上次對文件系統進行簡單的分析,這次就文件的鏡像功能做一介紹
1、首先鏡像的概念:鏡像就是數據的副本,是原來數據在相同位置上以相同的排列模式生成的拷貝,所以鏡像可以用來還原原始數據,代替原始數據工作,鏡像和原始數據是相互獨立的,還有一種概念就是“壓縮鏡像”但是壓縮鏡像是通過壓縮算法在原來的鏡像上經過壓縮產生。不過可以逆運算。
2、常見的獎項文件格式:
E01---:證據鏡像文件,使一種可壓縮,可還原,可加密,可分割,可動態解釋格式,數據量大,保密程度高;
IMG---:不考慮文件系統和未使用空間,按照扇區或字節逐一復制,生成的鏡像和原始數據不會有絲毫的差異;
3、鏡像文件的克隆,創建好之后設置保存的路徑,空間足夠保存鏡像的大小,可以選擇從扇區范圍選擇鏡像,目的是如果某硬盤出現大量壞扇區,強制復制不安全而且花費時間,所以可以從損壞扇區較少的地方進行鏡像。在鏡像過程中指定一種哈希算法,記錄數據的原始校驗值,鏡像創建備份之后就可以用鏡像恢復文件系統。
4、備份管理器的使用
備份名稱:以.tmp文件結尾的是文件系統操作中產生的最初數據副本, Sector+扇區號這樣的文件名稱表示對磁盤的操作,可以看到之前操作影響了那些磁盤,如下圖我之前沒有由對磁盤進行修改或者備份,就么有記錄。恢復就是用該備份進行數據恢復,恢復的目標就是產生該備份的源對象。檢查就是通過哈希檢查確認該備份沒有被修改過。
5、文件屬性功能:
文件屬性最是熟悉的,只看重點,文件屬性的調查,winhex數據恢復軟件不經可以查看文件屬性還可以修改文件的屬性,winhex數據恢復筆記(一)中我已近就記事本文件屬性做了說明,通過winhex可以做到偽裝文件的大小,文件的創建時間,訪問時間,修改時間,所以啊,好可怕,信息安全中這只是冰山一角,那么我的專業就是網絡警察,
接下來實例演示如何偽裝文件屬性。像其他的文件還可以從文件的數據編輯區中進行修改,首先確定文件的目錄索引項,找到10H和30H屬性,就可以隨便修任何文件改文件的屬性,
6、在Windows中這樣解釋文件的屬性,
借助函數 Windows API函數獲取文件數屬性
bool winapi getattributebyfile(lpcwstr filename){
win32_file_attribute_date.wfad={0};
bool ret=getattributesEx(filename,get_fileex_info-levels::getfileexinfostandard, &wafd);
if(ret){
printf("文件大小%d\n”,wfad.nfilesizelow);
systemtime systime={0};
ret=filetimetosystem(&wfad/ftcreationtime,&systime);
if(ret){
printf("年: %u\n",systime,wyear)
}
}
return ret;
}
7、后一章節將文件的批量處理模式。