FAT (File Allocation Table) - одна из простейших файловых систем, встречающихся во многих операционных системах. FAT является основной файловой системой операционных систем Microsoft DOS и Windows 9х, но в NT, 2000 и ХР по умолчанию используется система NTFS (New Technologies File System), которая будет рассмотрена позднее. FAT поддерживается всеми версиями Windows и многими системами UNIX, и экспертам еще придется иметь с ней дело в течение нескольких лет (несмотря на то, что FAT уже не является стандартной файловой системой настольных систем Windows). FAT часто встречается в картах памяти цифровых фотоаппаратов и «брелоковых дисках» USB. Многие пользователи знакомы с основными концепциями FAT, но не знакомы с основными «тайниками» для скрытия данных, проблемами адресации и другими нетривиальными аспектами. В этой главе будут представлены общие концепции и методы анализа FAT на основе модели данных с пятью категориями. Низкоуровневые структуры данных будут описаны в главе 10. Вы можете читать эти главы параллельно, одну за другой или пропустить описания структур данных.

Введение

Одна из причин, по которой файловая система FAT считается простой, состоит в том, что количество структур данных в ней относительно невелико. К сожалению, это также означает, что за прошедшие годы в нее был внесен ряд изменений для поддержки новых возможностей (хотя эти изменения и не столь запутанны, как в случае с разделами DOS). Файловая система FAT не лучшим образом укладывается в модель с пятью категориями, поэтому некоторые разделы выглядят искусственно (более того, описание FAT начинает выглядеть сложнее, чем на самом деле). В FAT существует две важные структуры данных (таблица размещения файлов FAT и записи каталога), которые выполняют множество функций и соответствуют сразу нескольким категориям модели. Отдельные компоненты таких структур приходится рассматривать в разных разделах. Более подробные описания приводятся в следующей главе. И все же важно рассмотреть файловую систему FAT с применением категорий, чтобы ее было проще сравнивать с более совершенными файловыми системами, следующими модели. FAT не содержит никаких данных, относящихся к категории прикладных.

Основная концепция файловой системы FAT заключается в том, что каждому файлу и каталогу выделяется структура данных, называемая записью каталога. В этой структуре хранится имя файла, его размер, начальный адрес содержимого файла и другие метаданные. Содержимое файлов и каталогов хранится в блоках данных, называемых кластерами. Если файлу или каталогу выделяется более одного кластера, остальные кластеры находятся при помощи структуры данных, называемой FAT. Структура FAT используется как для идентификации следующих кластеров в файлах, так и для определения состояния выделения кластеров. Таким образом, она задействована как в категории содержимого, так и в категории метаданных. Существует три версии FAT: FAT12, FAT16 и FAT32. Они отличаются друг от друга прежде всего размером записей в структуре FAT. Мы изучим связи между структурами данных более подробно, а их общая схема показана на рис. 9.1.

Рис. 9.1. Отношения между записями каталогов, кластерами и FAT

Файловая система FAT делится на три физические области (рис. 9.2). Первая область называется зарезервированной; в ней хранятся данные из категории файловой системы. В FAT 12 и FAT 16 зарезервированная область занимает всего 1 сектор, но формально ее размер определяется в загрузочном секторе. Вторая область - область FAT - содержит основные и резервные структуры FAT. Она начинается в секторе, следующем за зарезервированной областью, а ее размер определяется количеством и размером структур FAT. Третья область - область данных - содержит кластеры, выделяемые для хранения файлов и содержимого каталогов.

Рис. 9.2. Физическая структура файловой системы FAT

Конкретные файловые системы | Криминалистический анализ файловых систем | Категория файловой системы


Криминалистический анализ файловых систем



Новости за месяц

  • Март
    2020
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс