《数据重现:文件系统原理精解与数据恢复最佳实践》内容精选
《数据重现:文件系统原理精解与数据恢复最佳实践》即将由清华大学出版社出版,在此建个专帖,陆续摘部分内容与大家分享,版主手下留情,别当广告帖删了,多谢!内容简介
本书是国内第一本全面介绍Windows及非Windows文件系统的数据恢复技术书籍,不仅涵盖面广,内容也达到了足够深度。
本书不仅对常见的DOS分区体系及Windows的FAT文件系统系列、NTFS文件系统进行了详细介绍,更涵盖了苹果机分区、BSD分区、SPRC平台的Sun Solaris分区、GPT分区等分区方式,以及Linux的Ext2/Ext3、Unix的UFS1/UFS2、MAC的HFS+等文件系统布局及详细数据结构的讲解,多数资料的详细程度是目前绝无仅有的。同时对常见RAID类型及包括HP内外双循环、RAID1E、RAID6及RAID DP在内的异种或新型RAID类型进行了详细分析和介绍。
另外,本书不仅注重内容的深度及含金量,还兼顾了初学者刚接触数据恢复实际工作时无从下手的感觉,从数据恢复前的准备到实际恢复工作的进行,从理论分析到数据恢复软件的使用,一步步带领读者踏入数据恢复的殿堂。
本书适合文件系统研究人员、数据恢复从业人员,数据恢复教学人员,数据恢复编程人员,电子取证工作者,数据安全研究人员,系统管理员及一切数据安全存储与灾难恢复爱好者。 目录
第1章 基础知识
1.1 硬盘基础知识
1.1.1 硬盘结构
1.1.2 硬盘接口
1.1.3 磁道、扇区、柱面
1.1.4 硬盘的启动过程
1.1.5 硬盘的性能指标
1.1.6 寻址方式
1.2 计算机基础知识
1.2.1 基本概念
1.2.2 计算机的启动过程
1.3 数的基础知识
1.3.1 数制
1.3.2 数制间的转换
1.3.3 取整与取余运算
1.3.4 数的存储格式
1.4工具软件简介
1.4.1 虚拟磁盘软件InsPro Disk
1.4.2十六进制编辑软件Winhex
1.4.3 硬盘检测软件MHDD
第2章 分区
2.1 概述
2.1.1 分区与卷
2.1.2 UNIX下卷的使用
2.1.3 扇区地址
2.1.4根据合理性判断分区信息的正确性
2.1.5 数据恢复及电子取证
2.2DOS分区
2.2.1 概述
2.2.2 主引导记录扇区MBR
2.2.3 扩展引导记录扇区EBR
2.2.3 数据恢复及电子取证
2.3Apple分区
2.3.1 概述
2.3.2. Apple磁盘布局
2.3.3 分区表项数据结构
2.3.4数据恢复及电子取证
2.4BSD分区
2.4.1概述
2.4.2FreeBSD分区
2.4.3NetBSD和OpenBSD分区
2.4.4磁盘标签数据结构
2.4.5磁盘标签实例分析
2.4.6总结
2.5Sun Solaris分区
2.5.1概述
2.5.2Sparc平台下的Sun Solaris分区
2.5.3i386平台下的Sun Solaris分区
2.5.4总结
2.6GPT分区
2.6.1概述
2.6.2GPT磁盘总体布局
2.6.3数据结构
2.6.4总结
2.7移动介质分区
第3章 FAT文件系统
3.1 文件系统总论
3.2FAT文件系统概述
3.3FAT文件系统整体布局
3.4FAT32的保留区
3.4.1 引导扇区
3.4.2引导代码
3.4.3FSINFO信息扇区
3.5FAT32的FAT表
3.5.1FAT表概述
3.5.2FAT表特性
3.5.3FAT表的使用
3.5.4其他
3.6FAT32的数据区
3.6.1根目录
3.6.2子目录
3.6.3目录项
3.6.3.1短文件名目录项
3.6.3.2长文件名目录项
3.6.3.3 “.”目录项和“..”目录项
3.6.3.4卷标目录项
3.6.3.5目录项中时间值的更新
3.7FAT12/16文件系统
3.7.1FAT12/16文件系统概述
3.7.2引导扇区
3.7.3FAT表
3.7.4根目录与目录项
3.8分配策略
3.8.1簇的分配策略
3.8.2目录项的分配策略
3.9文件的建立与删除
3.10总结
3.10.1数据恢复分析
3.10.2取证分析
第4章 NTFS文件系统
4.1NTFS概述
4.1.1概述
4.1.2 基本概念
4.2NTFS文件系统整体布局
4.3引导扇区
4.4主文件表MFT
4.4.1MFT项概述
4.4.2Windows 2000的MFT项
4.4.3Windows XP的MFT项
4.5 MFT属性
4.5.1属性的结构
4.5.1.1属性头
4.5.1.2属性内容
4.5.2 常规属性类型
4.5.2.1标准信息属性
4.5.2.2文件名属性
4.5.2.3数据属性
4.5.2.4属性列表属性
4.5.2.5对象ID属性
4.5.2.6重解析点属性
4.5.2.7索引根属性
4.5.2.8索引分配属性
4.5.2.9位图属性
4.5.2.10 安全属性
4.5.2.11 安全描述符属性
4.5.2.12 卷名属性
4.5.2.13 卷信息属性
4.5.3 其他属性
4.6 文件系统元文件
4.6.1$MFT文件
4.6.2$MFTMirr文件
4.6.3$LogFile文件
4.6.4$Volume文件
4.6.5$AttrDef文件
4.6.6$Root文件
4.6.7$Bitmap文件
4.6.8$Boot文件
4.6.9$Secure文件
4.6.10$UsnJrnl文件
4.6.11$Quota文件
4.6.12$ObjId文件
4.7 分配策略
4.7.1 簇空间分配策略
4.7.2MFT项分配策略
4.7.3属性分配策略
4.8 时间值的更新
4.9 文件的建立与删除
4.9.1 建立文件
4.9.2 删除文件
4.10 总结
4.10.1 分析注意事项
4.10.2 数据恢复与取证分析
第5章 EXTX文件系统
5.1 ExtX文件系统概述
5.2ExtX文件系统整体布局
5.3 超级块
5.3.1数据结构
5.3.2 超级块实例分析
5.4 块组描述符表和块组描述符
5.4.1 块组描述符数据结构
5.4.2块组描述符实例分析
5.5 块位图
5.5.1. 块位图的工作方式
5.5.2. 块位图实例分析
5.6 i-节点位图
5.6.1i-节点位图实例分析
5.6.2定位一个i-节点的位图
5.7 i-节点表与i-节点
5.7.1 i-节点数据结构
5.7.2i-节点实例分析
5.7.3i-节点的属性
5.7.4i-节点中时间值的更新
5.8 扩展属性
5.8.1 扩展属性的结构
5.8.2 扩展属性实例分析
5.9 目录项
5.9.1 目录项数据结构
5.9.2 目录项的特性
5.9.3目录项实例分析
5.10 链接和挂载点
5.11 Hash树
5.11.1 概述
5.11.2 数据结构
5.12 文件系统日志
5.12.1概述
5.12.2数据结构
5.12.2.1标准头结构
5.12.2.2日志超级块
5.12.2.3日志描述符块
5.12.2.4日志提交块
5.12.3 实例分析
5.13分配策略
5.13.1 块的分配策略
5.13.2 i-节点分配策略
5.13.3 文件名空间分配策略
5.14 文件的建立与删除
5.14.1 建立文件
5.14.2 删除文件
5.15 总结
5.15.1 分析注意事项
5.15.2 数据恢复与取证分析
第6章 UFS文件系统
6.1UFS文件系统概述
6.2UFS文件系统整体布局
6.3超级块
6.3.1概述
6.3.2数据结构
6.3.2.1UFS1超级块数据结构
6.3.2.2UFS2超级块数据结构
6.4 柱面组摘要
6.5柱面组描述符
6.5.1 概述
6.5.2 数据结构
6.5.3 位图
6.6引导代码
6.7i-节点
6.7.1UFS1的i-节点
6.7.2UFS2的i-节点
6.8目录项
6.8.1数据结构
6.8.2实例分析
6.9分配策略
6.9.1 存储空间分配策略
6.9.2i-节点分配策略
6.9.3目录项分配策略
6.10文件的建立与删除
6.10.1建立文件
6.10.2删除文件
6.11 总结
6.11.1分析注意事项
6.11.2 数据恢复与取证分析
第7章 HFS+文件系统
7.1HFS封装
7.1.1HFS卷主目录块结构
7.1.2HFS卷主目录块实例分析
7.2 概述
7.2.1HFS+的改进
7.2.2基本概念
7.2.3主要数据结构类型
7.2.3HFS+特性
7.3HFS+文件系统整体布局
7.4卷头
7.4.1数据结构
7.4.2实例分析
7.5节点
7.5.1节点的种类
7.5.2节点的基本结构
7.5.3头节点
7.5.3.1 头节点中的节点描述符
7.5.3.2 头节点中的头档案
7.5.3.3 头节点中的保留部分
7.5.3.4 头节点中的档案起始偏移量列表
7.5.3.5 头节点中的位图档案
7.5.4图节点
7.5.5索引节点
7.5.6叶节点
7.5.7节点的使用
7.5.8HFS+节点与HFS节点的区别
7.6目录文件
7.6.1目录文件中档案项的key部分
7.6.2目录文件中档案项的数据部分
7.6.2.1 文件夹档案项的数据部分
7.6.2.2 文件档案项的数据部分
7.6.2.3 链接档案项的数据部分
7.7域溢出文件
7.7.1 域溢出文件中档案项的key部分
7.7.2 域溢出文件中档案项的数据部分
7.7.3 域溢出文件节点实例分析
7.7.4 域溢出文件的使用
7.8坏块文件
7.9分配文件
7.10 属性文件
7.10.1 叉数据属性
7.10.2 域属性
第8章多磁盘卷
8.1RAID
8.1.1RAID级别简介
8.1.2RAID中的基本概念
8.1.3RAID0阵列原理
8.1.4RAID1阵列原理
8.1.5RAID4阵列原理
8.1.6RAID5阵列原理
8.1.7RAID6阵列原理
8.1.8RAID1E阵列原理
8.1.9RAID DP阵列原理
8.1.10RAID的实现
8.1.11数据恢复及取证注意事项
8.2磁盘跨区
8.2.1概述
8.2.2Linux MD
8.2.3Linux LVM
8.2.4Microsoft Windows LDM
8.2.5总结
第9章 数据恢复前的准备
9.1 写在数据恢复之前的话
9.2检测磁盘
9.2.1 用MHDD检测磁盘
9.2.2 用MHDD清除主引导扇区“55AA”标志
9.2.3 用PC-3000检测磁盘
9.3 坏道处理
9.4 镜象磁盘
9.4.1 什么是“镜象磁盘”
9.4.2 什么情况下需要对磁盘进行镜象
9.4.3 用Media Tools镜象磁盘
9.4.4 用HDD Clone镜象磁盘
9.4.5 用Winhex镜象磁盘
9.5 分区及格式化对磁盘的写入
9.5.1 Winhex“比较”功能的使用
9.5.2 分区过程对磁盘的写入
9.5.3 格式化过程对磁盘的写入
第10章 基本数据恢复
10.1 分区恢复
10.1.1 主分区表损坏恢复
10.1.1.1 手工恢复
10.1.1.2 使用Winhex恢复
10.1.2重新分区未格式化
10.1.3分区布局改变并进行了格式化
10.1.4使用Finaldata快速寻找分区
10.2DBR损坏后的恢复
10.2.1FAT文件系统DBR损坏后的恢复
10.2.2NTFS文件系统DBR损坏后的恢复
10.3格式化恢复
10.3.1原FAT32格式化成FAT32
10.3.2原FAT32格式化成NTFS
10.3.3原NTFS格式化成NTFS
10.3.4原NTFS格式化成FAT32
10.4 删除恢复
10.4.1FAT16文件系统下的删除
10.4.2FAT32文件系统下的删除
10.4.3NTFS文件系统下的删除
10.5 数据恢复软件的使用
10.5.1使用R-Studio恢复数据
10.5.2使用Recover My Files恢复数据
第11章RAID数据恢复
11.1概述
11.2FAT表在阵列恢复中的作用
11.2.1 利用FAT表计算块大小
11.2.2利用FAT表判断数据块顺序
11.2.3利用FAT表寻找校验块
11.3MFT在阵列恢复中的作用
11.3.1 利用MFT记录编号判断块大小及数据块顺序
11.3.2 利用MFT寻找校验块
11.4RAID0阵列恢复
11.4.1 参数分析
11.4.2 使用Winhex重组数据
11.4.3 使用R-Studio重组数据
11.5RAID5阵列恢复
11.5.1 循环方向的判断
11.5.2 同步与异步的判断
11.5.3 计算各个成员盘第一个校验块的位置
11.5.4 利用FAT恢复演示
11.5.5 利用MFT恢复演示
11.6HP内外双循环阵列恢复
11.7RAID1E阵列恢复 前言
随着信息化技术的飞速发展和无纸化办公时代的到来,计算机正在我们的工作和生活中扮演着日益重要的角色。越来越多的企业、商家、政府机关和个人通过计算机来获取和处理信息,同时将自己最重要的信息以数据文件的形式保存在计算机硬盘或其他各种存储介质中。一旦这些重要数据因种种原因丢失,将会给个人或企业造成重大的损失。因此,在数据遭遇丢失后,能否很好地保护数据现场并找回丢失的数据就显得尤为重要。于是,数据恢复,这一在国外已发展二十余年,在国内却鲜为人知的名词和技术开始被国人接触和涉足。但数据恢复技术却一直给人一种神秘莫测的感觉,也使得数据恢复人员在人们的心目中超出了一般计算机高手的境界。
数据恢复,就是将由于硬件损坏、误分区、误格式化、误删除、病毒破坏或其它原因导致的丢失、不可正常访问的数据恢复至正常状态的过程。数据恢复可以分为“硬恢复”和“软恢复”两种。“硬恢复”是指由于存储介质物理上出现问题导致的数据无法读取的恢复。 “软恢复”则是指因逻辑故障导致的数据丢失的恢复,存储介质不存在物理的故障。硬恢复需要对存储介质的结构及工作原理相当了解,软恢复则需要对数据在存储介质内的管理方式――分区及文件系统有足够的认知。
曾有业内人士将数据恢复(单指“软恢复”)分为三个层次:
1、 软件使用层
没有存储方面的理论基础,只是利用已有的恢复软件进行恢复操作,恢复结果由软件决定。
2、 理论知识与软件结合层
具有深厚的理论功底,对所要进行恢复的文件系统环境及文件结构有相当的了解,熟悉恢复软件各种参数设置的理论含义,可以针对不同的数据丢失情况进行详细分析并制定切实有效的恢复方案。在纯软件操作无法很好地完成恢复工作时,能够手工修改部分参数为软件创造一个良好的恢复环境,从而最大限度地挽救数据。
3、 数据恢复的“自由王国”
具备第二层次的基础,同时具有良好的编程能力,在现有的数据恢复软件无法胜任恢复要求的情况下,随时可以自行编写实用的程序,以弥补现有软件的不足,最大程度、最快速度地恢复数据。
进入第一个层次很容易,这也是最危险的层次。因为数据恢复的成功率一是取决于数据丢失灾难的严重程度,二是取决于灾难现场的保护程度。在实际工作中发现,很多数据无法恢复的情况是由于数据丢失现场没有得到很好的保护,甚至是由于恢复人员不懂得数据存储原理,产生错误操作导致现场被二次破坏造成的。
一个好的数据恢复人员必须进入第二层次,因为挽救丢失的数据需要在保护好现场的前提下从底层恢复数据,这就要求恢复人员必须对分区结构、文件系统结构、文件系统对数据的管理方式及数据存储时的分配策略有足够的了解。但文件系统结构及工作方式往往是其核心技术而不被公开,导致相关的资料比较匮乏。尤其在服务器领域应用较为广泛的非Windows类文件系统,其技术内幕更是难窥其貌。同时,数据恢复又是一门理论与实践相结合的技术,尤其RAID的分析与重组,更需要对磁盘布局及文件系统结构有足够的了解并能够对其进行灵活运用,但技术资料的匮乏却使得很多数据恢复技术需求人员无法获得更多的理论知识。
本书将为读者揭开众多数据恢复技术底层知识的神秘面纱。通过本书的学习,您不但可以直接进入第二个层次,而且,如果您具有编程基础,还可从中获取更多的数据恢复编程思路。
读者对象
文件系统研究人员、数据恢复从业人员,数据恢复教学人员,数据恢复编程人员,电子取证工作者,数据安全研究人员,系统管理员及一切数据安全存储与灾难恢复爱好者。
本书特点
本书是国内第一本全面介绍Windows及非Windows文件系统的书籍,不仅涵盖面广,内容也达到了足够深度。
本书不仅对常见的DOS分区体系及Windows的FAT文件系统系列、NTFS文件系统进行了详细介绍,更涵盖了苹果机分区、BSD分区、SPRC平台的Sun Solaris分区、GPT分区等分区方式,以及Linux的Ext2/Ext3、Unix的UFS1/UFS2、MAC的HFS+等文件系统布局及详细数据结构的讲解,多数资料的详细程度是目前绝无仅有的。同时对常见RAID类型及包括HP内外双循环、RAID1E、RAID6及RAID DP在内的异种或新型RAID类型进行了详细分析和介绍。
而且,本书在进行文字讲解的同时配以详细图示,将枯燥抽象的理论与实际内容相结合,便于读者通过实际图示进行阅读和理解。同时,在理论讲解的基础上,将工作中的典型实际案例进行总结并浓缩成实验对数据灾难发生时的破坏程度、系统的分配策略及数据的可恢复性进行分析,使读者能够在实际分析的过程中加深对理论的理解,将理论知识与实际数据恢复操作联系起来,从中获取数据恢复思路并将其拓展。
另外,本书不仅注重内容的深度及含金量,还兼顾了初学者刚接触数据恢复实际工作时无从下手的感觉,从数据恢复前的准备到实际恢复工作的进行,从理论分析到数据恢复软件的使用,一步步带领读者踏入数据恢复的殿堂。
最后,通过对RAID的介绍与实例分析,使读者在分析RAID的过程中将文件系统知识与RAID知识相结合,不仅可以进一步熟悉文件系统,而且可以达到能够利用文件系统进行RAID分析与数据重组的技术水平。同时,还在随书光盘中为读者准备了大量的RAID实例,使读者可以通过大量的实际练习加深理解,提高技术。
主要内容
本书共分为11章:
1. 第1章为基础知识,介绍了学习数据恢复需要掌握的一些基础知识,并对学习过程需要用到的几个工具软件进行了简要的介绍。
2. 第2章详细讲解DOS分区、Apple分区、BSD分区、Sun Solaris分区及GPT分区。
3. 第3章~第7章详细讲解FAT、NTFS、Ext2/3、UFS1/2、HFS+等文件系统。
4. 第8章讲解多磁盘卷,包括RAID和跨区卷。
5. 第9章~第11章为数据恢复实际分析与讲解。其中:
1) 第9章介绍了恢复前应该进行的准备工作,对分区、格式化等操作对数据的破坏性进行了详细的分析。
2) 第10章对误分区、误格式化、误删除等的可恢复性进行详细分析,并对手工恢复及软件恢复进行了详细的讲解。
3) 第11章详细讲解了RAID的分析思路及恢复方法。
光盘说明
为了便于读者理解和消化理论,本书打破了以往同类书籍单纯书面介绍分区及文件系统的方法,将讲解过程中使用的磁盘模型附在随书光盘中,使读者不仅可以直观地观察到书中所讲到的实际操作结果,还可以将模型复制到本地磁盘中跟随书中的讲解进行实际操作。
更为重要的是,为了使读者有更多机会练习RAID分析与恢复技术,随书光盘中附送了近30个精心制作的RAID模型,不仅包含了RAID0、RAID5、RAID 1E,更包含了HP内外双循环阵列;块大小从8个扇区至512个扇区,盘数最多的阵列模型达到13块磁盘。各种阵列模型为广大读者创造了丰富的实际练习环境。
致谢
感谢北京信息科技大学数据恢复研究所刘伟老师对本书的大力支持。
感谢王鹏等朋友对本书的帮助。 2.6 GPT分区
2.6.1 概述
GPT,即GUID Partition Table(GUID 分区表,GPT)的简写形式,它是Windows Server 2003 中的一种新型磁盘架构,是一种由基于 Itanium 计算机中的可扩展固件接口 (EFI*) 使用的磁盘分区架构。这种64位的Itanium 版Windows系统采用的磁盘布局架构,与传统的32位磁盘完全不同。
与主启动记录 (MBR) 分区方法相比,GPT 具有更多的优点:
它允许每个磁盘有多达 128 个分区(MBR磁盘最多只能有4个主分区,或者3个主分区加一个扩展分区和无限制的逻辑驱动器)。
支持高达 18 千兆兆字节(EB,exabytes)的卷大小(MBR磁盘支持的最大卷为2TB)。
允许将主磁盘分区表和备份磁盘分区表用于冗余。
支持唯一的磁盘和分区 ID (GUID)。
性能更加稳定。
。。。
2.6.2 GPT磁盘总体布局
可以在运行带有Service Pack 1 (SP1) 的 Windows Server 2003的磁盘管理中进行MBR与GPT磁盘的相互转换,然后进行相应的分区操作。也可以使用 DiskPart.exe 命令行实用程序或 EFI 固件实用程序 Diskpart.efi 在基本 GPT 磁盘上创建分区。
一个转换为GPT并建立分区后的磁盘,总体布局如图2.37所示。
(是不是回帖里没办法加图?) 好书一本!!如果想在回帖中加入图片,你要点上面的“发表新回复” 看目录是很强大的一本书,不知道有没有卖的! 网上没搜到,又仔细看了下贴,还没出版呀! xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx 什么时候发行啊 期待 收藏了,可惜刚买了一本《数据恢复方法及案例分析》。
不知道各位大侠看了目录以后觉得这两本书哪本更好?