国产日韩欧美一区二区三区三州_亚洲少妇熟女av_久久久久亚洲av国产精品_波多野结衣网站一区二区_亚洲欧美色片在线91_国产亚洲精品精品国产优播av_日本一区二区三区波多野结衣 _久久国产av不卡

?

exFAT文件系統(tǒng)解析及其數(shù)據(jù)恢復(fù)原理探究

2016-01-15 02:08劉彥張曦
電腦知識(shí)與技術(shù) 2015年18期
關(guān)鍵詞:數(shù)據(jù)恢復(fù)

劉彥 張曦

摘要:作為針對(duì)移動(dòng)存儲(chǔ)設(shè)備開(kāi)發(fā)的新一代的文件系統(tǒng),exFAT文件系統(tǒng)正在被愈來(lái)愈廣泛應(yīng)用。該文第一部分對(duì)exFAT文件系統(tǒng)做了介紹,包括exFAT文件系統(tǒng)的由來(lái)、優(yōu)點(diǎn)以及DBR及其保留區(qū)、FAT、簇位圖等系統(tǒng)結(jié)構(gòu)內(nèi)容;第二部分結(jié)合實(shí)例,對(duì)exFAT文件系統(tǒng)的文件刪除進(jìn)行了分析,并提出了恢復(fù)原理。

關(guān)鍵詞:exFAT;文件系統(tǒng);數(shù)據(jù)恢復(fù)

中圖分類(lèi)號(hào):TF391 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1009-3044(2015)18-0073-02

隨著信息時(shí)代的高速發(fā)展,人們對(duì)信息依賴(lài)性的提高,信息量爆炸式增長(zhǎng),以數(shù)據(jù)為載體的信息安全越來(lái)越受到人們的重視。人們?cè)谙硎苄畔⑺鶐?lái)方便的同時(shí),也發(fā)現(xiàn)了數(shù)據(jù)丟失所帶來(lái)的風(fēng)險(xiǎn)。在工作生活中,由于誤操作、病毒人侵、硬件故障、黑客攻擊等多種原因?qū)е聰?shù)據(jù)被破壞或丟失,一旦重要數(shù)據(jù)被破壞或丟失,就會(huì)對(duì)個(gè)人、企業(yè)造成重大的影響,甚至是難以彌補(bǔ)的損失。而近年來(lái),可移動(dòng)存儲(chǔ)設(shè)備的發(fā)展、普及迅猛,為適應(yīng)電腦終端與移動(dòng)設(shè)備互操作能力而生的exFAT文件系統(tǒng)正被廣泛應(yīng)用。在數(shù)據(jù)恢復(fù)研究領(lǐng)域,國(guó)內(nèi)研究較多的是基于FAT32文件系統(tǒng)和NTFS文件系統(tǒng)的數(shù)據(jù)恢復(fù),針對(duì)exFAT文件系統(tǒng)的數(shù)據(jù)恢復(fù)研究尚少。針對(duì)這一需求,本文將對(duì)exFAT文件系統(tǒng)進(jìn)行解析,并針對(duì)exFAT文件系統(tǒng)數(shù)據(jù)恢復(fù)技術(shù)的原理進(jìn)行探究。

1.exFAT文件系統(tǒng)解析

1.1exFAT文件系統(tǒng)的誕生

exFAT(ExtendedFileAllocationTableFileSystem,擴(kuò)展FAT)是Microsoft在WindowsEmbeded5.0以上(包括WindowsCE5.0、6.0、WindowsMobile5、6、6.1)中引入的一種適合于閃存的文件系統(tǒng)。傳統(tǒng)的FAT文件系統(tǒng)能夠管理的空間有限,而NTFS文件系統(tǒng)又不適合使用在閃存介質(zhì)上(NTFS文件系統(tǒng)是日志式文件系統(tǒng),需要記錄詳細(xì)的讀寫(xiě)操作,不斷的讀寫(xiě)對(duì)閃存芯片損耗較大)。為了解決這些問(wèn)題,微軟推出了exFAT文件系統(tǒng)。

1.2exFAT文件系統(tǒng)的優(yōu)點(diǎn)

1)增強(qiáng)了臺(tái)式電腦與移動(dòng)設(shè)備的互操作能力;

2)單文件理論大小最大可達(dá)16EB(16x1024x1024TB);

3)簇大小可高達(dá)32MB;

4)采用了剩余空間分配表,剩余空間分配性能改進(jìn);

5)同一目錄下最大文件數(shù)可達(dá)2,796,202個(gè);

6)支持訪問(wèn)控制;

7)支持TFAT。

1.3exFAT文件系統(tǒng)結(jié)構(gòu)總覽

exFAT文件系統(tǒng)由DBR及保留扇區(qū)、FAT、簇位圖文件、大寫(xiě)字符文件、用戶數(shù)據(jù)區(qū)五個(gè)部分組成。

1)DBR及其保留扇區(qū)

DBR的全稱(chēng)為DOSBootRecord,含義是DOS引導(dǎo)記錄,也稱(chēng)為操作系統(tǒng)引導(dǎo)記錄。在DBR之后往往有一些保留扇區(qū),其中12號(hào)扇區(qū)為DBR的備份。exFAT文件系統(tǒng)的DBR由6部分組成,分別為跳轉(zhuǎn)指令、OEM代碼、保留扇區(qū)、BPB參數(shù)、引導(dǎo)程序和結(jié)束標(biāo)志。

2)FAT

FAT的全稱(chēng)為FileAllocationTable,含義是文件分配表。exFAT文件系統(tǒng)一般只有一份FAT,它們由格式化程序在對(duì)分區(qū)進(jìn)行格式化時(shí)創(chuàng)建。FAT表是由FAT表項(xiàng)(簡(jiǎn)稱(chēng)FAT項(xiàng))構(gòu)成的,exFAT的每個(gè)FAT項(xiàng)由4字節(jié)(即32位)構(gòu)成。FAT項(xiàng)編號(hào)從0開(kāi)始,F(xiàn)AT表的前兩個(gè)FAT項(xiàng)有專(zhuān)門(mén)的用途,0號(hào)FAT項(xiàng)通常用來(lái)存放分區(qū)所在的介質(zhì)類(lèi)型,1號(hào)FAT項(xiàng)一般都是4字節(jié)的“FF”。分區(qū)的數(shù)據(jù)區(qū)中的每一個(gè)簇都會(huì)映射到FAT表中的唯一一個(gè)FAT項(xiàng),exFAT文件系統(tǒng)FAT表的功能主要是登記不連續(xù)存儲(chǔ)的文件的簇鏈。

3)簇位圖文件

簇位圖文件是exFAT文件系統(tǒng)中的一個(gè)元文件,用來(lái)管理分區(qū)中簇的使用情況。簇位圖文件中的每一個(gè)位,映射到數(shù)據(jù)區(qū)中的每一個(gè)簇。如果某個(gè)簇分配給了文件,該簇在簇位圖文件中對(duì)應(yīng)的位就會(huì)被填入“1”,表示該簇已經(jīng)占用;如果沒(méi)有使用的空簇,它們?cè)诖匚粓D文件中對(duì)應(yīng)的位就是“0”。

4)大寫(xiě)字符文件

大寫(xiě)字符文件是exFAT文件系統(tǒng)中的第二個(gè)元文件,類(lèi)似于NTFS文件系統(tǒng)中的元文件$UpCase,Unicode字母表中的每一個(gè)字符在這個(gè)文件中都有一個(gè)對(duì)應(yīng)的條目,用于比較、排序、計(jì)算Hash值等方面。大寫(xiě)字符文件固定大小為5836字節(jié)。

5)用戶數(shù)據(jù)區(qū)

用戶數(shù)據(jù)區(qū)是exFAT文件系統(tǒng)的主要區(qū)域,用來(lái)存放用戶的文件及目錄。

1.4exFAT文件系統(tǒng)的目錄項(xiàng)

分區(qū)中的每個(gè)文件及文件夾(也稱(chēng)為目錄)都被分配多個(gè)大小為32字節(jié)的目錄項(xiàng),用以描述文件及文件夾的名稱(chēng)、屬性、大小、起始簇號(hào)和時(shí)間、日期等信息。exFAT文件系統(tǒng)目錄項(xiàng)的第一個(gè)字節(jié)用來(lái)描述目錄項(xiàng)的類(lèi)型,剩下的31個(gè)字節(jié)用來(lái)記錄文件的相關(guān)信息,不同類(lèi)型的目錄項(xiàng)結(jié)構(gòu)也不一樣,類(lèi)型包含0x81,0x82,0x83,0x85,OxCO,OxCl。

1)$Bitmap存儲(chǔ)簇的使用情況,極大地降低了分配磁盤(pán)空間時(shí)需要處理的數(shù)據(jù)量,加快了分配速度。FAT表不再用來(lái)代表空間使用情況,而僅用來(lái)存儲(chǔ)簇鏈接信息。當(dāng)文件在磁盤(pán)上的存儲(chǔ)空間連續(xù)時(shí),其簇鏈接信息也不再寫(xiě)入FAT表,減少了寫(xiě)人數(shù)據(jù)的操作。

2)$CharUpperTable文件是用于轉(zhuǎn)換字符大小寫(xiě)的,和NT—FS中的$UpCase文件類(lèi)似。

3)0xC0跟在0x85類(lèi)型的目錄項(xiàng)之后,存儲(chǔ)部分文件屬性信息。

4)0xCl跟在0xC0類(lèi)型的目錄項(xiàng)之后,存儲(chǔ)部分文件屬性信息。

2.exFAT文件系統(tǒng)數(shù)據(jù)恢復(fù)原理

2.1刪除文件分析

此處以一實(shí)例了解在exFAT文件系統(tǒng)中,文件被刪除前后的變化。在以exFAT作為文件系統(tǒng)的u盤(pán)里創(chuàng)建一個(gè)文本文檔“課程論文TEST-2.txt”。

在WinHex先查看其目錄項(xiàng)和數(shù)據(jù)區(qū),然后將其刪除后,再次使用WinHex進(jìn)行查看。在文件“課程論文TEST-2.txt”被刪除后,其在WinHex里面查看時(shí)文件名前的圖片變?yōu)椤??”。在目錄?xiàng)里只是每個(gè)目錄項(xiàng)的首字節(jié)發(fā)生了變化,由原來(lái)的“85H”、“”COH、“C1H”改變?yōu)椤?5H”、“40H”、“41H”,其它字節(jié)沒(méi)有任何變化,文件的起始簇號(hào)、大小、文件名這些關(guān)鍵信息都完好地存在。在數(shù)據(jù)區(qū),該文件刪除前后沒(méi)有變化。

2.2數(shù)據(jù)恢復(fù)原理分析

從刪除文件分析可以看出,在exFAT中,文件被刪除后,沒(méi)有新的數(shù)據(jù)存儲(chǔ),或者新的數(shù)據(jù)存儲(chǔ)對(duì)被刪除后的目錄項(xiàng)、數(shù)據(jù)區(qū)沒(méi)有影響的情況下,被刪除的文件只是在目錄項(xiàng)進(jìn)行了變動(dòng),該文件可以很容易的被修復(fù)。即便是新的數(shù)據(jù)存儲(chǔ)把被刪除的目錄項(xiàng)占用了,而數(shù)據(jù)區(qū)未被占用,通過(guò)不同文件類(lèi)型的特征,確定了文件數(shù)據(jù)區(qū)的位置,一般文件任然可以恢復(fù)。在進(jìn)行數(shù)據(jù)恢復(fù)時(shí),需要對(duì)被刪除文件的目錄項(xiàng)進(jìn)行修改或重構(gòu)。對(duì)于不能夠完整恢復(fù)的刪除文件,殘留數(shù)據(jù)區(qū)可能包含用戶感興趣的信息,則以十六進(jìn)制的形式提取出文件殘留數(shù)據(jù)區(qū)的內(nèi)容,從中獲取敏感信息。

3.結(jié)論

通過(guò)對(duì)exFAT文件系統(tǒng)的分析,可以看出,該文件系統(tǒng)與FAT32系統(tǒng)有很高的相似度,但是又有許多FAT32文件系統(tǒng)無(wú)法比及的優(yōu)點(diǎn)。在文中通過(guò)實(shí)驗(yàn)的方法,觀察刪除文件前后文件目錄項(xiàng)和數(shù)據(jù)區(qū)的變化,分析了exFAT文件系統(tǒng)下文件刪除后恢復(fù)的原理。在實(shí)踐中,可以使用EasyRecovery等軟件進(jìn)行恢復(fù)。但在本文實(shí)驗(yàn)中使用的文件為一個(gè)僅20B大小的文件,故而只涉及到文件連續(xù)存儲(chǔ)的恢復(fù)情況,在這種情況下,文件的刪除不會(huì)對(duì)FAT表有任何的操作。如果文件是碎片式存儲(chǔ)的,文件刪除后FAT表將可能被破壞,這樣數(shù)據(jù)恢復(fù)起來(lái)的難度更大。

猜你喜歡
數(shù)據(jù)恢復(fù)
常見(jiàn)硬盤(pán)數(shù)據(jù)丟失的分析與恢復(fù)
淺議數(shù)據(jù)安全與恢復(fù)
基于Android—x86的windows恢復(fù)系統(tǒng)研究與設(shè)計(jì)
Windows操作平臺(tái)下的數(shù)據(jù)恢復(fù)技術(shù)
Redis基于RDB+AOF的數(shù)據(jù)恢復(fù)策略研究
淺析數(shù)據(jù)恢復(fù)技術(shù)
數(shù)據(jù)備份技術(shù)
Windows下數(shù)據(jù)恢復(fù)的一點(diǎn)認(rèn)識(shí)
服務(wù)器數(shù)據(jù)備份和恢復(fù)研究
淺談?dòng)?jì)算機(jī)數(shù)據(jù)恢復(fù)