网络空间安全概论 实验8文件恢复 winhex文件恢复实验样例2

实验一文件系统取证一、实验目的1.通过使用WinHex软件，熟悉磁盘信息，从而了解存储机制；2.查看磁盘信息，及其使用状况；3.能够恢复已删除的文件；二、实验内容1.查看计算机磁盘及U盘的信息，及相应的文件信息；2.使用WinHes自动、手动恢复文件；三、实验步骤1.下载WinHex工具，打开文件夹中的WinHex.exe文件，熟悉工作界面；2.打开相应的磁盘，查询信息，并进行相关的恢复操作；四、文件系统格式4.1FAT32文件系统FAT文件系统主要有FAT12、FAT16和FAT32几种形式，其中FAT32是FAT发展的最后形式。这里FAT32的意思是簇的编址采用32bit宽度的数，所以FAT32文件系统最多能寻址2**32=4294967296个簇，其他FAT变种类似。FAT32文件系统由DBR及保留扇区，FAT1，FAT2和数据区组成：DBR及保留扇区FAT2FATDBR及保留扇区FAT2FAT1数据区图1.4.1.1FAT32结构DBR及保留扇区：DBR的含义是DOS引导记录，也称为操作系统引导记录，在DBR之后往往还会有一些保留扇区。FAT1：FAT的含义是文件分配表，FAT32一般有两份FAT，FAT1是第一份，也是主FAT。FAT2：FAT2是FAT32的第二份文件分配表，也是FAT1的备份。DATA：DATA也就是数据区，是FAT32文件系统的主要区域，其中包含目录区域。用WinHew打开一个FAT32格式的磁盘，其DBR如下，对内容进行简要的表明。图1.4.1.2DBR跳转指令将呈现执行流程跳转到引导程序处；OEMID由厂商指定，这里是MSDOS5.0；BPB记录文件系统相关的重要信息，由BPB和拓展BPB组成，具体参数解释如下：字节偏移字段长度(字节)对应取值名称和定义0x0B20x0200扇区字节数0x0D10x20每簇扇区数0x0E20x080E保留扇区数0x1010x02FAT数0x1120x0000根目录项数0x1320x0000小扇区数0x1510xF8媒体描述符0x1620x0000每FAT扇区数（FAT32为0）0x1820x003F每道扇区数0x1A20x00FF磁头数0x1C40x00000060隐藏扇区数0x2040x03BFFF0A总扇区数0x2440x00003BF9每FAT扇区数0x2820x0000扩展标志0x2A20x0000文件系统版本0x2C40x00000002根目录簇号0x3020x0001文件系统信息扇区号0x3420x0006备份引导扇区0x361212字节均为0x00保留拓展BPB参数如下：字节偏移字段长度(字节)对应取值名称和定义0x4010x00物理驱动器号0x4110x00每保留0x4210x29扩展引导标签0x4340x5168C523分区序号0x4711"NONAME"卷标0x528"FAT32"系统IDFAT32文件系统在DBR的保留扇区中还安排了一个文件系统信息扇区，用以记录数据区中空闲簇的数量及下一个空闲簇的簇号，该扇区一般在分区的1号扇区，也就是紧跟着DBR后的一个扇区，其内容如下图（其中字节值为零的，都没有被使用）：图1.4.1.3文件系统信息扇区在DBR之后，就是FAT，文件分配表。FAT一般有两个，一个正常使用称为FAT1，另一个是备份称为FAT2，FAT1和FAT2的内容完全一样。FAT是一组与数据簇号对应的列表，表项的编号从0开始，但是编号0表示FAT介质类型，编号1表示FAT文件系统错误标志，所以实际存储从2号开始。大文件占用多个簇的话，则FAT项纪录下一个FAT项编号，依次类推直到最后以“0FFFFFFF“表示文件末尾。文件至少占用一个簇，所以新建文件的时候，即使只写入1字节的数据，它也会占用一个簇的空间。而且，从之前DBR偏移0xB的两字节和00x0D的一字节可以看出，一簇为32扇区，每扇区512字节，一簇大小为16KB。下面对FAT1的部分内容进行一下标记（图上只标注了0-7项，后面的FAT表项依此类推）：图1.4.1.4FAT1部分标注从上图中，可以看到第4-7项存储了一个文件。第4项的存储内容说明下一个簇号在第5项，后面一样，直到第7项表明该文件存储结束。每一项对应一个簇，该文件就占用了4簇。FAT2和FAT1内容完全一样，不单独拿出分析。最后是数据区，是真正存储文件内容的区域。数据区紧跟在FAT2之后，被划分成一个个的簇。所有的簇从2开始进行编号，也就是说，2号簇的起始位置就是数据区的起始位置。在WinHex中，根目录起始扇区号即为数据区起始扇区号。在数据区中，目录所在的扇区，都以32字节划分为一个单位，每个单位称为一个目录项。根目录由若干个目录项组成，一个目录项占用32个字节，可以是长文件名目录项、文件目录项、子目录项等。这些目录项用来存储文件名、文件属性、最后修改时间、最后保存时间等信息。对短文件目录项（文件名<=8字节且后缀名<=3字节），其字节有如下定义：字节偏移字节数定义0x08文件名0x83拓展名0xB1属性字节：00000000：读写00000001：只读00000010：隐藏00000100：系统00001000：卷标00010000：子目录00100000：归档0xC1系统保留0xD1创建文件的10毫秒位0xE2文件创建时间0x102文件创建日期0x122文件最后访问时间0x142文件起始簇号的高16位0x162文件最近修改时间0x182文件最近修改日期0x1A2文件起始簇号的低16位0x1C4文件长度对长文件目录项（文件名>8字节或后缀名>3字节），其字节有如下定义：字节偏移字节数定义0x01属性字节位意义：7：保留未用6：表示长文件最后的目录项5：保留未用4：顺序号数值3：顺序号数值2：子顺序号数值1：顺序号数值0：顺序号数值0x110长文件名Unicode码10xB1长文件名目录标志0xC1系统保留0xD1校验值0xE12长文件名Unicode码20x1A2文件起始簇号0x1C4长文件名Unicode码3当需要找文件真正存储内容的时候，就可以根据上面目录项的起始簇号去寻找文件内容。而每个文件所占用的簇信息，又在FAT表项中进行了标识，再按照FAT的信息进行查找，即可找到相应文件的所有内容。比较方便的是，WinHex还提供了簇号和扇区的转换，可以根据簇号来跳转到相应的扇区。图1.4.1.5WinHex簇号转换4.2NTFS文件系统NTFS文件系统（NewTecnologyFileSystem），是现在绝大多数电脑磁盘分区使用的文件系统。NTFS文件系统具有安全性高、稳定性好、不易产生文件碎片等优点。DBRNTFS文件系统大致结构如下：DBR部分MFT备份数据区DBR备份MFT数据区部分MFT备份数据区DBR备份MFT数据区数据区图1.4.2.1NTFS结构DBR：由“跳转指令”、“OEM代号”、“BPB”、“引导程序”和“结束标志”组成，这里和FAT32文件系统的DBR一样。数据区：数据区分为三部分，这是真正存储文件内容的地方。MFT：它由一个个表项构成，每一个表项是一个文件记录，大小一般为1KB(两个扇区)，记录着卷中每一个目录和文件的信息，每个文件记录的结构都是固定的，由文件记录头和若干属性构成。部分MFT备份：用来备份MFT部分信息。DBR备份：备份DBR。NTFS中DBR的大致结构和FAT32相同，但部分字节的定义有差异。图1.4.2.2DBR字节定义使用WinHex，并结合上图就可以理解各个字节的意思。在NTFS的MFT文件中，会预先建立16个重要的文件（MFT记录的ID编号固定为0-15）和8个保留文件（MFT记录的ID编号固定为16-23），这24个文件是被称为元文件（Metafiles）或元数据（metadata）的系统文件、，NTFS文件系统将这些数据都当做文件进行管理，这些文件用户是不能访问的，它们的文件名的第一个字符都是“$”，表示该文件是隐藏的。而用户的文件在MFT中的ID编号从24后开始排，用户每添加一个文件，ID号加1。图1.4.2.3MFT结构上面是MFT的元文件及相应功能，元文件序号和数量不是不变的，随着操作系统的变化，它的内容也会发生部分变化。下来解析MFT中的用户文件记录部分。文件记录由两部分组成，一部分是文件记录头，另一部分是属性列表，结尾是四个“FF”。一个完整的文件记录如下图：图1.4.2.4文件记录文件记录头的字节定义如下图如下图：图1.4.2.5文件记录头字节定义在属性列表中，每个MFT的属性分为两类常驻属性和非常驻属性。 常驻属性：直接在MFT项中记录属性体，例如10和30属性  •优点：直接在MFT项中记录属体，访问速度快  •缺点：只能记录少量的数据 非常驻属性：在MFT之外的区域记录属性体，例如80属性（当数据较小时为常驻属性）  •优点：用簇流记录文件存储的数据区域，可以记录很大的数据  •缺点：访问速度较慢对每个MFT的属性来说，它又分为两部分：属性头和属性体。对常驻属性，它属性头的结构如下：图1.4.2.6常驻属性的结构对非常驻属性，它属性头的结构如下：图1.4.2.7非常驻属性的结构对上面的00-03偏移字段，MFT中所有的属性类型表如下：图1.4.2.8MFT属性类型表下面，给出10、30和80属性体的结构。图1.4.2.910属性体结构图1.4.2.930属性体结构80属性是存储数据的地方，如果相应文件存储的内容较小那它就是常驻属性，属性头即为前面的常驻属性属性头，紧跟在属性头后面的属性体即为文件内容。而如果文件存储的内容较大，在当前MFT表装不下（一半般没个MFT项都占用1024字节，即两个扇区）。此时，80属性就是非常驻属性，紧跟它属性头后面的属性体就是簇流记录信息。80为非常驻时，又分为单个运行列表和多个运行列表。图1.4.2.1080属性单运行列表对上图中80属性体的单运行列表分析。开头的0x33，低4位的3表示它后面的3字节内容为运行簇个数，这里为0x00BC40；高4位的3表示簇大小后面的3字节内容为起始簇，这里为0x0C0000。而且，这个起始簇是整个文件卷的相对位置。图1.4.2.1080属性多运行列表对上图中80属性体的多运行列表分析。对第一个运行列表开头的0x31，低4位的1表示它后面的1字节内容为运行簇个数，这里为0x03；高4位的3表示簇大小后面的3字节内容为起始簇，这里为0x009A65。这个起始簇是整个文件卷的相对位置，是LCN(logicalclusternumber)。对第二个运行列表开头的0x11，低4位的1表示它后面的1字节内容为运行簇个数，这里为0x01；高4位的1表示簇大小后面的1字节内容为起始簇，这里为0x13。但这里的起始簇是整个文件内部的相对位置，是VCN(virtualclusternumber)。所以有计算公式：第N个运行列表的LCN=第一个运行列表的起始簇(LCN)+第二个运行列表的起始簇(VCN)+...+第n个运行列表的起始簇(VCN)五、实验结果5.1FAT32文件删除与恢复现在Windows10操作系统的磁盘已经不使用FAT格式，这里选择U盘来做FAT的实验。在WinHex工具栏，选择“工具”—“打开磁盘”。图1.5.1.1打开磁盘在磁盘选择窗口，选择接入电脑的U盘并打开。图1.5.1.2选择磁盘打开U盘之后，WinHex显示如下，可以看到U盘中的文件。图1.5.1.3U盘内容5.1.1自动恢复先在U盘中创建一个文件—“计算机取证05171759.txt”，用于删除。图1.5.1.4新建文件新建文件内容是我的名字。图1.5.1.5新建文件内容确认文件内容之后，就可以把文件删除。删除之后，要在WinHex中更新磁盘。在WinHex工具栏，选择“专业工具”—“进行磁盘快照”。图1.5.1.6进行磁盘快照在弹出的对话框中，勾选“更新快照”。图1.5.1.7更新磁盘快照更新磁盘之后，可以在Winhex找到删除的文件。右键单击，选择“恢复/复制”，导出到新文件。图1.5.1.8恢复文件将恢复文件的位置选择为U盘。图1.5.1.9导出文件在U盘中查看文件内容，看到名字和内容都和原来一样。图1.5.1.10查看恢复文件5.1.2手动恢复这里仍然可以在U盘中找到对应的文件。图1.5.1.11找到删除文件但文件内容是乱码的，在编码页面选择GBK编码，就可以看到正确的文件内容。图1.5.1.12选择GBK编码图1.5.1.13GBK编码文件内容之后选中文件区域，右键选择“复制选块”—“至新文件”。图1.5.1.14选中文件内容将文件命名“恢复文件.txt”，另存到U盘中。图1.5.1.15另存文件到U盘中验证文件内容，看到是跟原来文件内容是一样的。图1.5.1.16验证恢复文件内容下面我还想尝试下大文件的删除恢复，这里删的是一个程序设计实践报告，大小为6975KB。图1.5.1.17删除大文件下面在WinHex中更新磁盘，找到这个文件并列出它所占用的簇。发现簇并不是完全连续的，而是呈现出片段状。手工恢复的话，就要找到这些簇，并把这些簇拼接到一起输出为文件。比较麻烦，下面不再尝试了。图1.5.1.18查看大文件占用簇5.2NTFS文件删除与恢复在这个实验刚开始时，我是一直使用虚拟机的C盘来操作的。结果C盘文件太多，每次搜索删除的文件明时，非常费事，中间还出现删除文件，搜索不到等现象。后来是，新建了一个容量较小的拓展磁盘来进行这次实验，使得文件搜索分析等操作变得容易进行。在E盘中新建一个文件，名为“wgz.txt”,确认文件内容。图1.5.2.1查看文件内容之后长按“Shift”键，再右键选择“删除”，来将文件直接删除。如果不按“Shift”，而是将文件直接删除，那样文件会移动到回收站里面，文件名也会被更改，后面就不能通过搜索文件名来找