私は現在、データ リカバリの目的で FAT12 ファイル システムのディスク イメージを調査し、ファイル カービングについて調査しています。この調査では、カービング プロセス/リカバリから得られた結果を検証できるように、ディスク イメージからカービング/リカバリする必要がある実際のファイルがあります。
復元されたファイルの比較と分析中に、ファイル データの正確に 2 つのクラスター (それぞれのサイズが 16384 バイト/32 セクター) の後に、4 つの追加/埋め込みバイトがあることに気付きました。2 つのクラスターの後に認識されるこれらの反復的で明確な 4 バイトは、対応する実際のファイルには見つかりません。これらのバイトは、ファイル システムによって何らかの形で使用されていると思いますが、そうですか? それらの目的は何ですか?また、回復プロセス中にどのように特定できますか?
16 進ダンプ:
ディスクから復元する必要がある実際のファイル (2 つのクラスター間の 16 進数):
Offset 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15
00016336 BC 55 B4 F8 A5 E1 69 82 2A DD 4A 5D DC 46 B9 80 ¼U´ø¥ái‚*ÝJ]ÜF¹€
00016352 E1 33 D3 F9 76 AE 8A 79 2E 22 0F 58 EE 67 FD AD á3Óùv®Šy." Xîgý
00016368 49 E9 7B 76 45 99 3E 25 69 36 F2 00 8B 71 70 C0 Ié{vE™>%i6ò ‹qpÀ
00016384 FC BB 6D 65 E9 DC F2 30 7E BD 6A B4 BF 17 52 0B ü»meéÜò0~½j´¿ R
00016400 64 9A 2D 13 58 B8 0E FB 13 65 9B 1E 87 93 F9 00 dš- X¸ û e› ‡“ù
00016416 7F 11 55 4F 21 AD A7 3A 51 D7 B9 CF 3C DE 35 25 UO!§:Q×¹Ï<Þ5%
ディスク イメージ:
Offset 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15
00132880 BC 55 B4 F8 A5 E1 69 82 2A DD 4A 5D DC 46 B9 80 ¼U´ø¥ái‚*ÝJ]ÜF¹€
00132896 E1 33 D3 F9 76 AE 8A 79 2E 22 0F 58 EE 67 FD AD á3Óùv®Šy." Xîgý
00132912 49 E9 7B 76 45 99 3E 25 69 36 F2 00 8B 71 70 C0 Ié{vE™>%i6ò ‹qpÀ
00132928 **08 B5 A9 88** FC BB 6D 65 E9 DC F2 30 7E BD 6A B4 µ©ˆü»meéÜò0~½j´
00132944 BF 17 52 0B 64 9A 2D 13 58 B8 0E FB 13 65 9B 1E ¿ R dš- X¸ û e›
00132960 87 93 F9 00 7F 11 55 4F 21 AD A7 3A 51 D7 B9 CF ‡“ù UO!§:Q×¹Ï
00132976 3C DE 35 25 <Þ5%
上記の 16 進ダンプから、08 B5 A9 88が正確に 2 つのクラスターの間にあることを視覚化できますが、実際のファイルでは、これらの 4 バイトが削除されています。