数据重现 文件系统原理精解与数据恢复最佳实践 阅读笔记

马林老师：电子版 数据重现 文件系统原理精解与数据恢复最佳实践 小韩阅读笔记 清大出版社 第一章 数据恢复相关基础 1硬盘接口 1. IDE接口 Integrated Drive Electronics 主要用于个人电脑硬盘接口 2. SCSI 接口Small Computer System Interface 主要用于网络服务器 3. SATA Serial-ATA (串行)。IDE Parallel ATA  (并行) 目前硬盘的主流接口 4. SAS 是并行SCSI接口之后全新接口 兼容SATA  (个人理解SAS结合的scsi和 sata的优点 注：stat磁盘控制器无法控制sas磁盘 ，但sas磁盘控制器可控制sata 磁盘) 5. IEEEA1394接口 不是硬盘专用接口，不是很常见。 2计算机启动(bios) 2 1. 各种设备BIOS 系统BIOS = 主板BIOS 计算机启动是在系统BIOS控制下进行的， 2. POST 加电自检 – BIOS 初始自检 – BIOS 硬件检测 – ESCD 扩展系统配置数据 BIOS 启动顺序 如 hdd 3 “数”之体验 3 1. 数制 二进制 八进制 十进制 十六进制 2. 二进制 只有0和1两个数字 每个0或1称为一个“位 (bit)”每八个“bit”组成一个“字节(byte)”二进制使用后缀b表示，如110b 3. 八六进制(较少用) 2的3次方 十六进制 2的4次方表示，主要是缩短表达长度。 十六进制 使用 A=10  B=11  C=12  D=13  E=14  F=15 十六进制使用后缀 H 表示 如 872H  也可以表示成 0×872 4. 十进制 使用后缀d表示 一般情况下会省略。 5. 进制之间的转换 此为重点 记忆 6. 数的存储格式 待理解 4 工具软件 4 1. 虚拟磁盘软件 inspro disk 2. 十六进制编辑软件 winhex 3. 硬盘检测软件MHDD 第二章 分区 (相关数据结构Winhex 源码查看与下载 www.tysjhf.com/jszl/) 1  基本理论 1 1. 分区与卷 win unix 挂载卷的方式 2. 扇区地址  物理地址 物理卷地址 逻辑卷地址 3. 判断分区信息  几种情况  首尾相连 未分配空间 分区交叉 分区包含 2  DOS分区 1. Dos分区体系的磁盘(最常见最复杂的分区体系 一直是i386/x86的分区体系) 称为 主引导为 MBR 磁盘 这是相对于分区表为ID磁盘而言的(GPT) 2. GPT分区体系 64位itanium版 windows 系统采用的磁盘布局架构 此分区体系尚未完全普及 3. 基本磁盘 已分区无法动态地扩容，想扩容，先删除分区，再重新进行划分 此分区常用(自己的理解) 4. 动态磁盘 如果使用NTFS 文件系统，可以在不影响现有分区数据的情况下动态地对分区进行扩容 5.                                                                                                                                         6. 分区表项数据结构 7. 基本 int 13H [BIOS INT 13H ]  扩展 INT 13H [Extended int 13h] 支持8G以上磁盘 8. 扩展引导记录扇区EBR 扩展分区是为了解决4个主分区表项无法满足使用需要的问题而提出的。 2  Apple分区 1. Apple分区体系是苹果机使用的一种分区体系 2. Apple使用HFS或HFS+文件系统存储用户数据 3  BSD分区 1. 在数据恢复时经常会遇到BSD  Unix服务器，如FreeBSD、OpenBSD以及NetBSD,这些系统拥有它们自己的分区体系。FreeBSD操作系统既可以用不用DOS分区体系也可以使用BSD分区体系，而OpenBSD和NetBSD则只能使用BSD分区体系。BSD分区体系比DOS分区体系简单但要比Apple的分区复杂些。BSD分区被包含在一个由DOS创建的分区中，且只用一个扇区记录必要的分区信息。 1.1 第一个分区的分区类型值为 0x0B,为一个FAT32文件系统分区，该分区起始于63号扇区，分区大小为2056257个扇区。 1.2 第二分区的分区类型值为0XA6,为一个OpenBSD类型DOS分区，该分区起始于2056320号扇区，分区大小为6152895个扇区。 1.3 第三个分区的分区类型值为0XA5，为一个FreeBSD类型DOS分区，该分区起始于8209215号扇区。 BSD分区表的每个表项都含有下列信息区域  BSD分区起始扇区号 BSD分区大小 分区类型 UFS文件系统片段大小 UFS文件系统每块片段数 每UFS柱面组包含的柱面数 4  Sun Solaris 分区  [片分区] 1. SunMicrosystem 公司的 Solaris操作系统可以应用于大型服务器和桌面系统。根据磁盘大小的不同及Solaris 版本的不同，使用两种不同类型的分割方式。 5  GPT分区  1. 是Windows Server 2003中的一种新型磁盘架构，是一种基于 Itanium计算机中的可扩展固件接口使用的磁盘分区架构。这种64位的Itanium 版Windows系统采用的磁盘而已架构与传统的32位磁盘完全不同。 2. GPT 磁盘总体布局  一个转换为GPT并建立分区的磁盘，总体布局如图 一个GPT磁盘可以分为两大部分：保护MB和EFI部分，第一部分由0号扇区组成，在这个扇区中包含一个Dos分区表，分区表内只有一个表项，这个表项描述 一个类型值为0xEE的分区，大小为整个磁盘。这个分区存在可以使计算机认为这个磁盘是合法的，并且已被使用从而不在试图对其进行格式化等操作，所以该扇区又被称为“保护MBR”实际上，EFI根本不使用这个分区表。EFI又可以分为4个区域： EFI信息区 （又称为GPT头）部分—起始磁盘的1呈扇区，通常只占用这一个扇区。GPT磁盘创建合，由GPT头定义分区表的位置和大小。Windows限定分区表项为128个，GPT头还包含头和分区表的校验和，这样就可以及时发现错误或者改变。  分区表部分—分区表区域包含分区表项，这个区域由GPT头定义，一般占用磁盘2-33号扇区。分区表中的第个表项由起始和结束地址、类型值、名字、属性标志和GUID值组成。分区表建立后，128位的GUID对系统不说是唯一的。  GPT分区部分—分区部分是最大区域，由分配给分区的扇区组成。这个区域的起始和结束地址由GPT头定义。  备份区域—备份区域位于磁盘的尾部，包含GPT头和分区表的备份。它占用GPT结束扇区和EFI结束扇区之间的33个扇区。其中最后一个扇区用来备份1号扇区的EFI信息，其余的32个扇区用来备份2~33号扇区的分区表。 3.   6 移动介质分区 1. 介质的使用领域不同而有所关异 2. 软盘----与硬盘所使用的分区体系是一样的，FAT12例外。 3. U盘----现在的U盘基本上都会有一个分区表结构。 4. ZIP盘---使用机器的不同分区体系也有所不同。 5. 闪存卡---由U盘、硬盘分区体系相似。 6. CD-ROM----ISO9660格式，不同操作系统下访问同样的数据格式。为了解决ISO 9660中的字符设置限制、文件名长度限制及目录树深度限制等问题，微软提出 Joliet 和 Romeo文件系统 这就是扩展的 ISO 9660。Joliet 主要用win9x和nt4.0或更新版本下读取，Romeo则只定义为win9x。如果是Apple使用的文件，则会使用Apple的HFS+格式进存储，还有一些可启动光盘也有分区表结构---Intel启动光盘的开始处会有一个DOS分区表。这些结构是使用光盘ISO启动所必需的。 , 第三章 FAT文件系统 [分区必须经过格式化后才可以使用，格式化的过程就是在分区内建立文件系统的过程] [文件系统是为了长久地存储访问数据而为用户提供的一种基于文件和目录的存储机制] 1  文件系统总论 2 1. 数据单元 如FAT 与 NTFS 文件系统中的簇、八个扇区 2. 分配策略 为文件分配存储单元时的方法或算法 3. 元数据 文件或目录的一些描述信息 如大小、时间 我们把这些信息称为文件或目录的元数据 2  FAT文件系统整体布局 3 1. 一个FAT文件系统可以分为三个部分：保留区、FAT区和数据区。这三个区域在建立文件系统时即被创建，且在文件系统存续期间不可被更改。 2. FAT32 一般由 32、34、或38个扇区组成保留区，保留区的大小会记录在引导扇区中。引导扇区是FAT32文件系统的第一个扇区，也称为DBR扇区。 3. FAT32引导扇区结构 4.