电子数据取证知识和经验总结

发表于2021-04-11更新于2021-04-14阅读次数

经验:

  • 如果遇到镜像打不开,挂载不了的迷惑行为,最好优先检测 SHA256 值,核对镜像是否出错!

知识:

  • 关于扇区:

扇区是硬盘操作的基本单元

如果你往一个 txt 里写一个 123456 ,然后查看它的大小,你会惊喜地发现此 txt 大小为 6 字节,但是占用空间为 4kb

因为硬盘的读写并不是以字节为单位,而是以扇区为单位,所以一个很小的 txt 也必须占用一个扇区的空间

在目前见过的大多数题目的扇区大小都是 256 字节

但是一个非常有意思的事情是,Microsoft 在 2020 年 9 月 8 日更新了一篇名为《 4K 扇区硬驱的支持策略》的文档,明确指出随着行业发展,win10 将逐步更新为 4K 扇区(即 1 个扇区 4096 个字节)

例如可以在刚才 txt 的例子中看到,我的 win10 已经是 4k 扇区了

因此以后也不能肯定地说扇区大小一定是 512 字节

此外,为了保证兼容性,因此还推出了一个叫做 512e 磁盘的概念

也就是其物理扇区的大小是 4096 字节,但是逻辑扇区还是 512 字节

那么在系统层面上仍然按 512 字节的方式操作,就保证了兼容性

查看扇区大小可以用指令 fsutil fsinfo ntfsinfo c: (需要在管理员模式下运行)

可以看到我的电脑是 512e 硬盘,而不是原生 4k 盘(即物理和逻辑都是 4k 的盘)