E01镜像如果磁盘占有少,会更加小(压缩硬盘空白部分)。
如果用的很满,做出来会更加大。(多出来的是头部和其他废物)
MD5长度是128位(32位字符数字,但是32位是16进制的,16字节,8位一字节,所以16*8=128位)
磁盘分区
逻辑硬盘使用前需要进行分区
MBR磁盘分区:老式磁盘分区,DOS分区,最大2t,最多支持四个主分区
整个磁盘第一个分区(444字节)是引导程序
win磁盘前面,系统初始化的标签
分区表
结束标记55a
动态磁盘分区
GPT磁盘分区,目前主流:
每一个分区表128字节
松弛空间:
簇大小?
:格式化的 时候,分配单元大小,1024,之类的,就是簇大小,4096是默认,4k
内存存储单位是页,基本上页大小也是4k,所以硬盘页大小4k协同效率最好 。
大小与占用空间:
大小1k,占用空间0,因为没有占用1个簇。
大小9k,占用空间12k,因为占用了一个簇
单位:
最小单位是位
文件最小存储单位是字节(8位)
介质最小单位扇区(512字节)
文件系统最小单位簇,块,片(一般是8个扇区,4k)
文件占用空间一定是真个簇,就是占用最小单位解释上面那个,多出来了就是松弛空间。
文件系统
FAT32快没了,NTFS,exFAT,新的服务器REFS(WIN)
Mac朱啊哟是APFS
光盘CDFS
文件特征
文件扩展名.doc.pptx 可以人为设定
文件特征、签名:16进制下显示文件头或尾特征
数据恢复:
·XP:
存放路径: \Recycled 或者\Recycler
INFO2文件:用来记录文件进出回收站的活动(记录文件移动到回收站的时间、文件大小、 文件原始名称和完整路径,使用ASCII和Unicode编码)·Win7及以上:
存放路径: \$Recycle.Bin I
"$R" 开头的记录文件:删除文件的实际内容
"$I"开头的记录文件:被删除文件的原名和原路径(要用winhex等软件才能看)
可以利用文件的头尾恢复文件,winhex找到头尾,然后做特征恢复
如果只知道文件头,不知道文件尾,那就尝试恢复
事件日记:
拓展名:.evt .evtx(win8后)以2进制格式存储
·日志格式使用扩展名.evt(vista后扩展名.evtx)
·日志以二进制格式存储,循环使用最新的内容覆盖重写最旧的内容·
Vista之前的存储位置 “%system root%\System32\config"·
Vista之后 "%system root%\System32\winevt\logs”
不同id不同事件
事件日记小技巧
注册表 regedit win+R
文件元数据,windows事件戳
修改时间是指改变文件内容,文件属性是指位置,姓名
时间戳小技巧
1:修改时间等于创建时间,文件是原始文件
2:文件修改时间早于创建时间,说明文件被移动过
NTFs数据系统中,文件可以有数据流ADS
每个文件在NTFS系统下可以有多数据流ADS,但很过时了
快速跳转文件,可以看用户经常使用哪些文件
