计算机取证分析基础-存储介质-硬盘
Posted bug132294
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了计算机取证分析基础-存储介质-硬盘相关的知识,希望对你有一定的参考价值。
一.介质类型与接口
硬盘接口分类
接口类型 | 推出年份 | 传输速率 | 优点 | 缺点 |
---|---|---|---|---|
IDE硬盘 | 1986 | 约40MB/S | 价格低廉、兼容性强 | 速度慢、线缆长度过短 |
SATA硬盘 | 2001 | 150~300MB/S | 更快的传输速率、数据校验更完善 | 性能不足,可维护性不强 |
SCSI硬盘 | 1979 | 300MB/S | 支持多个设备、占用CPU低、具有智能化 | 价格昂贵 |
SAS硬盘 | 2001 | 300MB/S | 更好的性能、更好的扩展性 | 控制芯片种类少,价格贵 |
IDE硬盘
IDE即Integrated Drive Electronics,它的本意是指把控制器与盘体集成在一起的硬盘驱动器,IDE是表示硬盘的传输接口。我们常说的IDE接口,也叫ATA(Advanced Technology Attachment)、PATA接口,现在PC机使用的硬盘大多数都是IDE兼容的,只需用一根电缆将它们与主板或接口卡连起来就可以了。
图片:
SATA硬盘
SATA,即Serial ATA(串行 ATA),全称是Serial Advanced Technology Attachment,是由Intel、IBM、Maxtor 和 Seagate等公司共同提出的硬盘接口新规范。因为采用串行连接方式,所以使用 SATA 接口的硬盘又叫串口硬盘。
这种硬盘采用点对点的连接方式,支持热插拔。转速为7200RPM,主要容量有750GB、1TB、2TB、4TB等。目前被广泛应用家用PC、某些服务器存储。
图片:
SCSI硬盘
SCSI硬盘是采用SCSI接口的硬盘,SCSI是Small Computer System Interface(小型计算机系统接口)的缩写,使用50针接口,外观和普通硬盘接口有些相似。SCSI硬盘和普通IDE硬盘相比有很多优点:接口速度快,并且由于主要用于服务器,因此硬盘本身的性能也比较高,硬盘转速快,缓存容量大,CPU占用率低,扩展性远优于IDE硬盘,并且支持热插拔。
图片:
SAS硬盘
SAS(Serial Attached SCSI)即串行连接SCSI,是新一代的SCSI技术,和现在流行的Serial ATA(SATA)硬盘相同,都是采用串行技术以获得更高的传输速度,并通过缩短连结线改善内部空间等。SAS是并行SCSI接口之后开发出的全新接口。此接口的设计是为了改善存储系统的效能、可用性和扩充性,并且提供与SATA硬盘的兼容性。
图片:
硬盘的外壳及盘标信息
磁盘内部结构图
二、磁盘基础
机械硬盘存储原理
磁道:盘片被划分成许多同心圆,这些同心圆就叫做磁道(Track)
扇区:把每个磁道划分成若干弧段,每段称为一个扇区(Sector)
柱面:柱面(Cylinder)指各个盘面上编号相同的磁道构成的整体。
磁头:每个有效盘面都有一个对应的读/写磁头(Head)
簇:簇(Cluster)将物理相邻的若干个扇区称为一个簇,簇大小:4K/8K/16K/32K
操作系统读写磁盘的基本单位是扇区,而文件系统的基本单位是簇。
簇越大存储性能越好,但空间浪费严重。簇越小性能相对越低,但空间利用率高。
松弛空间(Slack区域)
磁盘寻址
C/H/S(柱面/磁头/扇区)
C(01023)/H(0254)/S(1~63)[10位/8位/6位]
C/H/S可以管理的扇区数:1024*255*63=16450560,约等于8G
LBA(Logic Block Address)逻辑块地址
48位可支持的硬盘容量达到144PB
固态硬盘存储原理
SSD是用固态电子存储芯片阵列而制成的硬盘,由控制单元和存储单元(FLASH芯片、DRAM芯片)以及缓存单元组成。
SSD在新数据写入之前需要先进行擦除操作,而不是像机械硬盘那样先存着,新数据进来再擦写覆盖
管理员模式启动命令提示符,输入fsutil behavior QUERY DisableDeleteNotify
- "DisableDeleteNotify = 0"数据恢复希望渺茫
- "DisableDeleteNotify = 1"数据恢复有望
设置:
fsutil behavior set disabledeletenotify 1
磁盘容量
硬盘厂家:1000M=1G(10的3次方)
计算机:1024MB=1G(2的10次方)
硬盘分区
MBR磁盘分区
- 引导程序
- Windows磁盘签名
- 分区表
- 结束标志
GPT磁盘分区
GUID Partition Table的缩写,其含义为"全局唯一标识磁盘分区表"
128个分区(受限于Windows系统设定)
支持的最大原始分区为18EB
Bios+MBR,UEFI+GPT
三、文件系统基础
Windows文件系统
FAT12/16、FAT32、exFAT、NTFS
FAT32
- 32位
Linux文件系统
EXT2/3/4,JFS,XFS,ReiserFS等
Mac OS
HFS/HFS+,UFS,NFS等
光盘
CDFS,UDF等
以上是关于计算机取证分析基础-存储介质-硬盘的主要内容,如果未能解决你的问题,请参考以下文章