数据恢复实验

### 数据恢复实验报告 #### 实验一：使用WINHEX查看MBR及虚拟MBR 在本实验中，我们通过使用WINHEX软件来观察和分析磁盘的主引导记录(MBR)及其虚拟MBR。这有助于理解磁盘分区结构，并能够识别不同类型的分区。 **1.1 物理磁盘与逻辑磁盘的区别** - **物理磁盘**：指的是直接连接到计算机硬件的磁盘，如硬盘驱动器(HDD)或固态驱动器(SSD)。在WINHEX中打开物理磁盘时，可以看到磁盘的底层结构，包括MBR、各个分区以及它们的具体布局。 - **逻辑磁盘**：逻辑磁盘是操作系统为了方便管理而划分出的磁盘空间区域。例如，在一个物理磁盘上可以有多个逻辑磁盘，如C盘、D盘等。通过WINHEX观察逻辑磁盘时，主要关注的是特定逻辑分区的内容。 **1.2 MBR分析** - **MBR概述**：主引导记录(MBR)位于磁盘的第一个扇区(通常是第0扇区)，包含了磁盘的分区表和引导代码。MBR中的分区表最多支持4个主分区或3个主分区加一个扩展分区。 - **Linux分区MBR**：如实验中所述，当磁盘被分配给Linux系统时，MBR以`EB63`开头，表明这是一个Linux分区。分区类型为Ext4，这是Linux系统常用的一种文件系统格式。 - **Windows分区MBR**：对于Windows分区，MBR以`EB52`开头，分区类型为NTFS。这表示磁盘或分区采用的是Windows常用的文件系统。 **1.3 虚拟MBR(VMBR)分析** - **虚拟MBR概念**：在存在扩展分区的情况下，每个扩展分区会有一个虚拟MBR，用于描述该扩展分区内的逻辑驱动器。 - **查找VMBR**：通过分析MBR中的扩展分区信息，可以找到对应的虚拟MBR位置，进而查看其中的逻辑分区详情。 #### 实验二：FAT32 BPB参数解析 本实验旨在深入理解FAT32文件系统的基本参数，即BPB(Block Per Byte)参数。这些参数对于理解文件系统如何组织和管理数据至关重要。 **2.1 FAT32 BPB参数详解** - **保留扇区**：通常用于存放引导扇区，确保系统引导过程的安全性。 - **文件目录首簇号**：指示文件目录所在的第一个簇的编号。 - **FAT表大小**：表示FAT表占用的簇数。 - **每簇扇区数**：规定了一个簇包含多少个扇区。实验中为16个扇区。 - **BPB参数**： - `0BH~0CH`：每个扇区字节数。实验中的值为`0002`，即512字节。 - `0DH`：每簇扇区数。实验中为`10`，即每簇16个扇区。 - `0EH~0FH`：保留扇区数。实验中为`2000`，即32个扇区。 - `10H`：FAT表数量。实验中为`02`，即两个FAT表。 - `11H`：未用。 - `15H`：存储介质类型。实验中为`F8`，表示本地硬盘。 - `18H~19H`：每磁道扇区数。实验中为`3F00`，即每磁道63扇区。 - `1AH~1BH`：磁头数。实验中为`FF00`，即255个磁头。 - `20H~23H`：磁盘总扇区数。实验中为`DF409F01`，即总共27214047个扇区。 - `24H~27H`：FAT表占用扇区数。实验中为`DC330000`，即FAT表占56371个扇区。 - `32H~33H`：备份引导扇区的位置。实验中为`0600`，即第7个扇区。 **2.2 文件分配表FAT** - **FAT1和FAT2地址计算**：根据保留扇区数和隐藏扇区数计算FAT1和FAT2的地址。实验中，FAT1位于第33个扇区，FAT2位于第13308扇区。 - **FAT内容分析**：FAT1和FAT2的内容应该一致，用于跟踪文件的连续存储状态。 #### 实验三：NTFS属性解析 在实验三中，我们将注意力转向更复杂的NTFS文件系统，特别是其主引导记录(DBR)中的BPB参数。 **3.1 NTFS DBR分析** - **跳转指令**：以`EB5890`开始，跳转到引导程序。 - **OEM代号**：占据8字节，实验中为“NTFS”，表示此分区使用NTFS文件系统。 - **BPB参数详解**： - `0B~0C`：每个扇区512个字节。 - `0D`：每个簇8个扇区。 - `0E~0F`：保留扇区为0。 - `10~12`：总是为0。 - `13~14`：NTFS未使用。 - `15`：为硬盘。 - `18~19`：每磁道63个扇区。 - `1A~1B`：每柱面255个磁头。 - `1C~1F`：隐藏扇区数，为63个扇区。 - `28~2F`：扇区总数。 - `30~37`：$MFT的开始簇号。 - `38~40`：$MFTmirr的开始簇号。 - `40~43`：每个MFT记录的簇数246。 - `44~47`：每索引的簇数1。 - `48~4F`：分区的逻辑序列号。 通过以上分析，我们可以深入了解不同文件系统的基本结构和工作原理，这对于数据恢复工作来说是非常宝贵的技能。无论是对于MBR、FAT32还是NTFS文件系统的深入探索，都为我们提供了宝贵的经验和技术积累。