电子数据取证能够对不同介质上的数据进行取证的基本原理：

> 尽管存储介质物理结构、存储原理不尽相同

> 但从数据存储的逻辑层面具有相似的逻辑结构

磁盘在存储数据前，一般需经过低级格式化、分区、高级格式化三个步骤之后才能使用

磁盘经过三个步骤的处理，将建立一定逻辑的数据结构

低级（物理）格式化

Low-Level Format、Physical Format

> 又称低层格式化，对于部分磁盘制造厂商，它也被称为初始化（initialization）

> 最早，低级格式化被用于指代对磁碟进行划分柱面、磁道、扇区的操作

> 现今，大多数的磁盘制造商将低级格式化定义为创建磁盘扇区使磁盘具备存储能力的操作

> 但，人们对其存在一定的误解，多数情况下，提及低级格式化，往往指磁盘的填零操作

创建分区

Create Partition

> 磁盘分区是使用分割编辑器（Partition Editor）在磁盘上划分几个逻辑部分

> 磁盘一旦划分成数个分区（Partition），不同类的目录与文件可以存储进不同的分区

高级（逻辑）格式化

Advanced Format、Logical Format

> 指根据用户选定的文件系统（如FAT12, FAT16, FAT32, exFAT, NTFS, EXT2, EXT3等）

> 在磁盘的特定区域写入特定数据，以达到初始化磁盘或磁盘分区、清除原磁盘或磁盘分区中所有文件的一个操作

高级格式化后，磁盘也并不是所有空间都能使用

由于数据不可能全部占满空间，会产生松弛空间和未分配空间

一种是数据的结尾与为其分配的空间结束处的未被使用的部分

> 系统在为数据分配存储空间时总是为其分配整数个数据单元大小的空间

> 但文件的大小未必恰好是整数个数据单元

> 就会在文件结尾与为其分配的存储空间结尾间产生部分未使用的空间（文件松弛空间）

还有一种是位于分区结尾的卷松弛空间

> 在典型的磁盘驱动器中，计算机以一定文件大小的群集将文件存储在驱动器中

> 一个文件系统的扇区数也可能并不恰好是数据单元的整数倍

> 因此在卷的结尾也可能会有未被分配数据单元号的空间存在（卷松弛空间）

未分配空间（Unallocated Space）

没有分配给任何卷的可用磁盘空间，这部分空间同样会保存有重要数据

在重新格式化或删除分区后，这些区域中还可能留存着重要信息