因此研究如何对存储介质上的信息进行获取和分析成为计算机取证学的重要议题。 本论文阐述的信息获取技术主要基于对数据扫描恢复模块和痕迹发现获取模块的研 究与实现。通过研究和分析w i n d o w s 下的f a t 文件系统原理和系统中的网络历史痕迹存在 方式，提出了开发一套对硬盘、可移动硬盘等存储介质中的信息进行获取的工具，并最终 设计和实现了对存储介质中的数据进行快速与深度扫描，最大限度的发现已删除的数据和 格式化后残留的数据，并对已删除的数据进行最大程度的恢复和内容显示，以及对系统痕 迹，比如隐秘文件i n d e x d a t 的分析与获取。 数据扫描恢复模块和痕迹发现获取模块的成功研制既有利于进行计算机静态取证工 作，也有利于增强系统文件信息的可追查性。 关键字：硬盘扫描，数据恢复，b p b ，f a t ，f d t ，历史数据，h l d e x d a t 第1 页 信息工程大学硕士学位论文 a b s t r a c t w i mt l l er a p i dd e v e l 叩m to fc o n 巾u t e ra n dn e m o r k ，h i t e c hc 岫ei sb e c o m i n gm o r e s 商o l i s c r i m i n a l sw o u l dd e l e t ed i 西t a le v i d e n c ew h j c hc 锄t c s t 匆嘶m e s oi “st l l ei m p o r t 锄t s u b j e c tf o rc o m p u t c rf o r c n s i ct 0r e s e a r c hh o w t oa c q u i r ca n d 锄l y z es e 璐i t i v ei i l f o r i n a t i o nf b m m e m o r i z e l n i sp a p e re l a b o r a t 鼯o nm ei n f b r i n a t i o na c q u i s i t i o nt e c h n o l o g yw h i c hi sb 勰e do nt h e r e s e a r c ha n dr e a l i z a t i o no f t w om o d u l e s ：o n ei sl l a r dd i s kd a t as c 锄r e c 0 v e r ym o d u l e 觚da n o t h e r i sn e t w o r k 缸a c ea c q u i s i t i o nm o d u l e a c c o r d i n gt ot h er e s e a r c h 卸d 锄a l y z et l l ef a tf i l es y s t 锄 p 血c i p l ea n dt l l ee 】【i s t e n c em o d e o f t l l et r a c ed a t a ，im 酬o n e dt od e v e l o pas c to f t 0 0 1w l l i c hc 觚 a c q u i r ci n f o m l a t i o n 如咖m 锄o r i z c rs u c ha sh a r dd i s k a n da ti 勰tt l i es u c c e s s 如1r e a l i z a t i d no f f a s ts c 孔a i l dd e e ps c a i lt om 铷o r i z f m d i n gd e l e t e dd a t am o s t 锄dd e t e c t i n gf e r i l i l a n td a t aa f 缸 f o r n l 砌n 岛r e s t o r h l gd e l e t e dd a t am o s ta l l dd i s p l 柳n gt h ef i l ec o m t ，a l l dm e 粒q u i s i t i o no f m s t o 珂d a t a s u c h 翘h l d e x d a t t h es u c c e s s f i l lr e s e a r c ho ft l l eh a r dd i s ks c a nr c c o v e r ym o d u l ea i l dn e t w o r kn _ a c ea c q u i s i 6 0 n m o d u l ei sg o o da ts | a t i cc o m p u t e rf b r c i 】6 i c 柏dc a l li n l p r o v et l l e 仃a c e a b i l i t yo f s y s t e mf i l e s k e yw o r d s ： h a r dd i s ks c 肌，d a t ar e c o v e 睇b p b ，蹦r ，f i ) t ，m s t o l 了d a 诅，h l d e x d a l 第l i 页 信息工程大学硕士学位论文 表目录 表l 硬盘分区表1 0 表2f a t 3 2 的b p b 参数表1 1 表3f a t 3 2 的f a t 表的表项值1 2 表4f a t l 6 的f d t 文件目录项1 3 表5f a t 3 2 的f d t 文件目录项1 4 表6 长文件名目录登记项1 4 表7 扩展分区表项内容1 5 表8 数据恢复功能的软件测试结果3 9 表9 历史痕迹获取软件测评一4 7 第1 i i 页 信息工程大学硕士学位论文 图目录 图1 盘片、磁头、柱面、磁道和扇区7 图2 硬盘的m b r 图3 用w i n h e x 查看到的文件目录表1 3 图4 硬盘数据的组织情况 图5 系统设计图1 7 图6 数据恢复模块的逻辑图 图7 获取逻辑驱动器基本信息流程图 图8 文件f i l e 杈t 的内容 图9 文件被删除前的f d t 目录项 1 8 2 2 2 3 图1 0 文件被删除后的f d t 目录项 图1 l 文件f i l e 臼( t 的f a t 表 图1 2 文件f i l e 仅t 删除后的f a t 图1 3 文件删除后在数据区的内容 图1 4f a t 表工作原理 图1 5 子目录的文件目录表 2 4 。2 4 2 4 。2 4 2 5 2 7 图1 6 递归过程的执行流程2 9 图1 7 硬盘快速扫描流程图 图1 8 高级格式化后的根目录区3 2 图1 9 高级格式化后的f a t 表。3 2 图2 0 格式化前子目录下文件的文件目录项 图2 l 格式化后子目录下文件的文件目录项 图2 2 硬盘深度扫描流程图 3 2 3 3 图2 3f a ”2 文件恢复流程图3 5 图2 4 文件s l a c k 空阃示意图，浪费的部分为s l a c k 一 图2 5 软件界面3 7 图2 6 硬盘扫描工作界面3 7 图2 7 硬盘扫描结果显示3 8 图2 8 文件内容查看器显示界面 图2 9i n d e x d a t 的文件头部4 2 图3 0h d e x d a t 的文件体4 2 图3 l 获取i i l d e x d a t 流程4 3 图3 2 获取t y p e du r l 流程图4 4 第1 v 页 信息工程大学硕士学位论文 图3 3 恢复c o o b e s 流程图。 图3 4h l d e x d a t 获取界面4 6 图3 5 恢复工作界面4 6 第v 页 原创性说明 本人声明所提交的学位论文是本人在导师指导下进行的研究工作及取得的研究成果。 尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他人已经发表和撰写 过的研究成果，也不包含为获得信息工程大学或其他教育机构的学位或证书而使用过的材 料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说明并标示谢 意。 学位论文题目： 望至垫盗燧鱼盘垒壅熟垄塑箜坠 学位论文作者签名：盔熟受：日期：力叼年7 月i 七日 作者指导教师签名：一j 蚴l 生一 日期：2 ，圃 年1 月i 七日 学位论文版权使用授权书 本人完全了解信息工程大学有关保留、使用学位论文的规定。本人授权信息工程大学 可以保留并向国家有关部门或机构送交论文的复印件和电子文档，允许论文被查阅和借 阅；可以将学位论文的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或 扫描等复制手段保存、汇编学位论文。 ( 保密学位论文在解密后适用本授权书。) 挂一 一 一 孥一一 聚 一 一 良 一 一 定一 一 鲤 一二 燕 一型虚殓 笺芦 王 一 一 信息工程大学硕士论文 第一章引言 1 1 课题研究背景 信息技术的飞速发展，使得信息化和数字化成为当今世界经济和社会发展的大趋势。计 算机和网络在社会的各个方面发挥了不可估量的作用。信息一直是科技时代最重要的议题 之一。越来越多的信息正以数字的形式存在于各种介质中。由此不可避免的会带来的一些 与数字信息有关的问题。 1 9 9 1 年，在美国召开的国际计算机专家会议上首次提出了计算机取证( c o m p m 时 f o r e n s i c s ) 这一术语。计算机取证就是以预先确定好的规程对计算机系统的数据进行检测、 提取、分析并记录犯罪活动证据的一门学科【1 埘。计算机取证的通常步骤是3 ( 1 ) 现场的勘查保护：在取证检查中，保护目标计算枫系统，避免发生任何的改变、 伤害、数据破坏或病毒感染。 ( 2 ) 证据的获取与鉴定：借助各种工具，在对原始数据不造成破坏的前提下对计算 机数据进行的采集，并证明所获取的证据和原有的数据是相同的。 ( 3 ) 证据的分析：对电子数据进行分析以查找需要的电子证据。包括搜索目标系统 中的所有文件；全部( 或尽可能) 恢复发现的已删除文件；分析在磁盘的特殊区域中发现 的所有相关数据等。 ( 4 ) 证据的提交：给出目标计算机系统的全面分析结果以及必需的专家证明。 其中证据的分析是最重要的环节之一。证据分析可以从两个角度入手：静态取证和动 态取证。计算机的静态取证是在事后对存储介质当中存留或遗留的数据进行确认、提取、 分析，并抽取出有效证据的过程f s 6 j 。动态取证又称为网络取证，是在受保护的计算机上事 先安装上代理，当攻击者入侵时，对系统的操作及文件的修改、删除、复制、传送等行为， 系统和代理会产生相应的日志文件加以记录并依据文件信息进行恢复，以作为入侵证据 【5 6 1 。 静态取证的关键技术【7 8 l 主要有： ( 1 ) 数据的备份技术：利用磁盘映像拷贝等工具将目标磁盘进行原样复制。 ( 2 ) 数据恢复技术：对已删除的或丢失的数据进行恢列9 ，1 0 】，是静态取证中的核心技 术。 ( 3 ) 文件分析技术：对系统中的文件及其属性进行的分析。 ( 4 ) 残留数据提取技术：对磁盘特殊区域中的残留数据进行分析，磁盘特殊区域包 括未分配的磁盘空间和文件s i a c k 空间【l i 】等。 静态取证所要获取的对象是数字证据。加拿大统一电子证据法案( u n i f o 哪e l e c t r o n i c e v i d e n c e a c t ) 对数字证据的定义是指被计算机或者其他类似设备记录或保存在介质上的， 第l 页 信息工程大学硕士学位论文 可以披人或者计算机及其他类似设备识别的记录，包括显示、打印输出及其它类型的数据 【1 2 】。 由于计算机带来的方便，不法分子开始利用计算机进行犯罪，比如网络诈骗、网络非 法交易、网络传销、网络传播反动言论等等，并在事后将计算机中可以反映或证明自己犯 罪行为的数据删除掉，用以掩盖犯罪事实。此外，人们将许许多多重要资料存储在介质上， 比如个人文档，工作资料等。电子商务、电子政务也开始普及，企业也越来越依赖计算机 处理各种业务，并需要连续访问关键的信息，由此来保证自身的竞争力。一旦各种重要的 资料数据丢失或损坏，将会给个人或企业甚至国家带来不可估量的损失。因此发展数据恢 复技术并开发出高水准的恢复工具具有重要意义。 用户使用计算机后，系统会自动记录下用户使用的痕迹，比如系统使用痕迹、网络痕 迹、应用程序痕迹等。网络的发展为人们的工作和生活带来了很大的便利，目前主要是基 于浏览器进行网络的浏览。但是，网络使用的历史数据会被系统和浏览器记录下来。这些 历史数据包括用户所有浏览过的网页信息，用户曾经浏览过的每一张图片，每一个文档， 下载的每一个文件都会被保留下来。因此，获取这些信息是证明或验证不法分子犯罪事实 的有效途径。此外，将数据恢复技术与网络历史数据联系起来，即恢复已删除过的网络历 史数据，是静态取证工作中对证据的分析技术的有力补充。 1 2 国内外发展现状 1 数据恢复技术的国内外发展现状 数据恢复技术通常有两个层面：一个是基于硬件的数据恢复，主要指由硬件的问题导 致的数据损坏或丢失；另一个是基于软件的数据恢复，是指由于人为的原因导致的格式化、 文件删除、分区表信息损坏、引导扇区信息受损等的数据损坏或丢失。 在软件恢复方面，目前市面流行了多款数据恢复软件，但主要以国外大公司的数据恢 复软件为主，如大名鼎鼎的数据恢复公司o n t r a c k ，已从单一利用现有技术提供电脑数 据恢复服务发展到开发研究新技术并出售各种成品软件。o n t r a c k 旗下的世界知名的 e 邪y r 启c o v e r y 系列软件，是数据恢复领域的佼佼者，其功能不仅仅包括恢复磁盘数据，还 具有磁盘诊断、文件修复功能：来自韩国的f i n a l d a t a ，也同样提供了删除文件的恢复和文 件修复功能，且使用方便，扫描结果全面；来自德国x ，m l y ss o 丘w a r et e c l l l l o l o g y a g 公司 的w i n h e x ，软件小、速度快、可以进行磁盘扇区编辑。检查修复各种文件等功能。 我国的数据恢复技术自二十世纪九十年代末起也得到了蓬勃的发展。在软件修复领 域，虽不及顶尖的国际大品牌，但是也有很多可圈可点之处，上海数擎开发l 勺数据恢复大 师是一款功能强大，且提供了较低层次恢复功能的数据恢复软件，能找出被删除、被格式 化、被完全格式化、删除分区、分区表被破坏后磁盘里的文镁二。易我数据恢复向导也是一 款国内开发的数据恢复软件，该软件可以很好的解决国外很多数据恢复软件对中文名不支 第2 页 信息工程大学硕士学位论文 持的问题。 2 痕迹发现软件的国内夕卜发展现状 目前世面上有很多能够针对网络历史痕迹进行清理的软件，比较出名的有：y a h o o 助 手、w i n d o w s 优化大师、金山毒霸系统清理专家、自猫清理工、t r a c e l c 豁等等，这些软件 般都具有对历史数据的一键清除功能，软件的效果相差并不大，可以说在历史数据清理 方面，国内外的软件都已做得比较成熟。但目前的软件中对于历史数据进行查看以及对删 除的历史数据进行恢复的软件并不多，这也是课题研究的刨新之处。 1 3 课题相关内容 1 3 1 硕士期间的主要工作与研究成果 课题的研究目标是开发一套对硬盘、可移动硬盘等存储介质中的信息进行获取的工 具。该工具能够对目标系统中正常的文件和隐藏的文件全部的显示，并对已删除的文件尽 可能的全部发现和恢复，对系统中的网络历史痕迹进行全部的获取以及针对删除的历史痕 迹进行最大程度的恢复，以增强系统文件的可追查性。基于这个设计目标，最终研制了一 套集数据扫描恢复功能和网络痕迹发现功能于一体的文件内容取证工具。 现今流行的操作系统种类较多，不同的操作系统又有各自不同的文件系统格式， w i n d o 、v s 操作系统就有r 玎1 2 1 6 ，3 2 【9 ，删、n t f s 【9 唧等几种文件格式。而目前很多文件格式 的资料并未公开，因此使开发的难度大大加强。此外，应用软件的种类更是推陈出新，浏 览器行业就有i e 、o p e m 等知名品牌，即使同一品牌软件也会有不同的版本。在课题的研 制过程中，我主要担任的工作是对w i n d o w s 操作系统下r 叮文件格式以及针对i e 浏览器 的开发工作。 攻读硕士期间主要工作如下： 1 大量阅读计算机取证特别是静态取证的相关文献，以及数据恢复和痕迹获取技术的 相关资料。 2 深入研究文件系统的原理，理解硬盘的逻辑结构，深入分析硬盘底层数据结构以及 操作系统如何实现对硬盘的操作。 3 研究硬盘信息的获取技术：主要研究如何能够获取硬盘分区的个数、分区的文件系 统类型、分区的盘符等信息。 4 研究文件信息浏览技术：主要指如何能够列举出目标系统中正常的目录、文件和尽 可能多的已删除的目录、文件，以及目录和文件的各种相关信息包括目录或文件名、文件 大小、文件类型、文件创建时间、文件的最终修改时间等基本属性信息。 5 研究已删除文件的恢复技术；如何实现硬盘分区下已删除的但没有被新文件覆盖的 文件的恢复技术。 6 研究文件内容查看技术：如何实现对已删除文件的文件内容的二进制形式的读取和 第3 页 信息工程大学硕士学位论文 显示，以及对文件s l a c k 空间的显示。 7 研究网络痕迹发现技术：如何能够获取系统中的网络历史数据，主要包括h l d e x d a t ， i ec o o l 【i e s 、mt e m p a r yf i l e s 、i eh i s t o r y 等。 8 研究针对网络痕迹的恢复技术：如何能够快速针对已删除的网络历史数据进行扫描 和恢复。 课题的主要成果：成功地研制了具有文件系统浏览功能、r 玎文件系统的数据扫描与 恢复功能以及网络的历史痕迹获取和恢复功能的文件内容取证工具。 1 3 2 难点与关键技术 针对做课题的过程中遇到的各种问题，总结课题的主要难点与关键技术如下： 1 目录的扫描：在软件的实现过程中，目录的扫描是软件开发的难点。由于目录是以 树状形式存在，如何对整个目录树在既节省时间又节省系统空间的情况下实现遍历，是软 件开发过程中要解决的关键问题。课题选用了递归算法【”，h 1 来处理目录，根据根目录的特 点和根目录与子目录的不同，进行目录的判定；根据文件和子目录删除的原理进行正常数 据与已删除数据的判定，并最终生成目录树。 2 按簇1 6 1 扫描硬盘：按簇扫描硬盘能够发现格式化硬盘后，残留在硬盘数据区的数 据。由于格式化硬盘后，硬盘文件的目录表和文件分配表都被清空了，因此，无法依靠文 件目录信息进行文件的查找和恢复，因此只能从子目录的特点入手，判定数据区是否存在 子目录数据，然后进行目录树丢失文件节点的生成，从而完成格式化后硬盘的深度扫描。 3 数据恢复技术：通过硬盘扫描发现已删除的数据后，关键是要对数据进行恢复，通 过获取已删除文件的文件名、文件大小、文件长度、文件入口等信息，再进行数据内容的 读取，从而实现数据的恢复。 4 文件内容的读取与显示：所有数据恢复软件都不可避免一个问题：如果数据被覆盖 了，则无法正确地恢复文件。该子模块提供了对已删除文件的内容的查看。因此，即使一 个文件有部分内容被覆盖掉了，无法正确恢复，但仍可以查看文件没有被覆盖的内容。此 外，子模块还可以对文件的s l a c k 空间进行查看以获取残余空间信息。 5 b l d e x d “1 7 ，1 8 1 的获取技术：由于i i l d e x d a t 文件具有隐藏性，且微软没有对其文件格 式进行公开，因此通过二进制编辑器对该文件的文件格式进行分析、比较，并定义文件结 构以获取文件的内容。 1 4 论文的结构安排 论文按以下方式组织： 第一章：绪论。介绍课题研究背景，本行业的研究现状，研究生期间的主要工作以及 论文组织结构。 第二章：硬盘与文件系统的解读。在本章中，着重分析m e 接口的硬盘逻辑结构、硬 第4 页 信息工程大学硕士学位论文 盘的数据组织以及最常见的基于w i n d o w s 操作系统的f a t 文件系统的机制。 第三章：阐述数据扫描与恢复模块的设计与实现。该模块包括了4 个子模块，论文对 每个子模块都给出了详细的分析。 第四章：阐述网络历史痕迹发现获取模块的设计与实现。首先介绍了系统中存在的主 要网络历史痕迹，并详细阐述了历史痕迹的发现、获取和有针对的恢复技术的实现。 综上所述，研究数据的扫描与恢复以及网络痕迹的获取与恢复技术具有重大的现实意 义。 1 5 本章小结 本章首先论述了课题的研究背景：介绍了计算机取证的基本概念、计算机取证的相关 环节和步骤，以及计算机取证中证据分析环节的两种主要方式：静态取证和动态取证，并 指出了静态取证的证据分析环节的两项重要技术：数据恢复技术和痕迹发现技术。本章接 着介绍了课题相关领域的国内外研究现状：对目前国内外主流的凡款数据恢复软件作了简 要的分析，并指出了国内外数据恢复技术各自的特点和侧重点，以及历史痕迹获取软件的 相关发展现状。接着对课题的主要研究目标、研究内容、研究成果、难点等进行了论述。 最后介绍了论文的整体框架结构。 第5 页 信息工程大学硕上学位论文 第二章硬盘结构与文件系统原理分析 对已删除文件进行恢复是静态取证中的关键技术。而数据恢复技术是建立在对存储介 质和操作系统的文件机制深入理解的基础上的。本章详细分析了最常用的d e 接口的硬盘 的结构以及w i n d o w s 操作系统下的r 虹文件系统。 2 1 硬盘逻辑结构 1 盘片( p l a t e ) 硬盘存储数据是根据电磁转换原理实现的。硬盘的盘片一般用铝合金或玻璃做成，具 有高平滑度与高硬度，盘片表面镀有磁性物质。每个盘片有上、下两个面( s i d c ) ，一般两面 都会用来存储数据。每个盘面都有一个编号，按顺序由上而下从“o 开始依次编号。又因 为每个有效盘面都对应一个读写磁头，所以磁头号与盘面号相同。通常一块硬盘有2 3 个 相同的盘片，故磁头号( 盘面号) 编号为o 一3 或o - 5 【1 5 1 6 1 。 2 磁道( t r a c k ) 当磁盘在低级格式化时，盘片被划分成许多同心圆，这些同心圆轨迹称为磁道。磁道 由外向圆心从“o ”开始顺序编号，一个盘面上通常有3 0 0 一1 0 2 4 条磁道。这些同心圆被划 分为一段一段圆弧，每段圆弧称为一个扇区( s e c t o r ) ，信息都是以扇区为基本单位写入和 读出的【1 5 ，1 6 1 。 3 柱面( c y l i n d e r ) 立体来看，柱面就是对于多个盘片所有盘面上相同半径的磁道构成的一个圆柱。所以 一块硬盘的柱面数等价于每个盘面的磁道数。数据的读写是按柱面的顺序进行的，即磁头 在读写数据时首先在同一柱面内从“o ”磁头开始依次向下在同一柱面的不同盘面进行读 写，当一个柱面写满后再移到下一个柱面【1 5 16 1 。 4 扇区( s e c t o r ) 低级格式化划分盘片磁道的同时，每个磁道又会被划分成一段一段圆弧，即扇区 ( s e c t o r ) 。扇区从“1 ”开始编号，通常一条磁道被分为6 3 个物理扇区，每个扇区通常占5 1 2 字节的数据和一些其它信息。操作系统是以每个物理扇区作为一个基本单元读出或写入， 所以扇区是硬盘读写数据的基本单位。每个扇区包含两个主要部分：存储数据地点的地址 段和存储数据的数据段。地址段就是扇区头标，包括c h s 【1 5 ，1 叼三维地址，以及一个记录 扇区是否可以可靠存储数据的标记。数据段包括数据和保护数据的纠错码( e c c ) 1 5 1 6 1 。 图l 所示的是硬盘的盘片、磁头、柱面、磁道、扇区。 第6 页 信息工程大学硕士学位论文 d 咖e 珊s i c a l 锄dl o 西c a lo r 弘珀i z 和锄 h e a d - s t a c k a s s e m b l y t r a c k 图l 盘片，磁头、柱面，磁道和扇区嘲 2 2 硬盘数据组织 2 2 1 硬盘格式化和分区 硬盘通常需经过低级格式化16 1 、分区、高级格式化1 1 5 ，16 】后才能够存储数据。这三个 步骤是为了在物理硬盘上建立一定的数据逻辑结构。 1 硬盘的低级格式化 低级格式化( 1 0 wl e v e lf o n n a t ) 又称为物理格式化q h y s i c a lf o 肌a t ) ，其作用是检测硬 盘磁介质，将空白的磁片划分磁道，还将磁道划分为若干个扇区，并根据选定的交差存取 因子【皓1 6 1 安排扇区在磁道中的排列顺序。一般来说，通过低级格式化，可以为硬盘划分磁 道，为硬盘的每个磁道按指定的交叉因子间隔安排扇区，测试磁盘表面，标记坏磁道及坏 扇区。格式化就好比是为了在这张白纸上有序地填写东西，必须有格子来规定相应的位置 【1 5 1 6 1 。 2 硬盘的分区 通常硬盘的容量都比较大，分区就是将容量较大的硬盘分为几个较小容量的独立逻辑 区域，硬盘经过分区，可以更好地进行管理；更好的利用空间：提高系统运行效率；方便 不同的用户分配不同的权限：也有利于病毒的防治和数据的安全。 进行分区之后，系统会在硬盘o 柱面、o 磁头、1 扇区处建立一个硬盘分区表，也就 是该硬盘主引导扇区。主引导记录先于所有的操作系统调入内存并发挥作用，根据主分区 表信息来管理硬盘，然后再将控制权交与活动分区内的操作系统。对硬盘做完低级格式化 第7 页 枷 小 撒 m 小 ：； m ：皇| 如 ：兰j 酝 笪星三堡查堂堡主兰垡堡皇 后，必须进行分区操作，通过分区来进行主引导扇区的写入【1 5 ，1 6 l 。 3 硬盘的高级格式化 硬盘进行分区之后，还需要在逻辑区域里搭建文件系统，即进行硬盘的高级格式化。 高级格式化( 1 l i 曲l c v e lf o 肋a t ) 是一种对某个磁盘分区进行删除数据信息和初始化该分区 信息的操作。文件系统以及其它操作系统管理硬盘所需要的信息都是通过高级格式化实现 的。高级格式化的过程是对文件系统中各种表进行了重新构造，同时会创建一个新的空索 引列表，指向未分配数据块，但是格式化操作不会真正动到文件系统的其他内科”，1 6 】。 高级格式化也可分为快速格式化和完全格式化。快速格式化只是将硬盘分区的r 盯表 清空，而完全格式化需要首先执行一个标识缺陷的扫描。 4 硬盘的容量 硬盘在每个物理扇区的头几个字节存放扇区的c 删s 编号。这个编号就是硬盘的三维 空间地址。其中c 代表柱面，h 代表磁头，s 代表扇区。因此，只要知道了物理扇区的c 】 玉，s 编号，就可以确定它的唯一位置【1 5 ，1 6 1 。 一般来讲，硬盘的容量单位以2 的多少次方来表示，即以k b ( 硒l o b y t e ) 、m b ( m e g a b ”e ) 、 g b ( g i g a b y t e ) 、t b ( 咖b y c e ) 、p b ( p e t a b y t e ) 、e b ( e x a b y t e ) 为单位。硬盘容量= 盘片数柱面 数+ 扇区数+ 5 1 2 字节【1 5 1 6 1 。 5 线性地址扇区 硬盘上的基本寻址单位是扇区，定位扇区的方式有两种：一种是物理扇区编号，即使用 硬盘的三维地址c 彤s 来定位扇区。第二种是逻辑扇区编号l b a ( l o 西c b l o c k a d d r e s s ) 【1 5 】。 由于目前硬盘都是朝着大容量的方向发展，而佣s 所记录的最大容量值只能为 1 0 2 4 1 6 6 3 ，即1 0 2 4 。1 6 + 6 3 5 1 2 b y t e = 5 0 4 m b ，此外，c m s 的记录方式较为繁琐，所以传 统的c i 吖s 标记方式已经与现代硬盘的发展不相适应了【”，1 6 】。 系统在管理硬盘扇区时是以簇为单位进行的。在l i ；a 方式下，系统将所有的物理扇 区从o 开始连续编号，就像连成一条线一样。这样就只需用一个序号就确定了一个唯一的 物理扇区。将硬盘的“o 柱o 面1 扇”编为逻辑“o ”扇区，并依此往下进行直至所有扇区 都编上号【1 5 1 们。 通常在硬盘分区表( d p t ) 【2 1 之5 1 、引导区( b 0 0 t ) 【2 1 之5 1 中使用c i s 地址来定位扇 区，而操作系统访问硬盘时则使用l b a 地址，因此两者之间需要一种换算方法。从c h s 到u ；a 的换算公式【1 5 1 为： l b a = ( 当前柱面号起始柱面号) 每柱面磁道数+ 每磁道扇区数+ ( 当前磁头号一起 始磁头号) 每磁道扇区数+ ( 当前扇区号一起始扇区号) 反过来，从l b a 到c h s 的转换公式为： “c ”- l b a 整除( 每柱面磁道数每磁道扇区数) + 起始柱面号 第8 页 笪星三堡奎堂堡圭堂垡堡塞 “h ”= u ；a 整除每磁道扇区数一( 当前柱面号一起始柱面号) 每柱面磁道数+ 起始 磁头号 “s ”= l b a 一( 每柱面磁道数每磁道扇区数) 每柱面磁道数+ 每磁道扇区数一( 当 前磁头号一起始磁头号) 每磁道扇区数+ 起始扇区号 2 2 2 主引导记录( m b r ) 如果按照w i n d o w 操作系统的f a t 文件系统来进行硬盘管理，硬盘会被划分为5 个主 要的区域：主引导记录区( m b r ) 、d o s 引导记录区( d b r ) 、文件分配表区( f a t ) 、文件 目录表区( f d t ) 和数据区( d a 啪口”5 1 。 m b r ( 主弓l 导记录区m a i nb o o tr e c o r d ) 位于整个硬盘的o 磁道o 柱面l 扇区，即绝对 编号为o 的扇区。总共占去5 1 2 字节，其中引导程序占用了前4 4 6 个字节( 偏移o 】【偏移 o 】【1 b d ) ，另外的“个字节( 偏移o x o l b e 偏移o x 0 1 f d ) 是硬盘分区表( d i s k p a n i t i o n t a b l e ) ， 最后两个字节“5 5a ”( 偏移o x 0 1 f e - 偏移o x o l f f ) 是分区结束的标志。这个整体构成了 硬盘的主引导扇区1 2 1 氆】。 硬盘引导程序的主要作用是检查分区表是否正确，并且在系统硬件完成自检以后引导 具有激活标志的分区上的操作系统，并将控制权交给启动程序。m b r 是由分区程序所产生 的，它不依赖任何操作系统，而且硬盘引导程序也是可以改变的，从而实现多系统共存。 图2 硬盘的m b r 嘲 第9 页 信息工程大学硕士学位论文 m b r 具有非常重要的作用。计算机加电启动时，b 1 0 s 在交出系统控制权时。首先就 是寻找m b r 。由于m b r 位于整个硬盘的o 磁道o 柱面l 扇区，因此如果“o ”磁道损坏， 硬盘就不能再使用。因此，保护“0 ”磁道非常必要。目前也有一些工具软件可以修复受 损的“o ”磁道，比如p m a 西c 、d i s k e d i t 等。如图2 所示的是一个硬盘的m b r 。前4 4 6 个 字节是引导程序，接下来是四个分区表，每个分区表占1 6 个字节，含义如表l 所示。 表1 硬盘分区表【1 5 】 偏移 字节意义说明 01 分区状态0 ：非活动8 0 ：活动 l3 分区起始地址( 刚s c ) 柱面，扇区，磁头号 4l 文件系统类型 f a t 3 2 ：o x 0 b o x o c 扩展分区：0 ，【o f o x 0 5 n t f s ：o x 0 7 53 分区结束地址( 形s ，c ) 柱面，扇区，磁头号 84 分区起始逻辑扇区逻辑扇区编号 c 4 分区占有的总扇区数 分区状态为活动表示当前分区可以引导操作系统，非活动表示不可以弓l 导操作系统。 分区的起始、结束地址部分以c 肛“s 记录了分区的边界。分区起始逻辑扇区和占用总扇区 数以l b a 方式表达了分区的范围。 2 2 3d o s 引导记录区( d b r ) 位于硬盘的o 磁道l 柱面1 扇区的d b r 区( 操作系统引导记录区d o sb o o tr e c o r d ) ， 是操作系统可以直接访问的第一个扇区，它也包括一个引导程序和一个被称为b p b ( b i o s p a r 锄c t e rb i o c k ) 【1 0 哪! 的本分区参数记录表，表2 所示为b p b 的字节含义。 引导程序的任务是当m b r 将系统控制权交给它时，判断本分区根目录前两个文件是 不是操作系统的引导文件。如果确定存在，就把其读入内存，并把控制权交给该文件。b p b 参数块记录着系统很多重要的参数，例如本分区的起始扇区、结束扇区、文件存储格式、 硬盘介质描述符、根目录大小、f a t 个数，分配单元的大小等。f a t l 6 与f a t 3 2 文件系统 的b p b 参数表略有不同，从第1 2 字节开始，f a t l 6 的b p b 表占用5 2 个字节，础l t 3 2 占 用8 0 个字节。 具体情况可以从表2 看出。 第1 0 页 信息工程大学硕士学位论文 表2 彤盯3 2 的b p b 参数表1 1 5 】 偏移长度 说明 0 0 h3 跳转指令 0 3 h8 文件系统标志和版本号 o b h2 每扇区字节数5 1 2 o d h1 每簇扇区数 b p b o e h2 d o s 保留扇区数 参 l o hl f a t 表的个数2 数 l l h2 根目录数( 早期版本) 信 1 3 h2 扇区总数( 小卷) 息 1 5 hl 磁介质描述符 1 6 h2 每个f a t 表的扇区数( 小于3 2 m 卷) 1 8 h2 每磁道扇区数 l a h2 逻辑磁头数 1 c h 4 系统隐含扇区数 2 0 h4 扇区总数( 大于3 2 m b 的卷) f a t 3 2 区段 2 4 h4 每f a t 表所占扇区数( 大卷) 2 8 h2 标记 2 a h 版本 2 c h4 引导目录第一簇 3 0 h2 b o o t 本身占用扇区数 3 2 h2 备份引导扇区位置 3 4 h7 保留 4 0 hl b i o s 设备 4 1 hl 未使用 4 2 hl 扩展引导标记 4 3 h4 序列号 4 7 h1 1 卷标 5 2 h8 文件系统 2 2 4 文件分配表( f a t ) 在d b r 之后的是f a t ( 文件分配表f i l ea l l o c a t i o n1 a b l e ) 区。汀表记录着硬盘数据存 放的簇链。文件占用磁盘空间时，基本单位不是字节而是簇( c l u s t e r ) 。在f a t 文件系统下， 每一个磁盘被分成固定大小的簇，每个簇都通过唯一的一个索引号：一个1 6 位二进制数 第1 1 页 信息工程大学硕士学位论文 来标识。一般情况下，硬盘每簇的扇区数可能是1 ，2 ，4 ，8 ，1 6 ，3 2 ，6 4 。同一个文 件的数据并不一定完整地存放在磁盘的一个连续的区域内，而往往会分成若干段，像一条 链子一样存放。这种存储方式称为文件的链式存储。硬盘上的文件常常要进行创建、删除、 增长、缩短等操作。这样的操作做的越多，盘上的文件就可能被分得越零碎( 每段至少是1 簇) 。但是，由于硬盘上保存着段与段之间的连接信息( 即蹦r ) ，操作系统在读取文件时， 总是能够准确地找到各段的位置并正确读出。由于f a t 表对文件管理的重要性，因此，一 般在e a t 表后面再创建一个f a t 表的备份i ”l 。 d a l 隗区的每一簇在蹦r 表中都有一个登记项，簇的编号也就是登记项的编号。因此， 数据区有多少簇，r 蟠就有多少表项，f a t 表项中第o 号和第l 号登记项为表头。因此簇 的登记项都是从第2 号开始的，也就是磁盘上第一个文件是从第2 号簇开始分配的。f a t l 6 的表项值是4 位1 6 进制数，彤l t 3 2 表项值是8 位1 6 进制数。下表是对f a t 3 2 每一簇可能 的表项值的说明： 表3 ( r 3 2 的e t 表的表项值“” 表项值( b ”e ) 含义 o o o o o o o o h 簇未被占用 o o o o u 0 0 2 h - 寸f p f f 儿! p h 一个已分配的簇号 f f f f f f f o h f f f f f f f 6 h 保留 f f f f f f f 7 h 坏簇 f f f f f f f 8 h 一f f t t p f f p h 文件结束簇 2 2 5 文件目录区( f d t ) f d t 文件目录表( f i l ed i r e c t o r y1 a b l e ) ，记录着根目录下每个文件或子目录的名称、 起始单元、属性等重要参数。定位文件位置时，操作系统根据f d t 中的起始单元，结合 f a t 表就可以知道文件在硬盘中的具体位置和大小了。这样的文件定位方式( 文件寻址方式) 是由单元链结构决定的。 文件管理是通过目录来完成的。文件包括两部分内容：一是文件所包含的内容数据， 二是文件的目录数据( 如文件名称、长度、存放的位置、建立时间、修改时间和最后访问时 间等) 。对于f a t l 6 和f a t 3 2 文件系统的f d t 根目录表，每个目录登记项占3 2 字节，如 表4 和表5 所示。属性位的各字节可以组合，如0 6 h ( o o o o o l l o ) 表示只读、隐含。图4 所示的是用w i i l l l c x 查看的文件目录表，每两行构成一个文件目录项。加深的部份是文件 起始簇号。头字节都为e 5 ，表示是已删除文件的文件目录项。 第1 2 页 信息工程大学硕士学位论文 0 0 1 4 4 e 0 d 0 l l e 5 0 0 0 “4 e 6 0 0 0 “e 7 0 0 0 4 4 e 8 口 0 0 “e 9 0 0 0 4 e 0 b 0 “e b 0 e 5 6 b 0 06 90 07 l0 07 4 0 0 6 90 0o f o o e f6 s 口0 2 0 0 07 d0 06 f0 07 20 0 6 ed 00 0 0 00 00 0f ff f e s4 9 5 45 l 94 5 7 e3 12 0 2 0 2 01 0 0 0 5 6d d7 e 3 b 3 0 3 b3 00 0 0 0e 0 7 e3 b3 0 嘎7 。d 哥0 00 8 0 0 0 0 e 56 1 0 0 6 40 07 50 0 6 c0 0 7 40 00 f0 0 6 02 0 0 0 7 0 o o 6 fd 07 20 0 6 e0 0 0 0 0 00 0 叩f ff ff ff f e s4 4 5 5i c5 45 0 7 e3 l 2 02 02 0 1 00 0c 4 e 7 7 e 3 b3 03 b3 00 0 0 0e e 7 e3 b3 0 俺i 。面i0 0 0 80 0 0 0 图3 用w i l l l l c x 查看到的文件目录表 表4f a t l 6 的f d t 文件目录项1 目 “itt 目i e pdrn ， i t t i e 一1订一 ，0 ，0 扩：o g bd | u 1 t por n y ，丫 a d u i 皿“1a c ” ：口；0 鲁“；0 h 偏移字节内容 o - 78 表示文件名 8 1 0 3 表示文件扩展名 0 0 h ( 读写) 0 1 h ( 只读) 属 0 2 h ( 隐含) “1 性 0 4 h ( 系统) 字 0 8 h 卷标) 节 1 0 h ( 子目录) 0 f i ( 长文件名) 2 0 h ( 档案，只要完成了写操作并关闭即置1 ) 1 2 2 l 1 0 保留未用 2 2 - 2 32 表示文件创建时间h h h b hm m 蚰ms s s s s 2 4 2 52 表示文件创建日期y y y y y y y 倒：1 1 l n md d d d d d 2 6 - 2 72 表示文件的首簇号 2 8 3