【数据恢复】初探——了解格式，锁定资源，FAT16格式

最近修的课程里面有数据恢复的内容，随着老师的进度学习，发现还是有点意思的。

当然，里面的内容也比较繁琐，毕竟都是结构性的东西，除了专门取证的人员比较熟悉以外，业余的我们只要知道思路。

到时候知道怎么去查资料，怎么去找结构就行了。嘿嘿嘿，

虽然以前知道这个结构是这么回事，现在是亲身去观察了，了解了他们删除以及覆盖的特点了，还是很奇妙的。

文件的删除，就是把 FDT目录 表里面的索引给删除了，数据区还是有数据的， 并且还有方法标记是否被删除了。

从认知学的角度来说，就是需要一步一步的看，以及学习的。所以现在就是从基础的FAT16格式谈起吧~

内容比较多，但是思想比较简单，在熟悉了之后。

以下是按照课程实验的内容进行排列的。

4、分区表结构区

5、分析分区表(MBR)信息

一号分区：

00 02 03 00 06 40 1A 26 80 00 00 00 00 6009 00

00:非活动区

02 03 00：起始位置（0000 0000 000000110000 0010）2柱面，0磁头，3扇区

06：FAT16

40 1A 26:结束位置（0010 0110 000110100100 0000）64柱面，38磁头，26扇区

8000 00 00：第一个扇区的位置差 0x80 个扇区

0060 09 00：分区总扇区数 0x96000

二号分区：

0040 1B 26 06 FE 3F 3E 80 60 09 00 00 28 06 00

00:非活动区

40 1B 26：起始位置（0010 0110 0001 10110100 0000）64柱面，38磁头，27扇区

06：FAT16

FE3F 3E:结束位置（0011 1110 0011 11111111 1110）254柱面，62磁头，63扇区

8060 09 00：第一个扇区的位置差 0x96080 个扇区

0028 06 00：分区总扇区数 0x62800

8、确定引导扇区（DBR），记录重要信息

该图是一号扇区信息：

00 02：每扇区字节数 0x200 (512B)

10：每簇扇区数  0x10 (16)

04 00:保留扇区数 0x4 (4)

00 02:根目录项数  0x200 (512)

00 96:每个FAT占的扇区数  0x96 (150)

9、添加数据后，FAT信息表和FDT信息表，还有数据区

FAT信息表

FDT信息表

数据区 0x20 * 0x200 / 0x200

11、删除文件后的信息

FAT

FDT

数据

一次的删除之后，除了FAT表有变化以外，其他不变。

12、重复删除与添加观察

新建两个文件

 

 

FAT

FDT

数据已经被覆盖

第一个文本：

第二个文本：

接着删除，覆盖，小文件

FAT 

FDT

数据，按照扇区的最小单位覆盖了（512B）