1 989扇区×1 28（项／廓匾】：= 254592项
    该文件系统实际麟数为：
    (2040192 - 4016)个扇．区／8c扇区／簇）- 254522簇
    因为FAT表qJ前两个表顺位置保留，所以凌空件系统实际需要的FAT表项数为：
    54S22+2=2,54524卫甄
    所以r每个FAT表尾部的无法使用字节空间为：
    (254592 - 25452卑)x 4=272字：特
    每个FAT表中的这272个字节于匿br能会被用来隐藏数据。
    3．目黎的簇空间
    》  前面舟绍曰．录鄙分时提到，如果在某个目录中Windows麓现一个目录项的第一个字
    节为Ox00后胃便不再撼示这个目录项之后的任何数据尊因此，有些人可能会建立目
    录后只在目录串存放很少韵文件。而将剩余的目录空闻用于隐藏；数据D调查过程中
    应该比较埘录项的分配太小与其中存放的文件数量之间的．关系。逻辑文件系统搜索
    町以找剥隐藏摇这些位置的数擗j
  》  应该帻煮根日采和它的子目录，并确定雕汀表中的每个簇链确实有一个正常存在的
    目录项指向它奇
  》  同时也要反向糗蠢是蕾每个目录礤都确实措向了一个已分配的簇。如果有多个目录
    项指向一个簇链，Microsoft建设将所有文件拷贝到一个新的位置，然后删除原文件。
  》  簇链的长度应谖与文件大小所需要的簇数相符孽
【1 4 1】

    4．长文件名”目录项
    利用睦文件名c录项也可以隐藏数据§
    Windows XP的磁盘帻．删工具孝对FAT文件系统进行橙测时并币是报彻底b如果人为地
建壹并不与任何SFN项相关联的LFN项t不会m现任何错误提示嘲利用这一点可以隐藏少量
的数据q
    使用分析工且进行基于关键字的搜索时，无法发现隐蔽在LFN项中的数据n因此，应该
检查各个LFN项的棱验和并将其与它的SFN项进行对比。如果没有找到相应的SFN项曾就需
要对该LFN项进行检查，这种情况可能是因为文件秉统损坏，使用了不支持长文件名的操作
系统，或者是粥于隐藏数据n
    5．卷标目晕项
    对于Windows XP，卷标可以用于臆减数据q
    利用卷标隐减数摧的原理是，卷标L1录项都没有起始簇号，，而一个芷常的目录项中
    有一个区域用于存放蘸链的起始簇号，如果卷标中手工编辑一个起始攘母使其指向
    一个来谶分配使用的簇，然后到FAT采内手工编辑一条簇链t Windows XP的磁盘
    检测程序不会弹出任何警告和错误提示，攘链会拄你的意愿保持己分配状悫q通常
    情况下，如果一个目录项没有涉及到一个簇链，磁盘检测程序会将其纳入一个丢失
    麓目录中啊Windows 98下的磁盘检测；程序能够检测到分配给巷标的簇并将它们
    删除鲁
    》  卷标目录项既可咀用于隐藏数据也可以提供一些线索署
    卷标项的最屠访问时间和建立时间常常被皱置为0-t但最后写入时间却通常被设麓
    为卷被建立时的当前时州孕因此可咀由此得到…些文件系统建立时间方面的信息口
1 1 42】
    。提示：在Wi门da煅XP下。件可烈雀任惠位置建立多十巷称目录项谁规范书中并不强制。r求
    只能在椒目最下建立一十誊标顷．因此。你可以在多十霸录中建立多十誊柿磺.用于隐藏艘据。
    \Vl删OWS 9S能够察觉道一行为并甘用户提出警报．
6．描弛空间
》  数据区的大小并夺一定正好是簇太小的整数倍．因此在数据区的尾部可能会有少量
    坷i罅一个艘的扁区存在审这些扇区是没有壤地址的，也就是说对于操作系统来讲它
    们是不存在的，这些扇区有可能被用来隐藏数据或可能会有以前的文件系统的数据
    存在门
    提示：为了确定是否存在毒松弛空间。可以用璃盛尊敷减击2_号蔟曲南区她艘，然后用逗十
    I：
    差除以每蕞扇区敷，如景有余敷剥说明并在卷松弛空阐，即：
    （  区总缸一  2号簇的扇蓬地址），每簇麻区敷

文件系统结尾和卷结胜间也有可能被人为地制造松弛空间，用于臆臧数据。可以比
较文件系统的扇区数和引导扇区中绗出的扇区数咀确定是否宵卷松弛空间b注意时
于某些人来浇，制造卷栏弛空问是件很容易的事f因为只需要修改引导扇区中的扇
区总数值就可以矿争
Microso;ft Windows操作系统并小将内存松弛空村的非零内容写八到磁盘松弛宅间
中6所以由Windio ws分配的文件的屋后一个壤的朱使用扁区中可能会包古有删除
数据。
@注意i松弛空闻蔗否存在敷据取决于不同的操作系统。
7。时间值
》  对于FAT文件系统，一十对墩证人员的工作非常有利的方面是，时阿值并不随时区
    的变化而改变，所以休一≮需要担心自己的分析系统故鳖在了哪个时区曲而且也不需
    要根据所m处的月份而计算是番需要加减1个小时。
》  另外需要考虑割的是不要严格要求培后访问时间和建寇日期厦时I嘲的合理性t甚至
    它们可以仝为0 9与大多数文件系缆的时间一样，一个空件的时间值很容易就可以
    被改变。
    {提示tMicmsoft吏档中提到，如果应用程序无法读取一十盘件，可以将它的最后访问时同谩
    l
    置为打开它之前的时间檀采解决辱凰为可能套有附加的应用程序县韵敷据时时间数据进行确
    认t而Microso蠹平台对时间憧酌更新并幂一致雌
》  Windows爿哿鳆后写入时间设置为数据内容本身在本地系统内发生改变的蛙后时间睁
    持91文件会使新史件的建立时间对应于拷最动作发生时的时间值。盛盾、写入时间则
    沿用源文件的时间值d这些改变都是非常普遍的变动f不足以作为篡改的标志母最
    后访间时间只精确到口期，田此它对推断一个系统中的事件起不到多少作用曲
8+  坏蘸标记
    对刚打表中的坏壤杯。Ⅺ脚该加以注意，因为一般悄祝下．。硬盘术身会在系统牧现缺陷前
先发娥缺陷扇区并儆相应的处理（软盘需要系统发域映陷并对．其进行标记）t操作系统无法嚣
到它们中Windows磁盘检测工具并不验。证被标记为坏痢区的单元是番真正商缺陷口这种特性
有可能被利用来人为地标池坏扇匿并在其中记录敏感数据口
    摄示：Wmdows采些脏拳的格式化审夺在时主件录…境重新格式但对奇奸以前椭己曲艇陷戕态
    J    i
    的藏进行保护。眦避免对其进行谴用．