Skip to content

DOS分区体系的磁盘进行数据恢复及电子取证注意

2013-11-25 12:35:01   来源:华军科技数据恢复

 

对于DOS分区体系的磁盘进行数据恢复及电子取证时需要注意哪些事项呢?
基于DOS分区体系的磁盘,不管是主文件系统分区还是二级文件系统分区,大都起,始于距MBR扇区或EBR扇区63个扇区的位置。MBR和EBR只占用一个扇区,它们与文件系统分区间会有62个扇区的空闲空间。这部分空闲空间中有可能被用于存放附加的引导代码、被病毒程序利用或者残留有以前的文件系统下保存的数据,当然也可能被用于隐藏数据。Windows XP在对磁盘进行分区操作时不对这部分空间进行清除。
理论上,对于操作系统而言,EBR分区表内最多只允许记录两个分区表项,而且必须是一个用于描述一个文件系统分区,另一个用以描述一个扩展分区。否则操作系统则认为其为非法。我们通过实验还发现,Winhex和R-Studio并不对此进行严格要求。另外还发现,如果只是主分区表遭到破坏,Winhex仍然可以识别出各个分区,并标明所有的分区为“丢失”状态。如果有十分把握,也可以将主分区表的各个表项值计算出来,直接填入主分区表,这样可以节省大量的数据导出时间,尤其在数据量比较大的时候。
并不是所有的操作系统都对分区类型值进行强制执行。据称,Windows操作系统会根据这个分区类型值判断哪个分区是可以被加载的。但实验中发现,Windows XP似乎只是根据这个类型值判断一个分区是否为隐藏分区而决定是否对其进行加载,在分区类型值为非隐藏分区类型值时,并不完全只凭这个类型值就判定分区是否可以被支持,而是会深入到文件系统分区的引导扇区进行判断。
Windows操作系统对类型值为隐藏类型的分区则严格执行,不对其进行加载。但也并不是所有的操作系统都严格执行这个隐藏类型值。例如一个在Windows下被隐藏的FAT分区,则可以在Linux系统下正常加载。
有些版本的Windows只支持在MBR扇区的分区表中建立一个主文件系统分区表项,而将剩余的所有空间都使用在扩展分区中建立逻辑分区的方式进行管理。也就是说,它无法在扩展分区前建立三个主文件系统分区。
当分区表链遭到破坏时,可以通过搜索位于MBR扇区或EBR扇区结尾处的签名标志“55AA”来重新定位分区表链中各个分区表的位置,通过分区表良内的参数值计算并重建被破坏的分区表。
对于DOS分区体系的磁盘进行数据恢复及电子取证理解起来确实存在难度,但DOS分区体系又是最常用的分区体系,包括一些基于IA32平台的Unix兼容机也将其专用的文件系统分区封装在DOS分区中。
Back To Top
Search