电子取证知识和经验总结

经验：

O 如果遇到镜像打不开，挂载不了的迷惑行为，应当优先检测SHA256值，核对镜像是否出错！

 

知识：

O 关于扇区：

扇区是硬盘操作的基本单元

如果你往一个txt里写一个123456，然后查看它的大小，你会惊喜地发现此txt大小为6字节，但是占用空间为4kb

因为硬盘的读写并不是以字节为单位，而是以扇区为单位，所以一个很小的txt也必须占用一个扇区的空间

在目前见过的大多数题目的扇区大小都是256字节

但是一个非常有意思的事情是，Microsoft在2020年9月8日更新了一篇名为《4K扇区硬驱的支持策略》的文档，明确指出随着行业发展，win10将逐步更新为4K扇区（即1个扇区4096个字节）

 

 

例如可以在刚才txt的例子中看到，我的win10已经是4k扇区了

因此以后也不能肯定地说扇区大小一定是512字节

此外，为了保证兼容性，因此还推出了一个叫做512e磁盘的概念

也就是其物理扇区的大小是4096字节，但是逻辑扇区还是512字节

那么在系统层面上仍然按512字节的方式操作，就保证了兼容性

查看扇区大小可以用指令 fsutil fsinfo ntfsinfo c: （需要在管理员模式下运行）

可以看到我的电脑是512e硬盘，而不是原生4k盘（即物理和逻辑都是4k的盘）