• 计算机取证分析基础-存储介质-硬盘

    一.介质类型与接口

    硬盘接口分类

    接口类型 推出年份 传输速率 优点 缺点
    IDE硬盘 1986 约40MB/S 价格低廉、兼容性强 速度慢、线缆长度过短
    SATA硬盘 2001 150~300MB/S 更快的传输速率、数据校验更完善 性能不足,可维护性不强
    SCSI硬盘 1979 300MB/S 支持多个设备、占用CPU低、具有智能化 价格昂贵
    SAS硬盘 2001 300MB/S 更好的性能、更好的扩展性 控制芯片种类少,价格贵
    IDE硬盘

    IDE即Integrated Drive Electronics,它的本意是指把控制器与盘体集成在一起的硬盘驱动器,IDE是表示硬盘的传输接口。我们常说的IDE接口,也叫ATA(Advanced Technology Attachment)、PATA接口,现在PC机使用的硬盘大多数都是IDE兼容的,只需用一根电缆将它们与主板或接口卡连起来就可以了。

    图片:

    ide

    SATA硬盘

    SATA,即Serial ATA(串行 ATA),全称是Serial Advanced Technology Attachment,是由Intel、IBM、Maxtor 和 Seagate等公司共同提出的硬盘接口新规范。因为采用串行连接方式,所以使用 SATA 接口的硬盘又叫串口硬盘。

    这种硬盘采用点对点的连接方式,支持热插拔。转速为7200RPM,主要容量有750GB、1TB、2TB、4TB等。目前被广泛应用家用PC、某些服务器存储。

    图片:

    sata

    SCSI硬盘

    SCSI硬盘是采用SCSI接口的硬盘,SCSI是Small Computer System Interface(小型计算机系统接口)的缩写,使用50针接口,外观和普通硬盘接口有些相似。SCSI硬盘和普通IDE硬盘相比有很多优点:接口速度快,并且由于主要用于服务器,因此硬盘本身的性能也比较高,硬盘转速快,缓存容量大,CPU占用率低,扩展性远优于IDE硬盘,并且支持热插拔。

    图片:

    9358d109b3de9c8270c9caf56c81800a19d8431f

    SAS硬盘

    SAS(Serial Attached SCSI)即串行连接SCSI,是新一代的SCSI技术,和现在流行的Serial ATA(SATA)硬盘相同,都是采用串行技术以获得更高的传输速度,并通过缩短连结线改善内部空间等。SAS是并行SCSI接口之后开发出的全新接口。此接口的设计是为了改善存储系统的效能、可用性和扩充性,并且提供与SATA硬盘的兼容性。

    图片:

    20080829122318384SAS

    硬盘的外壳及盘标信息

    微信图片_20200423222225

    磁盘内部结构图

    timg

    二、磁盘基础

    机械硬盘存储原理

    磁道:盘片被划分成许多同心圆,这些同心圆就叫做磁道(Track)

    f31fbe096b63f62469f849208744ebf81a4ca36f

    扇区:把每个磁道划分成若干弧段,每段称为一个扇区(Sector)

    柱面:柱面(Cylinder)指各个盘面上编号相同的磁道构成的整体。

    u=844966111,3748415389&fm=214&gp=0

    磁头:每个有效盘面都有一个对应的读/写磁头(Head)

    簇:簇(Cluster)将物理相邻的若干个扇区称为一个簇,簇大小:4K/8K/16K/32K

    file0001

    操作系统读写磁盘的基本单位是扇区,而文件系统的基本单位是簇。

    簇越大存储性能越好,但空间浪费严重。簇越小性能相对越低,但空间利用率高。

    松弛空间(Slack区域)

    磁盘寻址

    C/H/S(柱面/磁头/扇区)

    C(01023)/H(0254)/S(1~63)[10位/8位/6位]

    C/H/S可以管理的扇区数:1024*255*63=16450560,约等于8G

    LBA(Logic Block Address)逻辑块地址

    48位可支持的硬盘容量达到144PB

    固态硬盘存储原理

    SSD是用固态电子存储芯片阵列而制成的硬盘,由控制单元和存储单元(FLASH芯片、DRAM芯片)以及缓存单元组成。

    SSD在新数据写入之前需要先进行擦除操作,而不是像机械硬盘那样先存着,新数据进来再擦写覆盖

    管理员模式启动命令提示符,输入fsutil behavior QUERY DisableDeleteNotify

    • "DisableDeleteNotify = 0"数据恢复希望渺茫
    • "DisableDeleteNotify = 1"数据恢复有望

    设置:

    fsutil behavior set disabledeletenotify 1

    5b540003d73b6cc4e082

    磁盘容量

    硬盘厂家:1000M=1G(10的3次方)

    计算机:1024MB=1G(2的10次方)

    硬盘分区

    MBR磁盘分区
    1. 引导程序
    2. Windows磁盘签名
    3. 分区表
    4. 结束标志

    u=3818656222,1001027997&fm=26&gp=0

    Snipaste_2020-04-28_23-26-14

    GPT磁盘分区

    GUID Partition Table的缩写,其含义为"全局唯一标识磁盘分区表"

    128个分区(受限于Windows系统设定)

    支持的最大原始分区为18EB

    BIOS+MBR,UEFI+GPT

    timg

    三、文件系统基础

    Windows文件系统

    FAT12/16、FAT32、exFAT、NTFS

    FAT32
    • 32位

    Linux文件系统

    EXT2/3/4,JFS,XFS,ReiserFS等

    Mac OS

    HFS/HFS+,UFS,NFS等

    光盘

    CDFS,UDF等
  • 相关阅读:
    P1032 字串变换
    P3203 [HNOI2010]弹飞绵羊
    P3690 【模板】Link Cut Tree (动态树)
    P2147 [SDOI2008]洞穴勘测
    P3950 部落冲突
    Codeforces Round #469 Div. 2题解
    线段树
    SDOI2018退役记
    4.1模拟题
    无旋Treap
  • 原文地址:https://www.cnblogs.com/bug132294/p/12839795.html
Copyright © 2020-2023  润新知