2024年4月22日发(作者：)

捞　直　

ＦＡＴ３２文件系统数据恢复在网络取证巾的研究　

山东政法学院信息科学技术系　常旭　

［摘要］本文旨在针对网络取证过程中犯罪嫌疑人利用反侦察和反取证技术，对一些敏感重要的数据删除来消除犯罪证据的问题　

进行研究，通过分析ＦＡＴ３２文件系统的文件存储原理及其删除原理，针对ＦＡＴ３２文件系统下的文件删除后如何进行数据恢复的问题　

进行了解决，提出了的一种ＦＡＴ３２文件系统被删除数据恢复的算法．　、

［关键词］ＦＡＴ３２数据恢复ＤＢＲ　ＦＤＴ文件系统　

１．背景　

随着计算机技术和网络技术的飞速发展，人类社会网络信息化程　

度日益增加、对网络的依赖性日益增强，由于网络具有虚拟性和开放性　

的特点，ｍ现了大量以计算机和互联网为ｒ具或以计算机和互联网应　

用及数据为对象的犯罪活动。为防止非法入侵和阻止网络犯罪，仅靠　

诸如防火墙和入侵检测系统等安全产品的过滤和预警功能是远远不够　

的　由于黑客攻击水平不断提高，网络犯罪呈多样化发展，另外．网络　

犯罪行为也可能是正常的网络活动，如通过即时通信、Ｅｍａｉｌ等传播非　

法信息。因此，要从根本上解决网络犯罪问题，就要依靠法律，利用有　

效的法律手段对黑客行为、对各种各样的网络犯罪予以制裁，这当ｌ１１关　

键的问题之一就是取证。网络取证不仅是对于黑客入侵行为的取证，　

正常的网络行为也可能是需要取证的非法信息。在网络犯罪手段不断　

升级的形势下，为了能够有效的打击网络犯罪，需要从基于网络的角度　

来进千亍电子取证的研究。网络取证正是在这种形势下产生和发展的，　

它标志着网络安全主动防御理论的成熟。　

当前，为＿『使用和管理的方便，数据大多以文件的形式存储在特定　

操作系统的硬盘巾。网络犯罪过程巾，犯罪嫌疑人反侦察意识的加强　

和反取证技术的使用，特别是对一些敏感重要的数据信息的删除，使取　

证工作变得比较困难。常用的方式是人为地将犯罪资料等数据从硬盘　

中彻底删除，比如删除网络监控日志文件等，进而导致犯罪证据的破坏　

或者丢失。因此，如何能够从硬盘中快速准确地恢复被破坏的数据，为　

打击犯罪提供有力的证据，成为网络取证研究的一个重要方面。　

２．ＦＡＴ３２文件系统结构　

微软的文件系统主要有ＦＡＴ、ＮＴＦＳ、ＥｘＦＡＴ？当前，ＦＡＴ文件系统　

中的ＦＡＴ３２应用最为广泛。ＦＡＴ３２义件系统由ＤＢＲ及其保留扇　、　

ＦＡＴ１、ＦＡＴ２、ＤＡＴＡ区四个部分组成，分圳是：　

（１】ＤＢＲ：（ＤＯＳ　Ｂｏｏｔ　Ｒｅ￣・ｏｒｄ）操作系统引导记录区，通常位于硬盘的　

０柱Ｌ面１扇区，是操作系统可以亢接访问的第一个扇区。由跳转指令、　

厂商标示及ＤＯＳ版本号、ＢＰＢ、ＤＯＳ引导程序、结束标志５部分组成：其　

，ｔｌ，ＢＰＢ中的信息埘于数据恢复的文班尤为重要，ＢＰＢ中记录着本分区　

的文件存储格式、起始扇区、硬盘介质描述符、结束扇区、ＦＡＩ’个数、分　

配单元的大小和根目录大小等重要信息。　

（２）ＦＡＴ（Ｆｉｌｅ　Ａｌｌｏｅａｔｉｒｍ　Ｔａｂｌｅ）：文件分配表，表示文件　硬盘【ｔ１存　

储位置的瞀记表，是系统中文仲的寻址系统。ＦＡＴ不真正存储文件的　

内容。为了数据安全起　。ＦＡ　Ｉ’一般生成两个，第二个ＦＡ１　为第一个　

ＦＡＴ的备份。●　ＡＴ表南ＦＡＴ表项构成，每个ＦＡＴ表项占４宁节３２位。　

ＦＡＴ前２簇即簇０和簇ｌ为保留簇，不分配使ＪＬＨ。文件的结束簇标记为　

Ｆｒ　ＦＦ　ＦＦ　ＯＦ；一个ＦＡＴ表项值表明了文件占用的一个簇号并指明下一　

簇号的位置。　

ｆ３）ＦＤＴ（Ｆｉｌｅ　ＤｉｒｅｃｔｏｌＴ　Ｔａｂｌｅ）文件目录表，是文件系统的根目录区，　

紧接第二个ＦＡＴ表之后。磁盘进行格式化的时候，就已经为整个磁盘　

建立了…一个根日录ＦＤＴ。根目录下的所有文件及其子目录存根目录的　

文件目录表（ＦＤＴ）中都有一个“目录项”。每个目录髓记项占用３２个字　

节，分为８个区域，提供有关文件或子目录的信息。包括了文件的文件　

名、扩展名、文件的创建日期、创建时间、访问日期、访问时间、最后写口　

期、最后写时间、文件的长度、起始簇的高低位。其目录项对应关系如　

表１所示：　

表１　ＦＡＴ３２文件目录项结构　

０　Ｉ　１　２　Ｉ　３　４　Ｉ　５　６　Ｉ　７　８　ｌ　９　１０　ｌ１　ｌ２　１３　１４　Ｉ　１５　

文件名　扩展名　属　Ｘ　Ｘ　创建　

性　时间　

当系统读取文件时，操作系统根据ＦＤＴ中的起始单元，结合ＦＡＴ表　

就可以确定文件在硬盘中的具体位置和大小。　

ｆ４）ＤＡＴＡ区：ＤＡＴＡ也就是数据区，是ＦＡＴ３２文件系统真正意义上　

的存储数据的区域，占据硬盘的大部分空间。　

３．数据存储与删除原理　

３．１数据的存储原理　

ＦＡＴ３２刨建一个新文件时，逐一扫描ＦＡＴ，跳过已经分配的簇和有　

“坏簇”标记的簇，将该簇分给文件，其簇号作为该文件的起始簇号被记　

录在该文件的ＦＤＴ记录项，即ＦＤＴ中的酋簇簇号的高１６位和低１６位。　

似设文件只需要一个簇就可以放下，就存该簇对应的ＦＡＴ项中放文件　

最后一簇的标志；如果文件一个簇放不下，系统会继续寻找ＦＡＴ表中未　

用的簇，找到后将该簇的簇号写到上一簇对应的ＦＡＴ项中；如果此时已　

经可以存下该文件的数据，系统就会在此簇对应的ＦＡＴ中记上最后一　

簇的标志，否则就继续寻找下一空簇，以此类推最终形成簇链。文件存　

储的这种结果使得其占用的所有簇都可以通过首簇号与簇链找到。　

ＦＡＴ３２文件系统下读取文件时，根据ＤＢＲ巾的ＢＰＢ找到文件目录　

表ＦＤＴ，分析ＦＤＴ找到需要读取的文件的目　项；分析此文件目录项，根　

据首簇的高ｌ６位和低１６位来计算出文件的首簇，转到ＦＡＴ中，通过首　

簇地址和簇链找到此义件所占用的其他簇，在对应的簇中找到相对应　

的数据。　

３．２数据删除原理　

通常硬盘上删除一个文件的速度特别快，这是因为ＦＡＴ３２文件系　

统下删除一个文件并没有真正将文件删除，而只是做了一个删除标　

记　ＦＡＴ３２文件系统下利　Ｓｈｉｆｔ＋Ｄｅｌｅｔｅ组合键直接彻底删除，这种删　

除方法将清除文件目求项中起始簇号高位的两个字节，其中，ＦＡＴ３２文　

件各结构变化如下：　

ａ）文件删除后，操作系统找到对应的目录文件表ＦＤＴ将第一个字　

节修改成“Ｅ５”标志；文件开始簇号看似没有改变其实发生了改变。冈　

为ＦＡＴ３２文件系统　４个字节记录文件的开始簇号，当文件被删除以　

后，文件的首簇号高两位的２个字节要清０。所以如果首簇号高２位不　

为０，删除…个文件后其“文件的开始簇号”及首簇号这个值是发生改变　

的。　

ｂ）ＦＡＴ文件分配表相应的项ｆ＝Ｉ清空，表示可以供其它程序使用。　

ｃ、）文件的ＤＡＴＡ区即数据区行没有被覆盖，还文际存在，但对于操　

作系统而占，是无效的垃圾数据，当新文件需要存放时，新的数据可直　

接写入。也正是因为数据还存在，并没有被完全删除给我们提供了数　

据恢复的可能性。　

４数据恢复算法设计　

通过埘ＦＡＴ３２文件系统下的文件存储结构以及删除原理的分析，　

ｒ解到数据删除后并没有真正被清除，而只是做了一个删除标记，所以　

只要此数据区域没有被覆盖，就有被恢复的可能性，另外由于删除后的　

文件的首簇号高２位通过完全删除会被清０，使得数据恢复难度提高，　

也正是这种现象使得一部分数据很难或者无法被恢复。针对以上问题　

本文设计被删除文件的恢复流程如图ｌ所示，算法过程如下：　

ｓｌｅＤ１．分析ＤＢＲ巾的ＢＰＢ，根据ＢＰＢ中的保留扇区数、ＦＡＴ的个数，　

ＦＡＴ＾用的扇区数等参数来计算出文件目录表。具体公式如下：　

ＦＡＴ１位置＝ＢＰＢ中的保留扇区数。ＦＡｑ’２起始地址＝ＦＡＴ１起始地　

址＋ＦＡＴ占用的扇区数。　

根目录ＦＤＴ起始地址＝ＦＡＴ２起始地址＋ＦＡＴ占用的扇区数。　

Ｓｔｅｐ２．分析文件目录表，定位被删除文件的目录项。此文件的目录　

项第一个字节为“Ｅ５”删除标记。读取此文件的开始簇号，文件的开始　

簇号由高２个字节和低２个字节组成。判断是否有同一目录相邻的没　

有被删除的文件，如果有提取同一目录相邻的没有被删除的文件的开　

始簇号高２位字节，跳转到Ｓｔｅｐ３，如果无，跳转到Ｓｔｅｐ４。　

Ｓｔｅｐ３．根据提取到的高２位字节，结合被删除文件的低２位字节，形　

１６　Ｉ　ｌ７　１　８　　ｌ１９　２０　Ｉ　２１　２２　ｌ　２３　２４ｌ　２５　２６　２７　２８　２９　３０　Ｉ　３１　

创建　访问　簇的　最后　最后　簇的　

日期　日期　高位字　写时间　写日期　低位字　文件长度　

基金项目：本文系山东政法学院科研计划项目（编号２０１３Ｚ０２Ｂ，２（）１２Ｚ２５Ｂ）　

・－——

４３－－——