Какая информация содержится fat

Полную версию статьи со всеми дополнительными видео уроками смотрите в источнике: https://hetmanrecovery.com/ru/recovery_news/fat-structures.htm

Читайте о системных структурах файловой системы FAT: загрузочный сектор, FSINFO, таблица FAT и записи каталогов. Описание, размерность полей и интерпретация Процесс поиска удаленных файлов состоит из обнаружения и интерпретации содержимого диска. Этой статьей мы откроем цикл, в котором расскажем, как найти и правильно «прочитать» системную информацию. Существует четыре версии FAT — FAT8, FAT12, FAT16 и FAT32. Мы проведем анализ FAT32 диска, расположенного на SD-карте памяти фотоаппарата.

Логический диск под управление FAT32 можно разделить на 3 логических части, которые идут последовательно друг за другом:

Зарезервированная область;
Область FAT;
Область данных (содержит корневой каталог и содержимое файлов);

Рис.1 Физическая структура FAT.

Система FAT очень проста и условно в ней можно выделить 4 структуры:

Загрузочный сектор.
FSINFO.
Таблица FAT.
Записи каталогов.

Загрузочный сектор

Загрузочный сектор занимает 1 сектор (чаще всего 512 байт) и располагается в первом секторе. Давайте рассмотрим подробнее его содержимое.

Смещение Размер Описание Обязательное

0 3 Ссылка на загрузочный код Нет

3 8 Метка ОС I Нет

11 2 Сколько байт в секторе Да

13 1 Сколько секторов в кластере II Да

14 2 Размер резервной области в секторах Да

16 1 Сколько копий FAT-таблицы Да

17 2 Сколько объектов в корневом каталоге III Да

19 2 Сколько секторов на диске IV Да

21 1 Метка носителя V Нет

22 2 Размер таблицы FAT в секторах III Да

24 2 Сколько секторов в дорожке Нет

26 2 Сколько головок Нет

28 4 Сколько секторов перед началом раздела Нет

32 4 Сколько секторов в кластере II Да

36 4 Размер таблицы FAT в секторах Да

40 2 Режим обновления VI Да

42 2 Номер версии Да

44 4 Кластер с корневым каталогом Да

48 2 Сектор с FSINFO Нет

50 2 Сектор с резервной копией загрузочного сектора Нет

52 12 Резерв Нет

64 1 Номер диска Нет

65 1 Не используется Нет

66 1 Последовательность байт 0x29 VII Нет

67 4 Серийный номер тома Нет

71 11 Метка тома I Нет

82 8 Метка Нет

90 420 Резерв Нет

510 2 Последовательность байт 0xAA55 Нет

Таб.1 Структура загрузочного сектора FAT.

I В кодировке ASCII;
II Задается степенью 2;
III Использовалось для ранних версий FAT. Для FAT32 = 0;
IV Если количество секторов на диске больше 65535, используется поле по адресу 32;
V Для жестких дисков – 0xf8, для съемных – 0xf0;
VI Если бит 7 равен 1, активна только одна копия FAT, индекс которой определяется разрядами 0-3. В противном случае все структуры FAT являются зеркальными копиями друг друга;
VII Последовательность байт 0x29;

Информация из загрузочного сектора играет основополагающую роль в восстановлении удаленных файлов, поэтому его обнаружение чрезвычайно важно.

Структура FSINFO

Ссылка на начало структуры хранится в загрузочном секторе, размер составляет 1 сектор (обычно 512 байт). FAT использует FSINFO для алгоритма выделения свободных секторов диска.

Смещение Размер Описание Обязательное

0 4 Последовательность байт 0x41615252 Нет

4 480 Резерв Нет

484 4 Последовательность байт 0x6147272 Нет

488 4 Сколько свободных кластеров Нет

492 4 Следующий свободный кластер Нет

496 12 Резерв Нет

508 4 Последовательность байт 0xAA550000 Нет

Таб.2 Структура данных FSINFO.

Поскольку FSINFO может не обновляться и все ее поля не обязательны, опираться на нее для извлечения данных мы не можем.

Таблица FAT

Файловая система может иметь несколько копий этой таблицы, точное количество таблиц и их размер указаны в загрузочном секторе. Обычно используется 2 копии, полностью дублирующие друг друга. Они располагаются последовательно, одна за другой, и имеют столько записей, сколько кластеров на диске.

В FAT32 структура состоит из записей размером 4 байта. Каждая запись соответствует кластеру на логическом диске и может принимать следующие значения:

0x000 0000 – если кластер свободен;
0x0fff fff7 – если кластер поврежден и не должен выделяться;
0x0fff fff8 – если кластер завершает файл или каталог;
0x000 0001 … 0x0fff fff6 – указатель на следующий кластер, занимаемый файлом или каталогом.

Чтение и анализ основной таблицы FAT и её копий позволяют выяснить, в каких кластерах хранится содержимое нужного файла.

Записи каталогов

Записи каталогов содержат имя, атрибуты файлов и каталогов, а также время создания, последнего доступа и редактирования объектов. Эта информация хранится в кластерах, выделенных родительскому каталогу, ссылку на который можно получить из загрузочного сектора.

Базовая структура (Simple File Name) поддерживает только короткие имена файлов (8 символов – имя и 3 символа – расширение). Для поддержки длинных имён файлов в добавление к базовой записи создаются дополнительные структуры (Long File Name). Записи LFN имеют размер 32 байта и предшествуют базовой записи.

Смещение Размер Описание Обязательное

0 1 Порядковый номер или последовательность байт 0xe5 I, II Да

1 10 Первые 5 символов имени файла I Да

11 1 Последовательность байт 0x0f Да

12 1 Резерв Нет

13 1 Контрольная сумма Да

14 12 Следующие 6 символов имени файла I Да

26 2 Резерв Нет

28 4 Следующие 2 символа имени файла I Да

Таб.3 Структура записи каталога Long File Name.

I Имя файла хранится в Unicode;
II FAT заменяет первый символ имени файла на 0xe5, если он удален.

Для хранения длинного имени файла может использоваться несколько структур LFN. Чтобы получить полное имя, нужно сложить все эти структуры. После дополнительных следует базовая запись каталога размером 32 байта.

Смещение Размер Описание Обязательное

0 1 Первый символ имени файла I, II Да

1 10 Следующие 10 символов имени файла I Да

11 1 Атрибуты III Да

12 1 Резерв Нет

13 1 Десятые доли секунды времени создания Нет

14 2 Часы, минуты, секунды времени создания Нет

16 2 Дата создания Нет

18 2 Дата последнего обращения Нет

20 2 Старшие 2 байта ссылки на первый кластер Да

22 2 Часы, минуты, секунды времени модификации Нет

24 2 Дата модификации Нет

26 2 Младшие 2 байта ссылки на первый кластер Да

28 4 Размер файла Да

Таб.4 Структура базовой записи каталога FAT.

I Имя файла в кодировке ASCII;
II FAT заменяет первый символ имени файла на 0xe5, если он удален;
III Возможные атрибуты перечислены в таблице.

Значение Описание

0x01 Доступ только для чтения

0x02 Скрытый файл

0x04 Системный файл

0x08 Метка тома

0x0f Длинное имя файла

0x10 Каталог

0x20 Архивный файл

Таб.5 Атрибуты.

Из базовой записи можно восстановить атрибуты файла, время создания и редактирования, а также ссылку на первый кластер содержимого.

HEX редактор

Продукты компании Hetman Software имеют встроенный HEX редактор, который позволяет быстро найти и просмотреть содержимое загрузочного сектора и его копии, записи FAT-таблицы, корневого каталога и области данных. Подробнее о том, как использовать эти таблицы и алгоритмы восстановления диска FAT, читайте у нас в блоге.

Источник

Полную версию статьи со всеми дополнительными видео уроками смотрите в источнике: https://hetmanrecovery.com/ru/recovery_news/fat-file-system-analisis.htm

Читайте об особенностях восстановления данных с носителя отформатированного в FAT. Существует множество файловых систем: FAT, NTFS, HFS и множество других. Но FAT, одна из самых старых и самых простых файловых систем, по-прежнему широко используется. В FAT32 форматируются практически все карты памяти, используемые в цифровых фотоаппаратах.

Файловая система FAT

FAT используется в большинстве портативных аудиоплееров и навигаторов. Даже мобильные телефоны и планшеты под управлением Android используют карты памяти (к примеру, miniSD, microSD), отформатированные в FAT32.

Да, FAT обладает рядом ограничений, как на максимальный объём раздела, так и на максимальный размер файла (в частности, фильмы в HD качестве бывает невозможно разместить одним файлом на разделе, отформатированном в FAT). Да, эта файловая система достаточно примитивна и не обладает встроенными средствами контроля целостности информации, встроенным сжатием и шифрованием, а также разделением прав доступа. Зато у FAT есть свои преимущества: компактность (под нужды файловой системы отводится совсем немного места), простота реализации и низкая ресурсоёмкость. Все эти достоинства и обусловили популярность файловой системы FAT среди разработчиков мобильных устройств.

Файловая система FAT: а что внутри?

Раз файловая система FAT настолько популярна, то востребованы и инструменты для восстановления данных с дисков, отформатированных с использованием этой файловой системы. В этой статье мы расскажем о внутреннем устройстве файловой системы в контексте алгоритмов, использованных в программах для восстановления FAT раздела.

Для начала стоит рассказать о том, почему восстановление удалённых файлов вообще возможно. Дело в том, что при удалении файла операционная система не стирает и не перезаписывает его содержимого: это было бы неоправданно долго. Вместо этого система просто делает пометку в соответствующей записи файловой системы, освобождая, таким образом, занятые удалённым файлом сектора на диске для использования другими программами.

Этот-то механизм и позволяет специализированным программам восстанавливать содержимое файлов. Достаточно считать записи файловой системы, идентифицировать записи, соответствующие удалённым файлам, и восстановить точные физические адреса этих файлов по данным, взятым опять же из файловой системы. Дальнейшее – дело техники.

К сожалению, такой простой подход возможен не всегда. Если файл был удалён какое-то время назад, или если записи в файловой системе были стёрты или перезаписаны, программе придётся сканировать всю поверхность диска с помощью алгоритмов сигнатурного поиска. Эти алгоритмы работают по принципу антивируса, идентифицируя файлы по известным сигнатурам. У такого подхода есть ряд ограничений: низкая скорость работы, ограниченное количество поддерживаемых форматов и невозможность полноценного восстановления фрагментированных файлов. Тем не менее, на практике эти алгоритмы прекрасно работают, ведь наиболее ценные файлы (документы, фотографии и т.п.) часто бывают небольшого размера и практически не фрагментируются.

Если же требуется восстановить фрагментированный файл, программе приходится комбинировать данные сигнатурного поиска и информацию, полученную из файловой системы – например, для того, чтобы исключить из рассмотрения сектора диска, заведомо занятые другими файлами.

Данные файловой системы

Итак, предположим, что нам нужно восстановить достаточно большой файл, который записан на диске в виде множества фрагментов. С помощью сигнатурного поиска мы сможем найти начало файла, проанализировать заголовок и определить его длину. Но если мы попытаемся сохранить данные, записанные на диске последовательно после заголовка нужного файла, то успешно восстановится только его начало – самый первый сектор. Остальные секторы могут принадлежать другим файлам. Соответственно, наша задача – использовать данные из файловой системы для того, чтобы точно определить: в какой последовательности и в какие именно секторы на диске записаны данные этого файла.

Для того чтобы ориентироваться в записанной на диск информации, Windows создает запись в файловой системе. В этой записи хранится информация, указывающая на то, какие именно секторы на диске (и в какой именно последовательности) содержат данные конкретного файла.

В поисках файловой системы

Рис.1 Жесткий диск разбит на разделы.

Для того чтобы использовать данные из файловой системы, саму файловую систему требуется найти. Прежде, чем говорить о файловой системе, нужно кратко описать систему разделов Windows.

Диски в Windows описываются системой разделов, которая содержит одну или несколько таблиц. Каждая таблица описывает один раздел. В записи указывается физический адрес начального сектора раздела и его конечный сектор (или длина). Помимо этого указывается также и тип раздела.

Для того чтобы найти файловую систему, программа проанализирует таблицу разделов Windows, если таковая сохранилась. Но что, если таблицы разделов не существует или в ней содержится неактуальная информация (например, нужный нам раздел был удалён, а на его месте был создан другой раздел)? В этом случае программа прибегнет к сканированию диска с целью поиска файловой системы.

Раздел Начало Конец Тип

System (С:) 0 199 NTFS

Archive (D:) 200 399 FAT

Work (E:) 400 599 FAT

Таб.1 Таблица с информацией о начале, конце и типе каждого раздела.

Для поиска файловой системы будем исходить из предположения, что в каждом разделе диска находилась файловая система. Как правило, файловые системы можно идентифицировать по некоторой постоянной сигнатуре. Например, файловую систему FAT можно идентифицировать по значениям, записанным в байты 510 и 511 первого сектора. Если значения по этим адресам – 0x55 и 0хАА соответственно, то можно приступить к дополнительной проверке.

Дополнительные проверки позволяют отличить случайно встреченную последовательность данных от истинной сигнатуры файловой системы. Проверяется, например, диапазон значений, допустимых для некоторых полей структуры данных. Одно из полей файловой системы FAT определяет количество секторов в кластере. Его значение всегда представляет собой степень двойки из последовательности: 1, 2, 4, 8, 16, 32, 64 или 128. Если по данному адресу содержится любое другое значение, то найденная нами структура не принадлежит файловой системе FAT.

В статье «Алгоритм восстановления файла на диске FAT» мы рассмотрим поиск содержимого удаленного файла на конкретном примере.

Источник

Полную версию статьи со всеми дополнительными видео уроками читайте в нашем блоге… https://hetmanrecovery.com/ru/recovery_news/difference-between-ntfs-fat-fat32-and-exfat-file-systems.htm

Читайте о том, что собой представляют файловые системы и какие у них между собой отличия. Сделаем акцент на разнице между файловыми системами «NTFS», «FAT», «FAT32» и «exFAT».

Введение

За ответственное и сохранное расположение информационных материалов отвечают запоминающие устройства. Для их успешного и безошибочного функционирования необходимо обязательное наличие программного интерфейса, структурирующего расположение любой информации, и предоставляющего упорядоченные способы управления доступными ресурсами. Такой урегулированный контролируемый способ внутренней организации, расположения и упорядочивания данных, в соответствии с собственными методами каталогизации и озаглавливания, на различных носителях информации в компьютерах и ноутбуках, а также в разнообразных сторонних электронных устройствах, получил обобщающее название файловая система.

Файловые системы имеют собственную классификацию и представлены различными видами, включающие как наиболее распространенные «NTFS», «FAT», «HFS+», «Extfs», «Ext2», «ReiserFS», «XFS», «HPFS», «ext2», «OpenBSD», «UDF», «YAFFS», так и довольно редкие «ZFS», и данный ряд может быть существенно дополнен многими другими вариантами.

Наиболее часто встречающимися и массово представленными файловыми системами безусловно являются «NTFS», «FAT», «FAT32» и «exFAT». Но обычный пользователь не всегда точно может понять разницу между системами. В этой статье мы попытаемся рассмотреть общее понятие файловой системы и ответить на отдельные вопросы, такие как: – «Что представляют собой файловые системы «FAT», «FAT32», «exFAT» и «NTFS» и в чем разница между ними?».

Определение термина файловая система

Файловая система – это организованный порядок, определяющий набор правил для безопасного расположения, хранения и последующего доступа к разнообразным данным на запоминающих хранилищах информации в компьютерных и других устройствах, содержащих цифровой накопитель. Параметры файловой системы изначально определяют формат содержимого, группируют его в понятном, для операционной системы, виде, содержащим набор файлов и каталогов, устанавливают максимальный граничный размер файла и раздела, управляют приоритетами доступа, осуществляют шифрование файлов, назначают набор атрибутов файла и перенаправляют к конкретной информации при соответствующем запросе операционной системы.

Программная система управления аппаратными средствами компьютера идентифицирует любой накопитель как набор однотипных кластеров. Драйверы файловой системы организуют кластеры доступного дискового пространства в файлы и каталоги и содержат список реализованной организации, на основании которого происходит отслеживание и маркировка используемых, свободных или неисправных кластеров, а также осуществляется переход к нужным ячейкам хранения данных по первому требованию.

Файловые системы обслуживают любые виды накопителей информации и управляют различными категориями, например, носители с произвольным или последовательным доступом, виртуальные и сетевые файловые системы, оптические носители, устройства на базе флэш-памяти и т.д.

Главные функции файловой системы сводятся к построению логической модели внутренней организации пространства запоминающего устройства, устойчивой к сбоям питания, ошибкам аппаратных и программных средств, и обеспечению беспрепятственного взаимодействия элементов операционной системы и программных приложений с расположенными на носителе информационными ресурсами.

Что представляют собой файловые системы «FAT», «FAT32», «exFAT» и «NTFS»

Операционная система «Windows», как самый массовый представитель систем управления компьютерными устройствами в мире, настроена на взаимодействие с различными файловыми системами («NTFS» и «FAT»), но «NTFS» поддерживает большие размеры файлов и томов и обеспечивает более эффективную организацию данных, по сравнению с другими вариантами файловых систем.

И несмотря на общие цели, файловые системы «NTFS» и «FAT» различаются методами организации и хранения данных на диске, а также указанием типов атрибутов, прикрепленных к файлам. И далее мы представим непосредственное описание конкретных файловых систем.

Файловая система «FAT»

Сокращенная аббревиатура «FAT» расшифровывается как «таблица размещения файлов». Это простая классическая архитектура файловой системы, изначально предназначенная для небольших дисков и простых структур папок. Иными словами, файловая система «FAT» представляет собой групповой метод организации, в котором таблица размещения файлов выделена в отдельную логическую область и находится в начале тома. Для исключения непреднамеренных или случайных ошибок, способных повлиять на корректное отображение таблицы, система, в целях безопасности, хранит копию массива индексных указателей.

Файловая система «FAT32»

«FAT32» является фактическим стандартом, пришедшим на смену более ранним версиям файловой системы «FAT», «FAT12» и «FAT16», и изначально устанавливается на большинстве видов сменных носителей по умолчанию. Пространство «FAT32» логически разделено на три сопредельные области: зарезервированную область для служебных структур, табличную форму указателей и непосредственную зону записи содержимого файлов. Файловая система позволяет использовать накопители на ее основе не только на современных моделях компьютеров, но и в устаревших устройствах и консолях, снабженных разъемом «USB».

Тем не менее, стандарт «FAT32» имеет определенные системные ограничения. Размер отдельных файлов на диске с файловой системой «FAT32» не может превышать четыре гигабайта. Кроме того, весь раздел «FAT32» должен быть менее восьми терабайт. По совокупности ограничений, формат «FAT32» считается подходящим для «USB-накопителей» или внешних носителей информации. Для внутреннего накопителя, особенно при желании установить новейшую версию операционной системы «Windows 10», отсутствие отдельных привилегий прикладного уровня в «FAT32» будет серьезным препятствием, и потребует наличия более продвинутой версии файловой системы.

Файловая система «exFAT»

«exFAT» – это сокращенное обозначение от полного английского названия «Extended File Allocation Table» («расширенная таблица размещения файлов»). Стандарт является обновленной версией файловой системы «FAT32», созданный корпорацией «Microsoft». Основными параметрами система «exFAT» чрезвычайно похожа на «FAT32». Но главным отличием является устранение ограничений, присутствующих в файловой системе «FAT32», что позволяет пользователям хранить файлы намного большего размера, чем четыре гигабайта.

Также в файловой системе «exFAT» значительно снижено число перезаписей секторов, ответственных за непосредственное хранение информации, что особенно важно для флэш-накопителей, ввиду необратимого изнашивания ячеек после определённого количества операций записи, и улучшен механизм распределения свободного места.

Файловая система «NTFS»

«NTFS» («файловая система новой технологии») была в основном создана с целью устранения ограничений и недостатков файловых систем «FAT», улучшения производительности, надёжности и эффективности использования дискового пространства, а также создания надежного механизма защиты и хранения информации. Файловая система «NTFS» хранит информацию о файлах в главной файловой таблице «Master File Table» («MFT»), осуществляет разграничение доступа к данным для различных пользователей, предотвращает несанкционированный доступ к содержимому файла, применяя систему шифрования под названием «Encryption File System», которая использует защитный метод «прозрачного шифрования» данных.

Помимо вышесказанного, в файловой системе «NTFS» добавлена способность, отсутствующая в характеристиках файловой системы «FAT», открывать файлы, в названиях которых не используются английские буквы, позволяя использовать любые символы стандарта кодирования юникода «UTF». Таким образом, ограничения использования в названиях символов любых сложных языков, например, хинди или корейский, отсутствует.

Разница между файловыми системами «NTFS», «FAT», «FAT32» и «exFAT»

Файловая система «FAT» создавалась первоначально для накопителей незначительного объема и способна поддерживать граничные размеры файлов до четырех гигабайт, в то время как в системе «NTFS» допустимый предел размера увеличен до шестнадцати терабайт. Далее подробнее представлены другие отличия:

«NTFS»

Поддержка файлов и дисков значительных размеров, на порядок превышающие остальные файловые системы.
Позволяет использовать расширенные имена файлов, включая поддержку множества сложных языков.
Падение работоспособности системы при запуске приложения проверки жёсткого диска или внешнего накопителя на ошибки файловой системы «chkdsk».
Стандартное приложение обслуживания системы «chkdsk» печально известно своей медлительностью.
Повышен уровень безопасности благодаря внедрению метода шифрования файлов.
Значительно быстрее на дисках объемом менее сорока гигабайт.
Меньшие файловые кластеры.
Поддержка сжатия на уровне файловой системы для файлов, каталогов и дисков для уменьшения дискового пространства.
Пользовательские разрешения для файлов и папок.
Копии файлов «отменяются», если прерванный кластер очищен.
Небольшие файлы хранятся в главной таблице файлов в начале диска.

«FAT»

Не совместим с последней версией операционной системы «Windows».
Поддержка дисков от тридцати двух мегабайт до двух терабайт.
Более сильные преимущества и результативные особенности инструментов для восстановления.
Поддерживает быструю проверку работоспособности диска.
Простой способ размещения операционной системы и быстрый алгоритм чтения файлов.
Быстрее функционирует на дисках объемом менее десяти гигабайт.
Цепочки кластеров, содержащие данные из прерванных копий, помечаются как поврежденные.
Таблица основных файлов отделена от других файлов.

«FAT 32»

Отсутствуют функции безопасности, которые реализованы в более современной файловой системе «NTFS».
Не удается установить новейшие версии операционной системы «Windows» (поскольку файл имеет большой размер и может быть установлен только на диски, отформатированные в системе «NTFS»).

«exFAT»

Доступ к дискам с файловой системой «exFAT» в операционной системе «Linux» можно получить только после установки соответствующего программного обеспечения.
Работает со всеми версиями операционной системы «Windows» и современными версиями системы «Mac OS X».

Заключение

Для хранения, передачи и распространения цифровой информации в обязательном порядке используются различные виды внутренних или внешних запоминающих устройств, каждый из которых оснащен файловой системой. Разнообразные виды дисковых хранилищ, одномоментно задействованных для хранения информации и использующих различные вариации стандартов файловых систем, не ограничивается единственным экземпляром, и могут иметь разные характеристики.

В зависимости от предъявляемых к накопителям требованиям, пользователи могут, на основании представленного сравнительного обзора, разобраться в особенностях отдельных файловых систем и самостоятельно выбрать наиболее удачную версию для каждого конкретного устройства. По своему усмотрению пользователи могут оставить без изменений, установленную первоначально, файловую систему, при использовании носителя информации на широком круге различных компьютерных устройств, или обновить ее до максимально выгодной файловой системы «NTFS» при необходимости статичного использования запоминающего дискового накопителя, например, в качестве основы для установки новейшей версии операционной системы «Windows 10».

Источник