【信安实践2】_第一站：磁盘取证

本文主要是介绍【信安实践2】_第一站：磁盘取证，希望对大家解决编程问题提供一定的参考价值，需要的开发者们随着小编来一起学习吧！

本节目的

  1.了解Windows 系统下文件系统结构：FAT16/FAT32
  2.熟悉Ramdisk, Winhex 工具软件的使用
  3.了解简单的Windows下数据恢复技术，恢复简单的文件。

Windows文件系统

  Windows文件系统：FAT16、FAT32、NTFS。
  Linux文件系统：ext2、ext3、ext4。
  实验环境：Windows10 专业版。

  FAT16：即FAT，支持DOS、Windows 95、Windows 98/2000/XP。
它最大可以管理大到2GB的分区，但每个分区最多只能有65525个簇
（簇是磁盘空间的配置单位，每个簇为16KB）

  FAT32：是FAT16的增强版，从Windows 98开始后续windows都支持。
支持大到2TB（2048GB)的分区。
FAT32使用的每个簇4KB，比FAT16小，有效地节约硬盘空间。

  联系：FAT32是FAT16文件系统的派生，比 FAT16 支持更小的簇和更大的分区，这就使得 FAT32 分区的空间分配更有效率。

  NTFS（New Technology File System）：是Windows NT内核系列的操作系统支持的磁盘格式，提供长文件名、数据保护和恢复，支持跨分区。
  NTFS是一个日志文件系统，这意味着不仅向磁盘写入信息，还为所有改变保留一份日志。最早出现在1993年的Windows NT操作系统，作用是取代了老式的FAT文件系统。（本地Win10磁盘文件系统是NTFS）

ramdisk虚拟内存盘

  RAM一般指随机存取存储器，也叫主存，全称Random Access Memory。
  ramdisk直译是内存磁盘，又称虚拟内存盘。虚拟内存盘是通过软件将一部分内存（RAM）模拟为硬盘来使用的一种技术。

  本次使用虚拟磁盘软件：Dataram_RAMDisk / 4.4.0_RC36。
  软件介绍：Dataram ramdisk是一个虚拟磁盘软件，可以把电脑内存虚拟成磁盘。内存虚拟磁盘速度非常高，对大内存用户来说，可以提高运行速度、延长硬盘寿命。
  实验回顾：使用Dataram randisk软件分别创建FAT16、FAT32、NTFS文件系统的虚拟内存磁盘，了解FAT16、FAT32、NTFS文件系统的引导扇区结构。

使用Winhex恢复删除文件

原理：文件碎片

不同的文件系统下尝试

  本地D盘是NTFS文件系统，虚拟磁盘是FAT文件系统，尝试发现D盘文件和虚拟内存磁盘的文件都可以被恢复。

实验过程

  打开Dataram ramdisk软件，保存虚拟内存磁盘快照为ramdisk.img：

  在虚拟内存磁盘创建hello.txt文件：

  打开winhex，找到工具-打开磁盘(D)，选择虚拟磁盘：

  删除hello.txt：

  重启winhex，打开虚拟磁盘，更新磁盘快照，看到已被删除的文件：

  理解：刚开始以为磁盘快照保存了磁盘某一时刻的状态，是一种备份。
但在虚拟磁盘中只有temp目录及其目录下的hello.doc文件时保存快照，发现磁盘快照中居然还有已删除的hello.txt文件。
  原理不是备份，而是失去表头又未被覆盖的文件碎片。

这篇关于【信安实践2】_第一站：磁盘取证的文章就介绍到这儿，希望我们推荐的文章对编程师们有所帮助！

---