水过仍然有一个明显的问题f每个文件和目录都会有一个目录项指向它|。假根
    目录却没有a这是因为根目录的位置（对于FAT12.，16还包括大小值）记录在弓I导
    扇区中量m并不是由数据区内的目录项进行描述的巷有的软件解决这个问题的
    方法是为根目录分配2号H录项地址号-然后再从3开始向后进行分配§也就
    是谶数据区起始扇区的第一个颇为3号目录项擘
    孤史件：
    耍技到孤文件t目前最好的方法是根据文件的特定文件头及文件尾格式进行查
    找口这种方式对于连续存放的文件非常有效，但对r片段化的文件则无法很好
    地恢复垂
    如粜埘户经常地封磁盘进行碎片耧理，刚恢复最后一次碎片梭理后删除的文件
    就非常容易，因为这时文件基本上是存储往连续的簇中的毒但如果是删除了文
    件后对碰盘进行了碎片整理，删根难成功恢复，因为程整理过程中被删陈的文
    件的日蒙项会被清除，Ⅲ由于懿理过程中文件内容被来幽移动f文件原来所在
    的簇已经被重新分配f原有内容也已经披覆盖掉r§

  5．分配策略阐廊
    Wlndows XP的分配程序可以健艘删除立件的义件名存留毂长的时间。因为它不使用第一
可用分配策略早但这并不意味着与使用第一可婀分配藏略相比可以恢复出更多的数搠。因为
文件内容原米所占用的簇空间可能已经被重新分配出去t这样空件内容也就被覆盖掉r珏所
咀t即使能够看到文件名，但却并不一定能够恢复出它的数据内容窜
3.10.2  取证分析
    在对雕汀系列文件系统分区进行取证分析时。应该根据文件系统特点宵所侧重地进行分
析。拦此，稳们介绍一下哪些地，方有可能被用于隐减数据，如何确定是雷有隐减数辩存在的
可能擎咀及时间信息的确定等蕾
    1．保留扇区
    雠留扇区包括引导墒区1 FS.INFO信息嗣I要、蔷份引导扇区及若干空嘲的扇区，这些位置
都有可能被用于隐藏数据：
    》'FAT文件系统的引导痢匿中_引导扇匿的数据结垲与扇；匿尾部，的签名之间育450个
    字节的空M，Wlndows通常用来存放引导代码，但对于非引导；卷越部分代码是褴有
    用的。因此这部分空间可能会被用户用采隐减数槲。
    》  FAT32文件系统一般台为保留区域分配几十个扇区，但引导阚。区，备份引导扇匿荆
    文件系统信息只占用了其中锟少的一部分佃其余的部分有可能棱用户用于隐藏数据口
    》  FAT32的文件系统信息匡城也有上百的朱使用字节．有可能被J露于隐藏数据矗
【1 4 0 1
    l提示：操作‘置境在建立更件系统时通常奢将保留区域中的麻区做摊略翱衅。臆藏在此处_的簸
    据有可袍被清除。
2。FAT区域
Ⅳ汀区域也有一部分空间肯可能艘用于隐藏数据：
》．文件莱统最后簇的FAT项位置与Ⅳ盯表的结尾之间不被系统所利用量所以应该对每
    个FAT表的这部分空间进行检查以确定是番存在穗触数据口也就是说蕾FAT1的最
    后一十有效FAT项与FAT2之间，以厦FATZ的最后一叫卜有效FAT项与数据区之间
    有可能古有隐藏数据。
》  可以比较FAT1表与FAT2是否完全相同以确定是否有隐藏数据存在。
    【捶示：为了计算每十‘FAT丧中有多少字节空闲置囊件幂照所搠不斟的，寸般鹿每水皇盯袅
    ’所能塞蚺的毒项与文件暴‘桅所囊际需要特种汀袁填进行霹较。
    例如葺一个FAT32文件系统太小为2040192个扇医f每簇8个扇区譬2哮族起始于40 1 6
号扇区。引导扇区中给出的每FAT表太小为1 989个扇区t橱FAT32的每个FAT表砸‘旨用4
个字‘竹t即每个扇区可以存放1 28个表项，所以每个FAT袁可以存放的表坝个数为：