数据恢复厦电子取证
【5 4】
对使用DOS分区体系的磁盘进行数据恢复及取证时t成谗考虑剥以下几个方面：
》  基于DOS分区体系的磁盘，币管避jk立件系统行医避是_二缀文件系统分li，夫都起
    始于距MBR扁隧或EBR扁逛63个扁I歪的他置口MBR和EBR H占用一十痢区．它
    们与文件系统分区I司会宵62个扇区的空闲空∞_』妇返郫分空闲空间中有雨J‘能被用于存
    放附加的引导代码、被痫．簿程序利用或者娥黼有以前‘韵文件系缝下保存的熬据牛当
    然也可能被用于隐藏数措o Wlnd.ows XP魂j对磁擞进行分区操作时小对这黜分空间进
    行清除矗
》  理论上t耐。十操作系统iftj'言．EBR分区表内鼹多量之允许记录两个分隧表颂，而且必
    须是一个’用于描述一个文件系统分区。埘’个J删以描述一个扩展分区口青则操作系
    统越曩认为其为非法日我们通过窭验还发现fWinhex和R:.Stuffla并币对此进行严格
    要求盯例如，以前面骨折的实例磁盘为倒t将物理廓匡”峙385560蛀的第．_二个分区
    表项（见圈2．”）移到丰扩髓甜区起始痢匡的EBR讣区表内。闱EBR骨医表的第三个
    表项赢接描述它6这样处理后。操作系统将3855*60号扇隧以焉的空间谓捌为“来
    分配…’空州，也就是说，主扩展分遥表中的第_和第三个表项都馊宵起到作用辱僵
    在Wl,nhex和R-Studio中，各个分区仍然1可以被正常弧别到口
》  另外还发现，如。粜jLI娃丰特区表遭到破坏．Winhex，仍然可以讽别出番个分医擘并杯

删所有的分隧为“薹失”状态圈蚓2，22显示了磁盘的主井区表被清空荫在Winhe.x
中的情彤，这种情况下使用Winhex可以对各个分区进行访问井导出数据丹如果有
l -分把握节也可以将主分区表的备个裘城值计‘算出来t直接填入主分区衰t这样可
以节省犬1匿的数据导出时间t尤其在数据黄比较大的日寸憔口

圈222主分区表丢失话Wint ex仍然可以识别到骨医
》  并不足所有的操作系缆都对分区粪掣假进行强制执行口据称覃Windows操作系统会
根据这个分区类型值判断哪个分区是可以被加载的譬假实验中糙现，Windows XP
似乎只是根据这个类型值判断一个分区是省为隐藏分匡而决定是否对其进行加载，
椎分区类型值为非翰腋分区粪掣值时量并不完仝只凭这个类型值就判定分区是否可
以被支持，晰是会深入到文件系统分区的引导廓区进行判断群倒如。如果把一个
FAT.32的支件系统分区的类捌值OxOB改为Linux类型．值
会因为发现分区表中的类型值是乔被支持的粪越而拒绝加
Ox83，WindowsXP并不
城，仍然可以。正常将奠阻
蜀q井加载d如果将其类型值改为NTFS娄型值Ox07,Windows。也不会将其加载为
NTFS类型，而依然避加载为FAT32粪蜒分区喜
Windows操作系统对类型澶为隐藏类型的分区则严格执行萱不对萁进行加载尊但也
并不怒所有的操作系统都严榕执千r这个隐藏类型髓曲。例I妞一个在WlndoWs下被隐藏
的FAT分区。碾时l刮‘以扯Lin.ux系统下上E常加载时
有些版本的Windows只支持在MBR扁匡的分区表中建说一个I譬文件系统分区袭项，
    呵将剩余的所有空间部使胡在扩展分区中建立逻辑分区的疗式进。行管理。，也就：是说_
    它无法拄扩腱分区新建立二个主文件系统静I茎盘
》  当分区表链遭到破坏时，可以通过搜索位于MBR扇区或；EBR扇区绪尾赴的签名杯
O
志“SSAA”来重新定位分区表链中各个分聪衰的仇。堂，地过分匮表内的参数值计算
并重建被破坏的静区裹霸
注蠹：  bSSA再鉴名值幂只存在于MBR璃区_赶F;BR扇区。NTFS覆FAT支件象烧旁区的
幂一十扇区也使用"55AA*;作为善名但，在升搜索蛄幕进行分析对应城区分迭两种扇区。
当然，我们学习窀暮接，的有甍主件系缱拭据蛄构的内客后就套斑现，置件系统曲幕多誊戢时
我一们恢复分区表酌过程是非常有帮助的。
    基十DOS的分匿体系我们就介绍到这，啦砑内断而的内容可以看出．DOS分匿傩系的结构
理解起来确实存在雄度，但DO.S升区体系望是最常用的分区体系，包括一些基于IA32 j卜台
的Unix兼．窖机也将萁专用的文件系统分区封装在DOS特区中D