答案:操作系统引导扇区
四 、问答题(9)
1. 1、MBR的开始标志是什么,有哪几部分构成?FAT和NTFS文件系统的开始标志是什么?
答案: 开始标志是33 C0 8E
有4部分构成,分别是开始标志33 C0 8E 、引导代码、分区表、结束标志55AA FAT文件系统的开始标志EB 58 90 NTFS文件系统的开始标志 EB 52 90
2. 、FAT文件系统下,有一个文件名为“123456789.TXT”的文件,该文件存储时会产生长文件名目录项
吗,为什么?写该文件的短文件名,并指出短见文件名和长文件名分别用什么码表示?
答案:会的,因为该文件名的字符数已经超出了短文件名的8.3结构 短文件名为:123456~1.TXT 短文件名用ANSI码表示 长文件名用Unicode码表示
3. FAT文件系统下,文件被完全删除的特点是什么?格式化的特点是什么?
答案:删除特点:清空与该文件相关的FAT表项、父目录的FDT表中短文件名目录项首字节修改为E5、文件起始簇号的高16位清0、文件数据区内容不变。
格式化特点:重写DBR,FAT表和根目录的FDT表均被清空,子目录的FDT表不变。
4. NTFS文件系统的MFT表由一个一个的MFT项构成,$Mft和$Root元文件的MFT项号分别是多少?每个
项的大小是多少?给出10、30、80、90、A0、B0属性的名称。
答案:$Mft和$Root元文件的MFT项号分别是0号项和5号项,每个项的大小事1KB 10属性:标准信息属性,含有文件建立时间和修改时间 30属性:文件名属性,含有该文件的文件名
80属性:数据属性,含有该文件的起始簇号和文件占有簇数 90属性:索引跟属性,含有该目录下子目录和文件的索引项 A0属性:索引分配属性,含有索引项缓冲区的地址和大小 B0属性:位图属性,含有MFT表的占有情况 5. 硬盘常用的接口有哪几种?
答案:IDE SATA SCSI SAS 6. GHOST镜像和WINHEX镜像的区别。
答案:用GHOST软件对磁盘或分区进行的镜像,是一种文件系统层的操作。该镜像不包含由于删除和格式化而丢失的数据。
例如:500G的硬盘存有10G的数据,镜像后的容量还是10G。
WINHEX的镜像指一种基于物理层面的、扇区级的镜像,是一种真正意义上的克隆。 例如:500G的硬盘不管存有多少数据,要扇区级镜像至少需要一个500G容量的硬盘接收。 7. 什么情况下需要镜像
答案:(1)误删除、格式化、分区等操作丢失数据时。 目的是防止操作系统写入数据覆盖有用数据。 (2)需要进行不可逆的操作。例如进行CHKDSK(自动修复分区命令)操作。 (3)磁盘存有坏道。对源盘操作可能加大坏道范围。 (4)更换磁头组建。 防止换磁头时划伤盘片。
(5)阵列恢复。 阵列由多块磁盘构成,阵列重组必须要分析结构,计算参数。这要求所有盘都挂到恢复用机上,这很困难。
(6)电子取证。要求不能对源盘产生任何的写入操作。 8. MBR扇区损坏的原因有哪些?
答案: 1、计算机运行中突然断电 2、计算机运行中非法关机 3、计算机运行中非法重启 4、病毒破坏
9. 请问该硬盘共有几个分区?分别叫什么分区?(主分区、扩展分区、逻辑分区等,顺序上的第几个分
区)。(如答:有N个分区;第一个分区是XX分区,?)
答案:4个、第一个是主分区、第二个是主分区、第三个是扩展分区中第一逻辑分区、第四个是第二逻辑分区
五 、分析与设计题(11)
1. 一个文件,文件名为“SJHF.DOC”,ANSI码为53 4A 48 46 2E 44 4F 43,如果该文件被完全删除,分
别写出在FAT和NTFS文件系统下的手工恢复方法。
答案:FAT系统下:(1)搜索e5 4A 48 46 2E 44 4F 43,得到该文件的目录项 (2)由目录项得到该文件的起始簇号和占有的簇数 (3)定位该文件,复制文件到新文件,以DOC保存该文件 NTFS系统下:
(1)搜索53 00 4A 00 48 00 46 00 2E 00 44 00 4F 00 43 00,得到该文件的MFT项 (2)分析该MFT项中的80属性,由数据运行计算文件的开始簇号和占有的簇数 (3)定位该文件,复制文件到新文件,以DOC保存该文件
2. 一个文件的80属性的数据运行列表,列表值为21 20 ED 05 22 48 07 48 22 21 28 C8 DB,根据列
表值计算该文件的每一部分的起始簇号和簇数。
答案:第一部分21 20 ED 05
起始簇号:5ED(1517) 大小:20(32簇) 第二部分22 48 07 48 22
起始簇号:5ED+2248(1517+8776) 大小: 748(1864簇) 第三部分21 28 C8 DB
起始簇号:5ED+2248+DBC8(1517+8776-9272) 大小: 28(40簇)
3. 一个客户的硬盘的D分区是FAT文件系统,打开时提示“未格式化”,用WINHEX逻辑打开该分区,
搜索“EB 58 90”未果,搜索“F8 FF FF 0F”,假设在1660扇区处发现该标志,由上可得该分区的DBR和FAT1损坏,FAT2完好,假设该分区有卷标“wxd”,给出恢复该分区的方法。
答案:(1)搜索卷标名“wxd”,得到该卷标的目录项所在位置就是根目录的FDT表起始扇区 (2)由根目录FDT表位置往上退一个扇区,该扇区号减去FAT2起始扇区号得到FAT表大小 (3)由FAT2起始位置和大小,修复FAT1
(4)求出相邻的两个目录之间的扇区数和簇数(搜索两个相邻的2E 20 20获得参数),得到 每簇扇区数=簇数/扇区数
(5)物理打开磁盘,读取分区表得到该分区的大小和隐含扇区数
(6)复制一个好的FAT系统的DBR覆盖该系统的DBR, 将每簇扇区数、分区大小、隐含扇区数填写到DBR中。 (7)重启系统
4. 假设NTFS系统下有一个文件“校历.xls”,请使用30和80属性恢复删除的文件。
答案:(1)先在一个文本文件中输入文件名“校历.xsl”,以unicode码保存。
(2)将“校历.xsl”的unicode码输入到“搜索”中,通过搜索文件名所在的30属性,从而定位到该文件的MFT项。
(3)从MFT项中分析其80属性的数据运行,从而找到该文件的开始簇号及文件的大小。 (4)定位该文件,选中所有内容,保存。
5. 给出利用90、A0属性定位一个文件的方法。( 例如:J:\\打印机\\xy校历.xsl )
答案:分析根目录的MFT项(5号),由A0属性的数据运行可以先找到根目录的索引缓冲区,缓冲区里有根目录下所有文件和文件夹的索引项,通过搜索“打印机”文件名 ,找到“打印机”文件夹的索引项,该索引项中有“打印机”文件夹的MFT项号。定位到“打印机”文件夹的MFT项号,同理,分析该项找到它的索引缓冲区,找到文件“xy校历.xsl”的索引项,由索引项找到该文件的MFT项号,定位到该文件的MFT项,由80属性得到该文件。
6. 通过$Mft元文件的MFT项中的B0属性(位图属性),分析MFT表的使用情况。
答案:定位到$Mft元文件的MFT项(0号项),分析B0属性的数据运行,找到B0属性中指定的缓冲区,这里有MFT表的使用情况(每个字节8位,每一位对应MFT表中的一个MFT项,“1”表示该项占用,“0”表示未占用)。
7. 使用30和80属性恢复删除的文件(例如:校历.xsl)。
答案:(1)先在一个文本文件中输入文件名“校历.xsl”,以unicode码保存。
(2)将“校历.xsl”的unicode码输入到“搜索”中,通过搜索文件名所在的30属性,从而定位到该文件的MFT项。
(3)从MFT项中分析其80属性的数据运行,从而找到该文件的开始簇号及文件的大小。 (4)定位该文件,选中所有内容,保存。 8. 分析DBR中BPB各个的参数的含义。
1:BPB中读出的分区扇区总数跟分区表中读出的扇区总数一样吗?如果不一样是什么关系? 2:BPB中读出的隐含扇区数的参考点是哪里?
答案:1、不一样 分区表中读出的扇区总数比BPB中读出的分区扇区总数少一个扇区。
2、主分区的隐含扇区的参考点是硬盘的开始处,扩展分区中逻辑分区的隐含扇区的参考点是扩展分区的开始处。
9. 客户磁盘中D分区打开后,无法看到任何文件和文件夹,但是看该分区用量,却发现很多空间都被使
用。
1、分析该问题是怎么造成的? 2、解决的方法?
答案:分析:该问题一般为根目录FDT表被破坏,而FAT表没有破坏的情况,对于该问题可以分区按格式化方法解决。
方法:使用WINHEX磁盘快照恢复。
10. 客户磁盘中分C、D、E三个分区,其中D分区提示“未格式化”。
1、分析造成该问题的方法? 2、解决的方法?
答案:分析:“未格式化”问题一般为DBR损坏,可以将备份DBR重写分区的0扇区。但有时候也可能是$BOOT文件损坏,该文件占用分区的前16扇区,实际使用0-6扇区,0扇区为DBR,1-6扇区为NTLDR加载程序。如果该分区不是系统分区,则只需将DBR修复就可以,如果是系统分区,还有将1-6扇区修复,不然操作系统将无法启动。这6个扇区具有通用性,可以从其他NTFS分区中获得。 方法:
1、物理打开磁盘。(为什么不是直接逻辑打开该分区)
2、定位备份DBR。只需先定位该分区下一分区开始,然后往前退一个扇区就是备份DBR。 3、重写分区DBR。 4、重写1-6扇区。
11. 80 01 01 00 0B FE BF FC 3F 00 00 00 7E 86 BB 00 是分区表中截取的一部分,分析这些16进制
数的含义.
答案:(80 01 01 00 0B FE BF FC 3F 00 00 00 7E 86 BB 00) 最前面的“80”是一个分区的激活标志,表示系统可引导;“01 01 00”表示分区开始的磁头号为01,开始的扇区号为01,开始的柱面号为00;“0B”表示分区的系统类型是FAT32,其他比较常用的有04(FAT16)、07(NTFS);“FE BF FC”表示分区结束的磁头号为254,分区结束的扇区号为63、分区结束的柱面号为764;“3F 00 00 00”表示首扇区的相对扇区号为63;“7E 86 BB 00”表示总扇区数为12289622。