Vào đầu những năm 1800, Jacquard đã phát triển ý tưởngcủa Falcon và Vaucanson những người có thể đã bị ảnh hưởng bởi máy dệt của TrungQuốc vào thế kỉ thứ hai để tạo ra một máy dệt tự độ
Trang 1TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI
VIỆN CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG
──────── * ───────
Môn: An toàn bảo mật thông tin
ĐỀ TÀI : KIẾN THỨC CƠ BẢN VỀ MÁY TÍNH CHO NHÀ ĐIỀU TRA KỸ THUẬT
SỐ
Sinh viên thực hiện: Vũ Trọng Nhân– 20198252
Nguyễn Huy Hoàng - 20198227 Nguyễn Anh Tuấn- 20198268
Giáo viên hướng dẫn : ThS Nguyễn Đức Toàn
Trang 2
MỤC LỤC
Chương 1 Sơ lược về lịch sử máy tính 3
Chương 2 Hệ điều hành cơ bản của máy tính 4
2.1 Trung tâm xử lý (CPU) 4
2.2 Hệ thống đầu vào và đầu ra 5
2.3 Công cụ cấu hình POST và CMOS 5
2.4 Khởi động đĩa 6
Chương 3 Biểu diễn dữ liệu 7
3.1 Định dạng tệp 9
Chương 4: LƯU TRỮ VÀ CHE GIẤU DỮ LIỆU 11
4.1 Ẩn / Làm mờ dữ liệu 12
Chương 5: HỆ THỐNG TẬP TIN VÀ LƯU TRỮ DỮ LIỆU 13
Chương 6: ĐỐI PHÓ VỚI BẢO VỆ MẬT KHẨU VÀ MÃ HÓA 17
6 1 cơ bản của mã hóa 18
6 1 1 Mã Hóa Khóa Riêng 19
6.1.2 Mã Khóa Công Cộng 19
6.1.3 Quyền riêng tư tốt 20
6.1.4 Mã Hóa Email 20
6 2 Phát hiện và xử lý mã hóa 21
Chương 7 Tổng kết 21
Trang 3Chương 1 Sơ lược về lịch sử máy tính
Sự phát triển của máy tính hiện đại không phải là điều dễ dàng để theo dõi vì nhiềukhái niệm mà nó kết hợp Vào đầu những năm 1800, Jacquard đã phát triển ý tưởngcủa Falcon và Vaucanson (những người có thể đã bị ảnh hưởng bởi máy dệt của TrungQuốc vào thế kỉ thứ hai ) để tạo ra một máy dệt tự động sử dụng các chuỗi thẻ các tôngđược đục lỗ để tạo ra các mẫu cụ thể trên vải dệt thoi, giống như thẻ đục lỗ được sửdụng để lập trình máy tính trong thế kỷ XX Chưa đầy một thập kỷ sau, Babbage đãtưởng tượng ra động cơ hơi nước có thể thực hiện các phép toán số học và một sốngười coi anh ta là cha đẻ của máy tính Sau đó vào những năm 1800, Augusta Ada đềxuất một sử dụng hệ thống hệ nhị phân thay vì hệ thập phân và George Boole đã pháttriển logic Boolean
Hình 1 Biều đồ máy tính Atanasoff-Berry
Ngay cả những phát triển gần đây của máy tính cũng đầy tranh cãi Từ năm 1940 trở
đi, George Stiblitz của Phòng thí nghiệm Bell Atlantic đã phát triển một số máy tínhbao gồm cả Model 5 và trình diễn một máy tính chuyển tiếp (không hoàn toàn điện tử)
sử dụng thiết bị đầu cuối từ xa ở Dartmouth được kết nối qua các đường dây điện thoại
đã sửa đổi với máy tính chính ở Thành phố New York Sau đó, vào năm 1941, một kỹ
sư người Đức tên là Konrad Zuse dường như đã tạo ra một máy tính nhị phân điện tử
có tên là Z3 sử dụng phim cũ để lưu trữ các chương trình và dữ liệu của mình
Đồng thời, Máy tính Atanasoff-Berry kỹ thuật số điện tử (ABC), được đặt theo tênnhững người phát minh ra nó, được chế tạo với các ống chân không, tụ điện và thẻ đục
lỗ (Hình 1) Ngay sau đó, Máy tích hợp số điện tử và Máy tính (ENIAC) được tạo rabởi Eckert và Mauchly, nhưng bằng sáng chế đã sau đó bị vô hiệu hóa vì được cả haiphát minh được coi như giống máy tính ABC (Honeywell v Rand, 1973)
Nhiều người khác đã đóng một vai trò trong sự phát triển của máy tính hiện đại và đã
có những phát triển mang tính cách mạng trong công nghệ máy tính kể từ khi máy tínhABC và ENIAC đã tạo ra giá trị quan trọng nhất tác động đến tội phạm và bằng chứng
kỹ thuật số Đặc biệt, máy tính cá nhân cho phép các cá nhân sở hữu và chỉ huy một cỗ
Trang 4máy mạnh mẽ mà chỉ một quốc gia mới có đủ khả năng 50 năm trước Sự sẵn có hàngloạt của máy tính đã gây ra những thay đổi trong cách mà tội phạm hoạt động và cáctòa án vẫn đang vật lộn với những thay đổi này
Máy tính cá nhân trở nên khả thi vào năm 1974 khi một công ty nhỏ có tên là Intel bắtđầu bán chip máy tính rẻ tiền được gọi là bộ vi xử lý 8080 Một bộ vi xử lý 8080 duynhất chứa tất cả các mạch điện tử cần thiết để tạo một máy tính có thể lập trình được.Gần như ngay lập tức, một số máy tính nguyên thủy được phát triển bằng bộ vi xử lýnày Vào đầu Những năm 1980, Steve Jobs và Steve Wozniak đang tiếp thị hàng loạtmáy tính Apple và Bill Gates đã làm việc với IBM để tiếp thị đại chúng máy tính cánhân của IBM Ở Anh, các máy tính Acorn và Sinclair đã được bán Các Sinclair, mộtbàn phím nhỏ có thể cắm vào TV và âm thanh tiêu chuẩn máy cassette để lưu trữ bộnhớ, là cuộc cách mạng vào năm 1985 Giấc mơ của Bill Gates chính là thay thế máytính lớn tập trung, đắt tiền bằng những máy tính nhỏ, rẻ tiền Ngoài ra, sự phổ biến củanhững máy tính này trên toàn thế giới đã tạo ra một mạng máy tính bước hợp lý tiếptheo
Chương 2 Hệ điều hành cơ bản của máy tính
2.1 Trung tâm xử lý (CPU)
Mỗi lần bật máy tính, máy tính phải tự làm quen với nội bộ ,các thành phần của nó vàthế giới ngoại vi Quá trình khởi động này được gọi là boot process vì nó giống nhưthể một máy tính phải tự khởi động lên bằng các chuỗi khởi động của nó Các quátrình khởi động có ba giai đoạn cơ bản: đặt lại đơn vị xử lý trung tâm (CPU), tự kiểmtra khi bật nguồn (POST) và khởi động đĩa
Hình 2 Xung điện khởi động lại CPU, kích hoạt BIOS
Trang 52.2 Hệ thống đầu vào và đầu ra
BIOS xử lý chuyển động cơ bản của dữ liệu xung quanh máy tính Mọi chương trìnhchạy trên máy tính sử dụng BIOS để giao tiếp với CPU Một số chương trình BIOScho phép một cá nhân đặt mật khẩu, cho đến khi mật khẩu được nhập vào, BIOS sẽkhông chạy và máy tính sẽ không chạy
2.3 Công cụ cấu hình POST và CMOS
BIOS chứa một chương trình gọi là POST để kiểm tra các thành phần cơ bản của máytính Khi CPU lần đầu tiên kích hoạt BIOS, chương trình POST được bắt đầu Để antoàn, bài kiểm tra đầu tiên xác minh tính toàn vẹn của CPU và chính chương trìnhPOST Phần còn lại của POST xác minh rằng tất cả các thành phần của máy tính đanghoạt động bình thường, bao gồm ổ đĩa, màn hình, RAM và bàn phím Đáng chú ý, saukhi BIOS được kích hoạt và trước khi POST hoàn tất, có thể làm gián đoạn quá trìnhkhởi động và người dùng thực hiện các hành động cụ thể Ví dụ: máy tính dựa trênIntel cho phép người dùng mở công cụ cấu hình metal oxide silicon (CMOS) tại giaiđoạn Máy tính sử dụng chip RAM CMOS để lưu lại ngày, giờ, ổ cứng thông số vàcác chi tiết cấu hình khác trong khi nguồn chính của máy tính tắt Một nguồn Pin nhỏcung cấp năng lượng cho chip CMOS — các máy tính cũ hơn có thể không khởi độngđược ngay cả khi nguồn chính được bật vì pin CMOS này đã hết, khiến máy tính
"quên" cài đặt phần cứng của nó
Sử dụng công cụ cấu hình CMOS, có thể xác định hệ thống thời gian, xác định xemtrước tiên máy tính sẽ cố gắng tìm hệ điều hành trên ổ cứng chính hay ổ đĩa khác vàthay đổi cài đặt máy tính cơ bản như cần thiết Khi thu thập bằng chứng kỹ thuật số từmáy tính, thường cần làm gián đoạn quá trình khởi động và kiểm tra cài đặt CMOSchẳng hạn như hệ thống ngày giờ, cấu hình ổ cứng và trình tự khởi động Trong một sốtrường hợp, có thể cần phải thay đổi cài đặt CMOS để đảm bảo rằng máy tính sẽ khởiđộng từ đĩa mềm thay vì bằng chứng cứng ở ổ đĩa
Trong nhiều máy tính, kết quả của POST được kiểm tra dựa trên một bản ghi được lưutrữ trong vi mạch CMOS Nếu có vấn đề ở bất kỳ giai đoạn nào trong
POST, máy tính sẽ phát ra một loạt tiếng bíp và có thể là một thông báo lỗi trên mànhình Hướng dẫn sử dụng máy tính nên giải thích các tổ hợp tiếng bíp cho nhiều lỗikhác nhau Khi tất cả các bài kiểm tra phần cứng hoàn tất, BIOS sẽ hướng dẫn CPU đểtìm đĩa chứa hệ điều hành
Một số máy tính Sun và Macintosh tuân theo các trình tự khởi động và thuật ngữ hơikhác nhau Ví dụ, máy tính Macintosh gọi chip CMOS là Parameter RAM (PRAM).Sau quá trình POST, trên các hệ thống Macintosh không dựa trên Intel, một chươngtrình có tên Open Firmware (tương tự như PC-BIOS) khởi tạo và cố gắng xác định vịtrí phần cứng được đính kèm Mở Firmware sau đó thực hiện một chuỗi các thao tác
Trang 6để tải hệ điều hành Macintosh Hệ thống Macintosh dựa trên Intel sử dụng EFI hiệnkhông cho phép người dùng làm gián đoạn quá trình khởi động Hệ thống máy tínhSun có POST cấp thấp kiểm tra nhiều các chức năng cơ bản của phần cứng nhất Saukhi máy Sun thực hiện POST đầu tiên này, chúng gửi quyền kiểm soát đến chươngtrình cơ sở OpenBoot PROM (OBP) (tương tự như PC-BIOS) và thực hiện các thửnghiệm hệ thống bổ sung và các tác vụ khởi tạo.
2.4 Khởi động đĩa
Hệ điều hành mở rộng các chức năng của BIOS và hoạt động như một giao diện
giữa máy tính và thế giới bên ngoài Nếu không có hệ điều hành, sẽ rất khó để tươngtác với máy tính — các lệnh cơ bản sẽ không khả dụng, dữ liệu sẽ không được sắp xếptrong các tệp và thư mục và phần mềm sẽ không chạy trên máy
Hầu hết các máy tính đều mong đợi một hệ điều hành được cung cấp trên đĩa mềm, đĩacứng, hoặc đĩa nén Vì vậy, khi máy tính đã sẵn sàng tải hệ điều hành, nó sẽ nhìn trêncác đĩa này theo thứ tự được chỉ định bởi trình tự khởi động cài đặt đã đề cập trongphần trước Máy tính tải hệ điều hành đầu tiên mà nó tìm thấy Sự thật này cho phépbất kỳ ai cũng có thể thay thế hệ điều hành chính của máy bằng cách cung cấp một hệđiều hành thay thế trên một đĩa khác Ví dụ, một đĩa mềm có chứa hệ điều hành có thểđược chèn vào vào một máy tính dựa trên Intel để ngăn hệ điều hành trên đĩa cứng tảilên Có thể lập trình Phần mềm mở rộng Macintosh (Power PC) để khởi động từ CD-ROM bằng cách giữ phím “c” Sun OBP có thể bị ngắt bằng cách nhấn đồng thời phím
“Dừng” và “A” ,thiết bị khởi động có thể được chỉ định tại dấu nhắc ok (ví dụ: bootcdrom)
Khả năng ngăn máy tính sử dụng hệ điều hành trên đĩa cứng này rất quan trọng khi đĩachứa bằng chứng Các nhà điều tra kỹ thuật số không nên cố gắng thực hiện các hànhđộng như vậy trên một máy tính chứa bằng chứng trừ khi họ đã quen thuộc với loại hệthống cụ thể Trong một trường hợp, một kỹ thuật viên được yêu cầu ghi lại thời gian
hệ thống của Macintosh iBook trước khi tháo ổ cứng của nó Anh ta khởi động hệthống và cố gắng làm gián đoạn quá trình khởi động để truy cập vào CMOS, nhưngkhông biết làm thế nào để làm gián đoạn quá trình khởi động Kết quả là, hệ thống đãkhởi động từ ổ cứng bằng chứng, thay đổi dấu ngày-giờ của tệp và dữ liệu hữu íchtiềm năng khác trên đĩa Trong những tình huống như vậy, an toàn hơn là tháo ổ cứngtrước khi khởi động hệ thống để ghi lại cấu hình hệ thống
Chương 3 Biểu diễn dữ liệu
Tất cả dữ liệu kỹ thuật số về cơ bản là sự kết hợp của số một và số không, thườngđược gọi là bit Các nhà điều tra kỹ thuật số thường cần xử lý dữ liệu ở cấp độ bit, đòihỏi sự hiểu biết về cách các hệ thống khác nhau biểu diễn dữ liệu Ví dụ, biết rằng số 2
Trang 7được biểu diễn dưới dạng 10 trong hệ nhị phân có thể hữu ích khi giải thích dữ liệu vàkhông chỉ để lấy câu chuyện đùa "Chỉ có 10 kiểu người trên thế giới: Những ngườihiểu về hệ nhị phân và những người không" Số 511 được biểu thị là 00000001
11111111 trên các hệ thống kiểu đầu to (ví dụ: máy tính có bộ xử lý Motorola nhưMacintosh; máy tính dựa trên RISC như Sun) Con số tương tự được biểu thị là
11111111 00000001 trên các hệ thống kiểu đầu nhỏ như máy tính chạy Intel Nói cáchkhác, các kiến trúc kiểu đầu to đặt các byte quan trọng nhất ở bên trái (đặt phần cuốilớn trước) trong khi các kiến trúc kiểu đầu nhỏ đặt các byte quan trọng nhất ở bên phải(đặt phần cuối nhỏ trước)
Cho dù dữ liệu kiểu đầu to hay đầu nhỏ , thì biểu diễn dữ liệu nhị phân này (những sốmột và số không) là khá cồng kềnh Thay vào đó, các nhà điều tra kỹ thuật số thườngxem cách biểu diễn dữ liệu theo hệ thập lục phân Một cách biểu diễn dữ liệu thườngđược sử dụng khác là ASCII Tiêu chuẩn ASCII quy định rằng tổ hợp của số một và sốkhông đại diện cho các chữ cái và số nhất định Bảng 1 cho thấy ASCII và giá trị thậplục phân của chữ in hoa
Một ví dụ về bản dịch giữa hệ thập lục phân và ASCII là 45 4F 47 48 41 4E 20 43 41
53 45 59, đánh vần "EOGHAN CASEY", trong đó số thập lục phân 20 là kí hiệu củakhoảng trắng
Về mặt khái niệm, các chương trình hiển thị từng byte dữ liệu trong hệ thập lục phân
và định dạng ASCII giống như kính hiển vi, cho phép các nhà điều tra kỹ thuật số xemcác đặc điểm thường không nhìn thấy được Ví dụ, tài liệu Word chứa dữ liệu thườngkhông hiển thị nhưng có thể được hiển thị bằng trình xem thập lục phân như thể hiệntrong Bảng 15.2 với hệ thập lục phân ở bên trái và ASCII ở bên phải Các chữ cái viếtthường được biểu thị bằng các giá trị thập lục phân khác nhau, vì vậy 45 6f 67 68 616e 20 4361 7365 79 đánh vần là “Eoghan Casey”
Trang 8Sự khác biệt rõ ràng nhất giữa kiểu dữ liệu đầu nhỏ và kiểu dữ liệu đầu to là khi
chuyển đổi dữ liệu từ biểu diễn máy tính của họ thành một kiểu đọc được Ví dụ: Bảng 15.3 hiển thị hai dòng đầu tiên của tệp tcpdump được tạo trên máy tính chạy Intel (bên trái) so với tệp tcpdump được tạo cùng một lúc trên máy tính Sun (bên phải) Ngày “Thứ bảy, ngày 10 tháng 5 năm 2003, 08:37:01 GMT” được biểu diễn bằng cách sử dụng chuỗi byte được hiển thị trong Bảng 15.3 — thứ tự byte khác nhau trên cả hai hệ thống có thể nhìn thấy rõ ràng
Bảng 2 Phân đoạn của Tài liệu Word được hiển thị ở dạng thập lục phânNhận thức được về thứ tự byte cũng thiết yếu khi tìm kiếm bằng chứng kỹ thuật số cho
sự kết hợp cụ thể của các byte Ví dụ, trong e-mail Lotus Notes, mỗi tin nhắn được gánmột mã định danh duy nhất (UID), chẳng hạn như 8A6FE5AA74B887B7,nhưng sốđược lưu trữ trong các tệp Lotus Notes NSF ở dạng big-endian Vì vậy,khi thực hiệntìm kiếm từ khóa cho mã định danh này, cần phải xây dựng tìm kiếm hệ thập lụcphân \ xB7 \ x87 \ xB8 \ x74 \ xAA \ xE5 \ x6F \ x8AP
Bảng 3 Hai tệp
Trang 93.1 Định dạng tệp
Nhiều loại tệp có cấu trúc đặc biệt được thiết kế bởi các nhà phát triển phần mềm hoặc
cơ quan tiêu chuẩn và có thể hữu ích cho việc phân loại và khôi phục các đoạn dữ liệu
Ví dụ: một định dạng tệp đồ họa như JPEG có cấu trúc hoàn toàn khác với tài liệuMicrosoft Word, bắt đầu bằng một vài byte đầu tiên ở đầu tệp (“tiêu đề”), tiếp tục đếncác vị trí lưu trữ dữ liệu trong phần chính của tệp và kết thúc bằng một vài byte đặcbiệt ở cuối tệp (“footer”) Đầu trang và chân trang cho một số loại tệp phổ biến được liệt kê trong Bảng 4
Bảng 4 Phần Header và Footer của một số tệp thông dụng
Các tiêu đề phổ biến trong tệp hình ảnh JPEG, tài liệu Word và các loại tệp khácthường được gọi là chữ ký tệp và có thể được sử dụng để định vị và phục hồi các phầncủa tệp đã xóa Quá trình tìm kiếm một chữ ký tệp và cố gắng trích xuất dữ liệu liênquan được gọi là "khắc" vì về mặt khái niệm, nó liên quan đến việc cắt một phần dữliệu cụ thể ra khỏi một tập dữ liệu lớn hơn
Khắc trong bối cảnh pháp y kỹ thuật số sử dụng các đặc điểm của một lớp tệp nhấtđịnh để định vị các tệp đó trong luồng dữ liệu thô, chẳng hạn như các cụm chưa đượcphân bổ trên ổ cứng Ví dụ: phần đầu và phần cuối của trang Web (HTML) được đánhdấu lần lượt bằng “<html>” và “</html>” Hình 3 cho thấy một ví dụ khác về bằngchứng kỹ thuật số thường thấy trong các cuộc điều tra bóc lột trẻ em — ảnh chụp từmáy ảnh kỹ thuật số Các giá trị thập lục phân “FF D8 FF” đặc trưng cho biết đây làphần đầu của tệp được mã hóa JPEG và đặc điểm “Exif” chỉ ra rằng đó là tệp Địnhdạng tệp hình ảnh có thể trao đổi phổ biến trên máy ảnh kỹ thuật số
Khi phần đầu và phần cuối của tệp được định vị, dữ liệu trung gian có thể được tríchxuất thành một tệp Quá trình khắc này có thể đạt được chỉ bằng cách sao chép dữ liệu
và dán chúng vào một tệp Ngoài ra, dữ liệu có thể được trích xuất sử dụng lệnh ddbằng cách chỉ định phần đầu và phần cuối của tệp như được hiển thị ở đây:
D:\>ddif=g:\Case1435\Prepare\unallocated-raw\memory-card-03424- unalloc of=g:\Case1435\Review\unallocated processed\ memorycard-03424-image1.jpg bs=1 skip=100934 count=652730
Trang 10Hình 3: Phần đầu của một tệp JPEG
Để làm cho quá trình này hiệu quả hơn, các công cụ đã được phát triển để tự động hóaquá trình khắc cho các loại tệp khác nhau Các công cụ pháp y chuyên dụng nhưEnCase, FTK và X-Ways cũng có một số khả năng khắc Những công cụ này có thểhữu ích để khôi phục các phân đoạn video kỹ thuật số được tạo bằng Webcam, thường
ở định dạng AVI, MPEG hoặc Quicktime và có thể bị xóa thường xuyên Kỹ thuậtkhắc này cũng hoạt động để trích xuất các tệp từ bộ nhớ vật lý của thiết bị di động và
từ lưu lượng mạng thô Ngoài ra, thiết bị di động có thể chứa dữ liệu đã xóa có thểkhôi phục được bằng các công cụ chuyên dụng (van der Knijff, 2008)
Có một số hạn chế đối với cách tiếp cận này để lấy dữ liệu từ phương tiện lưu trữ:
Đầu tiên, tên tệp và dấu ngày-giờ được liên kết với tệp khi nó được hệ thốngtệp tham chiếu không được phục hồi cùng với dữ liệu
Thứ hai, kích thước của tệp gốc có thể không được biết, do đó cần phải đoánxem cần khắc bao nhiêu dữ liệu
Thứ ba, khi tệp gốc bị phân mảnh, một quy trình khắc đơn giản giả định rằngtất cả các phần của tệp được lưu trữ liền kề trên đĩa sẽ không thành công, việctrục vớt các đoạn của nhiều tệp và kết hợp chúng thành một vùng chứa khôngchính xác
Nghiên cứu và phát triển đang được tiến hành để phát triển các công cụ khắckhắc phục một số hạn chế này đối với một số loại tệp nhất định Ví dụ: Adroit(http://digital-assembly.com) là một công cụ được thiết kế để khôi phục các tệpJPEG bị phân mảnh
Trang 11Chương 4: LƯU TRỮ VÀ CHE GIẤU DỮ LIỆU
Mặc dù phương tiện lưu trữ có nhiều dạng, nhưng đĩa cứng là nguồn cung cấp bằngchứng kỹ thuật số phong phú nhất trên máy tính Ngay cả các máy photocopy hiện đạicũng có ổ cứng và có thể được tăng cường bằng cách kết nối bộ điều khiển bên ngoàivới CPU, RAM và ổ cứng dung lượng cao để đáp ứng các thao tác in phức tạp nhanhchóng hơn Hiểu được cách thức hoạt động của ổ cứng, cách dữ liệu được lưu trữ trênchúng và nơi có thể ẩn dữ liệu có thể giúp các nhà điều tra kỹ thuật số xử lý ổ cứngnhư một nguồn bằng chứng
Có một số công nghệ ổ cứng phổ biến Ổ đĩa Điện tử Tích hợp (IDE) — còn gọi là ổĐính kèm Công nghệ Tiên tiến (ATA) — đơn giản hơn, ít tốn kém hơn và do đó phổbiến hơn ổ SCSI hiệu suất cao hơn Điều này đúng đối với các phiên bản mới hơn củanhững công nghệ này: Ổ đĩa SATA phổ biến hơn ổ SCSI Đính kèm Nối tiếp hiệu suấtcao hơn Firewire là sự điều chỉnh của tiêu chuẩn SCSI cung cấp quyền truy cập tốc độcao vào một chuỗi các thiết bị mà không có nhiều nhược điểm của SCSI như không ổnđịnh và chi phí Bất kể công nghệ nào được sử dụng, các loại của ổ cứng chứa các đĩaquay được làm bằng vật liệu nhẹ, cứng như nhôm, gốm hoặc thủy tinh Các đĩa này cólớp phủ từ tính ở cả hai mặt và quay giữa một cặp đầu đọc / ghi — một đầu ở mỗi mặtcủa đĩa Những cái đầu này, di chuyển trên đĩa giống như kim của một đĩa hát đầu phátnhưng nổi trên bề mặt của đĩa quay trên một đệm không khí được tạo ra bởi chuyểnđộng quay của đĩa, có thể sắp xếp các hạt trong phương tiện từ tính (được gọi là ghi)
và ngược lại, có thể phát hiện cách các hạt trên đĩa được căn chỉnh (được gọi là đọchiểu) Các hạt căn chỉnh theo một cách biểu thị một nhị phân (1) và các hạt căn chỉnhtheo cách khác biểu thị một số không nhị phân (0) như thể hiện trong Hình 15.4
Dữ liệu được ghi trên đĩa theo các vòng tròn đồng tâm (giống như các vòng hàng nămcủa thân cây) được gọi là các khúc Thuật ngữ hình trụ đồng nghĩa với theo dõi,
gọi chung là các tuyến đường có cùng bán kính trên tất cả các đĩa trong ổ cứng Kể cảkhi khúc được chia thành các cung, thường đủ lớn để chứa 512 byte thông tin (512 × 8đơn vị và số không) 2 Nhiều hệ thống tệp sử dụng hai hoặc nhiều lĩnh vực, được gọi
là một cụm, làm nơi lưu trữ cơ bản của chúng đơn vị của một đĩa Ví dụ, Hình 5 chothấy một đĩa có 64 cung trên mỗi cụm, dẫn đến 32 kbyte trên mỗi cụm (64 cung x 512byte / sector ÷ 1024 byte)