FAT32与NTFS文件系统详解：结构与修复策略

该文档深入探讨了计算机取证中的关键知识点，主要聚焦于FAT32和NTFS文件系统。文件系统是操作系统管理磁盘空间的基础，它将物理磁盘空间映射成逻辑地址，确保对文件的操作如打开、读写和删除具有适当的控制。 FAT（文件分配表）文件系统是早期常见的文件系统，如FAT16和FAT32。其中，簇是磁盘空间的基本分配单元，每个簇占用1KB，而扇区则是磁盘存储的基本单位，每个扇区为512比特。FAT文件系统采用链式存储，文件的数据分布在磁盘的不同位置，形成类似链条的结构。 文件系统结构中，MBR（主引导扇区）扮演重要角色，它是硬盘上的第一个可执行区域，包含引导程序和磁盘签名。恢复磁盘引导程序时，通常会创建一个虚拟硬盘，复制新的引导程序到故障磁盘。磁盘签名通常是4字节，用于标识磁盘类型。分区表位于MBR之后，包括活动分区和非活动分区的信息，如起始和结束位置，以及分区类型（如FAT32或NTFS）。 DBR（分区引导扇区）是每个分区的引导记录，包含了分区信息和文件系统的类型。DBR的恢复可以通过备份扇区进行，一般备份扇区距离DBR6个扇区。手动恢复时，会创建一个相同大小的FAT32虚拟磁盘，并将DBR数据复制到受损磁盘上，使用特定的跳转指令（如EB58）将执行流程导向引导程序。 这份笔记提供了深入理解FAT32和NTFS文件系统结构、操作原理以及在计算机取证过程中如何修复损坏的引导记录和分区表的关键信息，这对于从事IT安全和取证工作的人员来说是非常有价值的参考资料。