基于虚拟磁盘的文件系统知识实验设计

程 琳，李 扬

（安徽公安职业学院信息网络安全监察系，合肥 230088）

1.引言

文件系统知识是公安院校电子数据取证类课程的重要内容，通过这一部分内容的学习学生具有文件系统基础理论知识和计算机数据恢复的实践能力。硬盘有价，数据无价，在案件的侦查过程当中，一些电子证据会被无意的删除丢失或者是有意的损坏销毁，在进行电子数据取证的时候，可能会用到文件系统的基础知识，对相应的数据进行还原，或者对存储介质中的碎片进行搜索深挖，以获得更多的线索。因此，对于公安院校网安专业的学生来说，熟练掌握文件系统的基本原理和数据恢复的方法，对提升其今后取证工作中的解决问题的能力是非常必要的[1]。

文件系统知识这一部分内容对实践能力要求较高，理论知识晦涩难懂，必须通过系列实验教学，才能让学生深入理解文件系统基本结构，熟练掌握数据恢复原理、方法和常用工具软件的使用。在学校普通机房中，一般一个机房由多门计算机课程公用，机器的维护管理一般有还原卡保护、软件限制和系统克隆等几种办法，以防止文件丢失、系统破坏从而影响学生的正常上机。但是对于文件系统知识的相关实验来说，普通机房不能满足学生的实验要求，例如有些时候需要重新启动计算机，但是重启计算机后还原设置生效，之前的实验所有操作都失效，有的内容涉及破坏性的实验，例如磁盘分区、格式化、修改主引导记录等,这些操作都涉及磁盘的“敏感区域”，可能会导致原有重要文件的损坏和系统的崩溃，使得实验无法继续进行。如果做一次实验就重装一次系统，机房的管理维护负担太重，也降低了工作和学习的效率。笔者通过比较研究发现，虚拟磁盘作为文件系统知识实验的平台，有着对实验室硬件要求低、维护方便、操作简单等诸多优势。利用虚拟磁盘技术能够很好的解决上述问题，它所建立的操作环境与真实的系统环境完全相同，并且对它的一切操作对真实的系统没有任何影响，能够有效的满足文件系统知识的学习对实验环境的特殊需求，学生利用虚拟磁盘平台开展文件系统相关实验，能够掌握相关知识点，深入理解主流文件系统的结构和原理，增强实践操作能力，提升教学效果。

2.虚拟磁盘基础知识

虚拟磁盘，简单的理解就是在本地硬盘上创建的一个虚拟磁盘空间，虚拟硬盘对应一个以vhd扩展名结尾的文件，其功能类似于物理硬盘。虚拟磁盘可以用于存储包括文档、图片、视频等各种类型的文件，亦可用于存储启动文件或者用于安装操作系统。虚拟磁盘具有维护简单、加载和卸载容易、备份与迁移方便、与虚拟机互相通用、安全性好等优点[2]。在虚拟磁盘上进行各项操作和在实际的物理磁盘上操作完全一样，可以对它进行分区、格式化、压缩、拷贝删除数据等操作，这些操作对物理分区和操作系统没有任何影响，因此虚拟磁盘有利于初学者反复试验分区、格式化等功能，完全不用担心会破坏系统，删除有用的数据文件。创建的虚拟磁盘对应的VHD文件包含了虚拟磁盘的各个分区以及分区上的所有数据信息，因此在我们需要备份时将创建的VHD文件进行备份即可。如果需要在另外一台机器上使用虚拟磁盘中的数据，我们只需要先将此VHD分离开来，然后复制到目的计算机上，再在磁盘管理中附加上去即可，也可以通过服务器进行分发，使用脚本将其附加到目的计算机。此外，它还可以像U盘一样方便的进行加载和弹出，虚拟磁盘中的数据如果非常重要，并不想被他人访问或修改，我们可以随时将此VHD进行脱机或分离操作，在需要的时候再将它加载进来使用，同样可以像U盘一样弹出某个VHD。

基于虚拟磁盘的以上特点，它可以为学生提供一个完美的实验环境，学生能够按照教学实验的要求积极实践，无需顾忌对系统和文件的破坏，大胆操作，锻炼自己的实践能力和探索精神。计算机机房也能实现一机多用，无需再另外建立一个文件系统实验专用机房，节约了设备和资金，减轻了机房管理维护的负担，也提高了工作效率。

3.文件系统实验整体规划方案

以虚拟磁盘为平台，文件系统为核心，结合理论教学内容确定实验教学目标，科学设计实验目的、实验任务和实验内容，通过实例分析、动手实践来加深对理论知识的理解，从而全面提升学生的实验技能和思维水平。WinHex是一款经典的磁盘编辑器，它能在最底层以十六进制的方式显示磁盘、分区、文件的内容，同时提供了多种文件操作功能,非常适合底层数据分析及手工数据恢复[3]。此软件为文件系统的教学实验工作提供了有效可行的措施和策略。针对文件系统知识，基于虚拟磁盘，利用winhex软件工具，分别设计了磁盘分区、FAT文件系统、NTFS文件系统三个模块的实验，降低了学校的运营成本，学生能够以更加灵活、深入的方式完成实验，同时丰富教学手段，加强实验考核，以提升教学效果。通过系列实验教学，能让学生深入理解文件系统基本结构和文件删除恢复原理，熟悉掌握相关工具软件的使用方法。实验教学模块及相应的实验内容要点如表1所示。文件系统知识系列实验整体流程图如图1所示，从图中可以看出，利用虚拟磁盘开展文件系统系列实验操作可行，并具有连续性和完整性。

在整个文件系统实验的设计上坚持以下原则：目标明确，可操作性强，难度循序渐进。例如在FAT文件系统模块试验中，为让学生很好的理解和掌握文件目录表和文件分配表的关系和作用，实验不宜太复杂，但是又要将各种情况考虑进去。首先建立一个较小的文本文件，分析此较小文件的文件目录表和对应的连续簇链，此项操作内容比较简单。接着拷贝一些文件到此分区，追加文本文件到十几KB到二十几KB之间，拷贝文件及追加文件的目的是设计一个多簇存储并且存储位置并不连续的例子，这样更具普遍性和代表性，这时文本文件的目录表和分配表发生改变，对应的簇链变长且不连续，接着分析此文件的目录表和不连续的簇链，如此设计让学生体会到文件写入存储的过程以及文件系统对文件管理的具体策略。在实验的教学过程中充分利用网络时代新教育技术——“微课”来提高教学效果。微课具有时间短、内容精、学习目标明确等特点，适合微时代的移动学习、自主学习，既可查漏补缺又能强化巩固知识[4]。针对文件系统知识的重点难点设计开发微课学习资源，课前布置任务让学生预习观看，实验过程中遇到问题可以反复观看进而将问题独立解决，不至于因为相关知识点的晦涩难懂而降低学习积极性。实验教学中的微课可以吸引学生的注意力，改变传统的教学模式，将课堂闪现变得随时学习，提高了学生的学习效率。

图1 文件系统知识系列实验整体流程

表1 主要实验教学模块及对应实验内容

4.主要实验内容

科学安排、精心设计实验内容有助于学生迅速理解掌握对应理论知识点的内容，增加学生继续深入学习的兴趣和信心，同时也提升了自己的实践能力。在整个实验设计过程中，遵循由易到难、分层递进的原则，从基础性实验、验证性实验、综合性实验，学生逐步完成知识的理解、掌握和转化的过程。

4.1硬盘分区实验设计

实验目的：理解磁盘分区的原理；掌握主引导记录MBR的结构及其含义；掌握虚拟磁盘的创建、分区和挂载等操作；掌握硬盘分区表的遍历方法。

实验内容：

（1）虚拟磁盘的相关操作:虚拟磁盘的创建（分区、初始化、格式化等）；虚拟磁盘的挂载和删除。

（2）WinHex使用方法：WinHex界面；Win⁃Hex相关设置；WinHex基础操作。

（3）硬盘分区表的数据结构分析：MBR磁盘分区表的数据结构；数据存储形态及单位换算方法；硬盘分区表的遍历分析。

（4）主分区表破坏后的修复方法。

4.2FAT文件系统实验设计

实验目的：理解FAT文件系统的基本结构；掌握FAT文件系统的分区引导记录结构及其含义；掌握文件分配表FAT的结构及其含义；掌握文件目录表FDT的结构及其含义；掌握FAT32文件系统文件的删除恢复原理。

实验内容：

（1）FAT分区引导记录的分析：FAT32文件系统数据结构；FAT分区引导扇区数据结构；BPB重要参数分析。

（2）FAT文件存储原理：FAT表的结构和作用；文件目录项的数据结构和详细分析；长文件名目录项的数据结构；起始簇号的计算方法；文件的完整存储簇链分析。

（3）FAT分区文件删除恢复原理：短文件名目录项搜索方法；长文件名目录项搜索方法；文件彻底删除后对目录表和分配表的影响；简单文件彻底删除后的恢复方法；文件或目录损坏的原因和恢复方法。

（4）FAT分区常见问题解决方法：提示分区未被格式化的恢复方法；文件或目录损坏的原因和恢复方法。

4.3NTFS文件系统实验设计

实验目的：理解NTFS文件系统的基本结构；掌握NTFS文件系统的分区引导记录结构及其含义；掌握NTFS文件系统的MFT结构及其含义；掌握NTFS文件系统文件记录10H、30H、80H等常见属性结构及其含义；掌握NTFS文件系统中文件删除恢复原理。

实验内容：

（1）NTFS引导扇区分析：NTFS文件系统的数据结构；NTFS分区引导扇区结构；BPB重要参数分析；FAT32和NTFS两个主流文件系统引导扇区的比较。

（2）主文件表MFT结构：MFT的文件记录头数据结构；MFT的属性头数据结构；簇流数据运行结构分析；10H属性的数据结构；30H属性的数据结构；80H属性的数据结构。

（3）NTFS分区文件删除恢复原理：文件彻底删除后对文件记录项的影响；MFT中文件名的搜索方法；正确文件记录项的分析判断；简单文件彻底删除后的恢复方法；文件或目录损坏的原因和恢复方法。

（4）NTFS分区常见问题解决方法：提示分区未被格式化的恢复方法；文件或目录损坏的原因和恢复方法。

5.防抄袭实验考核

良好有效的课程考核方法能够调动学生学习的主动性，提高学生的学习能力[5]。实验考核是本门课程考核的重要组成部分，本门课程的实验考核中文件系统知识实验考核占了百分之七十。在这部分实验教学过程中，每个实验模块都会布置相应的实验任务并让学生按时提交实验报告，实验报告的评价得分按照比例计入期末考试总成绩。文件系统知识实验都在联入互联网的机房中完成，而在实验报告提交的过程中，学生之间利用网络、U盘进行电子拷贝简单方便，为保证教学评价的公平公正，促进良好学风的形成，有必要采取一些手段来避免这种抄袭的发生。根据文件系统存储的原理，结合WinHex软件的使用，从一开始的实验任务、实验要求中设计防抄袭解决方案，在多处实验步骤中引入学生自己独有的“标记”，如：学号、姓名、手机号码、宿舍编号、籍贯、家庭住址、毕业学校或者随机的一个数值等，而这样一些数据在学生的实验报告中的截图里可以清晰的显示出来，这样从源头上避免实验报告的相互拷贝抄袭。

例如，在FAT文件系统实验考核中，让学生以自己的学号作为文件名建立文本文件，文件内容为自己高中毕业学校的网站上拷贝下来的新闻等信息，然后对这个文件的目录表、簇链进行相关分析，一直到最后的删除恢复，而这样一些个人“独有信息”最终会在学生提交的实验报告中出现。FAT文件系统实验考核设计部分内容如表2所示，学生提交的部分实验报告截图如图2、图3所示，可以看出，在winhex界面对应的文本字符区清晰的显示出这些“独有信息”，图2中显示有学生的学号，图3中显示有学生的姓名及高中毕业学校网站的新闻，此实验是否由学生独立完成老师在批改时一目了然。此类设计，对有抄袭动机的学生起了一定的威慑作用，有效监督了学生实验过程，端正了学纪学风，提高了学生独立学习的积极性和主动性，同时也提高了教学效果[6]。

图2 学生提交的文件目录表截图

图3 删除的文件对应簇的内容截图

表2 FAT文件系统实验部分内容

6.结束语

综上所述，利用虚拟磁盘平台和WinHex软件工具可以有效的开展文件系统知识相关实验，它很好地解决了实验室设备配置不高、维护麻烦的问题，提高了实验设备的利用效率，帮助学生理解掌握了相关知识，提高了学习兴趣，动手实践能力也得到了加强，与此同时防抄袭实验考核设计有效遏制了学生间电子文档的相互拷贝，促进了考核的公平公正。通过笔者对我院信息网络安全监察系2018-2019第二学期两个班级120名学生的教学实践，发现采用本文提出的方案进行文件系统知识的实验教学有效地提高了学生的学习积极主动性，提高了学习效率和教学效果，有利于思维拓展和创新精神的培养，这些都为将来的取证工作打下坚实的基础。