FAT12 中簇之间的额外字节

Question

我目前正在研究具有 FAT12 文件系统的磁盘映像，用于数据恢复目的/研究文件雕刻。对于本次调查，我有需要从磁盘映像中雕刻/恢复的实际文件，以便我可以验证从雕刻过程/恢复中获得的结果。

在对恢复的文件进行比较和分析的过程中，我注意到恰好在 2 个文件数据簇（每个大小为 16384 字节/32 个扇区）之后有 4 个额外/嵌入字节。在相应的实际文件中找不到在 2 个簇之后注意到的这些重复且不同的 4 个字节。我认为这些字节被文件系统以某种方式使用，对吗？它们的目的是什么？如何在恢复过程中识别它们？

十六进制转储：

需要从磁盘恢复的实际文件（2 个集群之间的十六进制）：

Offset      0  1  2  3  4  5  6  7   8  9 10 11 12 13 14 15

00016336   BC 55 B4 F8 A5 E1 69 82  2A DD 4A 5D DC 46 B9 80   ¼U´ø¥ái‚*ÝJ]ÜF¹€
00016352   E1 33 D3 F9 76 AE 8A 79  2E 22 0F 58 EE 67 FD AD   á3Óùv®Šy." Xîgý­
00016368   49 E9 7B 76 45 99 3E 25  69 36 F2 00 8B 71 70 C0   Ié{vE™>%i6ò ‹qpÀ
00016384   FC BB 6D 65 E9 DC F2 30  7E BD 6A B4 BF 17 52 0B   ü»meéÜò0~½j´¿ R 
00016400   64 9A 2D 13 58 B8 0E FB  13 65 9B 1E 87 93 F9 00   dš- X¸ û e› ‡“ù 
00016416   7F 11 55 4F 21 AD A7 3A  51 D7 B9 CF 3C DE 35 25    UO!­§:Q×¹Ï<Þ5%

磁盘映像：

Offset      0  1  2  3  4  5  6  7   8  9 10 11 12 13 14 15

00132880   BC 55 B4 F8 A5 E1 69 82  2A DD 4A 5D DC 46 B9 80   ¼U´ø¥ái‚*ÝJ]ÜF¹€
00132896   E1 33 D3 F9 76 AE 8A 79  2E 22 0F 58 EE 67 FD AD   á3Óùv®Šy." Xîgý­
00132912   49 E9 7B 76 45 99 3E 25  69 36 F2 00 8B 71 70 C0   Ié{vE™>%i6ò ‹qpÀ
00132928   **08 B5 A9 88** FC BB 6D 65  E9 DC F2 30 7E BD 6A B4    µ©ˆü»meéÜò0~½j´
00132944   BF 17 52 0B 64 9A 2D 13  58 B8 0E FB 13 65 9B 1E   ¿ R dš- X¸ û e› 
00132960   87 93 F9 00 7F 11 55 4F  21 AD A7 3A 51 D7 B9 CF   ‡“ù  UO!­§:Q×¹Ï
00132976   3C DE 35 25                                        <Þ5%

从上面的十六进制转储中可以看出 08 B5 A9 88 正好在两个簇之间，但是在实际文件中这 4 个字节被消除了。

Answer 1

在两个集群之间遇到的额外 4 个字节是出于安全目的由 Encase 磁盘映像文件格式嵌入的 CRC。详情可参考以下link。