FAT32 数据恢复实验的实验原理
来源:西普信息安全实验教学系统
摘 要:手动恢复误删除的文件,手动恢复格式化分区内的文件
关键词:FAT32+数据恢复+数据安全
1 实验原理
硬盘数据存储区域
FAT16 和 FAT32 文件系统硬盘上的数据按照其不同的特点和作用大致可分为 5 部分:MBR 区、DBR 区、
FAT 区、FDT 区和 DATA 区。MBR 由分区软件创建,DBR 区、FAT 区、FDT 区和 DATA 区由高级格式化程序创
建。文件系统写入数据时只是改写相应的 FAT 区、FDT 区和 DATA 区。这 5 个区域共同作用才使整个硬盘的
管理系统有条不紊。
MBR 区
MBR 区,即主引导记录区,位于整个硬盘的 0 磁道 0 柱面 1 扇区。在总共 512 字节的主引导扇区中,
MBR 的引导程序占用其中的前 446 个字节,随后的 64 个字节为 DPT(Disk Paron Table,硬盘分区表),最
后的两个字节“55AA”(偏移 1FEHy偏移 1FFH)是分区有效结束标志。由它们共同构成硬盘主引导记录,也
称主引导区。有时硬盘主引导记录专指 MBR 的引导程序。
DBR 区
DBR(DOS Boot Record),操作系统引导记录区。通常位于硬盘 0 柱 1 面 1 扇区,是操作系统可以直接访
问的第一个扇区。它包括一个引导程序和一个被称为 BPB(BIOS Parameter Block)的本分区参数记录表。引导
程序的主要任务是,当 MBR 将系统控制权交给它时,判断本分区根目录前两个文件是不是操作系统的引导
文件。以 DOS 为例,即是 IO.SYS 和 MSDOS.SYS。Windows 与 DOS 是一个家族,所以 Windows 也沿用这种管
理方式,只是文件名不一样。如果确定存在,就把 IO.SYS 读入内存,并把控制权交给 IO.SYS,BPB 参数块
记录着本分区的起始扇区、结束扇区、文件存储格式、硬盘介质描述符、根目录大小和 FAT 个数,分配单
元的大小等重要参数。
FAT 区
在 DBR 之后就是 FAT(File Allocaon Table,文件分配表)区。同一个文件的数据并不一定完整地存放在磁
盘的一个连续的区域内,往往会分成若干段,像一条链子一样存放。这种存储方式称为文件的链式存储。
硬盘上的文件常常要进行创建、删除、增长和缩短等操作。这样的操作做得越多,盘上的文件就可能分的
越零碎(每段至少是 1 簇),但是,由于硬盘上保存着段与段之间的连接信息(即 FAT),操作系统在读取文件
时,总是能够准确地找到各段的位置并正确的读出。但是这种以簇为单位的存储法也是有其缺陷的,主要
表现在对空间的利用上。每个文件的最后一簇都可能有未被完全利用的空间。一般来说,当文件个数比较
多时,平均每个文件要浪费半个簇的空间。
为实现文件的链式存储,硬盘上必须准确地记录哪些簇已经被文件占用,还必须为每个已经占用的簇
指明存储后继内容的下一个簇的簇号。对一个文件的最后一簇,则要指明本簇后无后继簇,这些都由 FAT
表来保存。表中有很多选项,每项记录一个簇的信息。由于 FAT 对于文件管理的重要性,所以,FAT 有一个
备份,位置在原 FAT 的后面再建一个同样的 FAT,即 FAT2。最初形成的 FAT 中,所有项都标明为“未占用”。
如果磁盘有局部损坏,格式化程序会检测出损坏的簇,在相应的项中标为“坏簇”,以后存文件时就不会
1 / 5
FAT32 数据恢复实验的实验原理