介紹

本文檔包含有關Sleuth Kit中FAT文件系統實現的信息 。Sleuth Kit基于The Coroner’s Toolkit（TCT）的原始設計，該工具箱僅適用于UNIX文件系統。FAT文件系統和UNIX文件系統有很大的不同，本文檔將確定如何處理這些差異。假定對FAT有基本了解。

必須做出的主要設計“決定”與：

• 磁盤單元尋址
• 元數據尋址

磁盤單元尋址

FAT將文件內容保存在群集中。甲簇是連續的扇區（512字節的每個）的分組。當目錄條目和文件分配表描述文件時，群集號用作地址。問題在于，群集0不在分區的開頭。群集0在數據區域中，該區域位于超級塊和文件分配表之后，并且可以是分區中的數百個扇區。這造成了一個問題，因為如果偵查工具包將群集用作可尋址單元，那么將無法識別非“數據區域”扇區。

通過將扇區而不是群集作為可尋址單元來解決了此問題。描述文件時（例如，使用istat），將給出扇區地址。在fsstat的輸出中，文件分配表的內容按扇區顯示，使用blkls -l時，將給出扇區狀態。

實際上，這使手動數據恢復更加容易，因為可以使用“ dd”來通過扇區地址分割數據。如果給出了群集，則用戶必須在分出數據之前將數據區地址轉換為扇區。

元數據尋址

FAT以目錄條目結構描述其文件，該目錄條目結構包含在父目錄分配的扇區中。目錄條目結構的固定大小為32字節（未尋址），并且可以存在于分區中的任何位置。Sleuth Kit需要為每個文件使用某種形式的元數據地址，因此這成為一個問題。另外，根目錄沒有目錄條目。換句話說，根目錄沒有描述性信息。

解決此問題的方法是使用許多UNIX實現中使用的相同方法。數據區域中的每個扇區都被視為可能充滿了目錄條目。由于每個扇區為512字節，每個目錄條目為32字節，因此每個扇區可以包含16個條目。為了使內容與UNIX類似，將根目錄的值設置為2。將數據區域中第一個扇區的前32個字節尋址為3，將扇區的后32個字節尋址為4，以此類推。Sleuth Kit將掃描整個扇區，并確定哪些扇區實際包含目錄條目。

此方法將在使用的地址值之間產生較大的地址間隙。

時區說明

FAT不會以UNIX的增量格式存儲文件時間。FAT不會保存與GMT的時間差，而只是保存原始的小時，分鐘和秒值。偵聽工具包將所有時間以UNIX GMT偏移量格式存儲，并將FAT時間轉換為UNIX偏移量。識別GMT偏移時，它將使用當前時區值。

如果該工具以良好的ASCII格式顯示時間，則將使用相同的時區將偏移值轉換為日期。因此，您可以使用任何時區值，并且時間不會更改（只是時區名稱）。另一方面，如果您使用ils或fls -m之類的工具以偏移格式顯示時間，則它將具有當前時區的偏移量或使用’-z’指定的時區。因此，請確保與Mactime一起使用相同的“ -z”參數，以在時間軸中顯示正確的時間。

時間一般注意事項

FAT中的每個文件最多可以存儲3次（最后訪問，寫入和創建）。最后寫入時間是唯一的“必需”時間，精確到一秒。創建時間是可選的，并且精確到十分之一秒（請注意，我已經在Windows中看到多個系統目錄，其創建時間為0）。最后訪問時間也是可選的，并且僅精確到當天（因此，The Sleuth Kit中的時間為00:00:00）。

FAT規范可在以下位置找到：

http://www.microsoft.com/whdc/system/platform/firmware/fatgen.mspx