上次对文件系统进行简单的分析,这次就文件的镜像功能做一介绍

1、首先镜像的概念:镜像就是数据的副本,是原来数据在相同位置上以相同的排列模式生成的拷贝,所以镜像可以用来还原原始数据,代替原始数据工作,镜像和原始数据是相互独立的,还有一种概念就是“压缩镜像”但是压缩镜像是通过压缩算法在原来的镜像上经过压缩产生。不过可以逆运算。

2、常见的奖项文件格式:

E01---:证据镜像文件,使一种可压缩,可还原,可加密,可分割,可动态解释格式,数据量大,保密程度高;

IMG---:不考虑文件系统和未使用空间,按照扇区或字节逐一复制,生成的镜像和原始数据不会有丝毫的差异;

3、镜像文件的克隆,创建好之后设置保存的路径,空间足够保存镜像的大小,可以选择从扇区范围选择镜像,目的是如果某硬盘出现大量坏扇区,强制复制不安全而且花费时间,所以可以从损坏扇区较少的地方进行镜像。在镜像过程中指定一种哈希算法,记录数据的原始校验值,镜像创建备份之后就可以用镜像恢复文件系统。

4、备份管理器的使用

备份名称:以.tmp文件结尾的是文件系统操作中产生的最初数据副本, Sector+扇区号这样的文件名称表示对磁盘的操作,可以看到之前操作影响了那些磁盘,如下图我之前没有由对磁盘进行修改或者备份,就么有记录。恢复就是用该备份进行数据恢复,恢复的目标就是产生该备份的源对象。检查就是通过哈希检查确认该备份没有被修改过。

5、文件属性功能:

文件属性最是熟悉的,只看重点,文件属性的调查,winhex数据恢复软件不经可以查看文件属性还可以修改文件的属性,winhex数据恢复笔记(一)中我已近就记事本文件属性做了说明,通过winhex可以做到伪装文件的大小,文件的创建时间,访问时间,修改时间,所以啊,好可怕,信息安全中这只是冰山一角,那么我的专业就是网络警察,

接下来实例演示如何伪装文件属性。像其他的文件还可以从文件的数据编辑区中进行修改,首先确定文件的目录索引项,找到10H和30H属性,就可以随便修任何文件改文件的属性,

6、在Windows中这样解释文件的属性,

借助函数 Windows API函数获取文件数属性

bool winapi getattributebyfile(lpcwstr filename){

win32_file_attribute_date.wfad={0};

bool ret=getattributesEx(filename,get_fileex_info-levels::getfileexinfostandard, &wafd);

if(ret){

printf("文件大小%d\n”,wfad.nfilesizelow);

systemtime systime={0};

ret=filetimetosystem(&wfad/ftcreationtime,&systime);

if(ret){

printf("年: %u\n",systime,wyear)

}

}

return ret;

}

7、后一章节将文件的批量处理模式。

Winhex数据恢复学习笔记(三)的更多相关文章

  1. Winhex数据恢复学习笔记(四)

    睡不着,那就深夜写篇笔记打发一下不瞌睡,❥(^_-) 1.winhex在文件批量处理上主要是针对批量保存.打开.关闭,主要还是基于批量打开的其他一些操作,这里通过构造通配符来批量打开,列如 *符号 ? ...

  2. Oracle学习笔记三 SQL命令

    SQL简介 SQL 支持下列类别的命令: 1.数据定义语言(DDL) 2.数据操纵语言(DML) 3.事务控制语言(TCL) 4.数据控制语言(DCL)  

  3. [Firefly引擎][学习笔记三][已完结]所需模块封装

    原地址:http://www.9miao.com/question-15-54671.html 学习笔记一传送门学习笔记二传送门 学习笔记三导读:        笔记三主要就是各个模块的封装了,这里贴 ...

  4. JSP学习笔记(三):简单的Tomcat Web服务器

    注意:每次对Tomcat配置文件进行修改后,必须重启Tomcat 在E盘的DATA文件夹中创建TomcatDemo文件夹,并将Tomcat安装路径下的webapps/ROOT中的WEB-INF文件夹复 ...

  5. java之jvm学习笔记三(Class文件检验器)

    java之jvm学习笔记三(Class文件检验器) 前面的学习我们知道了class文件被类装载器所装载,但是在装载class文件之前或之后,class文件实际上还需要被校验,这就是今天的学习主题,cl ...

  6. VSTO学习笔记(三) 开发Office 2010 64位COM加载项

    原文:VSTO学习笔记(三) 开发Office 2010 64位COM加载项 一.加载项简介 Office提供了多种用于扩展Office应用程序功能的模式,常见的有: 1.Office 自动化程序(A ...

  7. Java IO学习笔记三

    Java IO学习笔记三 在整个IO包中,实际上就是分为字节流和字符流,但是除了这两个流之外,还存在了一组字节流-字符流的转换类. OutputStreamWriter:是Writer的子类,将输出的 ...

  8. NumPy学习笔记 三 股票价格

    NumPy学习笔记 三 股票价格 <NumPy学习笔记>系列将记录学习NumPy过程中的动手笔记,前期的参考书是<Python数据分析基础教程 NumPy学习指南>第二版.&l ...

  9. Learning ROS for Robotics Programming Second Edition学习笔记(三) 补充 hector_slam

    中文译著已经出版,详情请参考:http://blog.csdn.net/ZhangRelay/article/category/6506865 Learning ROS for Robotics Pr ...

随机推荐

  1. vuex使用示例

    项目代码结构↓ src内容↓ store内容↓ 理解思路: component中的组件发送修改请求,由action.js处理请求,mutation修改请求,修改请求后state改变,从getter.j ...

  2. 【转】python 面向对象(进阶篇)

    [转]python 面向对象(进阶篇) 上一篇<Python 面向对象(初级篇)>文章介绍了面向对象基本知识: 面向对象是一种编程方式,此编程方式的实现是基于对 类 和 对象 的使用 类 ...

  3. 【转】python编写规范——中标软件有限公司测试中心

    [转]python编写规范 一.说明 二.内容 1. 代码布局 1.1 缩进 1.2 表达式和语句中的空格 1.3 行的最大长度 1.4 空行... 1.5 编码... 2. 语句... 2.1 标准 ...

  4. Git使用手册【转】

    转自:https://www.jianshu.com/p/e32a8e7ca93b 目录: Git是什么 基本概念 Git的诞生 Git的安装与配置 创建版本库 Git操作略览 远程仓库:git的杀招 ...

  5. [debug]记一次竞态更新bug的解决

    公司的django项目,有一个旧接口,使用POST方法更新用户的一种记录型数据. 这个接口的历史有点长,最早的时候没有那么多需求,只会更新两个布尔字段.后来,加入一个需要高频次记录的字段.这些字段都属 ...

  6. UVALive 8519 Arrangement for Contests 2017西安区域赛H 贪心+线段树优化

    题意 等价于给一个数列,每次对一个长度为$K$的连续区间减一 为最多操作多少次 题解: 看样例猜的贪心,10分钟敲了个线段树就交了... 从1开始,找$[i,i+K]$区间的最小值,然后区间减去最小值 ...

  7. (并发编程)RLock(与死锁现象),Semaphore,Even事件,线程Queue

    一.死锁现象与递归锁所谓死锁: 是指两个或两个以上的进程或线程在执行过程中,因争夺资源而造成的一种互相等待的现象,若无外力作用,它们都将无法推进下去.此时称系统处于死锁状态或系统产生了死锁,这些永远在 ...

  8. percona-xtrabackup工具实现mysql5.6.34的主从同步复制

    percona-xtrabackup工具实现mysql5.6.34的主从同步复制 下载并安装percona-xtrabackup工具 # wget https://www.percona.com/do ...

  9. android开机动画(bootanimation)

    Android开机动画有两种修改方法,android 2.0及之后,使用bootanimation程序显示开机画面,如需修改开机画面,不用修改代码,只需按格式要求做bootanimation.zip包 ...

  10. Linux查看所有用户和组信息

    主要通过以下两个命令: cat /etc/passwd cat /etc/group 步骤一:cat /etc/passwd查看所有的用户信息,详情如下图: 步骤2:cat /etc/passwd|g ...