對于DOS分區體系的磁盤進行數據恢復及電子取證時需要注意哪些事項呢?
基于DOS分區體系的磁盤,不管是主文件系統分區還是二級文件系統分區,大都起,始于距MBR扇區或EBR扇區63個扇區的位置。MBR和EBR只占用一個扇區,它們與文件系統分區間會有62個扇區的空閑空間。這部分空閑空間中有可能被用于存放附加的引導代碼、被病毒程序利用或者殘留有以前的文件系統下保存的數據,當然也可能被用于隱藏數據。Windows XP在對磁盤進行分區操作時不對這部分空間進行清除。
理論上,對于操作系統而言,EBR分區表內最多只允許記錄兩個分區表項,而且必須是一個用于描述一個文件系統分區,另一個用以描述一個擴展分區。否則操作系統則認為其為非法。我們通過實驗還發現,Winhex和R-Studio并不對此進行嚴格要求。另外還發現,如果只是主分區表遭到破壞,Winhex仍然可以識別出各個分區,并標明所有的分區為“丟失”狀態。如果有十分把握,也可以將主分區表的各個表項值計算出來,直接填入主分區表,這樣可以節省大量的數據導出時間,尤其在數據量比較大的時候。
并不是所有的操作系統都對分區類型值進行強制執行。據稱,Windows操作系統會根據這個分區類型值判斷哪個分區是可以被加載的。但實驗中發現,Windows XP似乎只是根據這個類型值判斷一個分區是否為隱藏分區而決定是否對其進行加載,在分區類型值為非隱藏分區類型值時,并不完全只憑這個類型值就判定分區是否可以被支持,而是會深入到文件系統分區的引導扇區進行判斷。
Windows操作系統對類型值為隱藏類型的分區則嚴格執行,不對其進行加載。但也并不是所有的操作系統都嚴格執行這個隱藏類型值。例如一個在Windows下被隱藏的FAT分區,則可以在Linux系統下正常加載。
有些版本的Windows只支持在MBR扇區的分區表中建立一個主文件系統分區表項,而將剩余的所有空間都使用在擴展分區中建立邏輯分區的方式進行管理。也就是說,它無法在擴展分區前建立三個主文件系統分區。
當分區表鏈遭到破壞時,可以通過搜索位于MBR扇區或EBR扇區結尾處的簽名標志“55AA”來重新定位分區表鏈中各個分區表的位置,通過分區表良內的參數值計算并重建被破壞的分區表。
對于DOS分區體系的磁盤進行數據恢復及電子取證理解起來確實存在難度,但DOS分區體系又是最常用的分區體系,包括一些基于IA32平臺的Unix兼容機也將其專用的文件系統分區封裝在DOS分區中。
沈陽數據恢復 
