文件linux格式化命令

安全操作系统中国科学技术大学计算机系陈香兰(0512-87161312)xlanchen@ustc.
edu.
cn助教:裴建国Autumn2008实验讲解口令破解,Passwordcracking文件恢复,filerecovery缓冲区溢出系统安全安全审计文件事件审计主机安全审计文件恢复,filerecovery实验中用到的工具磁盘相关磁盘物理组织和结构磁盘逻辑组织和结构FAT32文件恢复Ext2文件恢复工具Winhex下载evaluation版:http://winhex.
en.
softonic.
com/FinalData下载Demo版,有限时间;有限使用http://www.
finaldata.
com/文件粉碎机下载,很多网站例如filekillerDebugfs,Linux自带文件恢复,filerecovery实验中用到的工具磁盘相关磁盘物理组织和结构磁盘逻辑组织和结构FAT32文件恢复Ext2文件恢复http://www.
microsoft.
com/resources/documentation/windowsnt/4/server/reskit/en-us/resguide/diskover.
mspxmfr=trueIllustrationofaharddiskcylinder/head/sectorTracksandCylindersSectorsandClusters文件恢复,filerecovery磁盘相关磁盘物理组织和结构磁盘逻辑组织和结构FAT32文件恢复Ext2文件恢复MBRIA32IBMPC系统采用MBR分区表方案系统启动时,首先执行ROMBIOS中的固件该固件将会装载(0x7C00)并执行MBR中的bootloader运行在实模式MBR中的bootloader将查找分区表,找到活动分区,加载该分区启动扇区并执行与FS类型以及OS类型有关通常用来加载OS相关的secondarybootstraploader,例如io.
sys,ntldr关于PC的启动过程,可以参见这里:BootsequenceonstandardPC(IBM-PCcompatible)512字节的MBR=446字节的bootloader+64字节的分区表+2字节的signature:0xAA55track0,head0,andsector1演示本机磁盘管理信息分区表,partitiontable4项,MBR446字节开始的64个字节,偏移分别Partition10x01BE(446)Partition20x01CE(462)Partition30x01DE(478)Partition40x01EE(494)每项16个字节Anexamplehttp://blogs.
msdn.
com/ntdebugging/archive/2007/06/19/how-windows-starts-up-part-1-of-4.
aspx分区表项(细)关于更多的systemid,参考这里FATPartitionBootSectorhttp://www.
ntfs.
com/fat-partition-sector.
htmBPB关于Windows95的启动过程,参考这里找到并加载Io.
sys……NTFSPartitionBootSector关于Windows2000的启动,参见NtldrVista和server2008:winload.
exe和WindowsBootManager找到并加载Ntldr……演示打开整个磁盘,看分区,MBRPartitionrecovery误删一个分区TestDiskgpart有些磁盘管理工具,在删除分区时,会写覆盖分区前部的几个扇区Windows2000/XP,第一个扇区需要有备份的启动扇区配合恢复病毒分区时突然掉电/死机安装或删除多OS之一查杀病毒恢复分区表fdisk/mbr重新分区文件恢复,filerecovery实验中用到的工具磁盘相关磁盘物理组织和结构磁盘逻辑组织和结构FAT32文件恢复Ext2文件恢复FAT基本概念扇区簇链式存储(显式)FileAllocationTable目录项FAT的备份FAT#1和FAT#2,大小相等FAT的格式最早,FAT12,用12bit对簇寻址4096-(000h,001h,FF0h~FFFh)=4078个可用软盘InitialFAT16,用16bit对簇寻址,65517受限于16位扇区号,分区最大32MBFinalFAT16,1987磁盘技术:可以使用32位的扇区号sectors-per-cluster<=64标准扇区大小512字节,簇最大32KB,分区最大2GFAT32,32位,其中28位用来寻簇若32KB的簇,则8TB,理论上受限于bootsector,32位扇区号,实际上最大2TBFAT表的大小簇数*(12/16/32)以扇区为单位向上取整FAT表项的作用(根据表项的编号和表项的值)标明磁盘类型链接一个文件的各个簇标明坏簇和可用簇FAT表项的值不能用作next指针FAT的第0项首字节标明磁盘类型,参见这里FAT的第1项不用FAT分区布局FAT32bootsectorJMP(3)BPB25个字节0x00OEMNAME(8)512SectorsperclusterBytespersectorReservedsectorcount20x10Maximumnumberofrootdirectoryentries2个字节,最大512FAT12/16Mediadescriptor参见这里SectorsperFATforFAT12/16HiddensectorsTotalsectorsNumberofheadsSectorspertrack#ofFATs0x20Operatingsystembootcode…ExtendedBPB,forFAT12/160x20PhysicaldrivenumberserialnumberTotalsectors0x30…paddedwithblanksFATtype,补空格,FAT12或16VolumeLabel,55和AAReservedExtendedbootsignature0x1F0TotalsectorsExtendedBPB,forFAT32Operatingsystembootcode…0x20Sectors/FAT0x30FATtype,补空格,"FAT32"VolumeLabel,补空格…55和AA0x400x50…serialnumberPhysicaldrivenumberReservedExtendedbootsignatureVersionClusternumberofrootdirectorystartReservedSector#ofacopyofthisbootsectorSector#ofFSInformationSectorFATFlags0x1F0FilesysteminformationsectorFilesysteminformationsector空闲簇的个数;最近分配出去的簇号http://home.
teleport.
com/~brainy/fat32.
htmFAT各部分的偏移计算Bootsector:分区的第一个扇区(startsector)FAT表1:Start+#ofReservedSectorsFAT表2:Start+#ofReservedSectors+FAT表大小Dataarea:Start+#ofReserved+(#ofSectorsPerFAT*2)http://home.
teleport.
com/~brainy/fat32.
htmFAT的目录目录是一个特殊的文件每个目录项32字节名称扩展名属性(archive,directory,hidden,read-only,systemandvolume)创建日期和时间第一个簇的编号大小FAT12/16有专门的根目录区域FAT32的根目录存放在数据区域EA-Index(usedbyOS/2andNT)inFAT12andFAT16,High2bytesoffirstclusternumberinFAT32目录格式(8.
3entry)Filename,补空格,8字节extension(1)(1)(1)(2)(2)(2)(2)(2)(2)(2)Size,4字节FirstclusterinFAT12/16;Low2bytesoffirstclusterinFAT32LastmodifieddateLastmodifiedtimeLastaccessdateCreatedateCreatetimeCreatetime,10ms*(0~199)ReservedFileAttributes0x000x103字节Hours,5位Minutes,6位Seconds/2,5位时间格式:Year,7位,从1980~2107月,4位日,5位日期格式:文件属性FAT的长文件名8.
3entry,受限;超过若干个长文件名目录项(倒序)+短文件名目录项一个文件最多20个,可以容纳255个UTF-16字符最后一个有效字符后,填写0x000x00,此后填充0xFF0xFF长文件名举例假设文件名"Filewithverylongfilename.
ext"序列号的最高位(第8位)用作判断该项是否被删除序列号的第7位,用作判断是否最后长文件名的最后一项演示格式化FAT32查看FAT找到根目录在根目录下,创建目录、文件;删除;恢复再次格式化;恢复安全删除文件恢复,filerecovery实验中用到的工具磁盘相关磁盘物理组织和结构磁盘逻辑组织和结构FAT32文件恢复Ext2文件恢复Ext2文件恢复Linux文件系统简介工具Debugfs命令dd;od;fdisk;mkfs.
ext2;mount/umount;cd;ls;md5sum;stat;rm;在linux下查看MBR一个获得MBR内容的方法ddbs=512count=1if=/dev/hda|od-Ax-tx1z-v在虚拟机中演示演示查看硬盘设备文件(/dev目录)磁盘分区(fdisk),后,再次看硬盘设备文件格式化mkfs.
ext2挂载(mount)查看系统中的分区挂载情况编辑(vi)并保存/文件摘要(md5sum)/文件状态(stat)删除文件卸载(umount)/重新挂载为只读debugfs,可读写方式,lsdel/dump文件摘要并比较Thanks!
Theend.
Thestructureofaharddiskhttp://oreilly.
com/catalog/debian/chapter/book/ch02_03.
htmlhttp://www.
hddtech.
co.
uk/resource/hard-disk-functionality.
htmNTFS文件系统,基本概念NTFS简单发展史v1.
0withNT3.
1,releasedmid-1993v1.
1withNT3.
5,releasedfall1994v1.
2writtenbyNT3.
51(mid-1995)andNT4(mid-1996)(occasionallyreferredtoas"NTFS4.
0",becauseOSversionis4.
0)v3.
0fromWindows2000(autumn2001;occasionally"NTFSV5.
1"),WindowsServer2003(spring2003;occasionally"NTFSV5.
2"),WindowsVista(mid-2005)(occasionally"NTFSV6.
0")andWindowsServer2008ThefilesystemspecificationisatradesecretMetadata,元数据"dataaboutdata"例如,跟"书"相关的元数据有:作者、出版社、出版日期、版本号、ISBN号等等Metafile,元文件severalfileswhichdefineandorganizethefilesystem常规:不可见$MFTDescribesallfilesonthevolumefilenamesTimestampsstreamnameslistsofclusternumberswheredatastreamsresideIndexessecurityidentifiersfileattributeslike"readonly","compressed","encrypted",etc.
Foreachfile,afilerecordMFT的前16项,系统保留第一项与MFT自身相关,MFTrecord第二项与MFT的镜像备份相关,MFTmirrorrecord上述两个文件的位置信息都保存在NTFS分区中的启动扇区中第三项与日志文件有关,用来进行文件asimplifiedillustrationoftheMFTstructure文件和文件属性每个文件都由一组文件属性表示StandardInformation,例如时间戳和链接数AttributeList,用来链接不在MFT中的属性记录FileNameSecurityDescriptor,描述属主信息以及访问控制信息Data,文件数据ObjectIDLoggedToolStreamReparsePoint,用于卷的mount点IndexRootIndexAllocationBitmapVolumeInformation,仅$Volume,卷版本VolumeName,仅$Volume,卷标用于目录和其他索引MFTRecordforaSmallFileorDirectoryNTFS分区布局;启动扇区BootsectorAbout12%BPB&ExtendedBPB