數(shù)據(jù)重現(xiàn)：文件系統(tǒng)原理精解與數(shù)據(jù)恢復最佳實踐

定　價：￥69.00

作　者：	馬林編著
出版社：	清華大學出版社
叢編項：
標　簽：	計算機理論

購買這本書可以去

ISBN：	9787302198932	出版時間：	2009-05-01	包裝：	平裝
開本：	16	頁數(shù)：	562	字數(shù)：

內容簡介

　　本書是國內第一本全面介紹Windows及非Windows文件系統(tǒng)的數(shù)據(jù)恢復技術書籍，不僅涵蓋面廣，內容也達到了足夠的深度。為暢銷書《大話存儲》姊妹篇。本書不僅對常見的DOS分區(qū)體系及Windows的FAT文件系統(tǒng)、NTFS文件系統(tǒng)進行了詳細的介紹，更涵蓋了蘋果機分區(qū)、BSD分區(qū)、SPRC平臺的Sun Solaris分區(qū)、GPT分區(qū)等分區(qū)方式，以及Linux的Ext2/Ext3、Unix的UFS1/UFS2、MAC的HFS+等文件系統(tǒng)布局及詳細數(shù)據(jù)結構的講解，多數(shù)資料的詳細程度是目前絕無僅有的。同時對常見RAID類型及包括HP內外雙循環(huán)、RAID 1E、RAID6及RAID DP在內的異種或新型RAID類型進行了詳細的分析和介紹。另外，本書還充分考慮到初學者剛接觸數(shù)據(jù)恢復實際工作時無從下手的感覺，從數(shù)據(jù)恢復前的準備到實際恢復工作的進行，從理論分析到數(shù)據(jù)恢復軟件的使用，一步步帶領讀者踏入數(shù)據(jù)恢復的殿堂。更為重要的是，為了使讀者有接近實戰(zhàn)的機會練習RAID分析與恢復技術，配書光盤（雙DVD）中附送了近30個精心制作的RAID模型，包含了RAID0、RAID5、RAID 1E、HP內外雙循環(huán)陣列等。本書適合文件系統(tǒng)研究人員、數(shù)據(jù)恢復從業(yè)人員、數(shù)據(jù)恢復教學人員、數(shù)據(jù)恢復編程人員、電子取證工作者、數(shù)據(jù)安全研究人員、系統(tǒng)管理員及數(shù)據(jù)安全存儲與災難恢復愛好者閱讀和使用。

作者簡介

　　馬林，天津市電子技術研究所專業(yè)數(shù)據(jù)存儲安全與數(shù)據(jù)災難拯救研究員，首席數(shù)據(jù)恢復專家，天亞數(shù)據(jù)恢復技術總監(jiān)。多年來致力于數(shù)據(jù)存儲與文件系統(tǒng)的研究，時刻跟蹤數(shù)據(jù)恢復技術的發(fā)展方向。受天津市國家保密局指定，為黨政機關、科研院所等機構提供專業(yè)涉密數(shù)據(jù)恢復保障。同時，還將研究成果應用于民用數(shù)據(jù)恢復領域，并在實際工作中積累和總結了大量的實踐經(jīng)驗?，F(xiàn)就職公司為天津市保密局唯一指定官方涉密數(shù)據(jù)恢復單位。

圖書目錄

PART 1 理論篇
第1章數(shù)據(jù)恢復相關基礎 3
1.1 硬盤探秘 4
1.1.1 硬盤結構 4
1.1.2 硬盤接口 7
1.1.3 磁道、扇區(qū)與柱面 10
1.1.4 硬盤的啟動過程 12
1.1.5 硬盤的性能指標 12
1.1.6 尋址方式 13
1.2 計算機運行流程 14
1.2.1 基本概念 14
1.2.2 計算機的啟動過程 15
1.3 “數(shù)”之體驗 17
1.3.1 數(shù)制 17
1.3.2 數(shù)制間的轉換 18
1.3.3 取整與取余運算 19
1.3.4 數(shù)的存儲格式 19
1.4 工具軟件 20
1.4.1 虛擬磁盤軟件InsPro Disk 20
1.4.2 十六進制編輯軟件Winhex 22
1.4.3 硬盤檢測軟件MHDD 29
第2章分區(qū) 33
2.1 概述 34
2.1.1 分區(qū)與卷 34
2.1.2 Unix下卷的使用 36
2.1.3 扇區(qū)地址 37
2.1.4 根據(jù)合理性判斷分區(qū)信息的
正確性 38
2.1.5 數(shù)據(jù)恢復及電子取證 40
2.2 DOS分區(qū) 41
2.2.1 概述 41
2.2.2 主引導記錄扇區(qū)MBR 42
2.2.3 擴展引導記錄扇區(qū)EBR 50
2.2.4 數(shù)據(jù)恢復及電子取證 54
2.3 Apple分區(qū) 56
2.3.1 概述 56
2.3.2 Apple磁盤布局 56
2.3.3 分區(qū)表項數(shù)據(jù)結構 58
2.3.4 數(shù)據(jù)恢復與電子取證 61
2.4 BSD分區(qū) 61
2.4.1 BSD分區(qū)概述 61
2.4.2 Free BSD分區(qū) 63
2.4.3 NetBSD與OpenBSD
分區(qū) 64
2.4.4 磁盤標簽數(shù)據(jù)結構 65
2.4.5 磁盤標簽實例分析 67
2.4.6 總結 72
2.5 Sun Solaris分區(qū) 72
2.5.1 概述 73
2.5.2 Sparc平臺下的Sun Solaris
分區(qū) 74
2.5.3 i386平臺下的Sun Solaris
分區(qū) 78
2.5.4 總結 82
2.6 GPT分區(qū) 82
2.6.1 概述 82
2.6.2 GPT磁盤總體布局 84
2.6.3 數(shù)據(jù)結構 85
2.6.4 總結 90
2.7 移動介質分區(qū) 90
第3章 FAT文件系統(tǒng) 93
3.1 文件系統(tǒng)總論 94
3.2 FAT文件系統(tǒng)概述 99
3.3 FAT文件系統(tǒng)整體布局 100
3.4 FAT32的保留區(qū) 100
3.4.1 引導扇區(qū) 101
3.4.2 引導代碼 106
3.4.3 FSINFO信息扇區(qū) 106
3.5 FAT32的FAT表 108
3.5.1 FAT表概述 108
3.5.2 FAT表的特性 108
3.5.3 FAT表的使用 109
3.5.4 其他 111
3.6 FAT32的數(shù)據(jù)區(qū) 112
3.6.1 根目錄 112
3.6.2 子目錄 115
3.6.3 目錄項 116
3.7 FAT12/16文件系統(tǒng) 128
3.7.1 FAT12/16文件系統(tǒng)概述 128
3.7.2 引導扇區(qū) 128
3.7.3 FAT表 131
3.7.4 根目錄與目錄項 133
3.8 分配策略 133
3.8.1 簇的分配策略 133
3.8.2 目錄項的分配策略 134
3.9 文件的建立與刪除 136
3.10 總結 137
3.10.1 數(shù)據(jù)恢復分析 137
3.10.2 取證分析 140
第4章 NTFS文件系統(tǒng) 145
4.1 NTFS概述 146
4.1.1 概述 146
4.1.2 基本概念 147
4.2 NTFS文件系統(tǒng)總體布局 149
4.3 引導扇區(qū) 149
4.4 主文件表MFT 152
4.4.1 基本概述 152
4.4.2 Windows 2000的MFT項 153
4.4.3 Windows XP的MFT項 156
4.5 MFT屬性 160
4.5.1 屬性的結構 160
4.5.2 常規(guī)屬性類型 165
4.5.3 其他屬性 188
4.6 文件系統(tǒng)元文件 190
4.6.1 $MFT文件 190
4.6.2 $MFTMirr文件 191
4.6.3 $LogFile文件 192
4.6.4 $Volume文件 193
4.6.5 $AttrDef文件 193
4.6.6 $Root文件 195
4.6.7 $Bitmap文件 195
4.6.8 $Boot文件 196
4.6.9 $Secure文件 197
4.6.10 $UsnJrnl文件 198
4.6.11 $Quota文件 200
4.6.12 $ObjId文件 202
4.7 分配策略 203
4.7.1 簇空間分配策略 203
4.7.2 MFT項分配策略 203
4.7.3 屬性分配策略 204
4.8 時間值的更新 204
4.9 文件的建立與刪除 205
4.9.1 建立文件 205
4.9.2 刪除文件 206
4.10 總結 207
4.10.1 分析注意事項 207
4.10.2 數(shù)據(jù)恢復與取證分析 208
第5章 ExtX文件系統(tǒng) 211
5.1 ExtX文件系統(tǒng)概述 212
5.2 ExtX文件系統(tǒng)整體布局 213
5.3 超級塊 216
5.3.1 超級塊數(shù)據(jù)結構 216
5.3.2 超級塊實例分析 221
5.4 塊組描述符表和塊組描述符 224
5.4.1 塊組描述符數(shù)據(jù)結構 224
5.4.2 塊組描述符實例分析 225
5.5 塊位圖 227
5.5.1 塊位圖的工作方式 227
5.5.2 塊位圖實例分析 228
5.6 i-節(jié)點位圖 229
5.6.1 i-節(jié)點位圖實例 229
5.6.2 定位一個i-節(jié)點的位圖 230
5.7 i-節(jié)點表與i-節(jié)點 230
5.7.1 i-節(jié)點數(shù)據(jù)結構 231
5.7.2 i-節(jié)點實例分析 237
5.7.3 i-節(jié)點的屬性 239
5.7.4 i-節(jié)點中時間值的更新 240
5.8 擴展屬性 242
5.8.1 擴展屬性的結構 242
5.8.2 擴展屬性實例分析 245
5.9 目錄項 246
5.9.1 目錄項數(shù)據(jù)結構 247
5.9.2 目錄項的特性 248
5.9.3 目錄項實例分析 250
5.10 鏈接和掛載點 251
5.10.1 鏈接 251
5.10.2 掛載點 251
5.11 Hash樹 252
5.11.1 Hash樹數(shù)據(jù)結構 253
5.11.2 Hash樹實例分析 254
5.12 文件系統(tǒng)日志 255
5.12.1 數(shù)據(jù)結構 256
5.12.2 日志實例分析 258
5.13 分配策略 260
5.13.1 塊的分配策略 260
5.13.2 i-節(jié)點分配策略 261
5.13.3 文件名空間分配策略 262
5.14 文件的建立與刪除 262
5.14.1 建立文件 262
5.14.2 刪除文件 264
5.15 總結 265
5.15.1 分析注意事項 265
5.15.2 數(shù)據(jù)恢復與電子取證 268
第6章 UFS文件系統(tǒng) 273
6.1 概述 274
6.2 UFS文件系統(tǒng)整體布局 276
6.3 超級塊 276
6.3.1 概述 276
6.3.2 數(shù)據(jù)結構 277
6.4 柱面組摘要 288
6.5 柱面組描述符 289
6.5.1 概述 289
6.5.2 數(shù)據(jù)結構 291
6.5.3 位圖 295
6.6 引導代碼 297
6.7 i-節(jié)點 298
6.7.1 UFS1的i-節(jié)點 299
6.7.2 UFS2的i-節(jié)點 301
6.8 目錄項 305
6.8.1 數(shù)據(jù)結構 306
6.8.2 實例分析 306
6.9 分配策略 307
6.9.1 存儲空間分配策略 308
6.9.2 i-節(jié)點分配策略 309
6.9.3 目錄項分配策略 309
6.10 文件的建立與刪除 310
6.10.1 建立文件 310
6.10.2 刪除文件 312
6.11 總結 313
6.11.1 分析注意事項 313
6.11.2 數(shù)據(jù)恢復與取證分析 315
第7章 HFS+文件系統(tǒng) 317
7.1 HFS封裝 318
7.1.1 HFS卷主目錄塊結構 318
7.1.2 HFS卷主目錄塊實例分析 319
7.2 概述 320
7.2.1 HFS+的改進 320
7.2.2 基本概念 321
7.2.3 主要數(shù)據(jù)結構類型 322
7.2.4 HFS+特性 324
7.3 HFS+文件系統(tǒng)整體布局 325
7.4 卷頭 326
7.4.1 數(shù)據(jù)結構 326
7.4.2 實例分析 331
7.5 節(jié)點 333
7.5.1 節(jié)點的種類 333
7.5.2 節(jié)點的基本結構 333
7.5.3 頭節(jié)點 337
7.5.4 圖節(jié)點 343
7.5.5 索引節(jié)點 344
7.5.6 葉節(jié)點 346
7.5.7 節(jié)點的使用 346
7.5.8 HFS+節(jié)點與HFS節(jié)點的
區(qū)別 347
7.6 目錄文件 348
7.6.1 目錄文件中檔案項的
key部分 349
7.6.2 目錄文件中檔案項的
數(shù)據(jù)部分 350
7.7 域溢出文件 358
7.7.1 域溢出文件中檔案項的
key部分 359
7.7.2 域溢出文件中檔案項的
數(shù)據(jù)部分 359
7.7.3 域溢出文件節(jié)點實例分析 360
7.7.4 域溢出文件的使用 361
7.8 壞塊文件 363
7.9 分配文件 363
7.10 屬性文件 364
7.10.1 叉數(shù)據(jù)屬性 365
7.10.2 域屬性 366
第8章多磁盤卷 367
8.1 RAID 368
8.1.1 RAID級別簡介 368
8.1.2 RAID中的基本概念 375
8.1.3 RAID0陣列原理 376
8.1.4 RAID1陣列原理 377
8.1.5 RAID4陣列原理 377
8.1.6 RAID5陣列原理 378
8.1.7 RAID6陣列原理 382
8.1.8 RAID 1E陣列原理 384
8.1.9 RAID DP陣列原理 386
8.1.10 RAID的實現(xiàn) 388
8.1.11 數(shù)據(jù)恢復及取證注意事項 389
8.2 磁盤跨區(qū) 391
8.2.1 概述 391
8.2.2 Linux MD 392
8.2.3 Linux LVM 394
8.2.4 Microsoft Windows LDM 395
8.2.5 總結 402
PART 2 實踐篇
第9章數(shù)據(jù)恢復前的準備 405
9.1 寫在數(shù)據(jù)恢復之前的話 406
9.2 檢測磁盤 408
9.2.1 用MHDD檢測磁盤 408
9.2.2 用MHDD清除主引導扇區(qū)
“55AA”標志 411
9.2.3 用PC-3000檢測磁盤 412
9.3 壞道處理 415
9.4 鏡像磁盤 417
9.4.1 什么是“鏡像磁盤” 417
9.4.2 什么情況下需要對磁盤
進行鏡像 418
9.4.3 用Media Tools鏡像磁盤 419
9.4.4 用HDClone鏡像磁盤 424
9.4.5 用Winhex鏡像磁盤 427
9.5 分區(qū)及格式化對磁盤的寫入 431
9.5.1 Winhex“比較”功能的
使用 431
9.5.2 分區(qū)過程對磁盤的寫入 434
9.5.3 格式化過程對磁盤的寫入 440
第10章基本數(shù)據(jù)恢復 447
10.1 分區(qū)恢復 448
10.1.1 主分區(qū)表損壞恢復 448
10.1.2 重新分區(qū)未格式化 459
10.1.3 分區(qū)布局改變并進行了
格式化 461
10.1.4 使用FinalData快速
尋找分區(qū) 462
10.2 DBR損壞后的恢復 465
10.2.1 FAT文件系統(tǒng)DBR損壞后
的恢復 465
10.2.2 NTFS文件系統(tǒng)DBR損壞后
的恢復 473
10.3 格式化恢復 477
10.3.1 原FAT32格式化成
FAT32 477
10.3.2 原FAT32格式化成NTFS 479
10.3.3 原NTFS格式化成NTFS 480
10.3.4 原NTFS格式化成FAT32 480
10.4 刪除恢復 481
10.4.1 FAT16文件系統(tǒng)下的
刪除 481
10.4.2 FAT32文件系統(tǒng)下的
刪除 483
10.4.3 NTFS文件系統(tǒng)下的刪除 484
10.5 數(shù)據(jù)恢復軟件的使用 486
10.5.1 使用R-Studio恢復數(shù)據(jù) 486
10.5.2 使用Recover My Files
恢復數(shù)據(jù) 500
第11章 RAID數(shù)據(jù)恢復 503
11.1 概述 504
11.2 FAT表在陣列恢復中的作用 504
11.2.1 利用FAT表計算塊大小 505
11.2.2 利用FAT表判斷
數(shù)據(jù)塊順序 506
11.2.3 利用FAT表尋找校驗塊 507
11.3 MFT在陣列恢復中的作用 508
11.3.1 利用MFT記錄編號判斷
塊大小及數(shù)據(jù)塊順序 508
11.3.2 利用MFT尋找校驗塊 510
11.4 RAID0陣列恢復 513
11.4.1 參數(shù)分析 514
11.4.2 使用Winhex重組
數(shù)據(jù) 515
11.4.3 使用R-Studio恢復
數(shù)據(jù) 518
11.5 RAID5陣列恢復 523
11.5.1 循環(huán)方向的判斷 524
11.5.2 同步與異步的判斷 525
11.5.3 計算各個成員盤第一個
校驗塊的位置 526
11.5.4 利用FAT恢復演示 528
11.5.5 利用MFT恢復演示 532
11.6 HP內外雙循環(huán)陣列恢復 537
11.7 RAID 1E陣列恢復 538
11.7.1 參數(shù)判斷 539
11.7.2 數(shù)據(jù)恢復 539
附錄A Win32環(huán)境下磁盤操作
五大函數(shù) 541
附錄B 文件后綴名速查表 545