Одной из первых задач при анализе файловой системы FAT должна стать идентификация трех физических областей. Зарезервированная область начинается в секторе 0 файловой системы, а ее размер указан в загрузочном секторе. В FAT12/16 она обычно занимает всего 1 сектор, а в FAT32 для нее резервируются несколько секторов.

Область FAT содержит одну или несколько структур FAT и начинается в секторе, следующем за зарезервированной областью. Ее размер вычисляется умножением количества структур FAT на размер одной структуры; оба значения хранятся в загрузочном секторе.

В области данных находятся кластеры с содержимым файлов и каталогов; она начинается в секторе, следующем за областью FAT. Размер области данных вычисляется как разность адреса начального сектора области данных из общего количества секторов в файловой системе, указанного в загрузочном секторе. Область данных разделена на кластеры, а количество секторов в кластере указывается в загрузочном секторе.

Структура области данных в FAT12/16 и FAT32 несколько различается. В FAT 12/16 начало области данных зарезервировано для корневого каталога, а в FAT32 корневой каталог может находиться в произвольном месте области данных (хотя обычно он все же находится в начале). Динамический размер и местонахождение корневого каталога позволяют FAT32 адаптироваться к появлению поврежденных секторов в начале области данных и увеличивать размер каталога до необходимого размера. Корневой каталог FAT 12/16 обладает фиксированным размером, заданным в загрузочном секторе. Начальный адрес корневого каталога FAT32 хранится в загрузочном секторе, а его размер определяется по структуре FAT. На рис.9.3 показаны разные поля загрузочного сектора, используемые для определения структуры файловых систем FAT12/16 и FAT32.

Рис. 9.3. Структура файловой системы FAT и данные загрузочного сектора, используемые для вычисления начальных адресов и размеров

Категория файловой системы | Криминалистический анализ файловых систем | Вспомогательные данные загрузочного сектора


Криминалистический анализ файловых систем



Новости за месяц

  • Март
    2020
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс