计算机病毒第二讲-磁盘格式与数据恢复

《计算机病毒分析与对抗》第二讲

磁盘格式与数据恢复武汉大学计算机学院彭国军guojpeng@1精选ppt引言数据的地位数据安全2精选ppt数据恢复是指由于各种原因导致数据损失时把保留在介质上的数据重新恢复的过程。即使数据被删除或硬盘出现故障，只要在介质没有严重受损的情况下,数据就有可能被完好无损地恢复。格式化或误删除引起的数据损失的情况下，大部分数据仍未损坏，用软件重新恢复连接环节的话，可以重读数据。如果硬盘因硬件损坏而无法访问时，更换发生故障的零件，即可恢复数据。在介质严重受损或数据被覆盖情况，数据将无法恢复。3精选ppt课前我们应该思考的问题磁盘物理结构是怎样的？其由哪些部分组成？磁盘中的数据是如何存储和索引的？磁盘中的数据如何被删除？删除之后的数据是否可以恢复？如何恢复磁盘中丢失的数据?4精选ppt本讲的内容提纲硬盘基础知识硬盘的数据存储结构FAT32文件系统及数据恢复原理NTFS文件系统数据恢复实例安全删除技术5精选ppt1.硬盘基础知识6精选ppt1.1硬盘外观IBM10MB硬盘的内部结构图及外观图7精选ppt20GB的7200RPM高速西部数据硬盘8精选ppt全球最小的HDD东芝推出的0.85英寸硬盘被吉尼斯承认为一项世界记录“全球最小的HDD”。0.85英寸的HDD大小为32×24×3～5mm（长×宽×高），重量只有10g，容量为2-4GB。9精选ppt1.2硬盘物理结构硬盘外部结构接口（电源接口+数据接口）硬盘控制电路固定面板硬盘内部结构盘片、磁头、盘片主轴、控制电机、磁头控制器、数据转换器…10精选ppt1.2.1硬盘外部结构接口硬盘背面及各部件名称11精选ppt1.2.1硬盘外部结构硬盘控制电路拆下硬盘控制电路后西数硬盘控制电路近照12精选ppt1.2.1硬盘外部结构固定面板：就是硬盘正面的面板，它与底板结合成一个密封的整体，保证了硬盘盘片和机构的稳定运行。在面板上最显眼的莫过于产品标签，上面印着产品型号、产品序列号、产品、生产日期等信息。除此，还有一个透气孔，它的作用就是使硬盘内部气压与大气气压保持一致。13精选ppt1.2.2硬盘内部结构现在的硬盘主要包括：盘片、磁头、盘片主轴、控制电机、磁头控制器、数据转换器、接口、缓存等几个部份。硬盘上所有的盘片都固定在一个旋转轴上，这个轴即盘片主轴。其中所有盘片之间是绝对平行的，在每个盘片的存储面上都有一个磁头，磁头与盘片之间的距离比头发丝的直径还要小。所有的磁头都连在一个磁头控制器上，由磁头控制器负责各个磁头的运动。磁头可沿盘片的半径方向动作，而盘片在这里以每分钟数千转的速度在高速旋转，这样磁头便可对盘片上的指定位置进行数据的读写操作。14精选ppt1.2.2硬盘内部结构15精选ppt1)磁头组件它由读写磁头、传动手臂、传动轴三部份组成。硬盘的工作原理，它是利用特定的磁粒子的极性来记录数据。那磁头是怎么读取数据的呢？首先磁头将磁粒子的不同极性转换成不同的电脉冲信号，再利用数据转换器将这些原始信号变成电脑可以使用的数据，写的操作正好与此相反。16精选ppt西数WD200BB硬盘采用单碟双磁头设计，该磁头组件能支持四个磁头，不过其中有两个磁头传动手臂没有安装磁头。17精选ppt2)磁头驱动机构：磁头驱动机构由电磁线圈电机、磁头驱动小车、防震动装置构成，高精度的轻型磁头驱动机构能够对磁头进行正确的驱动和定位，并能在很短的时间内精确定位系统指令指定的磁道。18精选ppt3)磁盘片金属或玻璃19精选ppt4)主轴组件主轴组件包括主轴部件如轴承和驱动电机等。20精选ppt5)前置控制电路前置电路控制磁头感应的信号、主轴电机调速、磁头驱动和服务定位等，由于磁头读取的信号微弱，将放大电路密封在腔体内可减少外来信号的干扰，提高操作指令的准确性。21精选ppt1.3硬盘逻辑结构

硬盘由很多盘片(platter)组成，每个盘片的每个面都有一个读写磁头。如果有N个盘片。就有2N个面，对应2N个磁头(Heads)，从0、1、2开始编号。每个盘片被划分成若干个同心圆磁道(逻辑上的，是不可见的。)每个盘片的划分规则通常是一样的。这样每个盘片的半径均为固定值R的同心圆再逻辑上形成了一个以电机主轴为轴的柱面(Cylinders)，从外至里编号为0、1、2……每个盘片上的每个磁道又被划分为几十个扇区(Sector)，通常的容量是512byte，并按照一定规则编号为1、2、3……形成Cylinders×Heads×Sector个扇区。22精选ppt1.3硬盘逻辑结构1.硬盘参数CHS(Cylinder/Head/Sector)参数磁头数(Heads)表示硬盘总共有几个磁头,也就是有几面盘片,最大为255(用8个二进制位存储);柱面数(Cylinders)表示硬盘每一面盘片上有几条磁道,最大为1023(用10个二进制位存储);扇区数(Sectors)表示每一条磁道上有几个扇区,最大为63(用6个二进制位存储).每个扇区一般是512个字节磁盘最大容量255*1023*63*512/1048576=8024MB(1M=1048576Bytes)或硬盘厂商常用的单位:

255*1023*63*512/1000000=8414MB(1M=1000000Bytes)

23精选ppt硬盘空间扩展在老式硬盘中,由于每个磁道的扇区数相等,所以外道的记录密度要远低于内道,因此会浪费很多磁盘空间(与软盘一样).为了解决这一问题,进一步提高硬盘容量,人们改用等密度结构生产硬盘.也就是说,外圈磁道的扇区比内圈磁道多.采用这种结构后,硬盘不再具有实际的3D参数,寻址方式也改为线性寻址,即以扇区为单位进行寻址.为了与使用3D寻址的老软件兼容(如使用BIOSInt13H接口的软件),在硬盘控制器内部安装了一个地址翻译器,由它负责将老式3D参数翻译成新的线性参数.24精选ppt2.硬盘的数据存储结构25精选ppt2.1硬盘总体结构表26精选ppt27精选ppt2.2MBRMBR(MasterBootRecord),即主引导记录，有时也称主引导扇区。位于整个硬盘的0柱面0磁头1扇区(可以看作是硬盘的第一个扇区)，BIOS在执行自己固有的程序以后就会jump到MBR中的第一条指令。将系统的控制权交由MBR来执行。在总共512byte的主引导记录中，MBR的引导程序占了其中的前446个字节(偏移0H~偏移1BDH)随后的64个字节(偏移1BEH~偏移1FDH)为DPT(DiskPartitionTable，硬盘分区表)最后的两个字节“55AA”(偏移1FEH~偏移1FFH)是分区有效结束标志。28精选pptWinHex查看的一块希捷120GB硬盘的mbr29精选ppt2.3DPT（硬盘分区表）在DPT共64个字节中，以16个字节为分区表项单位描述一个分区的属性。通常情况下，第一个分区表项描述一个分区的属性，一般为基本分区。第二个分区表项描述除基本分区外的其余空间，即我们所说的扩展分区。30精选pptDPT（硬盘分区表）示例31精选pptDPT分区项各字段含义字节位移字段长度值字段名和定义0x01BEBYTE0x80引导指示符(BootIndicator)

指明该分区是否是活动分区。0x01BFBYTE0x01开始磁头(StartingHead)0x01C06位0x01开始扇区(StartingSector)只用了0~5位。后面的两位(第6位和第7位)被开始柱面字段所使用0x01C110位0x00开始柱面(StartingCylinder)

除了开始扇区字段的最后两位外，还使用了1位来组成该柱面值。开始柱面是一个10位数，最大值为10230x01C2BYTE0x07系统ID(SystemID)定义了分区的类型0x01C3BYTE0xFE结束磁头(EndingHead)0x01C46位0xFF结束扇区(EndingSector)

只使用了0~5位。最后两位(第6、7位)被结束柱面字段所使用0x01C510位0x7B结束柱面(EndingCylinder)除了结束扇区字段最后的两位外，还使用了1位，以组成该柱面值。结束柱面是一个10位的数，最大值为10230x01C6DWORD0x0000003F相对扇区数(RelativeSectors)从该磁盘的开始到该分区的开始的位移量，以扇区来计算0x01CADWORD0x00DAA83D总扇区数(TotalSectors)该分区中的扇区总数32精选pptDPT的4个分区项C盘之前为1个主引导扇区和62个保留扇区。C盘从63号扇区开始，结束于14329979（63+14329917-1）扇区。C盘大小为7,336,916,992字节。主扩展分区从14329980扇区开始，结束于（14329980+220106565-1）扇区。主扩展分区大小为112,694,560,768字节。33精选ppt扩展分区表34精选ppt扩展分区表前面各项均为0，仅存分区项和结束标记35精选ppt该硬盘详细结构MBR(1)+Res(62)+DBR(1)+Res(31)+FAT1+FAT2+DIR+DATA+……36精选ppt2.4DBR各字段含义37精选pptDBR各自段具体解释包括：跳转指令厂商标志和操作系统版本号BPB(BIOSParameterBlock)扩展BPBOS引导程序结束标志右图以FAT32为例说明分区DBR各字节的含义。38精选pptFAT32下DBR各字段含义0H~02H一条跳转指令，指针指向后面的引导程序03H~0AH厂商名和系统版本0BH~0CH每扇字节数，一般为512字节0DH每簇扇区数（有关簇的概念我们在后面会详细介绍），对于FAT32的磁盘该字节一般为08H，既每簇为8H*512B=4K。0EH~0FH保留扇区数10H磁盘FAT的个数，一般为2个11H~12H对于FAT16的磁盘为根目录的最大目录项，对于FAT32的磁盘该值总为“00H00H”13H~14H对于软盘或早期小硬盘该处为分区总扇区数，对于硬盘一般此值为“00H00H”15H介质描述，对于1.44软盘此处长为“F0H”，对于硬盘此处长为“F8H”16H~17H对于软盘或早期小硬盘该处为每个FAT占用的扇区数，对于硬盘一般此值为“00H00H”18H~19H每道扇区数，一般为“3FH00H”，即每道有63个扇区1AH~1BH磁头数，一般为“FFH00H”，即每个柱面有255个磁头1CH~1FH隐含扇区数20H~23H对于大硬盘来说该处存放的是该分区占用的扇区数24H~27H对于大硬盘来说该处存放的是每个FAT占用的扇区数40H该处为磁盘BIOS信息，第一块硬盘为“80H”，一般软盘为“00H”47H~51H用户设置的卷标，如果没有卷标此处常为字符串“NONAME”52H~59H文件系统，对于FAT32文件系统此处常为“FAT32”1FEH~1FFH结束标识，和上文提到的主引导区的结束标识一样为“55HAAH”39精选pptNTFS下DBR00：3bytes跳转指令03：OEMID0B：25bytesBPB24:48bytes扩展BPB54:426bytes引导程序代码1FE:结束标记（0xAA55）40精选pptNTFS下BPB和扩展BPB中参数的含义41精选ppt3.FAT32文件系统及数据恢复原理42精选ppt3.1FAT32分区结构43精选ppt引导扇区在前面已经论述，其中的BPB和扩展的BPB记录了分区的属性，即其它5个部分的属性。保留扇区：FAT32中的保留扇区除了磁盘总第0扇区用作DBR，总第2扇区(win98系统)或总第0xC扇区(win2000,winxp)用作OS引导代码扩展部分外，其余扇区都不参与操作系统管理与磁盘数据管理，通常情况下是不起作用的。操作系统之所以在FAT32中设置保留扇区，是为了对DBR作备份或留待以后升级时用，比如引导程序以后的扩展，FAT32中DBR偏移0x34占2字节的数据指明了DBR备份扇区所在一般为0x06即第6扇区，当FAT32分区DBR扇区被破坏导致分区无法访问时可以用第6扇区的原备份替换第0扇区来找回数据。44精选pptFAT表(FileAllocationTable文件分配表)是Microsoft在FAT文件系统中用于磁盘数据(文件)索引和定位引进的一种链式结构。FAT表记录了磁盘数据文件的存储链表。文件系统将磁盘空间按一定数目的扇区为单位进行划分，这样的单位称为簇。通常情况下，每扇区512字节的原则是不变的。簇的大小一般是2n(n为整数)个扇区的大小，可以是512B、1KB、2KB、4KB、8KB、16KB、32KB、64KB。实际中通常不超过32K。45精选pptFAT表FAT记录项的值对应簇的表现情况000000000H未分配的簇00000002H–0FFFFFEFH已分配的簇0FFFFFF0H--0FFFFFF6H系统保留0FFFFFF7H坏簇0FFFFFF8H--0FFFFFFFH文件结束簇通常情况其第1、2个记录项用作介质描述。从第三个记录项开始记录除根目录外的其他文件及文件夹的簇链情况。根据簇的表现情况FAT用相应的取值来描述，见下表：46精选ppt根目录首簇对于根目录的第一个簇，系统并不编号为第0簇或第1簇，而是编号为第2簇，也就是说数据区顺序上的第1个簇也是编号上的第2簇。47精选pptFAT中将目录当文件进行处理。文件和目录都以32字节的目录项来进行索引，长文件名拥有多个目录项。48精选ppt实际目录的目录项例子49精选ppt实际文件的目录项例子50精选ppt3.2文件存储与恢复原理51精选ppt4.NTFS文件系统52精选pptNTFS文件系统总体结构图引导扇区将NTLDR区域的代码读入内存并移交控制权MFT（主控文件表）是NTFS卷结构的核心。MFT是一个与文件相对应的文件属性数据库，它记录了除文件数据外的所有属性，甚至小文件的数据本身也包含在MFT中。MFT以文件数组来实现，每个文件记录的大小固定为1KB。53精选pptNTFS引导分区54精选ppt实际含义55精选pptMFT(MasterFileTable):组织结构示意表

最开始是保存系统关键信息的16个元数据文件。从第24个记录开始，MFT记录的都是文件或者目录（其实被NTFS同样视为文件）的描述信息56精选pptMFT(MasterFileTable):主控文件表主控文件表中的每个文件记录由两部分组成：表头（文件记录头）长度和偏移处的数据含义不变属性列表属性是File具体信息的载体，一个File的所有信息（包括文件的内容）都通过属性体现。通过获取属性的值，就能够得到File的各种所需的信息。不同的属性列表的对应偏移对应着不同的含义MFT中每个文件记录的结束标记为FFFFFFFFH57精选pptFileRecord(FR)FileRecord（文件记录，以下简称FR），大小保持为1KB，即2个扇区如果一个File足够小（大概700多字节以下），NTFS将其数据直接存放在该File的FR中；否则，NTFS将开辟新空间存放File的具体数据，其存放位置记录在FR中，通过DataRun指明每段起始簇号和每段（即碎片）占用的簇的个数。58精选pptFileRecord组织结构示意表FR头属性1，通常是$STANDARD_INFORMATION