计算机取证分析基础-存储介质-硬盘

Posted bug132294

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了计算机取证分析基础-存储介质-硬盘相关的知识,希望对你有一定的参考价值。

一.介质类型与接口

硬盘接口分类

接口类型 推出年份 传输速率 优点 缺点
IDE硬盘 1986 约40MB/S 价格低廉、兼容性强 速度慢、线缆长度过短
SATA硬盘 2001 150~300MB/S 更快的传输速率、数据校验更完善 性能不足,可维护性不强
SCSI硬盘 1979 300MB/S 支持多个设备、占用CPU低、具有智能化 价格昂贵
SAS硬盘 2001 300MB/S 更好的性能、更好的扩展性 控制芯片种类少,价格贵
IDE硬盘

IDE即Integrated Drive Electronics,它的本意是指把控制器与盘体集成在一起的硬盘驱动器,IDE是表示硬盘的传输接口。我们常说的IDE接口,也叫ATA(Advanced Technology Attachment)、PATA接口,现在PC机使用的硬盘大多数都是IDE兼容的,只需用一根电缆将它们与主板或接口卡连起来就可以了。

图片:

技术图片

SATA硬盘

SATA,即Serial ATA(串行 ATA),全称是Serial Advanced Technology Attachment,是由Intel、IBM、Maxtor 和 Seagate等公司共同提出的硬盘接口新规范。因为采用串行连接方式,所以使用 SATA 接口的硬盘又叫串口硬盘。

这种硬盘采用点对点的连接方式,支持热插拔。转速为7200RPM,主要容量有750GB、1TB、2TB、4TB等。目前被广泛应用家用PC、某些服务器存储。

图片:

技术图片

SCSI硬盘

SCSI硬盘是采用SCSI接口的硬盘,SCSI是Small Computer System Interface(小型计算机系统接口)的缩写,使用50针接口,外观和普通硬盘接口有些相似。SCSI硬盘和普通IDE硬盘相比有很多优点:接口速度快,并且由于主要用于服务器,因此硬盘本身的性能也比较高,硬盘转速快,缓存容量大,CPU占用率低,扩展性远优于IDE硬盘,并且支持热插拔。

图片:

技术图片

SAS硬盘

SAS(Serial Attached SCSI)即串行连接SCSI,是新一代的SCSI技术,和现在流行的Serial ATA(SATA)硬盘相同,都是采用串行技术以获得更高的传输速度,并通过缩短连结线改善内部空间等。SAS是并行SCSI接口之后开发出的全新接口。此接口的设计是为了改善存储系统的效能、可用性和扩充性,并且提供与SATA硬盘的兼容性。

图片:

技术图片技术图片

硬盘的外壳及盘标信息

技术图片

磁盘内部结构图

技术图片

二、磁盘基础

机械硬盘存储原理

磁道:盘片被划分成许多同心圆,这些同心圆就叫做磁道(Track)

技术图片

扇区:把每个磁道划分成若干弧段,每段称为一个扇区(Sector)

柱面:柱面(Cylinder)指各个盘面上编号相同的磁道构成的整体。

技术图片

磁头:每个有效盘面都有一个对应的读/写磁头(Head)

簇:簇(Cluster)将物理相邻的若干个扇区称为一个簇,簇大小:4K/8K/16K/32K

技术图片

操作系统读写磁盘的基本单位是扇区,而文件系统的基本单位是簇。

簇越大存储性能越好,但空间浪费严重。簇越小性能相对越低,但空间利用率高。

松弛空间(Slack区域)

磁盘寻址

C/H/S(柱面/磁头/扇区)

C(01023)/H(0254)/S(1~63)[10位/8位/6位]

C/H/S可以管理的扇区数:1024*255*63=16450560,约等于8G

LBA(Logic Block Address)逻辑块地址

48位可支持的硬盘容量达到144PB

固态硬盘存储原理

SSD是用固态电子存储芯片阵列而制成的硬盘,由控制单元和存储单元(FLASH芯片、DRAM芯片)以及缓存单元组成。

SSD在新数据写入之前需要先进行擦除操作,而不是像机械硬盘那样先存着,新数据进来再擦写覆盖

管理员模式启动命令提示符,输入fsutil behavior QUERY DisableDeleteNotify

  • "DisableDeleteNotify = 0"数据恢复希望渺茫
  • "DisableDeleteNotify = 1"数据恢复有望

设置:

fsutil behavior set disabledeletenotify 1

技术图片

磁盘容量

硬盘厂家:1000M=1G(10的3次方)

计算机:1024MB=1G(2的10次方)

硬盘分区

MBR磁盘分区
  1. 引导程序
  2. Windows磁盘签名
  3. 分区表
  4. 结束标志

技术图片

技术图片

GPT磁盘分区

GUID Partition Table的缩写,其含义为"全局唯一标识磁盘分区表"

128个分区(受限于Windows系统设定)

支持的最大原始分区为18EB

Bios+MBR,UEFI+GPT

技术图片

三、文件系统基础

Windows文件系统

FAT12/16、FAT32、exFAT、NTFS

FAT32
  • 32位

Linux文件系统

EXT2/3/4,JFS,XFS,ReiserFS等

Mac OS

HFS/HFS+,UFS,NFS等

光盘

CDFS,UDF等

以上是关于计算机取证分析基础-存储介质-硬盘的主要内容,如果未能解决你的问题,请参考以下文章

铁三Linux取证

信息安全练习题 3-1

计算机基础

计算机基础

计算机基础

详解Windows注册表分析取证