电子数据取证-驱动器

①磁盘驱动器：一个典型的磁盘驱动器每个扇区存储512字节。（对于高级格式磁盘，每个扇区存储4096字节）将柱面数乘以磁头磁头数，再乘以扇区数，就可以确定磁盘上可寻址字节的总数。

②Windows操作系统可以有三个主分区，后面跟着一个扩展分区，扩展分区可以包含一个或者多个逻辑驱动器。检查分区物理级别的一种方法是使用磁盘编辑器，如winhex或者hex workshop。并详细介绍了使用winhex确定磁盘操作系统的步骤。

③文件分配表（fat）是微软为软盘设计的文件结构数据库。他被用来组织磁盘上的文件，这样操作系统就可以找到它需要的文件。fat16允许大簇的一个无意的副作用是，随着簇大小的增加，它减少了碎片化。

④在Windows资源管理器中或者使用ms-dos delete 命令删除一个文件时，操作系统会在相关目录项中文件名的首字母位置插入十六进制 e5（oxe5）。这个值告诉操作系统该文件不再可用，可以将一个新文件写入相同的集群位置。