计算机数据恢复技术：Windows系统的数据恢复技术教学课件

第3章

Windows

系统的数据恢复技术3.1

FAT32文件系统下的数据恢复3.1.1FAT32文件系统的结构与分析1.FAT32

文件系统的结构FAT32文件系统是从Windows

95系统的OSR2

版本开始使用的。它能够支持容量

大于32MB且小于32GB

的分区。虽然第三方的格式化程序可以把容量超过32

GB

的

分区格式化为FAT32文件系统，但微软系统不允许将容量大于32

GB

的分区格式化为FAT32文件系统。FAT32文件系统由DBR

及其保留扇区、

FAT1、FAT2、DATA区4个部分组成，如图

3

-

1

所

示

。①

②

③

④FAT2FAT1DBR及其保留扇区图3-1

FAT32文件系统的结构DATA区3.1

FAT32文件系统下的数据恢复3.1.1FAT32文件系统的结构与分析1.FAT32

文件系统的结构FAT32文件系统这4部分是在分区被格式化时创建出来的。它们的含义如下。DBR及其保留扇区：

DOS引导记录

(

DosBootRecord,DBR)

又称操作系统引导记录，而在DBR

之后往往有一些保留扇区。FAT1:FAT32文件系统一般有两个文件分配表

(

File

Allocation

Table,FAT),FAT1是FAT32文件系统的第一个文件分配表，也是主FAT。FAT2:

FAT2是FAT32文件系统的第二个文件分配表，也就是FAT1的备份，又称备

份FAT。DATA区：也就是数据区，是FAT32文件系统的主要区域，其中也包含目录区。2.FAT32文件系统的DBR分析FAT32文件系统的DBR与FAT16

文件系统的DBR很类似，也由5部

分组成，分别为跳转指令、OEM代号、BPB(BIOS

Parameter

Block)、引导程序和结束标志。如图3-2所示即为一个完整的FAT32文件系

统的DBR。Offset0

1

2

4

5

6

ZB

D

D00010000n跳转指令UUU0u0001000300001000400001000500001000600001000700001000800001000900001000A00001000B00001000C00001000D00001000E0

0001000F⁰0001001000001001100001001200001001300001001400001001500001001600001001700001001800001001900001001A00001001B00001001C00001001D00001001E00001001F0EB5890

4D

5344

4F

5335

2E

30

oo02

08

2200eXMSDOS5.0a

?vay

OEM代号1)[LIüFAT32

3EINuo(1AIU%IN

IVe

fs

1yy1f

Eef

N1&?+61IAi

Af

·Ef+afIFol~u81~*w2fIF

f1A》1

e+6Hú}'}15-IAt<yt》fe1

ü}ed

u}edlf

ff'f;Fe

IJ

fj

fPSfh

1~

1A》sUIvef

I

uuI

oA1

pFBIVelofufXfXfXfXe*f30f

·N

f+np

AIEfIDEAe+v

1oi

veleAa

1.f

faITyÄ

feI

IqyÄ

NTLDRRe

move

disksor

other

media.y

Dis

k

errory

Press

any

sta一rt

结束标志

Ua020000

00F8

FF01

00068000

2920

20

460000005B4100

DF

004C54F8

3F

009833000000FB3200

3F00FF

00

00

08

000000

00

02

00000000

0000

00

00

0020

20

20

20

20

20

4

56

40

8A

E8

CO

E4060A

CC

B80102

CD

1366610F

82

54

FF

81

C30002664049

OF85

71

FF

C34E

54

4C

44522020202020200000

00000000

00

00

000000000000000000

000000000000

0000000000000000

0010000000000000076

65

20646973

6B6865

72206D

656469612E

FF

OD

OA

4469736B

206572726F

72

FF

OD

OA

507265737320

616E

79206B

657920

746F

2072657374617274

OD

OA

0000000000

AC

CB

D8000055AAA6E4FB812D6F586086F7866E

4A665F1665800686716D7OFE10B7序EAOF程16导C26引6DD033B66B08806A046241CAEB5685A8AF858O262AC64A101055B4006CD

1910

EBF0

AC0

B9837EB76

OFB4

08BC

F4B065B0810F0611F00616CD803866440D0885200007DBB7541C656BED74C066A9CACB01B000B8C82F668B7Do16ED0233130F00

OA

006EB

E094

OE0

FA683

C37ED

CO1660F84E020D0224DBA68CF82C8758A

5640100807EF8

OFE5

A0

F9FF7409E948038B

461C8946

F8F7E2861FF

FF

8ABD

03

0050046EB3C0066663FB9D90BD7B2125E137123EE08A86B487703A66F7E7F87CBB660A0co000066D1138E4153666EE84012AC9B6CD7B3.1FAT32文件系统下的数据恢复3.1.1FAT32文件系统的结构与分析图3-2一个完整的FAT32文件系统的DBR0000

000D

73206F

720000000A5265

206F

7400

0000

006D

6F202000002020BPB3.1FAT32文件系统下的数据恢复3.1.1FAT32文件系统的结构与分析1)跳转指令跳转指令占用2个字节。它将程序执行流程跳转到引导程序处，比如当前DBR

中的

“EB58”,就代表了汇编语言的“JMP58”。

因为计算跳转目标地址是以该指令的下一个字节为基准，所以实际执行的下一条指令应该位于5A。跳转指令的下一条指令是一条空指令NOP(90H)。2)OEM

代号OEM代号占用8个字节。OEM

代号由创建该文件系统的OEM

厂商设定。当前DBR

中的OEM代号为“MSDOS5.0”,说明此FAT32文件系统是由Windows

2000以上的操作系统格式化创建的。偏移地址字段长度/个字节含

义偏移地址字段长度/个字节含

义0BH2每扇区字节数28H2扩展标志ODH1每簇扇区数2AH2版本0EH2DBR保留扇区数2CH4根目录首簇号10H1FAT个数30H2文件系统信息扇区号11H2未用32H2DBR备份扇区号13H2未用34H12保留不用15H1介质描述符40H1BIOS驱动器号16H2未用41H1保留不用18H2每磁道扇区数42H1扩展启动标志1AH2磁头数43H4卷序列号1CH4隐含扇区数47H11卷标20H4分区的扇区总数52H8文件系统类型24H4FAT扇区数3.1FAT32文件系统下的数据恢复3.1.1

FAT32文件系统的结构与分析3)BPBFAT32文件系统的BPB

从DBR

的第12个字节

(OBH)

开始，占用79个字节，记录了有关该文件系统的重要信息。FAT32文件系统的BPB

各字段的含义如表3-1所示。表3-1

FAT32

文件系统的BPB

各字段的含义标题

描述.LNKFLERecordtobe

applied

to

LNK

files

to

extract

futher

data.LNK

FLE

Record

(non-Unicode)

tobeappliedtoLNKfiles

to

extractfuther

data一ExFAT用户文件目录项

LongentryformatExFAT用户文件目录项

用户文件关键目录项exfat引导扇区

EXFAT分区引导扇区Ext2/Ext3节点

包含文件中继信息(节点大小128个字节)Ex2/Ex3目录项

定位特定文件的信息节点Ext2/Ext3组描述定位选块组Ext2/Ext3/Ext4超级选块

应用到偏移地址的一个Ext2/3/4分区的1024=FAT目录项

标准短项格式=FAT引导扇区

FAT12/16文件系统的BPB参数FAT长文件名项长项格式[FAT32引导扇区GPT保护MBF模板GPT磁盘分区表一GPT分区表GPT头备份模板GPT头模板二HFS+B-TreeHeader《FAT32文件系统的BPB参数GPT磁盘分区的保护MBR一次查看所有分区表项FAT32文件系统的DBR模板GPT磁盘分区的分区表，在233号扇区，计32个扇区GPT磁盘分区的GPT头备份分析，最后一个扇区GPT磁盘分区的GPT头分析，1号扇区Tobeappliedto

the

beginning

of

aB-Tree

fle

》新建IN)..

编辑(E)..

删修余(D)..应用[PI关闭(L)3)BPBBPB也可以使用WinHex中

的DBR

模板

来查看。WinHex

的模板管理器提供了FAT32

文件系统的DBR

模板。

打开WinHex

的“模板

管理器”对话框，选

择FAT32文件系统的DBR

模板即可，如图3-3所示。3.1FAT32文件系统下的数据恢复3.1.1FAT32文件系统的结构与分析模板管理器图3-3“模板管理器”对话框Offset

标

题10000p

跳转指令100003

OEM

标志BIOS

繁数块10000B

扇区大小字节扇区)10000D

簇大小(肩区解)10000E

DOS

保留扇区数100010

FAT个数100011

目录项数100013

扇区总数(描述*32M,FAT32不使用)100015

介质描述符100016

FAT大小(FAT32

文件系统不使用)

100018每磁道扇区数(扇区磁通)10001A磁头数255.逻辑值10001C隐含扇区数(从0到DBR的扇区数)100020分区的扇区总数FAT32扇区100024

FAT扇区数(扇区FAT)

100028扩展标志100028FAT

mirroringdisabled?

10002A版本通常为0)10002C

根目录首簇号100030文件系统信息扇区号100032DBR备份扇区号

100034

(保留)100040BIOS设备号HexHD=8×)

100041

(保留)扩展启动标志(29H)100043

卷序列号(十进制)100043

卷序列号(十六进制)卷标100052

文件系统类型3)BPB单击“应用”

按钮后，就可以查看FAT32文件系统的DBR

模板信息，如图3-4所

示

。512834200F80632552048167751683.1FAT32文件系统下的数据恢复3.1.1FAT32文件系统的结构与分析163510002600000000000000000008002942210622355B

4C98FBFAT32FAT32

引导扇区，基本偏移：10000055AAFAT32文件系统的DBR

模板数

值EB

5890MSDOS5.0结束标志(55AA)图3-41001FE13.1FAT32文件系统下的数据恢复3.1.1FAT32文件系统的结构与分析3)BPB(1)OBH～OCH:

每扇区字节数，以记录每个逻辑扇区的大小。在一般情况下，

每个扇区有512个字节。但每个扇区字节数并不是固定值，可以由程序定义，其合

法值包括512、1024、2048和4096等。(2)ODH～0DH:每簇扇区数，以记录FAT32文件系统的簇的大小，即记录每个簇中有多少个扇区。FAT32文件系统最高能支持128个扇区的簇。在FAT32文件系统中，所有的簇均从2开始进行编号，每个簇拥有一个自己的地址编号，且所有的簇都位于数据区内，在数据区之前是没有簇的。3.1FAT32文件系统下的数据恢复3.1.1FAT32文件系统的结构与分析3)BPB(3)OEH～OFH:DBR

保留扇区数。

DBR

保留扇区数是指DBR

本身占用的扇区数

及其后保留扇区数的总和，也就是DBR

到FATI之间的扇区总数，或者说是FATI的开始

扇

区

号

。对于FAT32文件系统来说，

DBR

保留扇区数的取值范围是32～38。(4)10H:FAT

个数。FAT个数描述了在FAT文件系统中存在着几个FAT,一

般

在

FAT文件系统中都有两个FAT。(5)11H～12H:未用。这两个字节在FAT16文件系统中用来表示FDT最大能容

纳的目录项数。因FAT32文件系统没有固定的FDT,所以不使用这个参数。3.1FAT32文件系统下的数据恢复3.1.1FAT32文件系统的结构与分析3)BPB(6)13H～14H:未用。这两个字节在FAT16文件系统中用来表示小于32MB分

区的扇区总数。因FAT32文件系统的分区总是大于32MB,

所以不使用这个参数。(7)15H:

介质描述符。介质描述符是描述磁盘介质的参数，

一般会根据磁盘

性质的不同取不同的值。(8)16H～17H:未用。这两个字节在FAT16文件系统中用来表示每个FAT包含的

扇区数，但在FAT32文件系统不使用这个参数。(9)18H～19H:

每磁道扇区数。这是逻辑C/H/S中的一个参数，其值一般为63。(10)1AH～1BH:磁头数。这是逻辑C/H/S中的一个参数，其值一般为255。3.1

FAT32文件系统下的数据恢复3.1.1FAT32文件系统的结构与分析3)BPB(11)1CH～1FH:隐含扇区数。隐含扇区数是指在本分区之前使用的扇区数，

与分区表中所描述的该分区的起始扇区号一致。对于主磁盘分区来讲，隐含扇区数

是MBR到该分区DBR间的扇区数；对于扩展分区中的逻辑驱动器来讲，隐含扇区数

是EBR到该分区DBR

间的扇区数。(12)20H～23H:分区的扇区总数。分区的总扇区数也就是FAT32文件系统分

区的大小。(13)24H～27H:FAT

扇区数。这4个字节用来记录FAT32文件系统分区中每个

FAT占用的扇区数。(14)28H～29H:扩展标志。这两个字节用于表示FAT2是否可用，当将其二进

制数最高位置1时，表示只有FAT1可用，否则FAT2也可用。3.1FAT32文件系统下的数据恢复3.1.1FAT32文件系统的结构与分析3)BPB(15)2AH～2BH:

版本。这两个字节通常都为0。(16)2CH～2FH:根目录首簇号。分区在被格式化为FAT32文件系统时，格式

化程序会在数据区中指派一个簇作为FAT32文件系统的根目录区的起始点，并把该

簇号记录在BPB中。在通常情况下，数据区的第1簇(也就是2号簇)被分配给根目

录使用

。(17)30H～31H:

文件系统信息扇区号。(18)32H～33H:DBR

备份扇区号。FAT32文件系统在DBR的保留扇区中设定了

一个DBR的备份，一般在6号扇区，也就是分区的第7个扇区。该备份扇区与原DBR的

内容完全一样，如果原DBR遭到破坏，可以使用备份扇区进行修复。3.1FAT32文件系统下的数据恢复3.1.1

FAT32文件系统的结构与分析3)BPB(19)34H～3FH:

保留不用。这12个字节一般保留不用。(20)40H:BIOS

驱动器号。这是BIOS的INT

13H所描述的设备号码，一般把硬

盘定义为8×H。(21)41H:保留不用。这个字节保留不用，为0。(22)42H:扩展启动标志。扩展启动标志可以用来确认后面的3个参数是否

有效，

一般值为29H。(23)43H～46H:卷序列号。卷序列号是格式化程序在创建文件系统时生成

的一组4个字节的随机数值。3.1FAT32文件系统下的数据恢复3.1.1

FAT32文件系统的结构与分析3)BPB(24)47H～51H:卷标。卷标是用户在创建文件系统时指定的一个卷的名称。

Windows

98之前的系统把卷标记录在这个地址处，Windows

2000之后的系统已经不

再使用这个地址记录卷标，而是由一个目录项来管理卷标。(25)52H～59H:文件系统类型，是BPB的最后一个参数，直接用ASCII记录当

前分区的文件系统类型。3.1FAT32文件系统下的数据恢复3.1.1

FAT32文件系统的结构与分析4)引导程序FAT32文件系统的DBR引导程序占用420个字节(5AH～1FDH)

。在Windows98之前的系统中，引导程序负责完成DOS3个系统文件的装入；在Windows2000之后的系统中，其负责将系统文件NTIDR装入。对于没有安装操作系统的分区来说，引导程序没有用处。5)结束标志DBR

的结束标志与MBR、EBR的结束标志相同，为“55AA”。3.1

FAT32文件系统下的数据恢复3.1.1

FAT32文件系统的结构与分析3.FAT32

文件系统的FAT分析1)FAT

的作用及结构特点(1)FAT32文件系统的FAT也是由FAT项构成的。每个FAT项的大小为32位(相当于

4个字节)。(2)虽然FAT32文件系统的FAT项为32位，但是Windows系统只能用到26位。26位

的FAT项最多可管理67108863个簇。(3)Windows

2000之后的系统能管理的簇的大小可以达到128个扇区

(64KB)。(

4

)

在FAT32文件系统的FAT中，未使用的簇对应的FAT项用“00000000”这4个

字节表示；

一个已分配的簇号对应的FAT项的取值范围是十六进制“00000002

~OFFFFFFE”;

在十六进制

“OFFFFFF0～0FFFFFF6”范围间的取值是保留的；坏簇对

应的FAT项用“OFFFFFF7”这4个字节的十六进制数表示；文件结束簇对应的FAT项

的取值范围是十六进制“OFFFFFF8～0FFFFFFF”,一般取“OFFFFFFF”,

按照Little-

Endian的字节序来写就是“FFFFFFOF”。3.1FAT32文件系统下的数据恢复3.1.1

FAT32文件系统的结构与分析2)FAT

的实际应用下面模拟操作系统定位FAT32文件系统FAT的方法。操作系统定位FAT1的方法如下。(1)系统通过该分区的分区表信息，定位到其DBR扇区。(3)读取

HDOR保移数的参数的堡眉扇跳数到惨数区的剪傅扇B8,这里

就是FAT1的开始。3.1FAT32文件系统下的数据恢复3.1.1

FAT32文件系统的结构与分析下面就具体分析38号扇区的数据结构。该分区是刚格式化的一个分区。当把分区格式化为FAT32文件系统时，格式化程

序会把分配给FAT的所有扇区都清零，然后写入0号FAT项和1号FAT项。FAT1的内容如图3-5所示。Offset〔0号FAT项3

_1号FAT项7(2号FAT项B13号FAT项F/②J000004000000004010000004020000004030000004040000004050000004060000004070F8FF

FF

OF

FF

FF

FF

FF

FF

FF

FF

OF!FF

FF

FF

0Fayy

yyyyyyyyyyyyy

yyyFF

FF

FF

OF

FF

FF

FF

OF000000000000

0000014号FAT项0005号FAT项000000000000000000000000000000000000

00

00

00

00

00000000

00

00

0000

00000000

00

00

00

00

000000A₈

AA0000000000000000000000

00

00

00

00

000000

00

00

00

00

00

0000

00000000008

0000000

0000

0000

00000000A₈00

0000

0000

00图3-5FAT1的内容人人人03.1FAT32文件系统下的数据恢复3.1.1FAT32文件系统的结构与分析从图3-5中可以看出，每个FAT项占用4个字节，其中0号FAT项描述介质类型，其首字节为

“F8”,表示介质类型为硬盘；1号FAT项为肮脏标志；2号FAT项为结束标

志，从DBR

的BPB中可以看到根目录的首簇号是2,而2号簇对应的2号FAT项是一个结

束标志，说明目前根目录只占一个簇；从5号FAT项开始之后都是空FAT项，表示它们对应的簇为可用簇。OffsetC0号FAT项3

1号FAT项

7

(2号FAT项

BF8

FF

FF

OF

FF

FF

FF

FF3号FAT项

F②J000004000000004010000004020000004030000004040000004050000004060000004070FF

FF

FF

OF

FF

FF

FF

OF

000

F00FF

FF

OF

00

0

00

00ayyyyyyyyy

yyyyyy

yyy000000000000

0000

0000000000

0000

00

000000

00

00

00

00

000000

00

00

00

00

0000

000000

000000

00

0000

00

0000〔

000000000000000000000000A8OFF0FF0F014号FAT项0005号FAT项00000000000000000000

00

0000

000000000000

00

00

00

000000000000000000

0000图3-5FAT1的内容0

人3.1FAT32文件系统下的数据恢复3.1.1FAT32文件系统的结构与分析操作系统定位FAT2的方法如下。操作系统通过该分区的分区表信息，定位到其DBR扇区。读取DBR的OEH—0FH偏移地址，得到

“DBR保留扇区数”的值为38。读取DBR

的24H—27H偏移地址，得到“每个FAT扇区数”的值为561。用“DBR保留扇区数”的值加上“每个FAT扇区数”的值，结果等于599,跳转

到该分区的599号扇区，这里就是FAT2的开始。FAT2跟FAT1的内容完全一样。FAT2的

内容如图3-6所示。Of

fset0

1

2

3

45

67

89

A

B

CD

E

FJr000803000000803010000803020000803030000803040000803050000803060000803070nnnan3n8nF8

FF

FF0F

FF

FF

FF

FFFF

FF

FF0F

FF

FF

FF0F00

00

0000

0000

00

000000

00

00

00

00

000000

000000

000000000000

0000

00

0000000000000000000000FF

FF

FF0F

FF

FF

FF

OF00

00

0000

0000

000000

00

0000

00000000000000

00

00

00000000

0000

000000000000

000000

00

00

00000000000000000000ayyyyyyyyy

yyyyyy

yyy0000

000000000000

0000000000000000图3-6FAT2的内容nn

nn

nn

nn

nn

nn

nn

nn

nn

nn

nn

nn

nn

nn

nn

nn3.1

FAT32文件系统下的数据恢复3.1.1FAT32文件系统的结构与分析除了0号FAT项和1号FAT项以外，如果一个FAT项为非零值，那么可能有以下3种

情况。(1

)

该FAT项映射的簇是一个不可用的坏簇，在该FAT项中有坏簇标志(对于FAT32来说为“OFFFFFF7”)。(

2

)

该FAT项映射的簇是某个文件的最后一个簇，在该FAT项中有结束标志(对

于FAT32来说为“OFFFFFFF”)。(

3

)

该FAT项映射的簇被某个文件占用，但并不是文件的最后一个簇，在该FAT项中有文件下一个簇的簇号。3.1FAT32文件系统下的数据恢复3.1.1FAT32文件系统的结构与分析举例来说，假设某个文件被分配到数据区的3、4、5这3个簇中存放，3号簇会在该文件的目录项中被记录，4号簇和5号簇则在FAT表中被记录，而记录的方法是

在3号簇所映射的3号FAT项中记录簇号“4”,在4号簇所映射的4号FAT项中记录簇

号“5”,在5号簇所映射的5号FAT项中记录结束标志“OFFFFFFF”。FAT项实例如图

3-

7所示。Offset0

1

23

4

5

6

7

8

9

AB

C

D

E

F2J000004000000004010000004020000004030000004040000004050000004060000004070000004080000004090F8FF

FF

OFFF

FF

FF

FFFFFFFFOFFF

FF

FF

OF

00

0000000000

00000000a0_000000yo0_00004号FAT项J00L5号FAT项J0FF

FF

FFOFFF

FF

FF

OF

0000

0000

00000000000000000000.000000000000

3号FAT项

00

00000000

UUUUuu

00eyyyyyyyyy

yyyyyy

yyy00

0000000000000000

0000000000000000

00

00

00

0000000000

000000

00

00000000

000000000000000000000000000000000000

0000000000000000

0000

00

0000000000

00000000000000000000000000图3-7

FAT项实例3.1FAT32文件系统下的数据恢复3.1.1FAT32文件系统的结构与分析此处的数值字节序为

“Little-Endian”,比如3号FAT项中的值从高位往低位读取应该是“00000004”

,也就是十进制数“3”。那么如何定位每个FAT项在FAT中的偏移地址呢?这个很简单，在FAT32文件系统中，每个FAT项占用4个字节，所以只要把FAT项号乘以4,得到的结果就是该FAT项在FAT中的起始偏移地址。例如，要想知道100号FAT项在FAT中的偏移地址，就用100乘以4得到结果400,从FAT的起始位置算起的400号偏移地址就是100号FAT项在FAT中

的起始偏移地址。另外，也可以用WinHex

方便地找到每个FAT项的起始地址，在菜单栏中，选择“位置”→

“转至FAT记录”命令就可以实现这个功能。3.1FAT32文件系统下的数据恢复3.1.1

FAT32文件系统的结构与分析4.FAT32

文件系统的数据区分析1)数据区的位置FAT32文件系统的数据区是紧跟在FAT2之后的。下面模拟操作系统定位数据区的方法。这里以图3-2中的DBR

所在分区为例，介绍操作系统定位数据区的方法如下。(1)系统通过该分区的分区表信息，定位到其DBR扇区。(2)读取DB

R的OEH—OFH偏移地址，得到“DBR保留扇区数”的值为32。(3)读取DBR的24H—27H偏移地址，得到“每个FAT扇区数”的值为16376。(

4

)

用

“DBR保留扇区数”的值加上2倍的“每个FAT扇区数”的值，结果等于

32784

,跳转到该分区的32784号扇区，这里就是数据区的起始位置。3.1FAT32文件系统下的数据恢复3.1.1

FAT32文件系统的结构与分析2)数据区的内容FAT32文件系统数据区的内容主要由3部分组成：根目录、子目录和文件内容。在数据区中，操作系统是以“簇”为单位来管理这段空间的，第一个簇的编号为

“2”。根据该例子中DBR

的BPB记录的“根目录首簇号”为2,可以确定2号簇被分

配给了根目录。通过模拟操作系统定位数据区的方法，可以确定数据区开始于分区的1160号扇区。1160号扇区的内容如图3-8所示。每簇字节数空余簇簇总数：每扇区字节数可用扇区：数据扇区起始位置

物理磁盘：16,3842,096,0592,096,06351267,074,0163278420010020000010020100010020200010020300010020400010020500010020600010020700010020800010020900010020A00010020B04220

0049006E

0066

006F

00OF007272

006D

00

61

0074006900

6F

0000006E

0000

0001

53

00

7900

730074

0065

000F

00726D00

20

00

56

006F

006C00

750000

006D0065

00

53

59

53

54

45

4D

7E

31

2020

20

160073117FF5

4C

F5

4C

00

00

12

7F

F54C

03

00

00

00

00

00

00

00

00

00

00

000000

0000

000000

00

00

0000

00

00

00000000000000

000000

0000

00

00

00

00

00000000000000000000

00

0000

00

00

00

00000000000000000000

00

0000

00

00

00

0000000000000000000000000000i

00

0000000000000000000000000000B

Inforrmati0

nS

y

ste

rmV

o1

u

me

SYSTEM~1

s

δLoL

L显示时区：

original模式

十六进制字符集ANSIASCII偏移地址：十六进制每页字节数：

32x16=512当前窗口：2客区32784/67106816偏移地址：1002000=66图3-81160号扇区的内容每簇字节数：空余簇：簇总数：每扇区字节数：可用扇区数据扇区起始位置：物理磁盘：显示时区：模式：字符集偏移地址每页字节数：当前实门16,3842,096,0562,096,06351267,074,016327842original十六进制ANSIASCII十六进制32x16=5120010020000010020100010020200010020300010020400010020500010020600010020700010020800010020900010020A00010020B00010020C042200049006E

0066

006F

00

OF

007272006D006100740069006F

0000006E

0000000153007900730074

006500

OF

00

72

6D00200056006F006C

00

7500

00

00

6D

00

65

0053

59

53

54454D

7E

31

2020

20

16

00

73

11

7F

220202

F54C

03

001

00

F5

4C

F54C

0000928E

F54C

080005

00000024

52454359434C

4542494E

1600

26

8C

8E

F54C

F54C

00008D

8E

F54C

060000

000000

0000000000000000

0000000000

000000

0000000000000000000000000000

000000000000000000000000000000000000B

I

n

fm

ati0S

y

sVo1uSYSTEM~1ōLδL

δLFAT32

TXTδLδL

'lōLSRECYCLEBINōLǒL

lõLo

rrnte

rmm

eS1I&I1扇区32784/67106816

28E00C080007000545854200000127F3334C455F414C46F53.1FAT32文件系统下的数据恢复3.1.1FAT32文件系统的结构与分析在分区的根目录项中存入文件，数据区就有数据了。现在在该分区下存入一个文件，再查看数据区的2号簇，如图3-9所示。34,358,b89,/92字节偏移地址：1002060=70图3-9存入数据后的2号簇3.1

FAT32文件系统下的数据恢复3.1.1FAT32文件系统的结构与分析5.FAT32

文件系统的目录项分析在FAT32文件系统中，分区根目录下的文件及文件夹的目录项存放在根目录区中；分区子目录下的文件及文件夹的目录项存放在子目录区中；根目录区和子目录区都在数据区中。FAT32文件系统的目录项与FAT16文件系统的目录项一样，都可以分为短文件名目录项、长文件名目录项、“.”目录项和“..”目录项、卷标目录项4类。在FAT32文件系统的4类目录项中，只有文件名目录项的结构跟FAT16文件系统的稍有区别，其他3类都完全一样，所以本节就不再重复讲解文件名目录项、目录项和录项及卷标目录项的具体结构了偏移地址字段长度/含

义00H8主文件名08H3文件扩展名OBH1文件属性00000000(读/写)00000001(只读)00000010(隐含)00000100(系统)00001000(卷标)00010000(子目录00100000(存档)3.1FAT32文件系统下的数据恢复3.1.1

FAT32文件系统的结构与分析FAT32文件系统的短文件名目录项各字段的含义如表3-2所示。表3-2

FAT32文件系统的短文件名目录项各字段的含义偏移地址字段长度/个字节含

义OCH1未用ODH1文件创建时间精确到10msOEH2文件创建时间，包括时、分、秒10H2文件创建日期，包括年、月、日12H2文件最近访问日期，包括年、月、日14H2文件起始簇号的高位16H2文件修改时间，包括时、分、秒18H2文件修改日期，包括年、月、日1AH2文件起始簇号的低位1CH4文件大小(以字节为单位)3.1FAT32文件系统下的数据恢复3.1.1FAT32文件系统的结构与分析FAT32文件系统的短文件名目录项各字段的含义如表3-2所示。表3-2FAT32文件系统的短文件名目录项各字段的含义(续表)3.1

FAT32文件系统下的数据恢复3.1.1FAT32文件系统的结构与分析将光标放在目录项的第一个字节上，然后打开WinHex中FAT32

文件系统的短文件名目录项的模板，如图3-10所示。Offset

标题

数值FAT32TXT200010000046162018-07-2117:52:2472018-07-2109:39:422018-07-2117:52:360000080085文件名(空格填充)扩展名(空格填充)0F=LFN项属性(-?-a-dir-vol-s-h-r)

00=

从未使用，E5=已删除

(保留)创建时间，精确到10ms

创建时间创建日期(无时间!)更新时间起始簇号(高位.Hex)起始簇号(低位.Hex)起始簇号(低位.十进制)

文件大小字节](0为目录)10020601002068100206B100206B

1002060100206C100206D100206E100207010020761002074100207A100207A

100207C图3-10

短文件名目录项的模板3.1FAT32文件系统下的数据恢复3.1.1FAT32文件系统的结构与分析(1)00H～07H:文件名。文件名共占8个字节。如果文件名用不完8个字节，

后面用空格(十六进制数为20H)填充。在当前例子中文件名为“SYSLOG”(2)08H～0AH:扩展名。扩展名共占3个字节，对于文件夹来说，如果没有扩

展名，则这3个字节用空格填充。在当前例子中扩展名为

“TXT”。(3)OBH:

属性。属性占1个字节，可以表示文件的各种属性，表示的方法是

按二进制位定义，最高两位保留未用，0～5位分别是只读位、隐含位、系统位、卷

标位、子目录位和存档位。(4)OCH:保留未用。(5)ODH:

创建时间精确到10ms。

文件被创建的时间精确到10ms

的值一般用

该字节进行表示。在当前例子中该值为“01H”,换算成十进制数即为1,所以文件

的创建时间为10ms,

也就是0.01s。3.1FAT32文件系统下的数据恢复3.1.1

FAT32文件系统的结构与分析(6)OEH～0

FH:创建时间。这是文件创建的时、分、秒的数值，

一般用16位

二进制数记录文件创建时间。时、分、秒3部分的表达方法如下。①0～4位：这5位记录“秒”值，将此值乘以2即是文件创建时间实际的“秒”

值，其取值范围是0～29。②5～10位：这6位记录“分”值，其取值范围是0～59。③11～15位：这5位记录“时”值，其取值范围是0～23。(7)10H～11H:创建日期。这是文件创建的年、月、日的数值，用16位二进制

数记录文件创建日期，年、月、日3部分的表达方法如下。①0～4位：这5位记录“日”值，其取值范围是1～31。②5～8位：这4位记录“月”值，其取值范围是1～12。③9～15位：这7位记录“年”值，因为其值是从1980年开始计数的，所以必须

加1980才能得到正确的年份，其取值范围是0～127。3.1FAT32文件系统下的数据恢复3.1.1

FAT32文件系统的结构与分析(8)12H～13H:访问日期。这是文件最后访问的年、月、日的数值，表达方

法与创建日期一致。(9)14H～15H:起始簇号(高位，Hex)。

这两个字节作为文件起始簇号的高

位使用。当前例子中该值为“0002H”。(10)16H～17H:更新时间。这是文件最后修改的时、分、秒的数值，用16位

二进制数记录文件最后修改时间。其表达方法与创建时间一致。(12)1AH～1BH:起始簇号(低位，

Hex)。

这两个字节作为文件起始簇号的

低位使用。当前例子中该值为“1003H”。(13)1CH～1FH:文件大小。文件大小占用4个字节，记录着文件的总字节数。当前值为“OAHE1H”,

换算成十进制数即为2785,说明文件大小为2785个字节。3.1FAT32文件系统下的数据恢复3.1.1

FAT32文件系统的结构与分析6.FAT32

文件系统根目录与子目录的管理1)根目录的管理FAT32文件系统统一在数据区的根目录中为文件创建目录项，并由FAT为文件的内容分配簇来存放数据。而根目录的首簇由格式化程序进行指派，并把指派的簇号记录在DBR的BPB中。如果根目录下的文件数目过多，这些文件的目录项在根目录的首簇存放不下，

FAT就会为根目录分配新的簇来存放根目录下文件及文件夹的目录项

。2)子目录的管理FAT32文件系统的根目录、子目录及数据都是存放在数据区的3.1FAT32文件系统下的数据恢复3.1.2从FAT32文件系统中提取数据要想从FAT32文件系统中提取数据，就要先找到根目录。下面就以“I”盘中的“WinHex快捷键”文件为例来了解从FAT32文件系统中提取数据的步骤。

“I”盘如图3-11所示。“WinHex快捷键”文件如图3-12所示。娱

乐(H:)

本地磁盘(l:)152GB可用，共276GB

31.9GB可用，共31.9GB图3-11“I”

盘>此电脑>本地磁盘(I:)

U搜索"本地磁盘(I:)"

P名称winhex快捷键修改日期2017/12/620:11类型

大小Microsoft

Word…

2,251KB图3-12

“WinH

ex快捷键”文档3.1FAT32文件系统下的数据恢复3.1.2从FAT32文件系统中提取数据首先，用WinHex

打开“I”盘，如图3-13所示。编辑磁盘(D:),HDO二

(E:),HD¹一文档(G:),HD1一娱

乐

(H:),HD1(I:),HD2物理驱动器HDO:TOSHIBA

Q200

EX

M2(224

GB,SATA)D¹:HGSTHTS541010B7E610(0.9

TB,SATA)确定[0]

取消A)

帮

助(H)图3-13打开

“I”

盘Offset01

23

4

5

6

7

8

9

A

B

C

D

E

F/^0000001500000001600000001700000001800000001900000001A00000001B00000001C00000001D00000001E00000001F088

5C

08

FEC4B28050

CB

81C60006

AC

B1

OF

E2

FC

496E6974

696F

6E

205461

6E

67

206F

706572617465

6D

4641544E

00

0000000000000021

00OC

FE

FF

FF

0000000000000000CD

13

61

33

CO

50

B8

00

7CBB

0

数据解释器7661

68Bit(+/-):016

Bit(+/-):2048732

Bit(+/-):204854

46530100000000006075E8F1000080200008000000F8FF

0300000000000000000000|I

\

pIJÍ|

a

3ÅP,fao×

id

PartleMissiing

systemFATNTFS'uen

I!

pyy

oyUa00000000000000000000000000000000000000000000000000000000000055

AA3.1FAT32文件系统下的数据恢复3.1.2从FAT32文件系统中提取数据分区表图如3-15所示，可以看到DBR

是在2048号扇区中。图3-15分区表6硬盘2分区类型：MBR文件名称扩展名文件大小创健时间修改时间访品分区1

FAT32

34,358,689…起始扇区1,048,576Offset0

1

2

3

4

5

6

7

8

9

A

B

C

D

E

F^000000000000000010000000020000000030000000040000000050000000060nnnnnnn7n33C08E

DO

BC

007C

FB

5007501F

FC

50

BE

00

7CBF0006B90002F3A4BF

1E

0657CB

33

DB33

D2

BD

0006

BE

BE

07

B104

F60480750E

83C610E2

F6

BE

7401

B91700

E925018B

D652

BE

74018912B80042

BE

7B

0103

F556

B110

C6040046

E2

FA

5E

8B

FA

C60410

FE

4402

C6

44057C

8B

5D

08895C

088B

5D

OA

895C

OA

B2

Rncn

13RF

FF

7n

813055

△△

74

na

RF

RR

01

Ra3À†Đ4

|ûP

P

ûP%

1216

WE30

30/2

3/4

±

0.1

|u|

E

åöät

1

é%

IÖR

名t

1

,

B

K{8

V±E

Faú^lúE

pD

ED

|1]I

l]

I

2

if

3h1

/TTa+3113.1FAT32文件系统下的数据恢复3.1.2从FAT32文件系统中提取数据打开

“I”

盘

后，“I”

盘中的MBR扇区如图3-14所示。图3-14“I”盘中的MBR扇区◎逻辑(L):

扇区：

2048○物

理(P):

柱

面

磁

道

：

0

磁头(H)/面

：

163

扇区：

4确定(0)

取

消(A)图3-16跳转到2048扇区3.1FAT32文件系统下的数据恢复3.1.2从FAT32文件系统中提取数据跳转到2048扇区，如图3-16所示。跳至扇区

XOffset01

2

34

5

6

7

8

9

AB

C

D

E

F0001000000001000100001000200001000300