准备工作
在win7下挂载一个新的磁盘,分配盘符为D:,格式化为FAT32.
当然将一个fat32的U盘插到电脑上也一样的
正式开始
文件目录结构如下
a123.txt里内容是a123 ,a233.txt里内容是a233。a233.txt放在文件夹abc123中。
以管理员身份运行WinHex。
点击“创建磁盘镜像”,然后取消,打开如下界面
查看目录项
每一个目录项都包含文件名、后缀名、大小、起始位置等日期。
这个文件内容大小为4B(因为存的是a123)
因为是用小端的方式存放,所以大小实际是00 00 00 04。
显然,最后8个位置用来存放大小,每个位置是一个16进制数,即4个bit,
所以在FAT32用4*8=32bit来表示一个文件的大小。
而2^32B=4GB,这就是为什么在FAT32里一个文件最大只能有4GB的原因。
我们直接在WinHex中修改大小为2,然后ctrl+s保存。
弹出警告,直接点确定。
文件内容变为如下。
我们并未修改文件的内容,但是修改了大小以后,后面的"23"被截断了。
如果将02改回04,内容当然也就回来了。
接下来,我们来看看文件名。
我们将文件名的41,也就是‘A’,改成E5
保存,回到磁盘看一眼
文本文件已消失。这就是微软在FAT32上删除文件的方法。
当然,将E5改掉,文件又会回来,这就是最基础的数据找回。
至于怎么知道原来文件名的第一个字符是41而不是其他呢?应该有记录但是我就不知道在哪了。
改成51,保存后,在文件夹里看到q123.txt文件。
创建、修改时间
前两位是创建时间,后两位是修改时间
因为小端存放,所以创建时间是4F94,转换成2进制是
最后5位是日,101000转换成10进制是20,所以是20日,再前4位是月,1100是12,代表12月。
剩下的就是年了,0100 111是39,现在是2019年,所以年份的存储是1980年到至今的差值。
而存储年份的7位最高是255,1980+255=2235,也就是说2236年及以后创建的文件,FAT32应该就出现bug了。
(估计到时候就淘汰掉这个落后的文件系统了)
簇
以下框出的位置是簇,00 00是第一簇高位,00 04是第一簇。
FAT32是根据簇来找出文件内容的,类似一个链表。
上述图中文件FILE1,系统根据簇,在表中找到第一个内容并取出内容,再根据提供的指针0002在表中找到2号位,取出2号位存的内容,然后根据2号位存的指针0003找到3号位...找到4号位时,发现指针是FFFF,代表文件结束。
在本例中,我们是00 00 00 04,转成10进制就是4。点击转跳至扇区(ctrl+g)
输入4
点击确定,转跳结果如下。
这就是文件内容,所以簇号是用于查找文件内容存储位置的。
结束语
FAT32是比较古老的文件系统,仍存在很多不足,万一FAT表遭到破坏,文件就木有了。
虽然微软采用了2张FAT表(一张拿来备份),但还是危险。
京公网安备 11010502036488号