www.黄片视频在线播放,欧美精品日韩精品一级黄,成年男女免费视频网站,99久久久国产精品免费牛牛四川,99久久精品国产9999高清,乱人妻中文字幕视频4399,亚洲男人在线视频观看

exFAT文件系統(tǒng)解析及其數(shù)據(jù)恢復(fù)原理探究

發(fā)布時間:2019-08-06 來源: 短文摘抄 點(diǎn)擊:


  摘要:作為針對移動存儲設(shè)備開發(fā)的新一代的文件系統(tǒng),exFAT文件系統(tǒng)正在被愈來愈廣泛應(yīng)用。該文第一部分對exFAT文件系統(tǒng)做了介紹,包括exFAT文件系統(tǒng)的由來、優(yōu)點(diǎn)以及DBR及其保留區(qū)、FAT、簇位圖等系統(tǒng)結(jié)構(gòu)內(nèi)容;第二部分結(jié)合實(shí)例,對exFAT文件系統(tǒng)的文件刪除進(jìn)行了分析,并提出了恢復(fù)原理。
  關(guān)鍵詞:exFAT;文件系統(tǒng);數(shù)據(jù)恢復(fù)
  中圖分類號:TF391 文獻(xiàn)標(biāo)識碼:A 文章編號:1009-3044(2015)18-0073-02
  隨著信息時代的高速發(fā)展,人們對信息依賴性的提高,信息量爆炸式增長,以數(shù)據(jù)為載體的信息安全越來越受到人們的重視。人們在享受信息所帶來方便的同時,也發(fā)現(xiàn)了數(shù)據(jù)丟失所帶來的風(fēng)險。在工作生活中,由于誤操作、病毒人侵、硬件故障、黑客攻擊等多種原因?qū)е聰?shù)據(jù)被破壞或丟失,一旦重要數(shù)據(jù)被破壞或丟失,就會對個人、企業(yè)造成重大的影響,甚至是難以彌補(bǔ)的損失。而近年來,可移動存儲設(shè)備的發(fā)展、普及迅猛,為適應(yīng)電腦終端與移動設(shè)備互操作能力而生的exFAT文件系統(tǒng)正被廣泛應(yīng)用。在數(shù)據(jù)恢復(fù)研究領(lǐng)域,國內(nèi)研究較多的是基于FAT32文件系統(tǒng)和NTFS文件系統(tǒng)的數(shù)據(jù)恢復(fù),針對exFAT文件系統(tǒng)的數(shù)據(jù)恢復(fù)研究尚少。針對這一需求,本文將對exFAT文件系統(tǒng)進(jìn)行解析,并針對exFAT文件系統(tǒng)數(shù)據(jù)恢復(fù)技術(shù)的原理進(jìn)行探究。
  1.exFAT文件系統(tǒng)解析
  1.1exFAT文件系統(tǒng)的誕生
  exFAT(ExtendedFileAllocationTableFileSystem,擴(kuò)展FAT)是Microsoft在WindowsEmbeded5.0以上(包括WindowsCE5.0、6.0、WindowsMobile5、6、6.1)中引入的一種適合于閃存的文件系統(tǒng)。傳統(tǒng)的FAT文件系統(tǒng)能夠管理的空間有限,而NTFS文件系統(tǒng)又不適合使用在閃存介質(zhì)上(NTFS文件系統(tǒng)是日志式文件系統(tǒng),需要記錄詳細(xì)的讀寫操作,不斷的讀寫對閃存芯片損耗較大)。為了解決這些問題,微軟推出了exFAT文件系統(tǒng)。
  1.2exFAT文件系統(tǒng)的優(yōu)點(diǎn)
  1)增強(qiáng)了臺式電腦與移動設(shè)備的互操作能力;
  2)單文件理論大小最大可達(dá)16EB(16x1024x1024TB);
  3)簇大小可高達(dá)32MB;
  4)采用了剩余空間分配表,剩余空間分配性能改進(jìn);
  5)同一目錄下最大文件數(shù)可達(dá)2,796,202個;
  6)支持訪問控制;
  7)支持TFAT。
  1.3exFAT文件系統(tǒng)結(jié)構(gòu)總覽
  exFAT文件系統(tǒng)由DBR及保留扇區(qū)、FAT、簇位圖文件、大寫字符文件、用戶數(shù)據(jù)區(qū)五個部分組成。
  1)DBR及其保留扇區(qū)
  DBR的全稱為DOSBootRecord,含義是DOS引導(dǎo)記錄,也稱為操作系統(tǒng)引導(dǎo)記錄。在DBR之后往往有一些保留扇區(qū),其中12號扇區(qū)為DBR的備份。exFAT文件系統(tǒng)的DBR由6部分組成,分別為跳轉(zhuǎn)指令、OEM代碼、保留扇區(qū)、BPB參數(shù)、引導(dǎo)程序和結(jié)束標(biāo)志。
  2)FAT
  FAT的全稱為FileAllocationTable,含義是文件分配表。exFAT文件系統(tǒng)一般只有一份FAT,它們由格式化程序在對分區(qū)進(jìn)行格式化時創(chuàng)建。FAT表是由FAT表項(xiàng)(簡稱FAT項(xiàng))構(gòu)成的,exFAT的每個FAT項(xiàng)由4字節(jié)(即32位)構(gòu)成。FAT項(xiàng)編號從0開始,F(xiàn)AT表的前兩個FAT項(xiàng)有專門的用途,0號FAT項(xiàng)通常用來存放分區(qū)所在的介質(zhì)類型,1號FAT項(xiàng)一般都是4字節(jié)的“FF”。分區(qū)的數(shù)據(jù)區(qū)中的每一個簇都會映射到FAT表中的唯一一個FAT項(xiàng),exFAT文件系統(tǒng)FAT表的功能主要是登記不連續(xù)存儲的文件的簇鏈。
  3)簇位圖文件
  簇位圖文件是exFAT文件系統(tǒng)中的一個元文件,用來管理分區(qū)中簇的使用情況。簇位圖文件中的每一個位,映射到數(shù)據(jù)區(qū)中的每一個簇。如果某個簇分配給了文件,該簇在簇位圖文件中對應(yīng)的位就會被填入“1”,表示該簇已經(jīng)占用;如果沒有使用的空簇,它們在簇位圖文件中對應(yīng)的位就是“0”。
  4)大寫字符文件
  大寫字符文件是exFAT文件系統(tǒng)中的第二個元文件,類似于NTFS文件系統(tǒng)中的元文件$UpCase,Unicode字母表中的每一個字符在這個文件中都有一個對應(yīng)的條目,用于比較、排序、計算Hash值等方面。大寫字符文件固定大小為5836字節(jié)。
  5)用戶數(shù)據(jù)區(qū)
  用戶數(shù)據(jù)區(qū)是exFAT文件系統(tǒng)的主要區(qū)域,用來存放用戶的文件及目錄。
  1.4exFAT文件系統(tǒng)的目錄項(xiàng)
  分區(qū)中的每個文件及文件夾(也稱為目錄)都被分配多個大小為32字節(jié)的目錄項(xiàng),用以描述文件及文件夾的名稱、屬性、大小、起始簇號和時間、日期等信息。exFAT文件系統(tǒng)目錄項(xiàng)的第一個字節(jié)用來描述目錄項(xiàng)的類型,剩下的31個字節(jié)用來記錄文件的相關(guān)信息,不同類型的目錄項(xiàng)結(jié)構(gòu)也不一樣,類型包含0x81,0x82,0x83,0x85,OxCO,OxCl。
  1)$Bitmap存儲簇的使用情況,極大地降低了分配磁盤空間時需要處理的數(shù)據(jù)量,加快了分配速度。FAT表不再用來代表空間使用情況,而僅用來存儲簇鏈接信息。當(dāng)文件在磁盤上的存儲空間連續(xù)時,其簇鏈接信息也不再寫入FAT表,減少了寫人數(shù)據(jù)的操作。
  2)$CharUpperTable文件是用于轉(zhuǎn)換字符大小寫的,和NT—FS中的$UpCase文件類似。
  3)0xC0跟在0x85類型的目錄項(xiàng)之后,存儲部分文件屬性信息。
  4)0xCl跟在0xC0類型的目錄項(xiàng)之后,存儲部分文件屬性信息。
  2.exFAT文件系統(tǒng)數(shù)據(jù)恢復(fù)原理
  2.1刪除文件分析
  此處以一實(shí)例了解在exFAT文件系統(tǒng)中,文件被刪除前后的變化。在以exFAT作為文件系統(tǒng)的u盤里創(chuàng)建一個文本文檔“課程論文TEST-2.txt”。
  在WinHex先查看其目錄項(xiàng)和數(shù)據(jù)區(qū),然后將其刪除后,再次使用WinHex進(jìn)行查看。在文件“課程論文TEST-2.txt”被刪除后,其在WinHex里面查看時文件名前的圖片變?yōu)椤?”。在目錄?xiàng)里只是每個目錄項(xiàng)的首字節(jié)發(fā)生了變化,由原來的“85H”、“”COH、“C1H”改變?yōu)椤?5H”、“40H”、“41H”,其它字節(jié)沒有任何變化,文件的起始簇號、大小、文件名這些關(guān)鍵信息都完好地存在。在數(shù)據(jù)區(qū),該文件刪除前后沒有變化。
  2.2數(shù)據(jù)恢復(fù)原理分析
  從刪除文件分析可以看出,在exFAT中,文件被刪除后,沒有新的數(shù)據(jù)存儲,或者新的數(shù)據(jù)存儲對被刪除后的目錄項(xiàng)、數(shù)據(jù)區(qū)沒有影響的情況下,被刪除的文件只是在目錄項(xiàng)進(jìn)行了變動,該文件可以很容易的被修復(fù)。即便是新的數(shù)據(jù)存儲把被刪除的目錄項(xiàng)占用了,而數(shù)據(jù)區(qū)未被占用,通過不同文件類型的特征,確定了文件數(shù)據(jù)區(qū)的位置,一般文件任然可以恢復(fù)。在進(jìn)行數(shù)據(jù)恢復(fù)時,需要對被刪除文件的目錄項(xiàng)進(jìn)行修改或重構(gòu)。對于不能夠完整恢復(fù)的刪除文件,殘留數(shù)據(jù)區(qū)可能包含用戶感興趣的信息,則以十六進(jìn)制的形式提取出文件殘留數(shù)據(jù)區(qū)的內(nèi)容,從中獲取敏感信息。
  3.結(jié)論
  通過對exFAT文件系統(tǒng)的分析,可以看出,該文件系統(tǒng)與FAT32系統(tǒng)有很高的相似度,但是又有許多FAT32文件系統(tǒng)無法比及的優(yōu)點(diǎn)。在文中通過實(shí)驗(yàn)的方法,觀察刪除文件前后文件目錄項(xiàng)和數(shù)據(jù)區(qū)的變化,分析了exFAT文件系統(tǒng)下文件刪除后恢復(fù)的原理。在實(shí)踐中,可以使用EasyRecovery等軟件進(jìn)行恢復(fù)。但在本文實(shí)驗(yàn)中使用的文件為一個僅20B大小的文件,故而只涉及到文件連續(xù)存儲的恢復(fù)情況,在這種情況下,文件的刪除不會對FAT表有任何的操作。如果文件是碎片式存儲的,文件刪除后FAT表將可能被破壞,這樣數(shù)據(jù)恢復(fù)起來的難度更大。

相關(guān)熱詞搜索:探究 文件系統(tǒng) 數(shù)據(jù)恢復(fù) 解析 原理

版權(quán)所有 蒲公英文摘 www.91mayou.com