计算机FAT32系统相关学习
这篇博文的初衷是通过试题帮助掌握计算机的知识
1.根据以下Winhex截图,回答问题。
(1)图中硬盘采用什么文件系统?
- 通过观察很明显是NTFS
(2)主引导扇区MBR占用空间大小是多少字节?其中磁盘分区表DPT的起始偏移量是多少? DPT总长度占多少字节?
- MBR主引导扇区位于磁盘的第一个扇区,即0号扇区,主要由引导代码、分区表、结束标志三部分构成,总共占512字节。
- 一个扇区可能的字节数为128×2n (n=0,1,2,3…)。大多情况下,取n=2,即一个扇区的大小为512字节。在总共512byte的主引导记录中,MBR的引导程序占了其中的前446个字节,随后的64个字节为DPT(硬盘分区表),最后的两个字节“55 AA”是分区有效结束标志。
- 分区表(DPT):位于主引导分区,从偏移01BEH开始到偏移01FDH结束的64字节硬盘分区表分为四小部分,每一小部分表示一个分区的信息,占16字节(这些都是一定的,与本图无关,具体内容可以继续百度)
2.2.现有一个U盘,已将U盘格式化为FAT32文件系统,通过Winhex工具软件查看得知,该U盘操作系统引导扇区DBR位于0号扇区,请回答下面的问题。
图① BPB参数表模块部分信息
图② DATA数据区根目录
(1)根据图①BPB参数表模块部分信息,分别写出该样本U盘每个扇区的字节数、每个FAT表占用的扇区数、FAT1开始扇区的扇区号、FAT2开始扇区的扇区号以及DATA区开始的扇区号。
- 每个扇区的字节数:
bytes per sector:512(观察图片) - 每个FAT表占用的扇区数:
sectors per fat :7697(观察图片) - FAT1开始扇区的扇区号:
FAT1起始扇区 = DBR的扇区号(题干知0号扇区) + 保留扇区数(即图中的resreved sectors:990)=990
DBR的扇区号也可以通过计算得出 - FAT2开始扇区的扇区号:
FAT2开始扇区的扇区号=FAT1+FAT表扇区数=990+7697=8687 - DATA区开始的扇区号:
DATA区开始的扇区号=FAT2+FAT表扇区数=8687+7697=16384
(2)DATA数据区根目录部分目录项如上图②所示,图中显示有一个已经被删除了的文件,找到这个文件的目录项,并试分析该文件的创建日期,写出详细步骤(附:Winhex采用Little-Endian的字节序;记载创建日期的2个字节中,0-4位记录“日”,5-8位记录“月”,9~15位记录“年”)。
小端模式:是指数据的高字节保存在内存的高地址中,而数据的低字节保存在内存的低地址中,这种存储模式将地址的高低和数据位权有效地结合起来,高地址部分权值高,低地址部分权值低。
一共32个字节,每一个字节的含义如下图
0008388608的16进制为80000
经分析偏移量是0E 0F的是时间3B 83,偏移量是11 12的是日期6F 4E
小端所以时间83 3B,日期是4E 6F换算成二进制,以日期为例
4E6F的二进制是100111001101111,计算如下图
(3)经分析,被删除文件是一个.rar压缩包,如果想要恢复该被删除文件,你会怎么操作。
- 例如8224号扇区在二号簇,数据在三号簇,如果一个簇有2个扇区,那数据就在8226号扇区
- E5是删除标记
- 找到相应的数据区,把整个簇都复制出来另存为,加上rar扩展名
3.思考:已知某U盘(FAT32系统)根目录原有一个文件,是否可以将数据区根目录该文件的目录项第一个字节”E5”手工改成其他字符而将它修复?是否仅仅将”E5”改了就可以恢复吗? - 不可以,从磁盘删除文件时是把文件目录表中的该文件的表项第0个字节改为E5H,表此项已被删除,并在文件分配表中把该文件占用的各簇的表项清0,并释放空间。
4.下图这个短文件名目录项对应的文件,有没有内容?
没有内容,因为没有存放数据的簇,并且大小为0