一、做好事1 .准备工作是把一个u盘格式化成FAT32格式,在u盘里做几个文件,最好是TXT文档,其中至少有一个是长文件。
2 .补充知识短文件名显示
长文件名显示
**Note:**如果是长文件名,用几个长文件名表示法和一个短名称的短句之间的名称来表示,其文件大小和开头簇号码等信息被保存在短文件内
二.开始分析1 .查看u盘信息
保留地段:2226
文件目录的开头簇编号:2
FAT表大小:15271
集群大小:8
2 .查看u盘DBR
FAT32分区上的DBR中的各部分的分割位置对应表
偏移字节长/B字段名0x003跳转命令0x038供应商标志和操作系统版本号0x0B53BPB0x4026扩展BPB0x5A420引导程序代码0x01FE2有效结束标志3 .参考fat表1 http://www
4 .查看fat表2跳转2226扇区至fat表2
5 .查看文件目录表,15271扇区跳转到文件目录表
6 .文件分析USB存储器根文件如下
分析长文件A Long Long Test Txt File.Txt
长文件的简称(短文件)是指文件的开头集群编号为15271
大小尺寸为00 00 00 07
因为估计的簇数为00 00 40 BE =16574 Bytes,所以需要保管16574/4096 =4.044个簇
目录的起始簇号为5
从目录表跳到2个簇,即7-2=5个扇区,到达文件位置:
在FAT表中找到簇号链:从FAT表跳到5 X 8=40找到第一个簇号
得到的集群编号链中的第七个集群内容为7 X 4 =28 bytes,其中第八个集群内容为http://www.Sina.com/——3358 www.Sina.com/——http://
00 00 00 08
文献参考: 《计算机病毒与反病毒技术》 2006-6-1清华大学出版社出版,作者: axddt,李钢,侯整风