裔在分匿1 Hi聋太多教情况下这是小裔鲤的t但在MAC操作系统下，HFS+卷通常会被封装
在一·个HFS卷中。桃磬出现峙幽2.10胼示柑似的情况日
图2.10  包含在另一个分区中的丹区
    龌示：墓而言之t时舟蓬进行分析需要戚了解置粹晕蜿藩基础，井禳据囊脬情况进行分析．
百l薹后壤曲幸节牛，我们套详细夼始有美分厦菔支件系统的知识。
2。1。5  数据恢复厦电子取证
    在数据恢复和电子取证的过程中，经常需要对卷进行分析白往分区表结构正常自勺情况下，
可以使用自动分析软件：埘整个磁盘或磁盘的镜像进行分析口但宵删。候，分区表会遭到破坏，
或暂文件系统出现问题节自动静析软件无法正确地解释出数据内容，这时裁需要瘦们进行手
工分析，。
    另外，我们不只需要对现在存在的分区结构及文件系统进行仔析。还需要对磁盘的整个
佰局结构进行详细分析t咀寻找m所有曾经町能存在的分匿厘文件系统q因为我们所需要的
数据也许并不是南观有的分区艘嶷件系统进行管理的，而是襁霄可能存盘于咀前的分隧带局
腿．文件系统中哆惭且。并不是磁盘扛的所有扇区都披分配精分区和文件系统健州。而芷会宥
糟F数鼍的保留度隐藏扇隧口在这部分扇区中，很宵刈’能保留有存在于以阿的文件系统上的
敦据-也有口r能被有意用于胎臧一些敏感的数据内容。
    在分析的过程中，一般是首先根据某些特征找刘分匿轰，冉根据分区表中提供的分匡起
始位置~分区太小等信息确定一个卷所在的缸簧口然后根据卷内的管理信息确定其文件系统
类型、管理肖式等，进而提取出有用的数据田如果丹区表已鲠：被醯棒警就舞首先根拱磁盘。卜
的文件系统信息或其他艘留分区信息熏建分医表t然后再进行后缕的工作。
    比较麻烦的魁。如果卷是由磁盘上的多个不连续构空间组成，甚至是由，多个磁盘- l-的多
个不连续空间组成，，则需’要仔细分析这些空间之删的相互关系r舒析它甜墓是以怎样的布局结
构存在的t进而将其重新组台难一起，形成一个完整的卷结构，以便摄取‘瑚{有用的数据日比
鞍麟型的是RAID（即阵列），因为小同fl白厂商会采用不同的方式对阵捌成员盘问的关系进行描
述，丽这种描述方法通常足保密的。所以很多时候我们币梧不根擀散布于并个磁盘二也的立件
系缝的一些特征去分析、  “猜测’’并验i正各个成赫盘在阵列巾的布局·燕系蕾运载蒋簧覆仃1耐
文件系统有个全'鲥的了解q
f 40 I