4-1 Основи цифрової криміналістики / ЛБ - 01 ДОСЛIДЖЕННЯ ФАЙЛОВОЙ СИСТЕМИ FAT
.docxМіністерство освіти і науки України
Харківський національний університет радіоелектроніки
Факультет Інфокомунікацій .
Кафедра Інфокомунікаційної інженерії імені В.В. Поповського .
ЗВІТ
з лабораторного заняття №1
з дисципліни
Основи цифрової криміналістики
Тема заняття: ДОСЛIДЖЕННЯ ФАЙЛОВОЙ СИСТЕМИ FAT
Харків 2020 р.
МЕТА РОБОТИ
Метою роботи є дослідження файлової системи FAT. Аналіз особливостей файлової системи FAT, при відновленні інформації. Встановлення інформації після швидкого та глибокого форматування та форматування зі зміною розміру кластера.
ХІД ВИКОНАННЯ
Аналіз секторів файлової системи FAT
Рисунок 1 – Форматування накопичувача
На рис. 1 зображено флеш накопичувач який був відформатований у FAT32 з розміром кластеру вказаним за вмовчуванням (4096 Б).
Записати на диск файл розміром більше 100КБ
Рисунок 2 – Аналіз даних на накопичувачі
На рис. 2 зображено, що на флеш накопичувачу э три файлів, та мають розширення .png, .docx, .txt. Також показана інформація, що записана до файлу .txt.
Відкрити диск в Active file Recovery в hex вигляді.
Рисунок 3 – Властивості диска
На рис. 3 показана master boot sector для флеш накопичувача. Використовуючи програму Active@DiskEditor показано, що в розділі знаходиться загальна службова інформація, що зчитується загрузці.
Провести анализ загрузочного сектора.
Рисунок 4 – Службова інформація загрузочного сектора
На рис. 4 показана master boot sector для флеш накопичувача. Використовуючи програму Active@DiskEditor показано, що в розділі FAT32 boot table знаходиться таблиця с записаною інформацією про кластери та сектори. В даному випадку кількість байт на сектор складає 512, кількість секторів в кластері 8, а розмір кластера 4096 байт. Також вказана кількість секторів.
Анализ FAT таблицы.
Рисунок 5 – Дослідження FAT таблиць
На рис. 5 показана інформація FAT1 таблиці в якій можна отримати інформацію, що до кластерів які містять інформацію.
Анализ корневого каталога и записей файлов.
Рисунок 6 – Інформація про файли
На рис. 6 показано інформацію про файли, що містяться на диску. Для файлу вказано, що перший кластер знаходиться на 39 секторі. В програмі можна перейти на сам сектор. Також, враховуючи особливості запису інформації, можна зазначити, що розмір файлу буде округлений вверх, та розмір може мінімум складати 4КБ.
Аналіз інформації, що міститься у файлі через hex редактор.
Для 3 файлів, що знаходяться на носії, враховуючи побудову диску:
PNG розмір становить 135 168, перший кластер 6, перший байт 2099200, останній байт 2234368.
DOCX розмір становить 249856, перший кластер 39, перший байт 2116096, останній байт 2365952.
TXT розмір становить 135168, перший кластер 100, перший байт 2147328, останній байт 2282496.
Рисунок 7 – Інформація файлу
Рисунок 8 – Відновлена інформація
На рис. 8 показано копіювання інформації в HxD HexEditor після зберігання якого вдалось відновити файли.
Відновлення файлів при форматуванні без зміни розміру блоку
Рисунок – 9 Інформація FAT таблиця та кореневої директорії
На рис. 9 показано, що інформація про розташування файлів була видалена. Але самі дані залишились.
Рисунок 10 – Файли після форматування не видалені
На рис. 10 показані дані, скопіювавши котрі в HxD HexEditor їх можна відновити.
Відновлення файлів зі зміною розміру блоку
Рисунок 11 – Зміна блоку при форматуванні
Рисунок 12 – Дані після зміни розміру блоку
На рис. 12 показані дані після змінити розмір блоку. При швидкому форматуванні на менший, знайти відновити данні буде неможливо.
ВИСНОВКИ
Під час проведення лабораторної роботи було досліджено особливості файлової системи FAT, при відновленні інформації. Було проведено аналіз та відновлення інформації на накопичувачі після швидкого та повільного форматування.
Для дослідження властивостей використовувалась файлова система FAT32. У ході виконання роботи я встановив, що дані після швидкого форматування без зміни розміру блока можна відновити, а якщо провести повне форматування, або зміну розміру блока, то неможливо.
Завдання з лабораторної роботи виконано у повному обсязі.