信息技术安全课程实验一:修改引导区标记、恢复被删除的文件(exFAT文件系统)

最新推荐文章于 2024-10-06 13:17:50 发布
原创 最新推荐文章于 2024-10-06 13:17:50 发布 · 1.3k 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#运维

实验通过使用Winhex软件对U盘进行克隆备份,修改主引导区标记和数据,研究其对U盘读写的影响。在exFAT文件系统的U盘上创建并删除文件,然后利用Winhex进行自动和手工恢复文件,展示了文件恢复的两种方法和技术。

实验目的

学习硬盘数据存储基础知识,了解FAT32文件系统存储格式,掌握文件在意外删除后的文件恢复技术;

实验工具

Winhex软件(下载链接),U盘

实验内容

A、对U盘完成克隆备份,修改U盘主引导区或引导区标记55AA为0000,验证该标记对U盘读写有何影响?修改主引导区或引导区的前500字节数据为00(55AA不修改),验证修改对U盘读写有何影响?

B、在U盘新建子目录mu,然后在该目录下新建文件testqazwsxedc.txt,输入内容“this is test 信息安全”,另外再随机粘贴文字,文件长度需要大于2个簇并保存。删除该文件,然后用winhex软件恢复该文件(恢复采用两种方式,一种是基于工具的自动恢复,一种是手工操作的恢复)。

实验过程

注:实验中使用的U盘为exFAT文件系统。

A. 修改引导区的内容

(1)修改引导区标记55AA为0000

① 按下F9选择磁盘F(U盘)。
在这里插入图片描述

② 创建磁盘镜像。
在这里插入图片描述

③ 将主引导区标记55AA修改为0000。
在这里插入图片描述

④ 系统提示无法写入也无法读取。
在这里插入图片描述
在这里插入图片描述
⑤ 用镜像文件恢复U盘。

(2)将前500字节数据改为0000

① 在另一个引导区,将55AA前的数据都改为0000并保存。
在这里插入图片描述
在这里插入图片描述
可以发现对U盘读写并无影响。

B. 创建文件然后删除并恢复

(1)基于工具的自动恢复

① 本次实验中采用的U盘属于exFAT文件系统,其每簇为131072字节,即128KB。
在这里插入图片描述

② 在U盘新建子目录mu,然后在该目录下新建文本文件“test.txt”,输入大于2个簇(即256KB)的文字。
在这里插入图片描述
在这里插入图片描述

③ 删除文件test.txt后,利用winhex的恢复功能进行恢复。
在这里插入图片描述
在这里插入图片描述

④ 可以看到test.txt文件恢复成功。
在这里插入图片描述

(2)手工操作的恢复

① 再次删除test.txt文件。由于实验过程中删除了三次,所以有三个test.txt文件的记录。
在这里插入图片描述

② 回到根目录,定位到mu目录。exFAT文件系统中,05开头表示一个目录项,所以可以发现mu目录中有3个目录项,对应三次被删除的test.txt文件。
在这里插入图片描述

③这里选择第三次被删除的test.txt文件进行恢复。打开数据解释器,点击图中“97”,可以看到起始簇号为919簇。
在这里插入图片描述
点击图中位置“B2”,可知文件大小为263346字节。在这里插入图片描述

④ 跳转到919簇。
在这里插入图片描述

⑤ 可以发现正是test.txt中的内容,按Alt+1选作起始位置。
在这里插入图片描述

⑥ 将263346转为16进制即404b2,跳转到404b2字节,来到文件末尾,按Alt+2选作尾部,即可选定整个test.txt的内容。
在这里插入图片描述

⑦ 复制选块至新文件保存。
在这里插入图片描述

⑧ 即可成功恢复test.txt文件。
在这里插入图片描述
在这里插入图片描述

参考资料:
https://www.bilibili.com/video/BV1ey4y1H7mU/
https://blog.youkuaiyun.com/Kiolng/article/details/105300528

FAT文件系统原理及结构详细讲解.pdf
07-30
最后,FAT文件系统的设计使得它具有良好的跨平台兼容性,但随着技术的发展和存储需求的提高,FAT文件系统逐渐被更高效的NTFS、exFAT文件系统所取代。尽管如此,在些小型电子设备和移动存储设备中,FAT文件系统...
exfat格式分区数据恢复v1.1绿色中文版.rar
09-04
软件介绍: 注意:不要将软件放到丢失文件所在的分区上,那样会导致数据覆盖而无法恢复。能够恢复exFAT格式分区中的数据,exFAT般用于U盘等外部存储设备上,支持打开IMG镜像文件,扫描丢失的分区。可以恢复格式化后的数据,恢复删除的以及清空回收站后的数据文件。支持winxp/2003/vista/2008系统。
exFAT文件系统修复
weixin_34114823的博客
01-08 1512
曾经简单的对exFAT分区了解了些,之前做过个脚本用来修复exFAT文件系统的VBR,但是修复以后不能在系统中正常打开,仍然提示未格式化,今天做了个分区校验程序,校验后分区可以正常打开。 转载于:https://blog.51cto.com/haobinnan/474909...
Linux系统主引导扇区MBR详解
Luckiers的博客
05-31 3668
简介 在硬盘中,硬盘的0柱面0磁头第个1扇区称为主引导扇区,也叫主引导记录-MBR(main boot record),其中MBR是以下三个部分组成 1、Bootloader,主引导程序(446个字节) 2、Dpt(Disk Partition table),硬盘分区表(64个字节) 3、扇区结尾标志(55aa)(个字节) 总共512字节,前446个字节是主引导记录,是bios加电自检后要运行的代码,中间64字节为分区表。 简单的来说MBR=bootloader+dpt(64)+结尾标志(55aa)。其中
《x86汇编语言:从实模式到保护模式》(第5章---编写主引导扇区代码)
ccnuacmhdu的博客
12-15 1020
在前面的预备知识里,我们已经知道,处理器加电或者复位之后,如果硬盘是首选的启动设备,那么,ROM-BIOS 将试图读取硬盘的 0 面 0 道 1 扇区。传统上,这就是主引导扇区(Main Boot Sector,MBR)。 读取的主引导扇区数据有 512 字节,ROM-BIOS 程序将它加载到逻辑地址 0x0000:0x7c00处,也就是物理地址 0x07c00 处,然后判断它是否有效。个有效的...
MBR磁盘(分区表备份恢复
友人A的博客
11-13 2438
介绍 硬盘主引导MBR由4个部分组成 主引导程序(偏移地址0000H--0088H),它负责从活动分区中装载,并运行系统引导程序 出错信息数据区,偏移地址0089H--00E1H为出错信息,00E2H--01BDH全为0字节 分区表(DPT,Disk Partition Table)含4个分区项,偏移地址01BEH--01FDH,每个分区表项长16个字节,共64字节为分区项1、分区项2、分...
exFAT格式U盘完美恢复流程攻略
春天的旋律
01-06 1万+
有时,我们插入U盘到计算机时会提示要求格式化,这种情况有很大概率是MBR或DBR损坏。可以使用DiskGenius重建分区表取出数据或用WinHex人工恢复MBR、DBR,从而恢复并提取出数据。
EXFAT文件系统DBR的完美恢复
热门推荐
xlzgwry的博客
02-25 1万+
本文简要介绍了EXFAT文件系统的优点,并对EXFAT文件系统中关键部位特征进行了较为详细的剖析,从而可以进步理解如何利用WINHEX进行手动恢复重要参数的方法。最后给出了个小的脚本程序,无需掌握C++等高级语言,也可以快速、准确生成EXFAT文件系统的校验码,进而达到可以完整恢复EXFAT的DBR的目的。
佳佳数据恢复专业版:支持多设备与文件系统的绿色恢复工具
该软件能够识别并解析这些不同文件系统的元数据结构,深入分析目录项、簇分配表、MFT(主文件表)或FAT表等关键信息,从而精准定位已被标记为“删除”但尚未被覆盖的数据块,并通过算法重构出原始文件内容。...
基于磁盘直读的文件系统重建与数据恢复技术实现
磁盘直读直写、文件分配表读写、文件恢复(反删除)、文件强制删除文件锁、文件超级隐藏等技术是计算机数据管理与安全领域中极为关键的核心内容,尤其在数据恢复、系统维护、信息安全和底层编程方面具有深远的应用...
数据重现与文件系统原理及数据恢复详解
“数据重现文件系统原理精解与数据恢复”这标题所涵盖的知识体系极为广泛,涉及计算机存储底层机制、操作系统内核管理逻辑、文件系统架构设计以及数据恢复技术等多个关键领域。结合描述中提到的“针对Windows系统...
windows EXFAT 文件系统手动数据恢复
bqnagus
09-26 798
windows exfat 手动数据恢复
希捷8T硬盘exfat变0字节的恢复方法
最新发布
CHS实验室
10-06 1399
最近流行的3.5寸大容量台式硬盘+移动盒子是种性价比较高的组合,为了方便如涉及到跨平台(win和mac),大多数此类组合选择了exfat文件系统。下边这个案例就是我们经常遇到的exfat变0字节。ST8000HKVS002 8T/exfat 文件系统
linux 磁盘格式化 恢复数据,从格式化为 exfat 的损坏 U 盘上恢复数据的记录
weixin_42520909的博客
05-11 1508
个格式化为 exfat 格式的 64GB U 盘放到个老旧的 Android 平板上用了下,结果就无法识别了。在电脑上也是无法用,Windows 提示需要格式化,Linux 无法挂载但是可以显示硬件信息。虽然数据丢失也影响不大,可是为了减少整理数据的时间,还是尽量修复了下。以下是修复过程记录。初步估计这个 U 盘只是分区表被破坏了,这是常见问题。但是因为 exfat 格式的容错能力非常差...
exFat格成了Ntfs,怎么恢复数据?
weixin_34023863的博客
09-21 645
这是片求助文章! 小子我遇到问题了! 我的移动硬盘是500G的,其中有我多年的照片,视频,文字资料等。。 有天,我在哥哥家拷东西,记过不知道那条数据线是坏的,再传输数据时突然断线,我的个分区219G(exFat格式)就成了RAW,之后我百般无奈,只好将其格式化,可是我家电脑没有格式化成exFa...
exfat转换fat32工具_简述8款Linux数据恢复工具,请收藏
weixin_42552410的博客
01-14 884
现在各行各业信息化程度越来越高,数据的重要作用愈加明显,程序员的误操作或者Linux操作系统崩溃会造成数据丢失,忙着个月的项目,就这样消失了。老板的痛斥、经理的训斥接踵而来,接下来就是没休息、加班,甚至忙到凌晨都不能离开那该死的电脑,这个时候如何利用简单的工具来恢复被你删除的数据就很重要了,现在有很多Linux数据恢复工具可以让我们摆脱数据安全的困扰,能够帮助我们从系统的硬盘上恢复数据...
WinHex数据恢复笔记-数据恢复与硬件维护-第2章节-FAT32-20-30课时数据恢复
专业电灯大师
05-24 1323
目录 ​ 第20课时.格式化对文件系统做了什么操作 格式化对文件系统做了什么操作? 第21课时.格式化的恢复-虚拟子目录 第22课时.格式化的恢复-手工提取根目录下文件 课后实践 总结: 第23课时.格式化的恢复-手工计算DBR参数 课后实践 第24课时.格式化的恢复-取巧获得DBR参数 第25课时.磁盘未被格式化恢复-利用备份的DBR恢复 课后实践 干货 第26课时.磁盘未被格式化恢复-用系统格式化默认参数恢复 第27课时.磁盘未被格式化恢复-手工计算DBR参数 干..
引导区
lxslove的专栏
12-30 874
 硬盘的第个扇区被保留为主引导扇区,它位于整个硬盘的0磁道0柱面1扇区,包括硬盘主引导记录MBR(Main Boot Record)和分区表DPT(Disk Partition Table)。其中主引导记录的作用就是检查分区表是否正确以及确定哪个分区为引导分区,并在程序结束时把该分区的启动程序(也就是操作系统引导扇区)调入内存加以执行。至于分区表,很多人都知道,以80H或00H为开始标志,以55
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值