本文由实习生彭诗雨原创,转载请注明。
引言
最近遇到一个关于文件系统方面的练习题比较有意思。小编做完题目之后,感觉可以好好总结一下思路,在此拿出来和大家交流一下步骤和心得。日常生活中大家也可能遇到到这样的场景:一直使用的硬盘,磁盘中明明是存在了很多数据的;某一天不知道经过了什么操作,再连接到Windows计算机,突然提示:驱动器需要格式化才能使用,是否将其格式化?
如果你略懂文件系统,那么利用磁盘管理查看一下分区,发现应该表示文件系统类型的位置,此时却显示为“RAW”。
遇上这种情况,不知道您的心里会做何感想。反正我自己一定是“万念俱灰”,我的论文啊!我的取证软件啊!我的电影啊!我的照片啊!
记得曾有朋友说:要不我就选择格式化,然后用恢复软件去恢复一遍。都说软件可以进行格式化恢复嘛。听到这种说法真是又好气又好笑。本来有机会把数据全部恢复回来,你非要去搞一个格式化恢复把某些数据生生地丢掉。
写这篇文章的目的,就是要分享一些知识和小技巧。那么,我们一起来分析分析,提示需要格式化,具体问题究竟出在哪里。
问诊磁盘“望”
如果此时有一位有经验的取证高手,或者数据恢复高手,看到这个问题就一定知道,这是磁盘文件系统出了的问题。那么,首先选用的工具就是WinHex。
当然,如果你不熟悉WinHex,可以借机跟小编一起来学一学。
首先,你要能够打开磁盘。WinHex完全秉承了X-Ways的宗旨:条条大路通罗马,做事不能一条筋。大路有几条?“Ways”有“X”条。X-Ways这个名字就是表示做一件事情可以有多种做法。
那么,用Winhex/X-Ways打开磁盘,有两个方法可以打开磁盘。小编在图中“位置一”和“位置二”标记了打开磁盘的。当然,再加上F9快捷键,就是三种方法了。
选择你希望恢复数据的磁盘。
物理磁盘中可以看到一个虚拟磁盘,这是一个VHD虚拟磁盘,里面包含有三个分区。学过WinHex的都知道,磁盘有物理磁盘和逻辑分区之分。逻辑分区或者逻辑卷,是对应有盘符的某一个分区,也就是C、D、E。物理磁盘指的就是包含C、D、E三个分区的一块完整硬盘。
我们这个例子里面使用的物理磁盘,就是有三个分区的一个虚拟磁盘。当用WinHex打开磁盘之后,发现列出的三个分区,有一个显示为FAT16,另外两个都显示为“?”号。
好吧。作为一个略懂文件系统的取证人,小编带大家一起给磁盘诊诊脉,看看这到底是一个什么类型的问题。当然,要想给磁盘看病,你应该先知道什么是“文件系统”。
通俗地说,如果我们将硬盘看作一个图书馆的话,那么硬盘中的数据就是图书馆里的书。一个图书馆要想把书管理的好,就必须有一定的管理方法和规则。好的管理方法不仅可以把图书管理得井然有序,更可以帮读者有效率地找到自己想借用的书。
硬盘也是同样的道理。FAT、NTFS和EXFAT这些不同的文件系统就像是不同的图书管理方法。如果没有了文件系统,数据即使仍然存放在硬盘中,操作系统也无法读取到这些数据,更不用说打开这些文件了。所以,对于一块硬盘、一个分区来说,文件系统至关重要。一旦文件系统出现了问题,我们自然也就无法找到磁盘中的数据了。
经过初诊,我们大致分析出了问题的症结可能是文件系统出了问题。那么我们再一起看看文件系统具体出了什么问题。
问诊磁盘“切”
现在来给分区“把把脉”,诊断一下具体“病因”吧。
双击分区2,打开分区。我们发现分区2的第一个扇区现在全部是“FF”。
所有分区的第一个扇区都是“FF”吗?我们查看一个没有问题的分区,就是发现每一个分区第一个扇区是有内容的,绝对不会是512个FF。
再查看案例中分区三,发现分区二、分区三的前512字节都变成了FF!
我们可以大胆猜测一下,是不是第一扇区记录了某些与文件系统相关的重要数据,数据丢失导致了操作系统无法识别文件系统,继而无法解析分区中的数据?
Bingo! 恭喜你,你猜对了。
这时候就要引入新的小知识了,DBR。每个分区的第一扇区叫做DBR(全称: Dos Boot Record),百度百科上是这样告诉我们的:
DBR(硬盘DBR)
分区引导扇区也称DBR,是由FORMAT高级格式化命令写到该扇区的内容,DBR是由硬盘的MBR装载的程序段。DBR装入内存后,即开始执行该引导程序段,其主要功能是完成操作系统的自举并将控制权交给操作系统。每个分区都有引导扇区,但只有被设为活动分区的DBR才会被MBR装入内存运行。
那么,小编试着用通俗的文字再解释一遍这个概念:图书管理员要对所有图书按照一定的规则进行编号、登记后得到一个“花名册”。对应硬盘的话,这个“花名册”就是“目录”,也就是FAT和FDT部分(这个内容,下一篇文章我们再讨论)。如果没有目录,就没有办法对后续的数据排序,自然也就没有办法将这个分区中的数据呈现出来。而DBR定义了一个磁盘的扇区数量、簇大小和FAT的位置,这就相当是图书馆的入口和路牌。当DBR丢失或被破坏,图书管理员就不知道去哪里找“花名册”了,相当于磁盘就找不到文件目录。这时候就会变为RAW格式。
所以,“诊脉”之后发现,本案例出现提示格式化磁盘的“病因”就是——分区引导扇区(DBR)被破坏,导致分区内容无法被正常识别。
理解DBR备份
接下来,我们该怎样去修复这个DBR扇区呢?
在思考解决方法前,要先知道:分区的文件系统有多种,常用的有FAT32和NTFS。由于分区的文件系统、分区大小不同,DBR的内容也有所不同。所以,我们需要分清这两个DBR被填充的分区分别是哪种文件系统。又有哪些方法可以辨别DBR被填充的分区分别是什么文件系统。
常识告诉我们,就算一座图书馆没有了目录,也可以找到某本书存放的相应位置。这是因为有另外的有目录且是同一种排序方式的图书馆有许多,我们可以通过借用这些有目录的图书馆的目录来帮助寻找我们需要的书。
硬盘也是这个道理,我们可以用模板来恢复DBR。(图示为WinHex模板管理器)
但是,我们使用模板恢复DBR的效率太低,对于我这样一个“略懂”取证的新手来说,也容易出错,还有没有其它方法可以恢复DBR呢?
有,而且不止一种!DBR对于一块磁盘、一个分区来说至关重要,重要到文件系统本身就保存了它的备份。
我们通过WinHex的模板管理器来查看一个完好的DBR信息。
借助模版管理器可以清晰地看到,在FAT32中,DBR备份扇区号为“6”,这个“6”表示从当前扇区开始,往下数到6个扇区,就是DBR的备份保存位置。小编试着找了找,果不其然,在第6个扇区,真的发现了DBR备份。
总结一下:这里如果DBR在第0扇区,DBR备份就是在第6扇区。如果DBR出现问题,我们要把第6扇区的DBR备份还原到0扇区的DBR就行了。
找到了FAT32的DBR备份,那NTFS文件系统是如何保存备份呢呢?再次使用WinHex模板管理器,打开完好的NTFS分区。我们发现NTFS文件系统的模版解释器中,并没有给出DBR备份的保存位置,是不是NTFS没有DBR备份呢?
其实不是的,NTFS文件系统的DBR备份同样存在。不过DBR备份的位置并没有记录在DBR中,而是保存在该分区的最后一个扇区。
基础知识铺垫完了,请和小编一起期待续集吧!
本文有实习生彭诗雨原创,转载请注明。
本文始发于微信公众号(数据安全与取证):硬盘突然提示需要格式化才能使用? 你是要格式化呢?还是...呢?(上篇)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论