程 琳，李 揚

（安徽公安職業(yè)學(xué)院信息網(wǎng)絡(luò)安全監(jiān)察系，合肥 230088）

1.引言

文件系統(tǒng)知識是公安院校電子數(shù)據(jù)取證類課程的重要內(nèi)容，通過這一部分內(nèi)容的學(xué)習(xí)學(xué)生具有文件系統(tǒng)基礎(chǔ)理論知識和計算機數(shù)據(jù)恢復(fù)的實踐能力。硬盤有價，數(shù)據(jù)無價，在案件的偵查過程當(dāng)中，一些電子證據(jù)會被無意的刪除丟失或者是有意的損壞銷毀，在進行電子數(shù)據(jù)取證的時候，可能會用到文件系統(tǒng)的基礎(chǔ)知識，對相應(yīng)的數(shù)據(jù)進行還原，或者對存儲介質(zhì)中的碎片進行搜索深挖，以獲得更多的線索。因此，對于公安院校網(wǎng)安專業(yè)的學(xué)生來說，熟練掌握文件系統(tǒng)的基本原理和數(shù)據(jù)恢復(fù)的方法，對提升其今后取證工作中的解決問題的能力是非常必要的[1]。

文件系統(tǒng)知識這一部分內(nèi)容對實踐能力要求較高，理論知識晦澀難懂，必須通過系列實驗教學(xué)，才能讓學(xué)生深入理解文件系統(tǒng)基本結(jié)構(gòu)，熟練掌握數(shù)據(jù)恢復(fù)原理、方法和常用工具軟件的使用。在學(xué)校普通機房中，一般一個機房由多門計算機課程公用，機器的維護管理一般有還原卡保護、軟件限制和系統(tǒng)克隆等幾種辦法，以防止文件丟失、系統(tǒng)破壞從而影響學(xué)生的正常上機。但是對于文件系統(tǒng)知識的相關(guān)實驗來說，普通機房不能滿足學(xué)生的實驗要求，例如有些時候需要重新啟動計算機，但是重啟計算機后還原設(shè)置生效，之前的實驗所有操作都失效，有的內(nèi)容涉及破壞性的實驗，例如磁盤分區(qū)、格式化、修改主引導(dǎo)記錄等,這些操作都涉及磁盤的“敏感區(qū)域”，可能會導(dǎo)致原有重要文件的損壞和系統(tǒng)的崩潰，使得實驗無法繼續(xù)進行。如果做一次實驗就重裝一次系統(tǒng)，機房的管理維護負擔(dān)太重，也降低了工作和學(xué)習(xí)的效率。筆者通過比較研究發(fā)現(xiàn)，虛擬磁盤作為文件系統(tǒng)知識實驗的平臺，有著對實驗室硬件要求低、維護方便、操作簡單等諸多優(yōu)勢。利用虛擬磁盤技術(shù)能夠很好的解決上述問題，它所建立的操作環(huán)境與真實的系統(tǒng)環(huán)境完全相同，并且對它的一切操作對真實的系統(tǒng)沒有任何影響，能夠有效的滿足文件系統(tǒng)知識的學(xué)習(xí)對實驗環(huán)境的特殊需求，學(xué)生利用虛擬磁盤平臺開展文件系統(tǒng)相關(guān)實驗，能夠掌握相關(guān)知識點，深入理解主流文件系統(tǒng)的結(jié)構(gòu)和原理，增強實踐操作能力，提升教學(xué)效果。

2.虛擬磁盤基礎(chǔ)知識

虛擬磁盤，簡單的理解就是在本地硬盤上創(chuàng)建的一個虛擬磁盤空間，虛擬硬盤對應(yīng)一個以vhd擴展名結(jié)尾的文件，其功能類似于物理硬盤。虛擬磁盤可以用于存儲包括文檔、圖片、視頻等各種類型的文件，亦可用于存儲啟動文件或者用于安裝操作系統(tǒng)。虛擬磁盤具有維護簡單、加載和卸載容易、備份與遷移方便、與虛擬機互相通用、安全性好等優(yōu)點[2]。在虛擬磁盤上進行各項操作和在實際的物理磁盤上操作完全一樣，可以對它進行分區(qū)、格式化、壓縮、拷貝刪除數(shù)據(jù)等操作，這些操作對物理分區(qū)和操作系統(tǒng)沒有任何影響，因此虛擬磁盤有利于初學(xué)者反復(fù)試驗分區(qū)、格式化等功能，完全不用擔(dān)心會破壞系統(tǒng)，刪除有用的數(shù)據(jù)文件。創(chuàng)建的虛擬磁盤對應(yīng)的VHD文件包含了虛擬磁盤的各個分區(qū)以及分區(qū)上的所有數(shù)據(jù)信息，因此在我們需要備份時將創(chuàng)建的VHD文件進行備份即可。如果需要在另外一臺機器上使用虛擬磁盤中的數(shù)據(jù)，我們只需要先將此VHD分離開來，然后復(fù)制到目的計算機上，再在磁盤管理中附加上去即可，也可以通過服務(wù)器進行分發(fā)，使用腳本將其附加到目的計算機。此外，它還可以像U盤一樣方便的進行加載和彈出，虛擬磁盤中的數(shù)據(jù)如果非常重要，并不想被他人訪問或修改，我們可以隨時將此VHD進行脫機或分離操作，在需要的時候再將它加載進來使用，同樣可以像U盤一樣彈出某個VHD。

基于虛擬磁盤的以上特點，它可以為學(xué)生提供一個完美的實驗環(huán)境，學(xué)生能夠按照教學(xué)實驗的要求積極實踐，無需顧忌對系統(tǒng)和文件的破壞，大膽操作，鍛煉自己的實踐能力和探索精神。計算機機房也能實現(xiàn)一機多用，無需再另外建立一個文件系統(tǒng)實驗專用機房，節(jié)約了設(shè)備和資金，減輕了機房管理維護的負擔(dān)，也提高了工作效率。

3.文件系統(tǒng)實驗整體規(guī)劃方案

以虛擬磁盤為平臺，文件系統(tǒng)為核心，結(jié)合理論教學(xué)內(nèi)容確定實驗教學(xué)目標，科學(xué)設(shè)計實驗?zāi)康?、實驗任?wù)和實驗內(nèi)容，通過實例分析、動手實踐來加深對理論知識的理解，從而全面提升學(xué)生的實驗技能和思維水平。WinHex是一款經(jīng)典的磁盤編輯器，它能在最底層以十六進制的方式顯示磁盤、分區(qū)、文件的內(nèi)容，同時提供了多種文件操作功能,非常適合底層數(shù)據(jù)分析及手工數(shù)據(jù)恢復(fù)[3]。此軟件為文件系統(tǒng)的教學(xué)實驗工作提供了有效可行的措施和策略。針對文件系統(tǒng)知識，基于虛擬磁盤，利用winhex軟件工具，分別設(shè)計了磁盤分區(qū)、FAT文件系統(tǒng)、NTFS文件系統(tǒng)三個模塊的實驗，降低了學(xué)校的運營成本，學(xué)生能夠以更加靈活、深入的方式完成實驗，同時豐富教學(xué)手段，加強實驗考核，以提升教學(xué)效果。通過系列實驗教學(xué)，能讓學(xué)生深入理解文件系統(tǒng)基本結(jié)構(gòu)和文件刪除恢復(fù)原理，熟悉掌握相關(guān)工具軟件的使用方法。實驗教學(xué)模塊及相應(yīng)的實驗內(nèi)容要點如表1所示。文件系統(tǒng)知識系列實驗整體流程圖如圖1所示，從圖中可以看出，利用虛擬磁盤開展文件系統(tǒng)系列實驗操作可行，并具有連續(xù)性和完整性。

在整個文件系統(tǒng)實驗的設(shè)計上堅持以下原則：目標明確，可操作性強，難度循序漸進。例如在FAT文件系統(tǒng)模塊試驗中，為讓學(xué)生很好的理解和掌握文件目錄表和文件分配表的關(guān)系和作用，實驗不宜太復(fù)雜，但是又要將各種情況考慮進去。首先建立一個較小的文本文件，分析此較小文件的文件目錄表和對應(yīng)的連續(xù)簇鏈，此項操作內(nèi)容比較簡單。接著拷貝一些文件到此分區(qū)，追加文本文件到十幾KB到二十幾KB之間，拷貝文件及追加文件的目的是設(shè)計一個多簇存儲并且存儲位置并不連續(xù)的例子，這樣更具普遍性和代表性，這時文本文件的目錄表和分配表發(fā)生改變，對應(yīng)的簇鏈變長且不連續(xù)，接著分析此文件的目錄表和不連續(xù)的簇鏈，如此設(shè)計讓學(xué)生體會到文件寫入存儲的過程以及文件系統(tǒng)對文件管理的具體策略。在實驗的教學(xué)過程中充分利用網(wǎng)絡(luò)時代新教育技術(shù)——“微課”來提高教學(xué)效果。微課具有時間短、內(nèi)容精、學(xué)習(xí)目標明確等特點，適合微時代的移動學(xué)習(xí)、自主學(xué)習(xí)，既可查漏補缺又能強化鞏固知識[4]。針對文件系統(tǒng)知識的重點難點設(shè)計開發(fā)微課學(xué)習(xí)資源，課前布置任務(wù)讓學(xué)生預(yù)習(xí)觀看，實驗過程中遇到問題可以反復(fù)觀看進而將問題獨立解決，不至于因為相關(guān)知識點的晦澀難懂而降低學(xué)習(xí)積極性。實驗教學(xué)中的微課可以吸引學(xué)生的注意力，改變傳統(tǒng)的教學(xué)模式，將課堂閃現(xiàn)變得隨時學(xué)習(xí)，提高了學(xué)生的學(xué)習(xí)效率。

圖1 文件系統(tǒng)知識系列實驗整體流程

表1 主要實驗教學(xué)模塊及對應(yīng)實驗內(nèi)容

4.主要實驗內(nèi)容

科學(xué)安排、精心設(shè)計實驗內(nèi)容有助于學(xué)生迅速理解掌握對應(yīng)理論知識點的內(nèi)容，增加學(xué)生繼續(xù)深入學(xué)習(xí)的興趣和信心，同時也提升了自己的實踐能力。在整個實驗設(shè)計過程中，遵循由易到難、分層遞進的原則，從基礎(chǔ)性實驗、驗證性實驗、綜合性實驗，學(xué)生逐步完成知識的理解、掌握和轉(zhuǎn)化的過程。

4.1硬盤分區(qū)實驗設(shè)計

實驗?zāi)康模豪斫獯疟P分區(qū)的原理；掌握主引導(dǎo)記錄MBR的結(jié)構(gòu)及其含義；掌握虛擬磁盤的創(chuàng)建、分區(qū)和掛載等操作；掌握硬盤分區(qū)表的遍歷方法。

實驗內(nèi)容：

（1）虛擬磁盤的相關(guān)操作:虛擬磁盤的創(chuàng)建（分區(qū)、初始化、格式化等）；虛擬磁盤的掛載和刪除。

（2）WinHex使用方法：WinHex界面；Win?Hex相關(guān)設(shè)置；WinHex基礎(chǔ)操作。

（3）硬盤分區(qū)表的數(shù)據(jù)結(jié)構(gòu)分析：MBR磁盤分區(qū)表的數(shù)據(jù)結(jié)構(gòu)；數(shù)據(jù)存儲形態(tài)及單位換算方法；硬盤分區(qū)表的遍歷分析。

（4）主分區(qū)表破壞后的修復(fù)方法。

4.2FAT文件系統(tǒng)實驗設(shè)計

實驗?zāi)康模豪斫釬AT文件系統(tǒng)的基本結(jié)構(gòu)；掌握FAT文件系統(tǒng)的分區(qū)引導(dǎo)記錄結(jié)構(gòu)及其含義；掌握文件分配表FAT的結(jié)構(gòu)及其含義；掌握文件目錄表FDT的結(jié)構(gòu)及其含義；掌握FAT32文件系統(tǒng)文件的刪除恢復(fù)原理。

實驗內(nèi)容：

（1）FAT分區(qū)引導(dǎo)記錄的分析：FAT32文件系統(tǒng)數(shù)據(jù)結(jié)構(gòu)；FAT分區(qū)引導(dǎo)扇區(qū)數(shù)據(jù)結(jié)構(gòu)；BPB重要參數(shù)分析。

（2）FAT文件存儲原理：FAT表的結(jié)構(gòu)和作用；文件目錄項的數(shù)據(jù)結(jié)構(gòu)和詳細分析；長文件名目錄項的數(shù)據(jù)結(jié)構(gòu)；起始簇號的計算方法；文件的完整存儲簇鏈分析。

（3）FAT分區(qū)文件刪除恢復(fù)原理：短文件名目錄項搜索方法；長文件名目錄項搜索方法；文件徹底刪除后對目錄表和分配表的影響；簡單文件徹底刪除后的恢復(fù)方法；文件或目錄損壞的原因和恢復(fù)方法。

（4）FAT分區(qū)常見問題解決方法：提示分區(qū)未被格式化的恢復(fù)方法；文件或目錄損壞的原因和恢復(fù)方法。

4.3NTFS文件系統(tǒng)實驗設(shè)計

實驗?zāi)康模豪斫釴TFS文件系統(tǒng)的基本結(jié)構(gòu)；掌握NTFS文件系統(tǒng)的分區(qū)引導(dǎo)記錄結(jié)構(gòu)及其含義；掌握NTFS文件系統(tǒng)的MFT結(jié)構(gòu)及其含義；掌握NTFS文件系統(tǒng)文件記錄10H、30H、80H等常見屬性結(jié)構(gòu)及其含義；掌握NTFS文件系統(tǒng)中文件刪除恢復(fù)原理。

實驗內(nèi)容：

（1）NTFS引導(dǎo)扇區(qū)分析：NTFS文件系統(tǒng)的數(shù)據(jù)結(jié)構(gòu)；NTFS分區(qū)引導(dǎo)扇區(qū)結(jié)構(gòu)；BPB重要參數(shù)分析；FAT32和NTFS兩個主流文件系統(tǒng)引導(dǎo)扇區(qū)的比較。

（2）主文件表MFT結(jié)構(gòu)：MFT的文件記錄頭數(shù)據(jù)結(jié)構(gòu)；MFT的屬性頭數(shù)據(jù)結(jié)構(gòu)；簇流數(shù)據(jù)運行結(jié)構(gòu)分析；10H屬性的數(shù)據(jù)結(jié)構(gòu)；30H屬性的數(shù)據(jù)結(jié)構(gòu)；80H屬性的數(shù)據(jù)結(jié)構(gòu)。

（3）NTFS分區(qū)文件刪除恢復(fù)原理：文件徹底刪除后對文件記錄項的影響；MFT中文件名的搜索方法；正確文件記錄項的分析判斷；簡單文件徹底刪除后的恢復(fù)方法；文件或目錄損壞的原因和恢復(fù)方法。

（4）NTFS分區(qū)常見問題解決方法：提示分區(qū)未被格式化的恢復(fù)方法；文件或目錄損壞的原因和恢復(fù)方法。

5.防抄襲實驗考核

良好有效的課程考核方法能夠調(diào)動學(xué)生學(xué)習(xí)的主動性，提高學(xué)生的學(xué)習(xí)能力[5]。實驗考核是本門課程考核的重要組成部分，本門課程的實驗考核中文件系統(tǒng)知識實驗考核占了百分之七十。在這部分實驗教學(xué)過程中，每個實驗?zāi)K都會布置相應(yīng)的實驗任務(wù)并讓學(xué)生按時提交實驗報告，實驗報告的評價得分按照比例計入期末考試總成績。文件系統(tǒng)知識實驗都在聯(lián)入互聯(lián)網(wǎng)的機房中完成，而在實驗報告提交的過程中，學(xué)生之間利用網(wǎng)絡(luò)、U盤進行電子拷貝簡單方便，為保證教學(xué)評價的公平公正，促進良好學(xué)風(fēng)的形成，有必要采取一些手段來避免這種抄襲的發(fā)生。根據(jù)文件系統(tǒng)存儲的原理，結(jié)合WinHex軟件的使用，從一開始的實驗任務(wù)、實驗要求中設(shè)計防抄襲解決方案，在多處實驗步驟中引入學(xué)生自己獨有的“標記”，如：學(xué)號、姓名、手機號碼、宿舍編號、籍貫、家庭住址、畢業(yè)學(xué)?；蛘唠S機的一個數(shù)值等，而這樣一些數(shù)據(jù)在學(xué)生的實驗報告中的截圖里可以清晰的顯示出來，這樣從源頭上避免實驗報告的相互拷貝抄襲。

例如，在FAT文件系統(tǒng)實驗考核中，讓學(xué)生以自己的學(xué)號作為文件名建立文本文件，文件內(nèi)容為自己高中畢業(yè)學(xué)校的網(wǎng)站上拷貝下來的新聞等信息，然后對這個文件的目錄表、簇鏈進行相關(guān)分析，一直到最后的刪除恢復(fù)，而這樣一些個人“獨有信息”最終會在學(xué)生提交的實驗報告中出現(xiàn)。FAT文件系統(tǒng)實驗考核設(shè)計部分內(nèi)容如表2所示，學(xué)生提交的部分實驗報告截圖如圖2、圖3所示，可以看出，在winhex界面對應(yīng)的文本字符區(qū)清晰的顯示出這些“獨有信息”，圖2中顯示有學(xué)生的學(xué)號，圖3中顯示有學(xué)生的姓名及高中畢業(yè)學(xué)校網(wǎng)站的新聞，此實驗是否由學(xué)生獨立完成老師在批改時一目了然。此類設(shè)計，對有抄襲動機的學(xué)生起了一定的威懾作用，有效監(jiān)督了學(xué)生實驗過程，端正了學(xué)紀學(xué)風(fēng)，提高了學(xué)生獨立學(xué)習(xí)的積極性和主動性，同時也提高了教學(xué)效果[6]。

圖2 學(xué)生提交的文件目錄表截圖

圖3 刪除的文件對應(yīng)簇的內(nèi)容截圖

表2 FAT文件系統(tǒng)實驗部分內(nèi)容

6.結(jié)束語

綜上所述，利用虛擬磁盤平臺和WinHex軟件工具可以有效的開展文件系統(tǒng)知識相關(guān)實驗，它很好地解決了實驗室設(shè)備配置不高、維護麻煩的問題，提高了實驗設(shè)備的利用效率，幫助學(xué)生理解掌握了相關(guān)知識，提高了學(xué)習(xí)興趣，動手實踐能力也得到了加強，與此同時防抄襲實驗考核設(shè)計有效遏制了學(xué)生間電子文檔的相互拷貝，促進了考核的公平公正。通過筆者對我院信息網(wǎng)絡(luò)安全監(jiān)察系2018-2019第二學(xué)期兩個班級120名學(xué)生的教學(xué)實踐，發(fā)現(xiàn)采用本文提出的方案進行文件系統(tǒng)知識的實驗教學(xué)有效地提高了學(xué)生的學(xué)習(xí)積極主動性，提高了學(xué)習(xí)效率和教學(xué)效果，有利于思維拓展和創(chuàng)新精神的培養(yǎng)，這些都為將來的取證工作打下堅實的基礎(chǔ)。