《数据恢复》教案正文17
数据恢复技术PPT学习教案
Win2003:RAID-1,5
第36页/共37页
。
第3页/共37页
固态硬盘 : 第4页/共37页
普通硬盘:
第5页/共37页
普通硬盘内部结构
磁 头 组 件 。 这个组 件是硬 盘中最 精密的 部位之 一,它 由读写 磁头、 传动手 臂、传 动轴三 部分组 成。
第6页/共37页
硬盘的接口: IDE:(Integrated Drive Electronics),即“电子集成驱动 器”,它的本意是指把“硬盘控制器”与“盘体”集成在一起 的硬盘驱动器。把盘体与控制器集成在一起的做法减少了硬盘 接口的电缆数目与长度,数据传输的可靠性得到了增强,硬盘 制造起来变得更容易,因为硬盘生产厂商不需要再担心自己的 硬盘是否与其它厂商生产的控制器兼容。对用户而言,硬盘安 装起来也更为方便。IDE这一接口技术从诞生至今就一直在不断 发展,性能也不断的提高,其拥有的价格低廉、兼容性强的特 点,为其造就了其它类型硬盘无法替代的地位。
第10页/共37页
硬盘坏
磁头—通电响 盘片—用专门的工具读数据 电路板—更换同型号电路板
BIOS芯片 固件—用PC3000恢复
第11页/共37页
硬盘数据地址定位参数:
C/H/S:三维地址结构:
柱面(磁道):C(Cylinder)
磁头(盘面):H(H
L/B/A(Logic Block Address):线性地址,只 有“扇区”这一个地址。
FAT16: 04H(分区小于32M) 06H(分区大于32M)
FAT32: 0BH或0CH NTFS: 07H 扩展分区:05H或0FH 第6字节:05H: 本分区结束磁头号 第7字节:06H: 本分区结束扇区号 第8字节:07H: 本分区结束柱面 第9-12字节:08-0BH: 本分区开始扇区号(LBA地址) (本分区之前使用的扇区数目) 第13-16字节:0CH-0FH: 本分区大小(单位:扇区)
《数据恢复技术》实验教学设计
【 关键词 】 数据恢 复; 实验教 学 0 引 言
_
1 实 验 内 容 设 计
实验项 目 从 数据为什 么能恢复 、 如何 恢复 、 具体 数据恢复案例 三 个角度开展 .通过情 境导人可以激发学生的学习兴趣和探索 欲望 . 通 过比对实验 , 掌握操作 系统格 式化分区 、 文件删除处理 的原理 , 明确学 习与实践 内容 及 目标 . 变被 动学习为 主动学习 . 实 现学生的学 习主体 地位 , 并快 速融 人工程项 目的场景之 中 . 教学情境 由典型工程任务 、 根 据教 学需求进行转 化而成 . 应 有机地把教 学 目标 、 教 学环 境和教学 过 程结合起来 。由于实验条件 限制 . 实验 项 目重点在于数据恢 复软处 理 方面 ,开设 了硬盘结构分 析 、 F A T 3 2文件系统分 析与数据恢 复 、 N T F S 文件 系统分 析与数 据恢 复 、 R A I D磁盘阵列 4个主要实验 1 . 1 硬盘结构分析实验 利用 Wi n h e x理解硬 盘的物理结构 、 逻辑结 构 . 分析启动扇 区的数 据, 掌握分 区表 工作原理 , 并利用 手工方 法对 M B R 、 分区表 等进行数 据备份 和恢复 。 该 实验 以 G h o s t 误还原备份 系统 为教 学情景 . 经 常有 用户在使用 G h o s t 做系统还原 的时候操作失误 .在还原分 区过 程中把原本只是系 统盘 c盘的镜像文件还原到整个硬盘上 . 这样一来 . G h o s 就将之前某 个分 区的镜像文件还原到整个硬盘上 操作完 成后 . 整个硬盘就 只 剩一个分 区 . 硬盘 上的其他分 区丢 失 . 同时这 些分 区中的文 件数据全 部丢失 。 通 过实际可能发生的误操作 为实验 背景 . 学生感觉到 “ 这样 的 问题我也遇 到过” 或“ 我以后可 能也会 遇到这样 的问题” . 也就会 认为 实验不是简单 的理论 到实践的转化 . 而的确是技 能储备 . 有 助于以后 的学习和工作 . 激发学生学习兴趣 实验在 V Mw a r e虚拟机 中实现 .要求学 生在 实施 G h o s t 误操作前 利用 Wi n h e x 查看 M B R、 E B R中的分区表 , 记 录本分 区的扇区数 目, 描 述出分 区链结构 . 了解硬盘逻辑结构 。进行 G h o s t 误 操作后利用 利用 Wi n h e x 打 开磁盘 。 手工 修复该错 误 . 重 建分 区表 . 找到 丢失 的分 区和 数据 实验思考 问题环节要求学生思 考不 良商家是 如何做到 u盘扩 容. 假冒 u盘大小 的, 让学生根据本次实验举一反三 . 进行思维拓展。 1 . 2 F A T 3 2 文件系统分析与数据恢复实验 该实验要求学生 了解 Wi n d o w s 文件 系统 .了解 F A T 3 2 文件 系统 的工作原理 , F A T 3 2 文件 系统 的 D B R、 F A T表 、 数据 区的逻辑关 系, 能 够运用工具恢 复被删除 的文件 . 学会手动 恢复被删 除的文件 . 分析 恢 复F A T 3 2文件系统下误格 式化数据和误 删除数 据 .掌握 D BR的恢 复
数据恢复软件实践教学
数据恢复软件实践教学第一章:数据恢复软件的背景与概述数据恢复软件是一种能够帮助用户从损坏、丢失或格式化的媒体设备上恢复文件的软件工具。
随着数字化时代的到来,数据恢复软件不仅被广泛应用于个人电脑、移动设备等各类媒体设备中,还成为了信息安全、法医学和金融等领域的重要工具。
本章将介绍数据恢复软件的背景和概述。
首先,我们来了解一下数据恢复软件的背景。
随着技术的高速发展,存储设备的种类和容量不断增加,但与此同时,数据丢失和损坏的风险也在增加。
例如,由于误操作、病毒感染、硬件故障等原因,我们的数据可能会丢失或受损。
而数据恢复软件的出现,可以帮助用户快速、高效地恢复被删除或丢失的数据。
同时,数据恢复软件也为信息安全和法医学领域提供了有力的支持,可以从设备中提取重要的证据。
其次,我们来了解一下数据恢复软件的概述。
数据恢复软件通常基于一些特定的算法和技术,可以扫描设备的磁盘或存储介质,并从中找回被删除或丢失的数据。
它们可以恢复各种类型的文件,包括文档、图片、视频、音频文件等。
然而,数据恢复软件并非万能的,对于长时间覆盖、严重损坏或物理损坏的设备,恢复的成功率可能会受到一定的限制。
数据恢复软件的工作原理是其成功恢复数据的关键。
本章将介绍数据恢复软件的工作原理,包括数据扫描、文件分析和恢复过程。
首先,数据恢复软件通过对存储介质进行扫描来查找已经删除或丢失的数据。
在扫描过程中,软件将根据设备上的文件分配表或位图来确定文件的存储位置,并尝试寻找被删除或丢失数据的痕迹。
扫描的方法包括快速扫描和深度扫描,前者速度较快,适用于最近删除的文件,而后者则适用于已经格式化或是长时间删除的文件。
其次,数据恢复软件通过对扫描结果的分析来确定文件的类型和状态。
在分析过程中,软件将根据文件的头部信息、文件格式等特征来判断文件的类型,并尝试恢复已损坏的文件。
同时,软件还可以通过对文件的元数据信息进行分析,来确定文件的上次修改时间、创建时间等重要属性。
数据恢复训练课程设计
数据恢复训练课程设计一、课程目标知识目标:1. 理解数据恢复的基本概念,掌握数据丢失的原因及恢复原理;2. 学习并掌握至少一种数据恢复软件的使用方法;3. 了解常见数据存储格式及其特点,提高数据保护意识。
技能目标:1. 能够独立操作数据恢复软件,完成简单数据恢复任务;2. 学会分析数据丢失的原因,制定相应的数据恢复策略;3. 提高信息检索和筛选能力,提升数据处理与分析的综合素质。
情感态度价值观目标:1. 培养学生尊重数据、珍惜数据的情感态度,提高信息安全意识;2. 增强学生面对数据丢失时的冷静分析和解决问题的能力;3. 培养学生的团队协作精神,学会在数据恢复过程中与他人合作交流。
本课程针对高年级学生,结合学科特点和教学要求,注重理论与实践相结合,以提高学生的实际操作能力和解决问题的能力。
通过本课程的学习,使学生能够掌握数据恢复的基本知识和技能,培养良好的数据保护意识,提高信息安全素养。
同时,课程目标分解为具体的学习成果,便于教学设计和评估。
二、教学内容1. 数据恢复概述- 数据丢失原因与恢复原理- 数据恢复软件简介2. 数据恢复软件操作- 教学软件选择与安装- 软件操作界面及功能介绍- 实例演示与操作练习3. 常见数据存储格式及特点- 文本、图片、音频、视频等格式- 数据保护措施与注意事项4. 数据恢复实战操作- 制定数据恢复策略- 实际操作演练与问题解决- 团队协作与交流分享5. 数据恢复总结与拓展- 数据恢复案例分析- 数据保护与信息安全意识培养- 课程总结与拓展学习建议本教学内容根据课程目标制定,涵盖数据恢复的基本概念、操作技能、常见数据格式及实战操作等方面,确保内容的科学性和系统性。
教学大纲明确指出教材相关章节,并根据课程进度安排教学内容,注重理论与实践相结合,培养学生的实际操作能力和团队协作精神。
教学内容旨在帮助学生掌握数据恢复技能,提高信息安全意识,为后续学习和工作打下坚实基础。
三、教学方法本课程采用以下多样化的教学方法,旨在激发学生的学习兴趣,提高学生的主动性和实践能力:1. 讲授法:- 对于数据恢复的基本概念、原理和操作步骤,采用讲授法进行系统讲解,使学生快速掌握理论知识;- 结合实际案例,讲解数据丢失的原因及恢复方法,帮助学生理解并运用所学知识。
实验一数据恢复实验教案
实验一 windows平台逻辑层数据恢复实验1(误删除的数据恢复)教案一、实验目的通过运用软件对误删除的硬盘或者其他设备的数据进行恢复,使学生了解windows平台逻辑层数据恢复原理。
通过这个实验,使学生能够深入理解并掌握数据恢复软件的使用方法,并能熟练运用这些软件对存储设备设备进行数据恢复。
二、实验意义通过上机实验,巩固理论课所学的基本知识,进一步熟悉存储介质数据修复和恢复方法及过程,提高自身的对存储介质逻辑层恢复技能。
三、实验内容(一)熟悉EasyRecovery Pro的操作界面和该软件的使用,掌握该软件对误删除数据的恢复方法,并运用该软件对硬盘进行逻辑层误删除数据恢复。
(二)熟悉R-Studio的操作界面和该软件的使用,掌握该软件对误删除数据的恢复方法,并运用该软件对硬盘进行逻辑层误删除数据恢复。
四、实验环境(一)硬件1.CPU:Intel P4系列以上2.内存:512M以上3.硬盘可用空间:1G以上4.其他辅助输入、输出设备(二)操作系统:Win9x/WinNT/Win2000/WinXP/Win7(三)实验软件:EasyRecovery Pro6.21、R-Studio5.0五、实验原理现实中很多人不知道删除、格式化等硬盘操作丢失的数据可以恢复,以为删除、格式化以后数据就不存在了。
事实上,上述简单操作后数据仍然存在于硬盘中,懂得数据恢复原理知识的人只需几下便可将消失的数据找回来,不要觉得不可思议,在了解数据在硬盘、优盘、软盘等介质上的存储原理后,你也可以亲自做一回魔术师。
我们向硬盘里存放文件时,系统首先会在文件分配表内写上文件名称、大小,并根据数据区的空闲空间在文件分配表上继续写上文件内容在数据区的起始位置。
然后开始向数据区写上文件的真实内容,一个文件存放操作才算完毕。
删除操作却简单的很,当我们需要删除一个文件时,系统只是在文件分配表内在该文件前面写一个删除标志,表示该文件已被删除,他所占用的空间已被"释放", 其他文件可以使用他占用的空间。
对U盘进行数据恢复操作上课教案
广东省高级技工学校文化理论课教案(首页)(代号A-3)JXZ024-2共7页科目电子商务安全课题:上机: EasyRecovry数据恢复软件操作授课日期第6周课时2班级09电子商务1/2班授课方式讲授与演示作业题数拟用时间90分钟教学目的通过软件对格式的U盘进行数据恢复操作选用教具挂图486以上电脑,内存128M以上较好重点EasyRecovery软件操作难点EasyRecovery软件操作教学回顾说明审阅签名:钟梅芳JSZ024-3第1页第一节课:1、超级秘密磁盘3000的使用新建密盘,设置密码,导入文件。
发现多了一个盘符。
如果关闭密盘则增加的密盘又看不到了。
利用“磁盘保护”对C盘隐藏,隐藏后在地址栏输入C:回车还可以看到C盘的内容;但如果选中对C盘进行磁盘加锁,则无法打开C盘。
如下图所示。
JSZ024-3第2页2、超级兔子的使用JSZ024-3第3页点击,做以下操作1、隐藏磁盘操作同样可以对D、E、F等磁盘隐藏和加密。
2、加密解密文件,加密后会生成后缀为.cry的加密文件。
第二节课文件恢复工具(EasyRecovery Professional)的使用一、实验目的和要求让学生了一般删除与永久删除的意义,懂得计算机储存商务文件的安全风险。
如何进行保存。
存懂得处理商务文件的一般做法。
二、实验内容1、一般删除与永久删除的比较;2、永久删除文件恢复的工具(EasyRecovery Professional)的使用。
操作步骤:先将机房电脑最后一个盘格式,用来恢复数据。
a)点击“”,进入软件主界面,选择数据修复项会出现如图的界面大家可以根据自己的需要来选择应用。
JSZ024-3第4页b)在右侧选择任何一种数据修复方式都会出现相应的用法提示,这里使用(高级恢复),选中某个盘符。
下一步,正在扫描文件。
(时间大概要2分钟)c)扫描之后,你曾经删除的文件及文件夹会全部呈现出来,如下图。
现在需要的就是耐心地寻找、勾选,因为文件夹的名称和文件的位置会发生一些变化,这时要细心的看d)选择好要恢复的文件后,它会提示你选择一个用以保存恢复文件的逻辑驱动器JSZ024-3第5页这里保存在D盘。
2013第17课(数据恢复)
第十七章 软件故障与数据恢复 8
图17-1
第十七章 软件故障与数据恢复 9
图17-2
第十七章 软件故障与数据恢复 10
( 3 )选择 命令,打开 “系统还原”对话框,如图17-3所示。 (4)选中 单选项后,单击 按钮,在还原点描述文本框中输入还原点的描述 信息,如这里输入“新安装”,如图17-4所示 。 ( 5 )单击 按钮,系统将创建还原点, 如图17-5所示。单击 按钮后,系统将重新 启动,并自动创建好还原点。
第十七章 软件故障与数据恢复 27
EasyRecovery
EasyRecovery 是世界著名数据恢复公 司 Ontrack 的技术杰作。 其 Professioanl (专业) 版更是囊括了磁 盘诊断、数据恢复、文件修复、Email 修复等全部 4 大类目 19 个项目的 各种数据文件修复和磁盘诊断方案。
第十七章 软件故障与数据恢复 19
17.2.1 利用一键Ghost维护系统
软件名称:一键Ghost 软件版本:8.2 Build 050706 运行环境: 一键自动备份/恢复系统 1.下载该程序并在Windows XP系统下 安装,程序安装完成后会自动生成 双重启动菜单,重启后按提示选择 “1KEY GHOST 8.2 Build 050706” 即可进入DOS(图1)
第十七章 软件故障与数据恢复 24
图4
第十七章 软件故障与数据恢复 25
图5
6.为了系统安全,勾选密码保护项(图5)。开始备份前,程 序会弹出一个密码设置窗口,按提示设置即可(图 6)。这 样下次恢复系统时就需要输入这里设置的密码。
第十七章 软件故障与数据恢复 26
17.3 硬盘与数据恢复
诺顿磁盘医生 2006 汉化版(NDD 2006) 是一款极好的磁盘检测修复工具可以安全并 容易地诊断和修复各种磁盘故障,用它可以 修复硬盘和移动存储设备上的逻辑错误、坏 道、丢失簇,非常的方便快捷,它将执行几 项测试。检查从磁盘的分区表到物理表面的 每一项目。如果 Norton Disk Doctor 找到一 个错误,它在修复之前将通知你。如果你愿 意的话,你也可以让它执行必要的修复。。
数据恢复技术说课
计算机网 络技术人 才培养方 案
二、课程标准
(一)、课程目标
1 2 具备 FAT32/NTFS 文件系统下的 文件删除/格 式化后的恢复 能力 3
具备分区恢 复的能力
具备办公文 件的数据恢 复能力
二、课程标准
(二)课程任务
序号 1 2 3 4 5 6 7 总计 项目名称 硬盘基础知识 分区原理
分区的恢复 FAT/NTFS 文件系统原理
分区恢 复 FAT文件 系统恢复 NTFS文件 系统恢复 文档修复
硬盘的 基础知 识
分区的 原理
分区的 FAT文 恢复 件系统 (实验1)原理
FAT文 NTFS文件 文档修复 件系统 系统原理 (实验4) 与恢复 恢复 (实验2)(实验3)
五、考核方式
平时成绩(40%) 期末考试(60%)
平时作业 实验报告 上课考勤
分区原理 硬盘基础知 识
FAT/NTFS 文件系统
让学生掌握硬 让学生掌握分区 让学生掌 盘的物理结构, 表原理及分区表 握 FAT/NTFS文 逻辑结构和基 修复技术 件系统概念结构, 本参数 理解文件删除的 本质
三、教学内容
(3)实践教学组织与安排
序 号 1 学习情境 分区恢复 实验名称 使用DiskGen恢复分区表 学时 8
2 3
FAT恢复 NTFS恢复
办公文档修复
使用WinHex恢复FAT32下删除的文件 使用WinHex恢复NTFS下删除的文件
Word文档修复 PowerPoint文档修复
8 8
4 4 4
4
Excel文档修复
三、教学内容
(4)教材(配套教学PPT和素材) (5)参考书籍
四、课程设计的理念与思路
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
江西工业职业技术学院教案读写磁头、主轴(下方是轴承和马达电机)、永久磁铁、盘片、空气过滤片等组成。
(2)硬盘的逻辑结构硬盘的逻辑结构包括磁面(Side)、磁道(Track)、柱面(Cylinder)与扇区(Sector)。
(3)硬盘的工作原理4.硬盘的控制电路在硬盘电路板中,三个芯片比较重要,它们分别是:硬盘主控芯片、硬盘驱动芯片、硬盘缓存芯片。
5.硬盘的物理故障判步骤江西工业职业技术学院教案课程名称数据恢复授课时间第 1 周第 2 次授课章节实验一 winhex的介绍及使用教学目的知识目标1.熟悉winhex界面2.理解数据的存储形态技能目标会使用通用的数据恢复方法恢复简单的文件会创建虚拟磁盘教学重点虚拟磁盘的创建和附加通用的数据恢复方法数据的存储形态教学难点通用的数据恢复方法教学方法演示法,讲解法,任务驱动法教具计算机教学过程设计(含时间分配)(2学时)1.winhex界面介绍2.学生操作练习,熟悉winhex的界面3.通过实例演示通用数据恢复方法,以及如何创建和附加虚拟磁盘4.布置课堂练习,让学生自己创建和附加虚拟磁盘,并发放课堂练习,让学生动手操作利用通用数据恢复方法恢复下发的磁盘文件。
5.方法:工具-磁盘工具-按文件类型恢复江西工业职业技术学院教案教学过程设计(含时间分配)(2学时)1.MBR硬盘MBR硬盘的分区表也叫DOS分区表,0号扇区是主引导记录(MBR),DOS分区体系的硬盘用分区表记录每个分区的类型起始位置和分区的大小。
其中分区表就在0号扇区内,所以0号扇区如果损坏,那么这个硬盘就不能正确识别分区。
2.MBR结构图3.分区表项结构08是指从E列开始0,F1,。
,08即第6列。
(1)分区类型值的含义4.MBR硬盘结构图由图可知,MBR硬盘的分区是连续的,一个紧挨着一个。
所以我们在做数据恢复时,往往找到一个分区时,很快就能找到所有的分区。
5.课堂案例演示如何获得每个分区的(类型、起始扇区号,总扇区数)江西工业职业技术学院教案江西工业职业技术学院教案教学过程设计(含时间分配)(2学时)1.EBR(Extended Boot Record)的概念EBR即扩展分区引导记录。
类似于主引导记录MBR。
因为MBR的四条分区信息的限制,可以使用EBR方便扩展。
它的结构与MBR类似于,但是没有引导程序和磁盘签名,仅仅保留了分区表和结束标志。
本来一块硬盘最多支持4个分区,但是由于发展4个分区已经不能满足要求,但是为了在扩展你的前提下能够兼容以前的特性,因此采用了扩展分区的方式。
硬盘分区分布图2.扩展分区表(EBR)的结构第一个表项:分区起始扇区号(相对于本扩展分区表的位置)第二个表项:下一个扩展分区表扇区号(相对于主扩展分区表)3.课堂演示EBR扇区分析图一图二4.课堂案例讲解如何手工分析磁盘镜像中的各个分区的类型起始扇区号和总扇区数5.知识点小结:•MBR中扇区的起始位置都是相对于0偏移的。
•EBR中第一个分区表项的表示的为逻辑磁盘时,起始位置都是相对于当前的扇区的(也就是EBR所在的扇区)。
•EBR i中的分区表项表示下一个扩展分区时,它的起始位置都是相对于EBR1的。
•EBR i+1中的扇区总数=EBR i中指向EBR i+1的分区表项的总扇区数。
江西工业职业技术学院教案江西工业职业技术学院教案教学过程设计(含时间分配)(2课时)1.初识文件系统•文件系统就是对数据存储进行管理的一种机制;•格式化的目的就是建立文件系统从而管理文件;•我们平时看到的 NTFS、FAT32、ExFat的分区格式都是文件系统,每种文件系统都有不同的管理方式。
•NTFS、FAT32、Exfat文件系统的第一个扇区叫DBR 系统引导扇区2.FAT32文件系统结构•DBR及保留扇区:DBR的含义是DOS引导记录,也称为操作系统引导记录,在DBR之后往往会有一些保留扇区。
•FAT1:FAT的含义是文件分配表,FAT32一般有两份FAT,FAT1是第一份,也是主FAT。
•FAT2:FAT2是FAT32的第二份文件分配表,也是FAT1的备份,即FAT2与FAT1是一样的。
•DATA:DATA也就是数据区,是FAT32文件系统的主要区域,其中包含目录区域。
•FAT1起始扇区 = DBR的扇区号 + 保留扇区数•FAT2的起始扇区 = FAT1的起始扇区 + 一个FAT的扇区数3.FAT32DBR的数据结构3.1重要概念•扇区:扇区是硬盘读写的基本单位,一般情况下每扇区的大小是512字节。
在硬盘中每个扇区都有自己的编号,从零开始编号。
•簇:文件系统中用簇来做数据存储的单位。
•簇大小是2的整数次幂,最大是128扇区每簇•FAT表:文件分配表( File Allocation Table)用来描述文件系统内存储单元的分配状态及文件内容的前后链接关系的表格•根目录的起始簇号:也是数据区的开始位置(一般为2号簇)3.2根据MBR分区查找方法,找到FAT32分区起始位置。
找到起始位置的第一个扇区(DBR)如下:4.了解FSINFO扇区数据结构在FAT32的保留区中除了DBR还有个FSINFO信息区,用来记录文件系统中空闲簇数和下一个可用的簇号,该扇区一般在分区的1号扇区,也就是紧跟着DBR后的一个扇区,其内容如下:江西工业职业技术学院教案教学过程设计(含时间分配)(2课时)1.初识FAT•每个FAT表项记录着文件或目录的下一个簇号•FAT2是FAT1的备份•FAT2的起始扇区号=FAT1的起始扇区号+FAT表大小•用“FFFFFF0F”来表示文件或目录的结束簇号•用“FFFFFFF7”来表示坏簇2.课堂小练习:从虚拟磁盘镜像文件中读取位于4号簇的文件,结束簇是几号簇?下图所示,4号簇指向5号簇,5号簇指向6号簇。
数的时候,可以看FFFFFF0F在第几行,乘以4,如上图结束簇号是5*4-1=19号簇可以跳转到19号簇查看。
3.FAT32文件系统目录项分析(1)目录:目录所在的扇区,都是以32 Bytes划分为一个单位,每个单位称为一个目录项,即每个目录项的长度都是32 Bytes 。
根目录由若干个目录项组成,一个目录项占用32个字节,可以是长文件名目录项、文件目录项、“.”目录项和“..”目录项等。
“.”目录项表示这个目录本身“..”目录项表示这个目录的父级目录如果文件名不到8个字符,用0x20填充;如果文件名超过8个字符时则会被截断,提取前6个字符再加“~1”(如果有同名目录项,这个数值会加1),然后再加上扩展名4.短文件名目录项数据结构小提示:•文件名如果有英文字母,需要先转成大写字母再转成ASCII编码。
•文件被删除时,其目录项的第一个字符被修改成0XE5。
5.课堂案例演示(网课见视频讲解)练习:从虚拟磁盘镜像文件中,找到文件名为数据恢复.txt的文件,获取这个文件的大小和起始簇号。
因为文件名是中文,所以需要字符转换器将文件名转换成十六进制,然后点击根目录的第一个字节,选择16进制查找。
查找后:具体查看,以文件名为123.txt为例。
提示:下节内容计算起始簇的方法,可以组合:00014C876.绝大多数情况下根目录都是2号簇;7.根目录的位置计算公式:FAT的起始扇区号+FAT表的大小 * 2=保留区大小+2*FAT表大小=0x0C22+2*0x000039EF=32768江西工业职业技术学院教案手工提取数据时,要选中99字节,如图选中这99个字节,右键——》编辑——》复制——》至新文件——》文件名(可以新的名子)+后缀名。
江西工业职业技术学院教案教学过程设计(含时间分配)(2课时)1.长文件名目录项•当文件名超过8个字节时,就需要用长文件名目录项来存储文件名;•长文件名目录项的0x0B位置的标志一定是0x0F;•长文件名目录项是用Unicode编码存储文件名的。
2.长文件名目录项的数据结构注意:1-5个字符是连续的。
偏移字节00-00: 42: 4表示最后一个目录项,2表示序号为2的目录项,具体序号是多少,要看文件名的长短。
如下图44,后面的4就是序号3.课堂练习:通过长文件名目录项,找出文件名为海天数据恢复.txt的目录项,手工提取里面的数据。
提示:(1)长文件名前1-5个字符连续,复制“海天数据恢”,计算对应的Unicode并复制。
如果超过5个字符,比如14个,只能取13个字符,见上面数据结构图。
(2)进行查找,如图,00处是状态码,所以要相对于32字节偏移1字节(3)查找结果:以Unicode显示,显示乱码,因为Unicode两个字节为一组,(了解)复制01-0A的数据,右键》编辑》复制》至新文件》命名的时候不要加后缀名,因为是Unicode编码的。
重新转换ASCII,主要看短文件名,查看起始簇号252,找到对应的扇区40768,进行手工提取。
4.子目录每个文件夹的最前面两个目录项,一定是“.”和“..”目录项,分别表示子目录本身和父目录。
课堂(视频)案例演示;5.课堂小练习:根据两个目录的参数,算出簇大小,参考公式:一个簇的扇区大小=(后面的簇号所在扇区号-前面的簇号所在扇区号)/ (后面的簇号-前面的簇号)提示:如果被格式化了,有时候DBR会被清零,可以利用该方法计算簇大小。
6.搜索完整的长文件名方法,长文件名按Unicode编码,两个字节为一组,注意 winhex 搜索16进制数值最多只能搜索50个字节。
只需掌握搜索一个目录项的方法。
7.找出指定目录下的所有子目录,知识点:(1)每个文件夹的最前面两个目录项,一定是“.”和“..”目录项,分别表示子目录本身和父目录;(2)在根目录下的文件夹父目录的簇号是0;(课堂案例中,查找根目录下的所有子目录,就可以将“..”目录项的高、低16位设置为0)(3)在别的文件夹里的文件夹,它的父目录就是父目录文件夹本身簇号;(4)所有子目录项的第一个目录项一定是“.”目录项。
(5)“.”文件目录项的开头:2E 20 20 20 20 20 20 20 20 20 20如果以2E20202020202020202020去搜素,会搜到该盘里的所有文件夹,不仅包括子目录,还有子目录里的文件。
8.课堂小练习:找出5号簇目录里的所有文件夹江西工业职业技术学院教案江西工业职业技术学院教案(2)将制作好的FAT目录拖到winhex中,并复制3个子目录项,32字节共两行。
(3)跳转到根目录项,在根目录项的空闲区域粘贴,注意两行为一个目录项,不要随便粘贴。
4.格式化的恢复----手工提取根目录下文件提示:(1)按照上节课方法,快速恢复子目录(2)新建一个zip压缩包,拖到winhex中,PK开头,可以多建几个zip压缩包,看到前4个字节是不变的,复制这四个字节:504B0304(3)导航—>位置管理器,将其清空,然后搜索十六进制:5.格式化的恢复----手工计算DBR参数提示:(1)找出根目录下的所有子目录,第一节内容。