《安全操作系统》

平安操作系统中国科学技术大学计算机系陈香兰〔0512－87161312〕xlanchen@助教：裴建国Autumn2021实验讲解口令破解，Passwordcracking文件恢复，filerecovery缓冲区溢出系统平安平安审计文件事件审计主机平安审计.文件恢复，filerecovery实验中用到的工具磁盘相关磁盘物理组织和结构磁盘逻辑组织和结构FAT32文件恢复Ext2文件恢复.工具Winhex下载evaluation版：://winhex.en.softonic/FinalData下载Demo版，有限时间；有限使用

://finaldata/文件粉碎机下载，很多网站例如filekillerDebugfs，Linux自带.文件恢复，filerecovery实验中用到的工具磁盘相关磁盘物理组织和结构磁盘逻辑组织和结构FAT32文件恢复Ext2文件恢复.://microsoft/resources/documentation/windowsnt/4/server/reskit/en-us/resguide/diskover.mspx?mfr=trueIllustrationofaharddisk

cylinder/head/sector

.TracksandCylinders.SectorsandClusters.文件恢复，filerecovery磁盘相关磁盘物理组织和结构磁盘逻辑组织和结构FAT32文件恢复Ext2文件恢复.MBRIA32IBMPC系统采用MBR分区表方案系统启动时，首先执行ROMBIOS中的固件该固件将会装载〔0x7C00〕并执行MBR中的bootloader运行在实模式MBR中的bootloader将查找分区表，找到活动分区，加载该分区启动扇区并执行与FS类型以及OS类型有关通常用来加载OS相关的secondarybootstraploader，例如io.sys,ntldr关于PC的启动过程，可以参见这里：

BootsequenceonstandardPC(IBM-PCcompatible).512字节的MBR＝446字节的bootloader＋64字节的分区表＋2字节的signature：0xAA55track0,head0,andsector1

演示本机磁盘管理信息.分区表,partitiontable4项，MBR446字节开始的64个字节，偏移分别Partition10x01BE(446)Partition20x01CE(462)

Partition30x01DE(478)

Partition40x01EE(494)

每项16个字节Anexample://blogs.msdn/ntdebugging/archive/2007/06/19/how-windows-starts-up-part-1-of-4.aspx.分区表项〔细〕.关于更多的systemid，参考这里..FATPartitionBootSector://ntfs/fat-partition-sector.htmBPB关于Windows95的启动过程，参考这里找到并加载Io.sys…….NTFSPartitionBootSector关于Windows2000的启动，参见NtldrVista和server2021：

winload.exe和WindowsBootManager找到并加载Ntldr…….演示？翻开整个磁盘，看分区，MBR.Partitionrecovery误删一个分区？TestDiskgpart有些磁盘管理工具，在删除分区时，会写覆盖分区前部的几个扇区Windows2000/XP，第一个扇区需要有备份的启动扇区配合恢复病毒？分区时突然掉电/死机？安装或删除多OS之一？

查杀病毒恢复分区表fdisk/mbr重新分区？？.文件恢复，filerecovery实验中用到的工具磁盘相关磁盘物理组织和结构磁盘逻辑组织和结构FAT32文件恢复Ext2文件恢复.FAT根本概念扇区簇链式存储〔显式〕FileAllocationTable目录项FAT的备份FAT＃1和FAT＃2，大小相等.FAT的格式最早，FAT12，用12bit对簇寻址4096－〔000h，001h，FF0h～FFFh〕＝4078个可用软盘InitialFAT16，用16bit对簇寻址，65517受限于16位扇区号，分区最大32MBFinalFAT16，1987磁盘技术：可以使用32位的扇区号sectors-per-cluster<=64标准扇区大小512字节，簇最大32KB，分区最大2GFAT32，32位，其中28位用来寻簇假设32KB的簇，那么8TB，理论上受限于bootsector，32位扇区号，实际上最大2TB.FAT表的大小簇数×〔12/16/32〕以扇区为单位向上取整FAT表项的作用〔根据表项的编号和表项的值〕标明磁盘类型链接一个文件的各个簇标明坏簇和可用簇.FAT表项的值？不能用作next指针.FAT的第0项首字节标明磁盘类型，参见这里FAT的第1项不用.FAT分区布局.FAT32bootsector.JMP(3)BPB25个字节0x00OEMNAME(8)512SectorsperclusterBytespersectorReservedsectorcount20x10Maximumnumberofrootdirectoryentries2个字节，最大512FAT12/16Mediadescriptor参见这里SectorsperFATforFAT12/16HiddensectorsTotalsectorsNumberofheadsSectorspertrack#ofFATs0x20.Operatingsystembootcode…ExtendedBPB，forFAT12/160x20PhysicaldrivenumberserialnumberTotalsectors0x30…paddedwithblanksFATtype，补空格，FAT12或16VolumeLabel,55和AAReservedExtendedbootsignature0x1F0.TotalsectorsExtendedBPB，forFAT32Operatingsystembootcode…0x20Sectors/FAT0x30FATtype，补空格，“FAT32〞VolumeLabel,补空格…55和AA0x400x50…serialnumberPhysicaldrivenumberReservedExtendedbootsignatureVersionClusternumberofrootdirectorystartReservedSector#ofacopyofthisbootsectorSector#ofFSInformationSectorFATFlags0x1F0.FilesysteminformationsectorFilesysteminformationsector空闲簇的个数；最近分配出去的簇号://home.teleport/~brainy/fat32.htm.FAT各局部的偏移计算Bootsector：分区的第一个扇区〔startsector〕FAT表1：Start+#ofReservedSectorsFAT表2：Start+#ofReservedSectors＋FAT表大小Dataarea：Start+#ofReserved+(#ofSectorsPerFAT*2)://home.teleport/~brainy/fat32.htm.FAT的目录目录是一个特殊的文件每个目录项32字节名称扩展名属性〔archive,directory,hidden,read-only,systemandvolume〕创立日期和时间第一个簇的编号大小FAT12/16有专门的根目录区域FAT32的根目录存放在数据区域.EA-Index(usedbyOS/2andNT)inFAT12andFAT16,High2bytesoffirstclusternumberinFAT32目录格式〔8.3entry〕Filename，补空格,8字节extension(1)(1)(1)(2)(2)(2)(2)(2)(2)(2)Size，4字节FirstclusterinFAT12/16；Low2bytesoffirstclusterinFAT32LastmodifieddateLastmodifiedtimeLastaccessdateCreatedateCreatetimeCreatetime,10ms*(0~199)ReservedFileAttributes0x000x103字节Hours,5位Minutes,6位Seconds/2,5位时间格式：Year,7位，从1980～2107月,4位日,5位日期格式：.文件属性.FAT的长文件名8.3entry，受限；超过？假设干个长文件名目录项〔倒序〕＋短文件名目录项一个文件最多20个，可以容纳255个UTF-16字符最后一个有效字符后，填写0x000x00，此后填充0xFF0xFF.长文件名举例假设文件名“Filewithverylongfilename.ext〞序列号的最高位〔第8位〕用作判断该项是否被删除序列号的第7位，用作判断是否最后长文件名的最后一项.演示？格式化FAT32查看FAT找到根目录在根目录下，创立目录、文件；删除；恢复再次格式化；恢复平安删除.文件恢复，filerecovery实验中用到的工具磁盘相关磁盘物理组织和结构磁盘逻辑组织和结构FAT32文件恢复Ext2文件恢复.Ext2文件恢复Linux文件系统简介工具Debugfs命令dd;od;fdisk;mkfs.ext2;mount/umount;cd;ls;md5sum;stat;rm;.在linux下查看MBR一个获得MBR内容的方法ddbs=512count=1if=/dev/hda|od-Ax-tx1z-v在虚拟机中演示.？演示查看硬盘设备文件〔/dev目录〕磁盘分区(fdisk)，后，再次看硬盘设备文件格式化mkfs.ext2挂载〔mount〕查看系统中的分区挂载情况编辑〔vi〕并保存/文件摘要〔md5sum〕/文件状态〔stat〕删除文件卸载〔umount〕/重新挂载为只读debugfs，可读写方式，lsdel/dump文件摘要并比较.Thanks！Theend.Thestructureofaharddisk://oreilly/catalog/debian/chapter/book/ch02_03.html.://hddtech.co.uk/resource/hard-disk-functionality.htm.NTFS文件系统，根本概念NTFS简单开展史v1.0withNT3.1,releasedmid-1993v1.1withNT3.5,releasedfall1994v1.2writtenbyNT3.51(mid-1995)andNT4(mid-1996)(occasionallyreferredtoas"NTFS4.0",becauseOSversionis4.0)v3.0fromWindows2000(autumn2001;occasionally"NTFSV5.1"),WindowsServer2003(spring2003;occasionally"NTFSV5.2"),WindowsVista(mid-2005)(occasionally"NTFSV6.0")andWindowsServer2021Thefilesystemspecificationisatradesecret.Metadata，元数据"dataaboutdata"例如，跟“书〞相关的元数据有：作者、出版社、出版日期、版本号、ISBN号等等Metafile，元文件severalfileswhichdefine

andorganizethefilesystem常规：不可见.$MFTDescribesallfilesonthevolumefilenamesTimestampsstreamnameslistsofclusternumberswheredatastreamsresideIndexessecurityidentifiersfileattrib