本文主要是介绍【信安实践2】_第一站:磁盘取证,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
文章目录
- 本节目的
- Windows文件系统
- ramdisk虚拟内存盘
- 使用Winhex恢复删除文件
- 原理:文件碎片
- 不同的文件系统下尝试
- 实验过程
本节目的
1.了解Windows 系统下文件系统结构:FAT16/FAT32
2.熟悉Ramdisk, Winhex 工具软件的使用
3.了解简单的Windows下数据恢复技术,恢复简单的文件。
Windows文件系统
Windows文件系统:FAT16、FAT32、NTFS。
Linux文件系统:ext2、ext3、ext4。
实验环境:Windows10 专业版。
FAT16:即FAT,支持DOS、Windows 95、Windows 98/2000/XP。
它最大可以管理大到2GB的分区,但每个分区最多只能有65525个簇
(簇是磁盘空间的配置单位,每个簇为16KB)
FAT32:是FAT16的增强版,从Windows 98开始后续windows都支持。
支持大到2TB(2048GB)的分区。
FAT32使用的每个簇4KB,比FAT16小,有效地节约硬盘空间。
联系:FAT32是FAT16文件系统的派生,比 FAT16 支持更小的簇和更大的分区,这就使得 FAT32 分区的空间分配更有效率。
NTFS(New Technology File System):是Windows NT内核系列的操作系统支持的磁盘格式,提供长文件名、数据保护和恢复,支持跨分区。
NTFS是一个日志文件系统,这意味着不仅向磁盘写入信息,还为所有改变保留一份日志。最早出现在1993年的Windows NT操作系统,作用是取代了老式的FAT文件系统。(本地Win10磁盘文件系统是NTFS)
ramdisk虚拟内存盘
RAM一般指随机存取存储器,也叫主存,全称Random Access Memory。
ramdisk直译是内存磁盘,又称虚拟内存盘。虚拟内存盘是通过软件将一部分内存(RAM)模拟为硬盘来使用的一种技术。
本次使用虚拟磁盘软件:Dataram_RAMDisk / 4.4.0_RC36。
软件介绍:Dataram ramdisk是一个虚拟磁盘软件,可以把电脑内存虚拟成磁盘。内存虚拟磁盘速度非常高,对大内存用户来说,可以提高运行速度、延长硬盘寿命。
实验回顾:使用Dataram randisk软件分别创建FAT16、FAT32、NTFS文件系统的虚拟内存磁盘,了解FAT16、FAT32、NTFS文件系统的引导扇区结构。
使用Winhex恢复删除文件
原理:文件碎片
不同的文件系统下尝试
本地D盘是NTFS文件系统,虚拟磁盘是FAT文件系统,尝试发现D盘文件和虚拟内存磁盘的文件都可以被恢复。
实验过程
打开Dataram ramdisk软件,保存虚拟内存磁盘快照为ramdisk.img:
在虚拟内存磁盘创建hello.txt文件:
打开winhex,找到工具-打开磁盘(D),选择虚拟磁盘:
删除hello.txt:
重启winhex,打开虚拟磁盘,更新磁盘快照,看到已被删除的文件:
理解:刚开始以为磁盘快照保存了磁盘某一时刻的状态,是一种备份。
但在虚拟磁盘中只有temp目录及其目录下的hello.doc文件时保存快照,发现磁盘快照中居然还有已删除的hello.txt文件。
原理不是备份,而是失去表头又未被覆盖的文件碎片。
这篇关于【信安实践2】_第一站:磁盘取证的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
