摘要
在电子取证的教学中,对硬盘的分区结构进行分析和研究,提出一种手工恢复主分区表的方法,利用DBR扇区和EBR扇区中有关分区的冗余信息,获取分区的起始位置、大小等信息,从而重建主分区表。通过对分区连续的硬盘主分区表的恢复实验,证明该方法可行。文章最后提出了研究工作下一步的重点。
Through the analysis and research of the hard disk partition structure in the teaching of electronic forensics,this paper puts forward a manual way to restore the primary partition table.By computing the size and starting position of partition and using the formation of DBR and EBR,we can rebuild the primary partition table.The recovery experiment of the partition table on partition continuous hard disk has proved that the method is right.the article concludes with a research focus on the next step.
出处
《信息网络安全》
2012年第1期71-73,79,共4页
Netinfo Security
基金
浙江省教育科学规划2011年度(高校)研究项目[SCG184]
关键词
电子取证
主分区表
DOS引导记录
扩展引导记录
恢复技术
electronic forensics
primary partition table
DOS boot recorder
extended boot record
recovery technology
