使用winhex对fat16文件系统分析
“FAT16”是“File Allocation Table,16-bit”的英文縮寫,意思是“文件分配表,16位” 。FAT16文件系統是從微軟的DOS 3.0系統開始使用的,它能夠支持大于16MB小于2GB的分區,Windows 2000以上操作系統可以創建4GB的FAT16分區,但與傳統的FAT16不兼容。
FAT16文件系統由DBR、FAT1、FAT2、FDT、數據區五個部分組成,其結構如圖所示。
DBR分析
DBR:Dos Boot Record。
DBR包括:跳轉指令、OEM參數、BPB(BIOS Parameter Block,BIOS參數塊)、引導程序、結束標志(55AA)。
FAT16文件系統DBR大小:512字節。
跳轉指令3字節。
OEM參數8字節。
BPB共51字節。
引導程序448字節。
結束標志2字節。
在winhex中,依次點擊【查看】-【模板管理器】-【Boot Sector FAT】-【應用】:
BPB分析
重點字段:
FAT16文件系統跳轉指令固定為EB 3C 90,通過該跳轉指令可知為FAT16文件系統(當然該字段也可能被篡)。EB 3C為跳轉指令,從3C的下一個位置開始跳轉3C個字節數。因此3C也是從90到BPB結尾的字節個數。
通過上述數據,分析如下:
則可通過winhex跳轉到相應扇區,進行數據分析。數據區在根目錄區后面,即數據區從56號扇區開始。
同時winhex上也自動計算出相關區域扇區號:
與手動計算一致。
引導扇區即為DBR。System Volume Information就是數據區的第一個文件夾。
總結
以上是生活随笔為你收集整理的使用winhex对fat16文件系统分析的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: ext4 ntfs mysql_文件系统
- 下一篇: 信息系统高级软考(备考)