使用diskedit剖析FAT磁盘文件系统.doc

使用diskedit剖析FAT磁盘文件系统 课题：1.学习diskedit磁盘分析工具的使用2•使用diskedit观察主引导扇区,扩展扇区3•使用diskedit观察引导扇区4•使用diskedit观察FAT表5•使用diskedit观察文件目录6. 使用diskedit观察一个文件的内容7. 修改文件口录项内容，并观察变化 &修改FAT内容，并观察变化9 •修改可执行文件显示内容，并观察结果课题1・Diskedit是Symantec公司推出的诺顿系列工具之一，Symantec公司是世 界著名的工具软件公司，diskedit磁盘工具从字面上看是 磁盘编辑工具，它是FAT文件系统上最方便的磁盘编辑工具我们现在所用的是Norton Utilities 2002,支持FAT32文件系统的剖析编辑请注意磁盘编辑工具和文件系统的关系, 其实如果将一个磁盘看作一个个扇区的话，一个磁盘工具可以剖析编辑任何一个文件系统，因为不论是NTFS （NT）, HPFS （NT）, EXT2 （Linux）还是FAT文件系统，他 们归根到底都是曲一系列的扇区构成的，只不过扇区的组织方式不同罢了在 diskedit中如杲使用观察物理扇区的方式也可以浏览、观察、修改任何一种文 件系统。

但是diskedit在逻辑层次上只对FAT文件系统捉供了方便的浏览所以 说Diskedit是FAT文件系统的浏览修改工具另外NT操作系统自身的Kit （小 工具）也带了一个NTFS文件系统的分析编辑工 具，不过可能是出与安全的考虑, 在浏览编辑方式上远没有Diskedit方便在98中使用diskedit首先应该重新 启动到Dos方式下，然后应该Lock d:（建议修改时使用D盘，所有实验在口己建立的目录中进行）Diskedit的主界而如下图所示:Tin©Alt*DMl2121Edit Link Uiew Info Tools Help foDirectory... Alt*R File..・ A1"F Cluster..< Alt*C Sector... Alt+S Physical Sector... Alt*PCtrl*SPartition TableBoot Record 1st FAT 2nd FATAlt"Alt*F1Alt*F2ClipboardHeaory Dunp•・・Alt*MExitAlt*X0H444444444U44ee ee ee ee ee ee ee ee ee ee ee ee ee eeAGE863 PS!888 2・28・9U8：eeConfiguration・・・Calculator..・Aduanced Recovery Node・・・ Use 2nd FAT TableASCII Table...Recalculate Partition Compare Windows•・・ Set Attributes...Set DatQ/Tine...20GD20Find Object Find Again Write Object To. Print Object As.Ctrl^GCtrl*PJ我们主要用其中的object, View, Tools菜单，object菜单主要用来选择编辑分析的对象, 这个对象口J以是一个驱动器（物理的或者逻辑 的），一个目录，一个文件、一 个簇、一个物理扇区，或者是直接FAT文件系统的一个部件，如分区表（严格来 说，分区表不屈于FAT文件系统），引导扇区，FATo编辑的开始首先要确定要 编辑的对象，浏览（View菜单）,工具（Tools菜单）也都是针对这个对彖的。

View菜单的使用如上图所示，在选中一个对象（如一-个扇区）后，可以将这个 对象当做某一种格式来看，如以16进制，引导扇区等，但是如杲一个扇区木身 不是引导扇区而将它当做引导扇区看，则内容会混乱Tools菜单如下图所示: 查找(Find)可以在对象中(如前object菜单所述，可以是110号扇区,1 10000号簇，一个驱动器，一个文件等)查找所需的文字查找吋可以选择ASC 码或者16进制数查找对象(Find object) 口J以在在对象中(如W object 菜单所述，可以是lo o o 10号扇区，110000号簇，一个驱动器，一个文 件等)查找FAT表，引导扇区，主引导扇区，这个功能可以在硕盘遭到毁灭性 破坏以后在硕盘中查找致命的数据再次查找(Find Again)可以在查找到一 个口标以后再次查找下一个 将对象保存到(Write object to)功能可以将一个 对象(如前object菜单所述，口J以是110号扇区,lo o 10000号簇，一 个驱动器，一个文件等)保存到文件中课题2使用diskedit观察主引导扇区，扩展扇区要求，能使用Diskedit保存 主引导扇区，识别引导扇区的基本格式。

Diskedit中的界面如下图：请计算占 有扇区数和硬盘大小的关系实验用的计算机分区时怎样的？同时识别以IIEx 观察(View-aHEX)的格式，如下图：结合附录2, 3观察以上结构，请问哪个 字节是启动分区标志？哪些字节是硕盘存在标志，Linux系统中是否也是这样 的？课题3.使用diskedit观察引导扇区如上图，请问：Linux操作系统中冇这样 的引导扇区么？要求，能使用Diskedit保存主引导扇区，已知硬盘中除了这个 引导扇区之外，还有操作系统自动做的备份，你能将它找出来么？注意观察右下 脚的Sector 0,引导扇区是一个逻辑分区的扇区0,在观察FAT的时候，注意观 察是Sector ???，根目录呢，怎么会是Cluster? 一个硬盘分区的数据内容从哪 里开始？课题4.使用diskedit观察FAT表红色为同一个文件的链表请根据附录写出 FAT表的基木结构什么字代表文件结束？什么代表坏扇区，可以门己做坏扇区 标志么？如果一个病毒将自身隐藏在“假”的坏扇区中会带来什么“好处” ？ 请建立两个文件，并通过修改FAT将两个文件内容相加在一起课题5.使用diskedit观察文件目录。

你能根据附录通过观察文件目录和Ilex格 式(View菜单汇总以Hex格式观察)总结岀文件目录的大概结构么？(哪个字 节存放什么信息)建立两个文件，能通过修改首簇号替换两个文件内容么？可 以造出如2001-15-31日这样的日期么？以上信息中右没有文件作者信息？ 那么word文档中的作者信息在什么地方存放？是Word文档中还是在目录中？课题6.使用diskedit观察一个文件的内容Object --df订e选择Windows目录 下的Calc, exe文件，该文件是可执行文件修改以下内容：1 •修改Windows文件标志PE,文件还可以执行么？2•修改可执行文件中的显示信息，如Calc, exe中的Cos（函数）等,注意在Windows 可执行文件中显示的内容，如菜单等都是以Unicode存放的，如A存放不是41H, 而是00H,41Ho如果你能修改这些内容，你也就成了外行所说的“黑客” To不 过内行的黑客客没有这么好当哟！课题7.修改文件口录项内容，并观察变化要求如课题5课题8.修改FAT内容，并观察变化要求见课题4课题9•修改可执行文件显示 内容，并观察结果附录1（见课题6）：探索硬盘分区技术----所谓硬盘分区，实际上就是 将硕盘的整体存储空间划分成相互独立的多个区域。

从应用的角度来看，硬盘必 须分区后才能使用，如果不对硕盘分区，则操作系统将不能识别硕盘对系统 的管理和维护人员来讲，硬盘分区是必须掌握的一种技术同吋还必须掌握备份 与恢复分区数据的方法，这样才能在面对复杂应用环境时，始终使自己立于不 败Z地但是，由于操作系统存储分区数据的特殊性，使很多用户对分区和逻辑 磁盘的划分理论不能正确理解在此，我们将分两期详细介绍硬盘的分区数据 存储技术以及分区数据的保存和恢复等相关操作掌握分区及逻辑磁盘的构成原 理,将使读者深刻理解操作系统对硬盘存储空间的划分与分区数据的存储，从而 提高系统管理和维护的水平一、分区与逻辑磁盘的关系----在讨论分区技 术的同时，往往会提到逻辑磁盘,有些用户难免混淆分区和逻辑磁盘这两个概念 例如，有时我们会提到,高版本MS DOS操作系统（包括Windows 95/98操作系 统）限制分区的容量不能超过2GB （在FAT16文件系统中），诸多专业书籍也是 这样介绍的但是，很多用户在进行分区实际操作吋，往往会提出疑问，因为 他们发现扩展DOS分区可以划分到2GB以上一个实际的例子是对一个6. 4GB 的硬盘进行分区操作，假设主分区为2GB,则余下的4.4GB可以统一划分为扩展 分区，在扩展分区中再进一步建立逻辑磁盘，当然每个逻辑磁盘不能超过2GB。

面对这样的实际操作情况，大家都会提出同样的问题：究竞是分区不能超过2GB? 还是逻辑磁盘的容量不能超过2GB?——在大容量硬盘日益普及的今天，虽然 FAT32文件系统已经取消了分区或逻辑磁盘2GB容量限制的规定，并11使用FAT32 文件系统也是今后的大势所趋但 是，对上述问题的回答并不会因为FAT32文 件系统的使用而烟消云散由于硬盘仍然要分区和建立逻辑磁盘，因此，很冇必 要对逻辑盘与分区的关系做进一步的分析一-实际上分区是对硕盘存储空 间的物理划分，而逻辑磁盘是建立在分区之上，仅具备逻辑意义上的磁盘概念， 没冇实际物理駛盘与之严格对应，而仅冇一块划分出來的物理硬盘中的存储区 域与Z对应一个分区可以建立一个或一个以上的逻辑磁盘既然逻辑磁 盘是建立在分区Z上冃仅具备逻辑意义的磁盘，那么所谓FAT 16文件系统分区 2GB限制的问题是不是应该更改为逻辑磁盘2GB存储空间限制呢？从表面上看， 上述理论是成立的，并且似乎也得到实际操作的证实但是，这种理论还仅仅停 留在表面上，并没有完全弄清楚逻辑磁盘和分区的关系从更深的理论层 次来看，每个逻辑磁盘实际上是一个独立的分区，也就是说一个独立的逻辑磁盘 实际上与一个独立的分区相对应，在后面研究分区的实际结构时，我们还将进 一步证实这个问题。

FAT 16文件系统提出的分区2GB容量限制的理论是没有任何 错误的，只不过受到扩展分区的影响，而使用户产生了错误的理解对系统管 理和维护人员来讲，必须深入理解逻辑磁盘实际上就是一个独立分区的概念，否 则很难对系统实施全而的管理二、硕盘分区方式----硕盘分区后一般形成 3种形式的分区，即主分区、扩展分区和非DOS分区其中主分区乂称为主DOS 分区(Primary DOS Partition),扩展分区又称为扩展DOS分区(Extended DOS Partition) o非DOS分区(Non-DOS Partition)是一种特殊的分区形式，它是 将硬盘中的一块区域单独划分出來供另一个操作系统使用，如Windows NT>Linux 和Unix等对主分区的操作系统来讲，非DOS分区是一块被划分出去的存储空 间只有非DOS分区内的操作系统才能管理和使用这块存储区域，非DOS分区 之外的系统一般不能对该分区内的数据进行访问主分区是一个比较单纯 的分区，通常位于硬盘的最前面一•块区域中，构成逻辑C磁盘在主分区中，不 允许再建立其他逻辑磁盘扩展分区的概念则比较复杂，也是造成分区和 逻辑磁盘混淆的主耍原因。

由于微机操作系统仅仅为分区表保留了 64个字节的 存储空间，而每个分区的参数占据16个字节，故主引导扇区中总计可以。