数据取证之文件恢复(Fat32文件系统和NTFS文件系统)
2024-1-22 16:3:37 Author: 小艾搞安全(查看原文) 阅读量:112 收藏


阅读须知

亲爱的读者,我们诚挚地提醒您,WebSec实验室的技术文章仅供个人研究学习参考。任何因传播或利用本实验室提供的信息而造成的直接或间接后果及损失,均由使用者自行承担责任。WebSec实验室及作者对此概不负责。如有侵权,请立即告知,我们将立即删除并致歉。感谢您的理解与支持!

01

磁盘存储结构

(一)分区表

    分区表是运用硬盘,分区表的作用就是把一块单独的物理硬盘,划分成几个各自相对独立的区域,便于我们更方便的运用硬盘。你的电脑中通常只有一块物理硬盘;但是一般情况下,你的电脑中不止一个C分区,还会有D、E、F等其它分区。正是分区表,把一块物理硬盘划分成了C、D、E、F等多个分区。
  有两种格式的分区表:MBR与GPT。MBR是传统格式的分区表,在硬盘容量越来越大的今天,MBR先天的一些不够,导致MBR分区表不能很好的管理大容量硬盘;GPT是新一代格式的分区表,在很多方面,特别是在处理大容量硬盘方面,比MBR好很多。现在运用MBR分区表的硬盘,可能在数量上比运用GPT分区表的要多一些,但是看发展的趋势,运用GPT分区表的情况会越来越多。

  1. window 7默认使用的是MBR分区,window 10默认使用的是GPT分区。

  2. Linux系统CentOS 7.6及以上版本默认采用的就是GPT分区方式。

  1. MBR 分区表(主引导记录Master Boot Record , mbr)

        主引导记录(Master Boot Record , mbr)是指一个存储设备的开头 512 字节。它包含操作系统的引导器和存储设备的分区表。运用MBR分区表时,分区分为主分区扩展分区逻辑分区,三种类型。

    MBR分区表的扩展分区表为EBR,EBR(Extended Boot Record),可以理解为是逻 辑分区前的MBR,用于存储逻辑分区的分区结构,EBR 在结构上类似于MBR。电脑上创建两个G的MBR分区表的虚拟磁盘,如下图所示:

 MBR分区特点:

  1. 主分区的总数,不能超过4个。就是说,一个硬盘,最多可以被划分为4个主分区.

  2. 如果划分扩展分区,那么,一个硬盘只能有一个扩展分区,且主分区与扩展分区的分区数目之和不能超过4个,就是说,一个硬盘,最多可以被划分为3个主分区与1个扩展分区。

  3. 任何分区,包括主分区、扩展分区、逻辑分区,分区的大小,都不能超过2TB,这是一条使得MBR分区表不能很好的处理大容量硬盘的限制.

  4. 在扩展分区中创建逻辑分区的数目没有限制,只要需要,可以创建任意多个逻辑分区。事实上,是微软公司在MBR分区表中引入扩展分区与逻辑分区的概念,目的就是要突破MBR最多只能划分四个主分区的限制。

如果你电脑的硬盘容量小于2TB,并且不运用UEFI,MBR其实是一个很优秀的分区表格式,它简单易用,稳定高效。而且MBR分区表的兼容性特别好,全系Win,包括Win 7、8、10,包括32位与64位的Win,都能很好的在MBR分区表下安装与运行。
        MBR分区表使用 01BEH 起的 64 个字节描述分区情况。

Winhex打开新建的两个G的虚拟磁盘,然后调至0扇区,如下图所示:

小实验:将磁盘改为活动分区

实验步骤:通过分区助手设置

实验原理:将磁盘主分区第一个长度为1的偏移量00改为80

注意:一个硬盘上只能设置一个活动分区,而且只有主分区才能被设为活动分区。大多数情况下,你电脑上的活动分区都是C分区。

下面介绍第一分区各个偏移量所代表的含义:

2.GPT 分区表(全局唯一标识分区表GUID PartITion Table,gpt )

      全局唯一标识分区表(GUID PartITion Table,缩写:gpt)是一个实体硬盘的分区表的结构布局的标准。它是统一可扩展固件接口标准的一部分,它使用全局唯一标识来标识设备。它是新一代分区表格式,用以替代 Mbr 分区表。它用来解决 MBR 分区表的缺点,同时带来了一些优点。

  GPT分区内偏移所代表的的含义。

3.MBR和GPT分区的区别

    GPT分区最大的好处就是,支持大容量硬盘,支持UEFI。GPT分区在运用上比MBR多少麻烦一些,无论是安装操作系统,还是管理分区等,都需要对一些基础知识的了解。建议:用老式BIOS的计算机,建议用MBR分区格式;用UEFI的新计算机,建议用GPT。反过来用不是完全不行,但很容易出问题,除非是专业人士,否则不建议运用。

(二)文件系统

    文件系统是操作系统用于明确磁盘或分区上的文件的方法和数据结构;即在磁盘上组织文件的方法。也指用于存储文件的磁盘或分区,或文件系统种类。举个通俗的比喻,一块硬盘就像一个块空地,文件就像不同的材料,我们首先得在空地上建起仓库(分区),并且指定好(格式化)仓库对材料的管理规范(文件系统),这样才能将材料运进仓库保管。文件系统的作用是,它负责为用户建立文件、读出、修改,控制文件的读取,我们常说的格式化硬盘就是写入文件系统。文件系统是对应硬盘的分区的,而不是整个硬盘,不管是硬盘只有一个分区,还是几个分区,不同的分区可以有着不同的文件系统!

1.FAT32

        通常U盘基本都是FAT32格式的,只是它的兼容性比较好一些,几乎目前所有的主流系统对该格式进行读写,但是它的安全性不高,不能设置权限,磁盘的利用效率也比较低,关键是对单个文件容量有所限制,拷贝大小不能超过4GB容量,而文件名称长度也不能超过255字符。由于U盘的容量越来越大,不建议FAT32格式。

1. FAT32文件系结构

  • DBR 是指操作系统引导记录,在文件系统的 0 号扇区,在 DBR 之后往往会有一 些保留扇区。

  • FAT1 表是主 FAT 表,是 FAT32 的第一份文件分配表,FAT1 表通常在文件系统 的 2 号簇的位置。

  • FAT2 表是 FAT32 的第二份文件分配表,也是 FAT1 表的备份。

  • DATA 是数据区,是 FAT32 文件系统的主要区域,其中包含目录区域。

2. FAT32 文件系统的特点

  • FAT32 文件系统支持最大分区 2TB。

  • FAT32 文件系统支持最大单个文件大小 4GB。

2.NTFS

        NTFS目前是使用最为广泛的分区类型,我们可以进行设置权限,并且比Fat32多出许多功能,并且在安全性和易用性、稳定性方面出色。它是由Win2000之后开始普及,如今发展到现在NTFS最大支持256TB(MBR),GPT分区下更是最大支持128EB。目前大多数的电脑硬盘都是使用NTFS,我们在分区的时候建议首选NTFS分区类型!U盘不建议使用NTFS,会大幅度缩短寿命。由于NTFS分区类型是微软公司的专利,因此对于Mac用户或多或少有点小麻烦,MAC用户需要借助第三方软件才可以写入NTFS文件系统,所以如果考虑多平台的用户,我们更加推荐exFAT格式。

1. NTFS 文件系统结构

  • $BOOT 是引导文件。

  • $MFTMirr $MFT 前面四个表项的备份。

  • $MFT 是主文件表,每个文件信息都在这个

  • $MFT 文件中有记录。备份 DBR 即对 0 号扇区的 DBR 进行了备份。

2. NTFS 文件系统的特点

  • 安全性较高,NTFS文件系统有日志容错功能,安全性比 FAT系列文件系统高很多。NTFS 文件系统可以给文件设置访问权限。

  • NTFS压缩功能可以对单个文件、整个文件夹或NTFS卷上的整个目录树进行压缩。

  • NTFS 文件系统具有 EFS 文件加密功能。

  • NTFS 文件系统支持大分区,在 MBR 磁盘最大支持 2TB,在 GPT 磁盘支持的分 区支持

  • 2TB 以上。

  • NTFS 文件系统支持最大单个文件大小 2TB

3.exFAT

        exFAT也可以叫做FAT64,从Windows CE6之后就出现了,它解决了FAT32不支持4G以上大容量文件的问题,直接最大支持16EB(目前256GB),而Windows与Mac均可适用,还有十分强的跨平台能力。是微软专为闪存(U盘、存储卡)闪存设备设计的文件系统,兼容性非常好。建议U盘等移动设备首选。


02

FAT32文件系统数据恢复



(一)短文件名(≤8字节)数据恢复

基础知识:起始簇号 = 低 16 位的数值+(高 16 位的数值 *65536)

1.首先添加一个2G的虚拟磁盘,文件系统类型为FAT32。

2.新建一个名为kaishui.docx的文件,放入虚拟磁盘中,随后再进行永久性删除(shift+delete)

3.winhex打开,跳转到2号簇,文件删除后开头长度为1的偏移量为E5,找到它。

4.需要计算起始簇号和文件的大小,然后跳到起始簇号去,然后再从起始位置跳转偏移量16进制文件头大小,复制到一个新的文件名为xiaofeng.docx

文件大小:

起始簇号: 低 16 位的数值+(高 16 位的数值 *65536)=7+0*65536=7

 恢复成功!

 (二)长文件名(≥8字节)数据恢复

方法:长文件名删除后,用winhex打开,跳转到2号簇,找到被删文件的短文件名后,查看相关信息。

后面恢复方法同上,不再赘述!

03

NTFS文件系统数据恢复

  1. 首先添加一个2G的虚拟磁盘,文件系统类型为NTFS。

 2.新建一个名为kaishui.docx的文件,放入虚拟磁盘中,随后再进行永久性删除(shift+delete)

3.winhex打开,找到主文件表$MFT

4.打开LoveString字符串转换工具,输入kaishui.docx,然后将unicode值复制,然后点击查找十六进制数值,进行搜索

4.分析簇流运行

 5.根据簇流运行分析所得,被恢复的文件应该是在0906号(1545)簇中,然后大小为3个簇大小(1548),复制到桌面新文件xiaofeng.docx

  恢复成功!
项目下载
号后台回复:3618,获取微信官方3618安装包下载链接。
众号后台回复:cs45,获取catcs4.5下载链接。
众号后台回复:cs49,获取CobaltStrike4.9原版jar破解下载链接。
众号后台回复:权限维持,获取CobaltStrike权限维持插件下载链接。
公众号后台回复:千寻,获取小艾魔改千寻框架下载链接。
公众号后台回复:chat,获取vx_chatgpt的下载链接。
公众号后台回复:jboss,获取jboss利用工具下载链接。
公众号后台回复:ruoyi,获取ruoyi利用工具下载链接。
公众号后台回复:162,获取Liqun16.2 工具包下载链接。
公众号后台回复:burp,获取burp2022.9.1破解版下载链接。

文章来源: http://mp.weixin.qq.com/s?__biz=Mzg3MTY3NzUwMQ==&mid=2247489155&idx=2&sn=7170ff3fca36e8cb10987f66d855dc4f&chksm=cf8a1759607f2c9c9cc689a75de6a3d0d4656f61a6f7cdaa85841d36338e2ac38950a3c17e2c&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh