用FORMAT命令对磁盘进行格式化的时候，就 已经为整个磁盘建立了一个根目录FDT。 如下 图格式化的磁盘。
簇2
• 根目录下的所有文件及其子目录在根目录的文 件目录表（FDT）中都有一个 “目录项”。每 个目录登记项占用32个字节，分为8个区域， 提供有关文件或子目录的信息。其详细描述如 下图所示:
FAT表分析
簇0
簇1
簇2
簇3
簇4
簇5
簇6
簇链
簇链
FAT表项与簇一一对应，系统在创建一个新文件时，会逐一扫 描FAT，跳过己经分配的簇，将簇分配给文件，同时其簇号作为该 文件的首簇号被记录到文件的目录项中。如果文件只需一个簇就可 以存下，则首簇号对应的FAT表项中将存放文件最后一簇的标记( 一般为FFFFFF0FH)。 若文件大小大于一个簇，则系统会继续寻找 FAT表中未分配的簇，找到后将该簇的簇号存到上一簇对应的FAT
MBR 主引导记录
FAT32文件系统
1 2
FAT32文件系统结构 文件分配表分析
3
4 5
文件目录表分析
文件删除原理及恢复 课后操作题
1、FAT32文件系统结构
1、FAT32文件系统结构 FAT32文件系统由DBR及其保留扇区、 FAT、FDT、DATA区四个部分组成，其 结构如下图所示：
数据恢复技术
1、为什么要学？ 1、信息化的今天，电子设备普及，数据量 剧增。无论个人、公司、企业还是国家机关 ，都越来越依赖计算机系统。个人档案、文 件、电子邮件、公司财务记录、销售合同、 甚至国家机密等，无一不存储于计算机中， 设想如果系统崩溃，硬盘故障，数据损失将 会出现何种后果？
形形色色的电子设备
磁介质描述符(Media Description)表明磁 盘介质，根据磁盘性质的不同取不同的值 。通常的数据如表所示。
4 .2 FAT32文件系统
1 2
FAT32文件系统结构 文件分配表分析
3
4 5
文件目录表分析
文件删除原理及恢复 课后操作题
2、文件分配表分析
3.2、簇与FAT链 簇(Cluster)

写数据时，正好与此相反。
文件系统 微软的文件系统主要有FAT、NTFS、 ExFAT。 其中FAT文件系统主要有
FAT12、FAT16 、FAT32三种类型。
硬盘在存储数据之前，一般需经过低 级格式化、分区、高级格式化这三个步骤 之后才能使用。 作用:是在物理硬盘上建立一定的数 据逻辑结构，FAT32文件系统下一般将硬 盘分为五个区域，分别为主引导记录区 (MBR)、次引导记录区(DBR)、文件分配表 区(FAT)、文件目录表区(FDT)和数据区。
0 1 2 3 4 5 6 7 8 9
扩展名
10 11 12 13 14 15
属 性 X X 创建时间
文件名
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
创建日期
访问日期
簇的高位 字
最后写时 间
最后写日 期
簇的低位 字
文件长度
目录项
0
1
2
3
4
5
6
7
8
9
扩展名
10 11 12 13 14 15
表项中。这样，上一个FAT表项就存放了下个簇的簇号，通过簇号
找到文件的存放位置。这样就形成了一个链，称为FAT链，也称盘 簇链。
4 .2 FAT32文件系统
1 2
FAT32文件系统结构 文件分配表分析
3
4 5
文件目录表分析
文件删除原理及恢复 课后操作题
3、文件目录表分析
FDT (File Directory Table) 文件目录表
如今，对于传统的基于文件系统元信息 的文件恢复技术，国内已经有了很多相关文 献，取得了大量成果。参考书目：
戴士剑，涂彦晖编著的《数据恢复技术-经典重现版》 涂彦晖，戴士剑等人编著的《数据安全与编程技术》 刘伟 《数据恢复技术 深度揭秘》
案例
• 2004 年 3 月 15 日，当因谋杀宿舍四位室友而亡命天涯的 公安部 A级通缉犯马家爵在海南省三亚市被捕时，谁又 会想到，计算机取证技术在这次成功抓捕中起到了多么 重要的作用？就在北方各省市纷纷报出马家爵被发现的 假消息时，公安机关侦察人员已经通过计算机取证技术 将搜查范围锁定在三亚了。当时，随着调查一步步地深 入，侦察人员从其他渠道获悉，马家爵有一个特别的爱 好——上网。于是，放在马家爵宿舍里的计算机很快地 成为了众矢之的。侦察人员发现，这台旧电脑的硬盘竟 然已被狡猾的马家爵格式化了三遍之多，尽管这样，取 证人员还是运用专业软件将其数据进行了还原。经过对 硬盘中存放的海量信息过滤，侦察人员发现马家爵在出 逃前三天基本上都在搜集有关海南省的信息，特别是有 关三亚的旅游、交通和房地产信息。
预备知识一 进制：二进制，十六进制。 计算机中数据的单位：位，字节和字。
预备知识二 硬盘是用来存储数据的，为了使用和 管理的方便，这些数据以文件的形式存储 在硬盘上。任何操作系统都有自己的文件 管理系统。
扇区

硬盘利用特定的磁粒子的极性来记录数据。 在读取数据时，磁头将磁粒子的不同极性转 换成不同的电脉冲信号，再利用数据转换器 将这些原始信号变成电脑可以使用的数据。
属 性 X X 创建时间
文件名
16
17
18
19
20
21
22
23
24
பைடு நூலகம்25
26
27
28
29
30
31
创建日期
访问日期
簇的高位 字
最后写时 间
最后写日 期
簇的低位 字
文件长度
目录项分析（文件名扩展名）
0
1
2
3
4
5
6
7
8
9
10 11 12 13 14 15
3C
53 57 4 B
20 20 20 20 20 4 A
我国发展现状 我国的文件恢复技术发展是相对较晚的 。文件恢复的概念是 2000 年左右才从欧美 等发达国家传入国内的。由于当时Windows 平台上主流的 FAT 文件系统或者 NTFS 文 件系统都是由国外设计和实现的，而对于其 中的原理和机制都不具备公开的文档说明， 很多关键性技术都掌握在外国人手里。所以 ，我国的数据恢复技术先驱研究者是在艰难 的起步条件下，从大量的研究和实践工作中 起步和不断进取的。
路中断后，在一个月后不得不关闭一些分支机构，数月后不得不破产清盘。
一般情况下，计算机黑客或罪犯为了掩盖犯 罪痕迹，常常会删除相应的作案记录或重要的系 统文件，比如系统日志、注册表信息、上网历史 记录、文件操作痕迹等等。为了找到指证线索和 获取充分的法律证据，取证工作者往往就需要对 那些已经被删除或被破坏的文件进行还原和恢复 。对磁盘上存储的海量二进制信息进行提取、分 析和重现的结果是否充分和正确，将直接影响到 计算机取证整个过程的效率和电子证据的说服力 ，所以，数据恢复技术作为计算机取证系统的核 心技术之一，其重要性和价值度越来越受到人们 的认识和关注。
每簇大小4K
簇 簇 簇 簇簇 簇 簇
FAT
0 1 2 3 4 5
………………..
n
结束标记
4 4 5 0 1 2 3 5 6 7 8 9
结束标记
文件A大小3K
10 15 20 …
11 16 21 …
12 17 22 …
13 18 23 …
14 19 24 n
文件B大小9K
在磁盘上创建三个文件：swk.jpg 、 山东政法学院.txt 、 信科系简介.txt。
MBR 主引导记录 0柱面、0磁头、1扇区的主引导记录（MBR ），该记录占用512个字节，它用于硬盘 启动时将系统控制权转给用户指定的、在 分区表中登记了某个操作系统分区。 硬盘的主引导记录（MBR）是不属于任何 一个操作系统的，它先于所有的操作系统 而被调入内存，并发挥作用，然后才将控 制权交给主分区（活动分区）内的操作系 统，并用主分区信息表来管理硬盘。
为了便于管理，系统将磁盘划分为一个一个大小相 等的块，这些块就被称为簇。一般情况下，FAT32中 每簇占用4KB大小。
簇 簇 簇 簇簇 簇
簇
FAT
0 1 2 3 4 5
DATA ……………….. 区
n
3、文件分配表FAT分析 FAT概念 FAT（File Allocation Table）：文 件分配表，表示文件在硬盘中存储位置的 登记表，是系统中文件的寻址系统。 FAT不真正存储文件的内容。为了数 据安全起见，FAT一般生成有两个，第二 个FAT为第一个FAT的备份。
簇 簇 簇 簇簇 簇
FAT1 FAT2 FAT
簇
………………..
0 1 2 3 4 5 n
0 1 2 3 4 5 6 7 8 9
10 15 20 … 11 16 21 … 12 17 22 … 13 18 23 … 14 19 24 n
FAT表结构特点
FAT表由FAT表项构成，每个FAT表项32位（4 字节）。 FAT前2簇为保留簇(簇0和簇1)，不分配给文件 使用。 文件的结束簇标记： FF FF FF 0F 一个FAT表项值表明了文件占用的一个簇号并 指明下一簇号的位置。
53H=83
57H=87
4BH=75 20H=32
SWK
4AH=74
50H=80
47H=71
JPG
目录项分析（属性）
0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15
3C
53 57 4 B