从FAT16 USB驱动器恢复未分配空间的数据

Question

我实际上是想把我的手放在法医和信息安全的整体上。为了做到这一点，我正在努力制造大量的CTF。我要做的最后一件事令我费解，第一，因为我对此没有经验，第二，因为我不知道如何管理数据恢复。

简而言之:我有一个USB转储(FAT16)，最初它看起来大约是1GB大小。我已经用尸检和FTK成像仪从里面找到了一些文件。

当我用这些软件读取usb驱动器中包含的数据时，我可以看到大约有900 Mb的“未分配空间”，当我试图用十六进制对冲器查看它时，所有的位都是0。我有两个问题：

1. 这些位元在未分配的空间上都是0，这是正常的吗？
2. 是否存在恢复未分配数据之前存在的数据？

我想这个空间可以容纳我以前学过的旗子，但我似乎无法恢复它。我尝试过很少的事情:用FTK将驱动器安装在我的计算机上，并使用工具试图恢复它，但没有一个能工作。我也试图得到一个提示，如果所有的0's有丢失的数据，但我仍然没有任何运气。

根据尸检中发现的数据，我有以下档案：

$FAT1
$FAT2
$MBR
$Unalloc --- this is the space that is of interest to me
.Folder
File1
File2

当我打开$unalloc时，它中有一个文件，其中有一个大小，但是在十六进制中，所有位都设置为0。

Answer 1

所有零的未分配空间在新的或已清理的驱动器中很常见。使用过的驱动器通常会留下碎片和已删除的文件。

零是零，没有恢复以前的值。当人们谈到恢复文件时，他们指的是从未分配的空间中重构实际数据。显然你没有任何数据需要恢复。

把你的精力集中在你拥有的数据上。