一 碎片类型分类
从碎片的构成形式上来讲可以有三种形式构成,并且我将它们按照难度等级进行排序分类:(以下图片中均为逻辑存储状态,并非磁盘中的物理存储状态)
1. 有固定文件头信息,并且有固定长度的。
这类型的文件最典型的代表就是数据库以及amr等文件了,有固定的文件头标志以及碎片有固定的长度,及时他们的长度略有不同。但是都严格准手这一原则。这类型恢复起来难度应该说是最简单的了。找到他们的碎片,并按照固定的格式重新组合起来。从严格意义上来说,raid阵列的恢复也属于这种类型。只是他没有在每个块上做标志值,取而代之的是物理的排列顺序。
红色部分表示文件头,黄色部分表示数据区
2. 有固定文件头信息,但是无固定长度的。
这类型的文件最典型的代表就是rar,zip以及eml等文件,有固定的文件头标志,但是却无法找到他们的长度。这类型的文件我们也可以进行恢复,因为他们彼此之间挨的很近,我们可以根据他们之间的距离计算出他们的长度后进行恢复。
红色部分表示文件头,黄色部分表示数据区
3. 及无固定文件头信息,也无固定长度的。
这类型的文件最典型的代表就是jpg,office文档等,他们的碎片无任何的碎片头可言,但是我们仍然可以进行恢复。因为他们的碎片中携带大量的特征信息,如果我们足够幸运的话,根据这些特征信息我们仍然可以将文件完好的重组起来。
红色点图部分表示文件特征位置,黄色部分表示无特征位置数据区