计算机病毒第二讲 磁盘格式与数据恢复

1、整理ppt1计算机病毒分析与对抗第二讲磁盘格式与数据恢复武汉大学计算机学院 彭国军整理ppt2引言o数据的地位o数据安全整理ppt3o数据恢复数据恢复是指由于各种原因导致数据损失时把保留在介质上的数据重新恢复的过程。 即使数据被删除或硬盘出现故障，只要在介质没有严重受损的情况下,数据就有可能被完好无损地恢复。n格式化或误删除引起的数据损失的情况下，大部分数据仍未损坏，用软件重新恢复连接环节的话，可以重读数据。n如果硬盘因硬件损坏而无法访问时，更换发生故障的零件，即可恢复数据。n在介质严重受损或数据被覆盖情况，数据将无法恢复。 整理ppt4课前我们应该思考的问题o磁盘物理结构是怎样的？其由哪些部

2、分组成？o磁盘中的数据是如何存储和索引的？o磁盘中的数据如何被删除？删除之后的数据是否可以恢复？o如何恢复磁盘中丢失的数据?整理ppt5本讲的内容提纲o硬盘基础知识o硬盘的数据存储结构oFAT32文件系统及数据恢复原理oNTFS文件系统o数据恢复实例o安全删除技术整理ppt61.硬盘基础知识整理ppt71.1硬盘外观oIBM 10MB硬盘的内部结构图及外观图 整理ppt820GB的7200RPM高速西部数据硬盘 整理ppt9全球最小的HDDo东芝推出的0.85英寸硬盘被吉尼斯承认为一项世界记录“全球最小的HDD” 。0.85英寸的HDD大小为322435mm（长宽高），重量只有10g，容量为2

3、-4GB。 整理ppt101.2硬盘物理结构o硬盘外部结构 n接口（电源接口+数据接口）n硬盘控制电路n固定面板 o硬盘内部结构n盘片、磁头、盘片主轴、控制电机、磁头控制器、数据转换器整理ppt111.2.1硬盘外部结构o接口硬盘背面及各部件名称 整理ppt121.2.1硬盘外部结构o硬盘控制电路拆下硬盘控制电路后 西数硬盘控制电路近照 整理ppt131.2.1硬盘外部结构o固定面板：就是硬盘正面的面板，它与底板结合成一个密封的整体，保证了硬盘盘片和机构的稳定运行。n在面板上最显眼的莫过于产品标签，上面印着产品型号、产品序列号、产品、生产日期等信息。n除此，还有一个透气孔，它的作用就是使硬盘内

4、部气压与大气气压保持一致。 整理ppt141.2.2硬盘内部结构o现在的硬盘主要包括：盘片、磁头、盘片主轴、控制电机、磁头现在的硬盘主要包括：盘片、磁头、盘片主轴、控制电机、磁头控制器、数据转换器、接口、缓存等几个部份。控制器、数据转换器、接口、缓存等几个部份。o硬盘上所有的盘片都固定在一个旋转轴上，这个轴即硬盘上所有的盘片都固定在一个旋转轴上，这个轴即盘片主轴盘片主轴。其中所有盘片之间是绝对平行的，在每个盘片的存储面上都有一其中所有盘片之间是绝对平行的，在每个盘片的存储面上都有一个个磁头磁头，磁头与盘片之间的距离比头发丝的直径还要小。，磁头与盘片之间的距离比头发丝的直径还要小。o所有的磁头都

5、连在一个所有的磁头都连在一个磁头控制器磁头控制器上，由磁头控制器负责各个磁上，由磁头控制器负责各个磁头的运动。头的运动。o磁头可沿盘片的半径方向动作，而盘片在这里以每分钟数千转的磁头可沿盘片的半径方向动作，而盘片在这里以每分钟数千转的速度在高速旋转，这样磁头便可对盘片上的指定位置进行数据的速度在高速旋转，这样磁头便可对盘片上的指定位置进行数据的读写操作。读写操作。整理ppt151.2.2硬盘内部结构整理ppt161)磁头组件o它由读写磁头、传动手臂、传动轴三部份组成。o硬盘的工作原理，它是利用特定的磁粒子的极性来记录数据。o那磁头是怎么读取数据的呢？n首先磁头将磁粒子的不同极性转换成不同的电脉

6、冲信号，再利用数据转换器将这些原始信号变成电脑可以使用的数据，写的操作正好与此相反。整理ppt17o西数WD200BB硬盘采用单碟双磁头设计，该磁头组件能支持四个磁头，不过其中有两个磁头传动手臂没有安装磁头。 整理ppt182)磁头驱动机构： o磁头驱动机构由电磁线圈电机、磁头驱动小车、防震动装置构成，高精度的轻型磁头驱动机构能够对磁头进行正确的驱动和定位，并能在很短的时间内精确定位系统指令指定的磁道。 整理ppt193)磁盘片 o金属或玻璃整理ppt204)主轴组件 o主轴组件包括主轴部件如轴承和驱动电机等。 整理ppt215)前置控制电路 o前置电路控制磁头感应的信号、主轴电机调速、磁头驱

7、动和服务定位等，由于磁头读取的信号微弱，将放大电路密封在腔体内可减少外来信号的干扰，提高操作指令的准确性。 整理ppt221.3硬盘逻辑结构o 硬盘由很多盘片(platter)组成，每个盘片的每个面都有一个读写磁头。如果有N个盘片。就有2N个面，对应2N个磁头(Heads)，从0、1、2开始编号。o每个盘片被划分成若干个同心圆磁道(逻辑上的，是不可见的。)每个盘片的划分规则通常是一样的。这样每个盘片的半径均为固定值R的同心圆再逻辑上形成了一个以电机主轴为轴的柱面(Cylinders)，从外至里编号为0、1、2o每个盘片上的每个磁道又被划分为几十个扇区(Sector)，通常的容量是512byte

8、，并按照一定规则编号为1、2、3o形成CylindersHeadsSector个扇区。 整理ppt231.3硬盘逻辑结构o1. 硬盘参数 nCHS(Cylinder/Head/Sector)参数 o磁头数(Heads)表示硬盘总共有几个磁头,也就是有几面盘片, 最大为 255 (用 8 个二进制位存储);o柱面数(Cylinders) 表示硬盘每一面盘片上有几条磁道,最大为 1023(用 10 个二进制位存储);o扇区数(Sectors) 表示每一条磁道上有几个扇区, 最大为 63(用 6个二进制位存储).每个扇区一般是 512个字节 n磁盘最大容量o255 * 1023 * 63 * 512

9、 / 1048576 = 8024 MB ( 1M =1048576 Bytes )或o硬盘厂商常用的单位:255 * 1023 * 63 * 512 / 1000000 = 8414 MB ( 1M =1000000 Bytes )整理ppt24硬盘空间扩展o在老式硬盘中, 由于每个磁道的扇区数相等,所以外道的记录密度要远低于内道, 因此会浪费很多磁盘空间 (与软盘一样). n为了解决这一问题,进一步提高硬盘容量, 人们改用等密度结构生产硬盘.n也就是说,外圈磁道的扇区比内圈磁道多. 采用这种结构后, 硬盘不再具有实际的3D参数,寻址方式也改为线性寻址, 即以扇区为单位进行寻址.o为了与使用

10、3D寻址的老软件兼容 (如使用BIOS Int13H接口的软件), 在硬盘控制器内部安装了一个地址翻译器,由它负责将老式3D参数翻译成新的线性参数. 整理ppt252.硬盘的数据存储结构整理ppt262.1硬盘总体结构表整理ppt27整理ppt282.2MBRoMBR(Master Boot Record),即主引导记录，有时也称主引导扇区。o位于整个硬盘的0柱面0磁头1扇区(可以看作是硬盘的第一个扇区)，BIOS在执行自己固有的程序以后就会jump到MBR中的第一条指令。将系统的控制权交由MBR来执行。n在总共512byte的主引导记录中，MBR的引导程序占了其中的前446个字节(偏移0H偏

11、移1BDH)n随后的64个字节(偏移1BEH偏移1FDH)为DPT(Disk Partition Table，硬盘分区表)n最后的两个字节“55 AA”(偏移1FEH偏移1FFH)是分区有效结束标志。整理ppt29oWinHex查看的一块希捷120GB硬盘的mbr 整理ppt302.3DPT（硬盘分区表）o在DPT共64个字节中，以16个字节为分区表项单位描述一个分区的属性。o通常情况下，第一个分区表项描述一个分区的属性，一般为基本分区。第二个分区表项描述除基本分区外的其余空间，即我们所说的扩展分区。整理ppt31DPT（硬盘分区表）示例整理ppt32DPT分区项各字段含义字节位移字段长度值字

12、段名和定义0 x01BEBYTE0 x80引导指示符(Boot Indicator) 指明该分区是否是活动分区。0 x01BFBYTE0 x01开始磁头(Starting Head)0 x01C06位0 x01开始扇区(Starting Sector) 只用了05位。后面的两位(第6位和第7位)被开始柱面字段所使用0 x01C110位0 x00开始柱面(Starting Cylinder) 除了开始扇区字段的最后两位外，还使用了1位来组成该柱面值。开始柱面是一个10位数，最大值为10230 x01C2BYTE0 x07系统ID(System ID) 定义了分区的类型0 x01C3BYTE0 x

13、FE结束磁头(Ending Head)0 x01C46位0 xFF结束扇区(Ending Sector) 只使用了05位。最后两位(第6、7位)被结束柱面字段所使用0 x01C510位0 x7B结束柱面(Ending Cylinder) 除了结束扇区字段最后的两位外，还使用了1位，以组成该柱面值。结束柱面是一个10位的数，最大值为10230 x01C6DWORD0 x0000003F相对扇区数(Relative Sectors) 从该磁盘的开始到该分区的开始的位移量，以扇区来计算0 x01CADWORD0 x00DAA83D总扇区数(Total Sectors) 该分区中的扇区总数整理ppt3

14、3DPT的4个分区项oC盘之前为盘之前为1个主引导扇区和个主引导扇区和62个保留扇区。个保留扇区。oC盘从盘从63号扇区开始，结束号扇区开始，结束于于14329979（63+14329917-1）扇）扇区。区。C盘大小为盘大小为7,336,916,992字节。字节。o主扩展分区从主扩展分区从14329980扇扇区开始，结束于区开始，结束于（14329980+220106565-1）扇区。主扩展分区大）扇区。主扩展分区大小为小为112,694,560,768字字节。节。整理ppt34扩展分区表整理ppt35扩展分区表o前面各项均为0，仅存分区项和结束标记整理ppt36该硬盘详细结构MBR(1)+

15、Res(62)+DBR(1)+Res(31)+FAT1+FAT2+DIR+DATA+整理ppt372.4DBR各字段含义整理ppt38DBR各自段具体解释o包括：n跳转指令n厂商标志和操作系统版本号nBPB(BIOS Parameter Block)n扩展BPBnOS引导程序n结束标志o右图以FAT32为例说明分区DBR各字节的含义。 整理ppt39FAT32下DBR各字段含义o0H02H 一条跳转指令，指针指向后面的引导程序 o03H0AH 厂商名和系统版本 o0BH0CH 每扇字节数，一般为512字节 o0DH 每簇扇区数（有关簇的概念我们在后面会详细介绍），对于FAT32的磁盘该字节一般

16、为08H，既每簇为8H*512B=4K。 o0EH0FH 保留扇区数 o10H 磁盘FAT的个数，一般为2个 o11H12H 对于FAT16的磁盘为根目录的最大目录项，对于FAT32的磁盘该值总为“00H 00H” o13H14H 对于软盘或早期小硬盘该处为分区总扇区数，对于硬盘一般此值为“00H 00H” o15H 介质描述，对于1.44软盘此处长为“F0H”，对于硬盘此处长为“F8H” o16H17H 对于软盘或早期小硬盘该处为每个FAT占用的扇区数，对于硬盘一般此值为“00H 00H” o18H19H 每道扇区数，一般为“3FH 00H”，即每道有63个扇区 o1AH1BH 磁头数，一般

17、为“FFH 00H”，即每个柱面有255个磁头 o1CH1FH 隐含扇区数 o20H23H 对于大硬盘来说该处存放的是该分区占用的扇区数 o24H27H 对于大硬盘来说该处存放的是每个FAT占用的扇区数 o40H 该处为磁盘BIOS信息，第一块硬盘为“80H”，一般软盘为“00H” o47H51H 用户设置的卷标，如果没有卷标此处常为字符串“NO NAME ” o52H59H 文件系统，对于FAT32文件系统此处常为“FAT32 ” o1FEH1FFH 结束标识，和上文提到的主引导区的结束标识一样为“55H AAH” 整理ppt40NTFS下DBRo00：3 bytes跳转指令o03：OEM

18、ID o0B：25 bytesBPBo24: 48 bytes扩展 BPBo54:426 bytes引导程序代码o1FE:结束标记（0 xAA55）整理ppt41 NTFS下BPB和扩展BPB中参数的含义 整理ppt423.FAT32文件系统及数据恢复原理整理ppt433.1 FAT32分区结构整理ppt44o引导扇区引导扇区n在前面已经论述，其中的在前面已经论述，其中的BPB和扩展的和扩展的BPB记录了分区的属记录了分区的属性，即其它性，即其它5个部分的属性。个部分的属性。o保留扇区：保留扇区：nFAT32中的保留扇区除了磁盘总第中的保留扇区除了磁盘总第0扇区用作扇区用作DBR，总第，总第2

19、扇区扇区(win98 系统系统)或总第或总第0 xC扇区扇区(win2000,winxp)用用作作OS引导代码扩展部分外，其余扇区都不参与操作系统管理引导代码扩展部分外，其余扇区都不参与操作系统管理与磁盘数据管理，通常情况下是不起作用的。与磁盘数据管理，通常情况下是不起作用的。n操作系统之所以在操作系统之所以在 FAT32 中设置保留扇区，是为了对中设置保留扇区，是为了对DBR作备份或留待以后升级时用，比如引导程序以后的扩展，作备份或留待以后升级时用，比如引导程序以后的扩展，FAT32中中DBR偏移偏移0 x34占占2字节的数据指明了字节的数据指明了DBR备份扇备份扇区所在一般为区所在一般为0

20、 x06即第即第6扇区，当扇区，当FAT32分区分区DBR扇区被扇区被破坏导致分区无法访问时可以用第破坏导致分区无法访问时可以用第6扇区的原备份替换第扇区的原备份替换第0扇扇区来找回数据。区来找回数据。整理ppt45oFAT表表(File Allocation Table 文件分配表文件分配表)是是Microsoft在在FAT文件系统中用于磁盘数据文件系统中用于磁盘数据(文件文件)索引和定位引进的一种链式结构。索引和定位引进的一种链式结构。FAT表记录了磁表记录了磁盘数据文件的存储链表。盘数据文件的存储链表。o文件系统将磁盘空间按一定数目的扇区为单位进行文件系统将磁盘空间按一定数目的扇区为单位

21、进行划分，这样的单位称为划分，这样的单位称为簇簇。n通常情况下，每扇区通常情况下，每扇区512字节的原则是不变的。簇的大字节的原则是不变的。簇的大小一般是小一般是2n(n 为整数为整数 )个扇区的大小，可以是个扇区的大小，可以是512B、1KB、2KB、4KB、8KB、16KB、32KB、64KB。实际中通常不超过实际中通常不超过32K。整理ppt46FAT表FAT记录项的值对应簇的表现情况000000000H未分配的簇00000002H 0FFFFFEFH已分配的簇0FFFFFF0H - 0FFFFFF6H系统保留0FFFFFF7H坏簇0FFFFFF8H - 0FFFFFFFH文件结束簇通常

22、情况其第 1 、 2个记录项 用作介质描述。从第三个记录项开始记录除根目录外的其他文件及文件夹的簇链情况。根据簇的表现情况 FAT 用相应的取值来描述，见下表：整理ppt47o根目录首簇n对于根目录的第一个簇，系统并不编号为第 0 簇或第 1 簇 ，而是编号为第 2 簇，也就是说数据区顺序上的第 1个簇也是编号上的第 2 簇。 整理ppt48oFAT中将目录当文件进行处理。文件和目录都以32字节的目录项来进行索引，长文件名拥有多个目录项。整理ppt49实际目录的目录项例子整理ppt50实际文件的目录项例子整理ppt513.2文件存储与恢复原理整理ppt524.NTFS文件系统整理ppt53NT

23、FS文件系统总体结构图o引导扇区将NTLDR区域的代码读入内存并移交控制权oMFT（主控文件表）是NTFS卷结构的核心。nMFT是一个与文件相对应的文件属性数据库，它记录了除文件数据外的所有属性，甚至小文件的数据本身也包含在MFT中。nMFT以文件数组来实现，每个文件记录的大小固定为1KB。整理ppt54NTFS引导分区整理ppt55实际含义整理ppt56MFT(Master File Table):组织结构示意表 最开始是保存系统关键信息的16个元数据文件。从第24个记录开始，MFT记录的都是文件或者目录（其实被NTFS同样视为文件）的描述信息 整理ppt57MFT(Master File

24、Table):主控文件表o主控文件表中的每个文件记录由两部分组成：n表头（文件记录头）o长度和偏移处的数据含义不变n属性列表o属性是File具体信息的载体，一个File的所有信息（包括文件的内容）都通过属性体现。通过获取属性的值，就能够得到File的各种所需的信息。 o不同的属性列表的对应偏移对应着不同的含义oMFT中每个文件记录的结束标记为FFFFFFFFH整理ppt58File Record(FR)oFile Record（文件记录，以下简称FR），大小保持为1KB，即2个扇区n如果一个File足够小（大概700多字节以下），NTFS将其数据直接存放在该File的FR中；n否则，NTFS将开辟新空间存放File的具体数据，其存放位置记录在FR中，通过Data Run指明每段起始簇号和每段（即碎片）占用的簇的个数。 整理ppt59File Record组织结构示意表 FR头属性1，通常是$STANDARD