【主要目的】
1.了解計算機取證技術(shù)與方法。
2.掌握FAT文件系統(tǒng)結(jié)構(gòu)，分析其安全問題
【主要內(nèi)容】

1. 使用Winhex工具查看FAT文件系統(tǒng)；
2. 了解BPB表、FAT、FDT組成；
3. 掌握FAT對文件增加和刪除的具體執(zhí)行過程；
4. 實現(xiàn)FAT中文件刪除后的恢復(fù)；
5. 分析FAT文件系統(tǒng)中的安全問題。

計算機取證技術(shù)是指運用計算機辨析技術(shù)，對計算機犯罪行為進行分析以確認罪犯及計算機證據(jù)。
技術(shù)：用某種技術(shù)提取硬盤，光盤，軟盤，zip磁盤，u盤，內(nèi)存緩沖和其他存儲介質(zhì)中的有用信息。
概念：
扇區(qū)：512字節(jié)的空間，磁盤管理的最小單位
簇：FAT文件系統(tǒng)對磁盤管理的最小單位,一般為2n,n值大小和容量大小有關(guān)
柱面與磁道：

Paste_Image.png

整個硬盤分為主引導(dǎo)記錄區(qū)，硬盤分區(qū)即邏輯盤區(qū)，少量保留區(qū)域。一下是基于FAT32文件系統(tǒng)的邏輯盤（比如C盤）結(jié)構(gòu)：

Paste_Image.png

引導(dǎo)區(qū)（boot區(qū)）：
引導(dǎo)區(qū)從第一扇區(qū)(邏輯扇區(qū)號0) 開始，保存了每個扇區(qū)的字節(jié)數(shù)，一個簇的扇區(qū)數(shù)，F(xiàn)AT表的起始位置，F(xiàn)AT表的個數(shù)以及FAT表的扇區(qū)數(shù)等信息，之后還留有若干保留扇區(qū)，存儲這些信息的叫做BPB表，如下

Paste_Image.png

文件分配表區(qū)（FAT區(qū)）：
FAT區(qū)是用來記錄文件所在位置的表格，相當于一個指針。

根目錄（root）
其保存根目錄下的各文件的目錄項，每個目錄項占32個字節(jié)，其中第20 21字節(jié)代表該目錄項所在簇索引的高位，26,27為低位，所以27+26+21+20對應(yīng)的值變?yōu)樵撃夸涰椝诘拇靥枴＃?8,29,30,31位為文件長度。如下表所示

Paste_Image.png

winhex對刪除文件進行恢復(fù)

Paste_Image.png

Paste_Image.png

Paste_Image.png