WinHex也可以用于exFAT文件系统结构分析,以下是基于WinHex对exFAT文件系统结构的分析步骤:
打开exFAT磁盘
与FAT32文件系统分析类似,我们需要打开一个已经格式化为exFAT的磁盘。在WinHex中,我们可以选择“Open Disk”(打开磁盘)选项,在弹出的对话框中选择磁盘,并点击“OK”按钮以打开磁盘。
分析exFAT Boot Sector
exFAT Boot Sector是exFAT文件系统中非常重要的数据结构,其中包含了文件系统的基本信息。在WinHex中,我们可以通过跳转到偏移0x00的位置来查看exFAT Boot Sector的内容。以下是exFAT Boot Sector的结构示意图:
+0x00 Jump instruction (3 bytes)
+0x03 OEM name/version (8 bytes)
+0x0B Bytes per sector (2 bytes)
+0x0D Sectors per cluster (1 byte)
+0x0E Number of FATs (1 byte)
+0x0F Drive flags (2 bytes)
+0x11 Version (2 bytes)
+0x13 Cluster heap size (4 bytes)
+0x17 First cluster of the root directory (4 bytes)
+0x1B Sector number of the file allocation table 2 (4 bytes)
+0x1F Sector number of the file allocation table 3 (4 bytes)
+0x23 Sector number of the file allocation table 4 (4 bytes)
+0x27 Sector number of the file allocation table 5 (4 bytes)
+0x2B Sector number the backup boot sector (4 bytes)
+0x2F Reserved (2 bytes)
+0x31 Boot sector flags (2 bytes)
+0x33 Bytes in extended boot sector (2 bytes)
+0x35 Serial number of partition (4 bytes)
+0x39 CRC32 checksum of the boot sector (4 bytes)
+0x3D Boot signature (1 byte)如上所示,exFAT Boot Sector中也包含了许多与文件系统有关的重要信息,例如每个扇区的大小、每个簇中扇区的数量、FAT的起始位置等等。
查看文件记录
与FAT32文件系统类似,exFAT文件系统中的文件记录也包含了文件或目录的元数据,其中包括文件名、文件属性(例如文件大小、创建时间、修改时间等等)、数据流等。但是,exFAT文件系统采用了不同的存储机制。在WinHex中,我们可以通过查看每个文件记录的前44个字节来查看文件名和文件属性。
查看目录结构
exFAT文件系统中的目录结构不同于FAT32文件系统,而是采用了B+树结构。在WinHex中,我们可以通过跳转到根目录或目录的起始位置来查看相应的目录结构。在目录结构中,每个节点由44个字节的节点头和一些子节点或叶子节点组成。
结论
通过使用WinHex工具,我们可以对exFAT文件系统进行详细的结构分析,包括exFAT Boot Sector、文件记录和目录结构等数据结构。这可以帮助我们更好地理解文件系统的运作原理,并且有效地找回丢失的数据。同时,也可以应用于磁盘分析、恶意代码分析等任务。
本文地址:https://bolg.xs357.com/post-38.html
未标注转载均为本站远程,转载请注明文章出处:
