FAT文件系统结构简述及反删除原理

6bar · 发表于 2009-4-20 21:25:52

FAT文件系统结构简述及反删除原理
FAT~文件系统结构简述及反删除原理

ＦＡＴ（文件分配表）
ＦＤＴ（文件目录表）有的也称为ＤＩＲ（根目录表）

ＦＡＴ是与ＦＤＴ合作完成磁盘资源管理的，ＦＡＴ在ＤＢＲ（DOS Boot Record）之后，ＤＢＲ中包括一个引导程序和一个被称为BPB（BIOS Parameter Block）的本分区参数记录表。BPB参数块记录着本分区的起始扇区、结束扇区、文件存储格式、硬盘介质描述符、根目录大小、FAT个数、簇的大小等重要参数。

ＦＡＴ中有若干项，在ＦＡＴ１６（16 bit=两字节）中每项占两字节，ＦＡＴ３２中每项占４字节，每项代表磁盘上的一个族，每一项的值是某个单向链中的一个指针，如ＦＡＴ中某项值为１００，则表示在磁盘第１００族还有数据，在读该族数据后系统会再去读取ＦＡＴ第１００项的值，如果不为表示结束的0xFFFF或0xFFFFFFFF则读该项对应的族数据，循着链表一直读到结束为止。
一般每个分区有两个相同的ＦＡＴ表，在第二个ＦＡＴ表后是ＦＤＴ表，它的大小是固定的，一般只有一个族，这也是根目录下项数有限的原因，ＦＤＴ每项占３２字节，如果族大小为４Ｋ，则最多4096/32=128项，每项内容有文件名、起始ＦＡＴ项指针、类型（是文件还是目录）、创建时间、修改时间、访问时间等（好像没记完），最重要的就是指向ＦＡＴ的指针，用它才可以读出文件的内容。

ＦＤＴ后就是以族为分配单位的ＤＡＴＡ区了，那怕文件只有一字节它也会占一个ＦＡＴ项，即一个族。

应该对ＦＡＴ的分配方式有个了解了吧，顺便讲讲反删除的原理

在ＦＤＴ中，删除一个文件时，系统只是简单地将ＦＤＴ表项中的文件名的第一个字节改为00，而ＦＡＴ指针等数据都还在，这时恢复就只需要将第一字节改来不为00就可以了，这就是为什么恢复软件会让你输入文件名的第一个字。
但并不一定恢复成功，因为当文件标示删除后，它的所有数据都不受操作系统保护了，有可能造成以下问题：

１、ＦＤＴ项文件名第一项为00时表示该项已可重用，则建立新文件时有可能覆盖掉ＦＤＴ数据。
２、ＦＡＴ中有可能被新建立文件数据覆盖。
３、磁盘整理也可能覆盖族里的数据。