我目前正在调查具有 FAT12 文件系统的磁盘映像，用于数据恢复目的/研究图像文件雕刻。对于这项调查，我有需要从磁盘映像中雕刻/恢复的实际文件（JPEG 图像），以便我可以验证从雕刻过程/恢复中获得的结果。

在对恢复文件的比较和分析过程中，我注意到正好在文件数据的两个连续簇（每个大小为 16384 字节/32 个扇区）之间，遇到了 4 个额外/嵌入的字节。这些在簇之间遇到的重复且不同的 4 个字节在相应的实际文件中找不到。我认为文件系统以某种方式使用了这些字节，因此应该删除它们，对吗？如果是，它们的目的是什么，如何在恢复过程中识别？

事实上，当我使用Autopsy分析同一个磁盘映像时，连续簇之间嵌入的 4 个字节被丢弃了。

十六进制转储：

需要从磁盘恢复的实际文件（2 个集群之间的十六进制）：

Offset      0  1  2  3  4  5  6  7   8  9 10 11 12 13 14 15

00016336   BC 55 B4 F8 A5 E1 69 82  2A DD 4A 5D DC 46 B9 80   ¼U´ø¥ái‚*ÝJ]ÜF¹€
00016352   E1 33 D3 F9 76 AE 8A 79  2E 22 0F 58 EE 67 FD AD   á3Óùv®Šy." Xîgý­
00016368   49 E9 7B 76 45 99 3E 25  69 36 F2 00 8B 71 70 C0   Ié{vE™>%i6ò ‹qpÀ
00016384   FC BB 6D 65 E9 DC F2 30  7E BD 6A B4 BF 17 52 0B   ü»meéÜò0~½j´¿ R 
00016400   64 9A 2D 13 58 B8 0E FB  13 65 9B 1E 87 93 F9 00   dš- X¸ û e› ‡“ù 
00016416   7F 11 55 4F 21 AD A7 3A  51 D7 B9 CF 3C DE 35 25    UO!­§:Q×¹Ï<Þ5%

磁盘映像：

Offset      0  1  2  3  4  5  6  7   8  9 10 11 12 13 14 15

00132880   BC 55 B4 F8 A5 E1 69 82  2A DD 4A 5D DC 46 B9 80   ¼U´ø¥ái‚*ÝJ]ÜF¹€
00132896   E1 33 D3 F9 76 AE 8A 79  2E 22 0F 58 EE 67 FD AD   á3Óùv®Šy." Xîgý­
00132912   49 E9 7B 76 45 99 3E 25  69 36 F2 00 8B 71 70 C0   Ié{vE™>%i6ò ‹qpÀ
00132928   08 B5 A9 88 FC BB 6D 65  E9 DC F2 30 7E BD 6A B4    µ©ˆü»meéÜò0~½j´
00132944   BF 17 52 0B 64 9A 2D 13  58 B8 0E FB 13 65 9B 1E   ¿ R dš- X¸ û e› 
00132960   87 93 F9 00 7F 11 55 4F  21 AD A7 3A 51 D7 B9 CF   ‡“ù  UO!­§:Q×¹Ï
00132976   3C DE 35 25                                        <Þ5%

从上面的十六进制转储可以看出08 B5 A9 88正好在两个簇之间，但是在实际文件中，这 4 个字节被删除了。

从nps-2009-canon2-gen6 磁盘映像恢复 JPEG 图像时遇到这种情况