1、基于NTFS下數(shù)據(jù)恢復(fù)技術(shù)研究第一章 前言隨著社會(huì)發(fā)展和進(jìn)步，大家每個(gè)人的數(shù)據(jù)資源都在日復(fù)一日的膨脹著，而硬盤(pán)作為數(shù)據(jù)存儲(chǔ)中心，其高精密的結(jié)構(gòu)和高度的使用頻率，在復(fù)雜的應(yīng)用環(huán)境中，故障發(fā)生率也在與日俱增。幾乎每個(gè)計(jì)算機(jī)使用者都會(huì)遇到一些數(shù)據(jù)損壞或丟失的事情，而隨著各種應(yīng)用軟件、操作系統(tǒng)、病毒木馬等各種因素的增加，數(shù)據(jù)丟失和損壞的程度也在逐漸變的嚴(yán)重。一旦重要的數(shù)據(jù)丟失，其所帶來(lái)的直接和間接的損失都是很驚人的，而通常大家在費(fèi)盡心思到處找解決方法的同時(shí)，也進(jìn)一步徹底摧毀了這些數(shù)據(jù)恢復(fù)的可能性。NTFS是隨著Windows NT操作系統(tǒng)而產(chǎn)生的，全稱為“NT File System”，中文意為NT文

2、件系統(tǒng)，如今已是windows類操作系統(tǒng)中的主力分區(qū)格式了。它的優(yōu)點(diǎn)是安全性和穩(wěn)定性極其出色，在使用中不易產(chǎn)生文件碎片，NTFS分區(qū)對(duì)用戶權(quán)限作出了非常嚴(yán)格的限制，每個(gè)用戶都只能按著系統(tǒng)賦予的權(quán)限進(jìn)行操作，任何試圖越權(quán)的操作都將被系統(tǒng)禁止，同時(shí)它還提供了容錯(cuò)結(jié)構(gòu)日志，可以將用戶的操作全部記錄下來(lái)，從而保護(hù)了系統(tǒng)的安全。本文主要論述的就是NTFS在系統(tǒng)崩潰或磁盤(pán)出現(xiàn)故障后如何安全的恢復(fù)文件系統(tǒng)。NTFS是一個(gè)具備錯(cuò)誤預(yù)警的文件系統(tǒng)。由于NTFS對(duì)關(guān)鍵文件系統(tǒng)的系統(tǒng)信息采用了冗余存儲(chǔ)，故而當(dāng)磁盤(pán)上的某個(gè)扇區(qū)損壞時(shí)，NTFS仍可以訪問(wèn)卷上的關(guān)鍵數(shù)據(jù)。NTFS分區(qū)的最開(kāi)始的16個(gè)扇區(qū)是分區(qū)引導(dǎo)扇區(qū)，用

3、以保存分區(qū)引導(dǎo)代碼，接下來(lái)是主文件表(MFT)，如果MFT所在的磁盤(pán)扇區(qū)出現(xiàn)損壞，NTFS文件系統(tǒng)會(huì)將MFT轉(zhuǎn)移到到硬盤(pán)的其他扇區(qū)，這樣就保證了NTFS文件系統(tǒng)和Windows操作系統(tǒng)的正常運(yùn)行。比之先前的FAT16和FAT32文件系統(tǒng)的FAT(文件分配表)，F(xiàn)AT只能固定在分區(qū)引導(dǎo)扇區(qū)的后面，一旦該扇區(qū)，整個(gè)文件系統(tǒng)就會(huì)癱瘓，NTFS文件系統(tǒng)顯然要先進(jìn)的多了。不過(guò)這種移動(dòng)MFT的做法卻也并非十全十美，如果分區(qū)引導(dǎo)代碼中指向MFT的部分出現(xiàn)錯(cuò)誤，那么NTFS文件系統(tǒng)便會(huì)不知道到哪里尋找MFT ，從而會(huì)報(bào)告“磁盤(pán)沒(méi)有格式化”這樣的錯(cuò)誤信息。為了避免這樣的問(wèn)題發(fā)生，分區(qū)引導(dǎo)代碼中會(huì)包含一段校驗(yàn)程序

4、，專門(mén)負(fù)責(zé)偵錯(cuò)。第二章 NTFS概述NTFS是Mircrosoft推出的一種新型文件系統(tǒng)。Mircrosoft推出NTFS文件系統(tǒng)的主要目的是將其作為WindowsNT/2000/XP和服務(wù)器版本的默認(rèn)文件系統(tǒng)。NTFS的目標(biāo)是獲得可靠性.高效性和安全性。2.1 NTFS的特點(diǎn)Ø 它提供了容錯(cuò)結(jié)構(gòu)日志，可以有效地保護(hù)系統(tǒng)的安全。NTFS是一個(gè)可恢復(fù)的文件系統(tǒng)。在NTFS分區(qū)上用戶很少需要運(yùn)行磁盤(pán)修復(fù)程序。NTFS通過(guò)使用標(biāo)準(zhǔn)的事務(wù)處理日志和恢復(fù)技術(shù)來(lái)保證分區(qū)的一致性。Ø 它的可升級(jí)性基于使用常規(guī)結(jié)構(gòu)對(duì)特殊數(shù)據(jù)結(jié)構(gòu)進(jìn)行管理。在NTFS文件系統(tǒng)將所有的數(shù)據(jù)都視為文件，通常在其他

5、文件系統(tǒng)中被隱藏的管理數(shù)據(jù)在NTFS中也被存儲(chǔ)在文件中，文件系統(tǒng)管理數(shù)據(jù)可以像普通文件一樣被存放在文件系統(tǒng)內(nèi)任何位置。Ø NTFS支持對(duì)分區(qū).文件夾和文件的壓縮。Ø 在NTFS分區(qū)上，可以為共享資源.文件夾以及文件設(shè)置訪問(wèn)許可權(quán)限，許可的設(shè)置包括兩方面的內(nèi)容：一是哪些組或用戶對(duì)文件夾.文件和共享資源進(jìn)行訪問(wèn)。二是獲取訪問(wèn)許可的組或用戶可以進(jìn)行什么級(jí)別的訪問(wèn)。Ø 在Windows 2000的NTFS文件系統(tǒng)下可以進(jìn)行磁盤(pán)配額管理。磁盤(pán)配額就是管理員可以為用戶所能使用的磁盤(pán)空間進(jìn)行配額限制，每一用戶只能使用最大配額限制內(nèi)的磁盤(pán)空間。Ø NTFS被作為Wind

6、ows操作系統(tǒng)的標(biāo)準(zhǔn)文件系統(tǒng)，同時(shí)也被大多數(shù)免費(fèi)發(fā)行的Unix版本的支持。Ø NTFS支持對(duì)大容量磁盤(pán)存儲(chǔ)，可以支持的卷大小可以達(dá)到2TB。Ø NTFS于FAT文件系統(tǒng)一樣，也使用“簇”作為數(shù)據(jù)寸取的最小單位。但因?yàn)樗鼘⑺械臄?shù)據(jù)，包括文件系統(tǒng)管理數(shù)據(jù)也作為文件進(jìn)行管理，所以NTFS文件系統(tǒng)中的所有扇區(qū)都被分配以簇號(hào)，并以0開(kāi)始對(duì)所有的簇進(jìn)行編號(hào)，文件系統(tǒng)的0號(hào)扇區(qū)為0號(hào)簇的起始位置。2.2 NTFS的基本概念l MTFMTF，即主文件分配表的簡(jiǎn)稱，它是NTFS文件系統(tǒng)的核心。MFT由一個(gè)或幾個(gè)MFT項(xiàng)（文件記錄）組成，每個(gè)MFT項(xiàng)占用1024字節(jié)的空間。每個(gè)MFT項(xiàng)的前部

7、幾十個(gè)字節(jié)有著固定的頭結(jié)構(gòu)，用來(lái)描述本MFT項(xiàng)的相關(guān)信息。后面的字節(jié)用于存放“屬性”。每個(gè)文件和目錄的信息都包含在MFT中，每個(gè)文件和目錄在表中至少有有一個(gè)MFT項(xiàng)。初引導(dǎo)扇區(qū)外，訪問(wèn)其他任何一個(gè)前都要先訪問(wèn)MFT，在MFT中找到該文件的MFT項(xiàng)，根據(jù)MFT項(xiàng)中的記錄的信息找到內(nèi)容并對(duì)其進(jìn)行訪問(wèn)。l 屬性在NTFS中，所有與數(shù)據(jù)相關(guān)的信息都稱為“屬性”，NTFS與其他文件系統(tǒng)最大的不同之處在于，大多數(shù)文件系統(tǒng)是對(duì)文件的內(nèi)容進(jìn)行讀寫(xiě)，而NTFS則是對(duì)包含文件內(nèi)容的屬性進(jìn)行讀寫(xiě)。在數(shù)據(jù)結(jié)構(gòu)中，屬性又可以分為長(zhǎng)駐屬性和非常駐屬性² 長(zhǎng)駐屬性。有的屬性其屬性內(nèi)容很小，它的MFT項(xiàng)可以容納下它

8、的全部?jī)?nèi)容，為了節(jié)約空間，系統(tǒng)會(huì)直接將其存放在MFT項(xiàng)中，而不再為其另外分配簇空間，這樣的屬性稱為長(zhǎng)駐屬性² 非常駐屬性。非常駐屬性是指那些內(nèi)容較大，無(wú)法完全存放在其MFT項(xiàng)中的屬性。如文件的數(shù)據(jù)屬性，通常內(nèi)容很大，需要在MFT之外另為其分配足夠的簇空間進(jìn)行存儲(chǔ)，這樣的屬性就是非長(zhǎng)駐屬性。2.3 NTFS元文件NTFS文件系統(tǒng)被創(chuàng)建時(shí)，會(huì)同時(shí)建立一些重要的系統(tǒng)信息。這些系統(tǒng)信息也全是以文件的形式存在，被稱為元文件。元文件的文件名都以“ $”符號(hào)開(kāi)頭，表示其為隱藏的系統(tǒng)文件，用戶不可直接訪問(wèn)。NTFS下的元文件總共有17個(gè)，其具體含義如下：Ø $MFT：它其實(shí)是整個(gè)主文件表，

9、也就是將整個(gè)MFT看做一個(gè)文件。Ø $MFTMirr：MFT前幾個(gè)MFT項(xiàng)的備份，NTFS也將其作為一個(gè)文件看待。Ø $LogFile：日志文件。Ø $Volume：卷文件，包含卷標(biāo)和其他版本信息。Ø $AttDef：屬性定義列表，定義每種屬性的名字和類型。Ø $Root：根目錄文件。Ø $Bitmap：位圖文件，它的數(shù)據(jù)屬性的每個(gè)bit對(duì)應(yīng)文件系統(tǒng)中的一個(gè)簇，用以描述簇的分配情況。Ø $Boot：引導(dǎo)文件，DBR扇區(qū)就是引導(dǎo)文件的第一個(gè)扇區(qū)。Ø $BadClus：壞簇記錄文件。Ø $Quota：早期的N

10、T系統(tǒng)中記錄磁盤(pán)配額信息。Ø $Secure：安全文件。Ø $UpCase:大小寫(xiě)字符轉(zhuǎn)換表文件。Ø $Extend metadata directory:擴(kuò)展元數(shù)據(jù)目錄。Ø $Extend$Reparse：重解析點(diǎn)文件。Ø $Extend$UsnJrnl：變更日志文件。Ø $Extend$Quota:配額管理文件。Ø $Extend$ObjId：對(duì)象ID文件。第三章 NTFS文件系統(tǒng)的布局 一個(gè)NTFS文件系統(tǒng)大致上可以分為引導(dǎo)區(qū)、MFT、MFT備份區(qū)、數(shù)據(jù)區(qū)和DBR備份扇區(qū)幾個(gè)部分。因?yàn)镹TFS將所有的數(shù)據(jù)都視為文件，理

11、論上除引導(dǎo)扇區(qū)必須位于第一個(gè)扇區(qū)外，NTFS卷可以在任意位置存放任意文件，但通常情況下會(huì)遵循一定的習(xí)慣布局。在XP系統(tǒng)下NTFS卷大致布局如下圖：DBR引導(dǎo)區(qū)用戶數(shù)據(jù)MFT區(qū)用戶數(shù)據(jù)MFT部分記錄備份用戶數(shù)據(jù)DBR備份通常為16個(gè)扇區(qū) 占用一個(gè)扇區(qū)NTFS的特點(diǎn)1) 引導(dǎo)扇區(qū)。引導(dǎo)區(qū)部分包括DBR和引導(dǎo)代碼，一般系統(tǒng)為其分配16個(gè)扇區(qū)，未完全使用。2) MFT區(qū)。文件系統(tǒng)中出現(xiàn)一個(gè)“MFT”區(qū)，這個(gè)“MFT區(qū)”是一個(gè)連續(xù)的簇空間，除非其他空間已全部被分配使用，否則不會(huì)在此空間中存儲(chǔ)用戶文件或目錄。在WINXP下創(chuàng)建的NTFS，其MFT通常距離引導(dǎo)扇區(qū)較遠(yuǎn)，但在WIN2000下創(chuàng)建的NTFS，其

12、MFT通常起始于4號(hào)簇位置。3) MFT備份區(qū)。由于MFT備份的重要性，在文件系統(tǒng)的中部為其保存了一個(gè)備份，不過(guò)這個(gè)備份很小，只是MFT前幾個(gè)項(xiàng)的備份。4) 引導(dǎo)扇區(qū)備份扇區(qū)。在卷的最后一個(gè)扇區(qū)，保存了一份DBR扇區(qū)的備份。這個(gè)扇區(qū)包含在分區(qū)表描述的該分區(qū)大小中，但卻不在DBR描述的文件系統(tǒng)大小范圍之內(nèi)。DBR描述文件系統(tǒng)大小時(shí)，總是比分區(qū)表描述的扇區(qū)數(shù)小1個(gè)扇區(qū)。第四章DBR(引導(dǎo)扇區(qū))NTFS的引導(dǎo)扇區(qū)也位于文件系統(tǒng)的0號(hào)扇區(qū)，這是它與FAT文件系統(tǒng)在布局 上的唯一相同之處。數(shù)據(jù)結(jié)構(gòu)如下圖，此圖為本硬盤(pán)DBR：4.1 DBR的作用DBR（DOS BOOT RECORD，DOS引導(dǎo)記錄），位

13、于柱面0，磁頭1，扇區(qū)1，即邏輯扇區(qū)0。DBR分為兩部分：DOS引導(dǎo)程序和BPB（BIOS參數(shù)塊）。其中DOS引導(dǎo)程序完成DOS系統(tǒng)文件（IO.SYS，MSDOS.SYS）的定位與裝載，而B(niǎo)PB用來(lái)描述本DOS分區(qū)的磁盤(pán)信息，BPB位于DBR偏移0BH處，共13字節(jié)。 它包含邏輯格式化時(shí)使用的參數(shù)，可供DOS計(jì)算磁盤(pán)上的文件分配表，目錄區(qū)和數(shù)據(jù)區(qū)的起始地址，BPB之后三個(gè)字提供物理格式化（低格）時(shí)采用的一些參數(shù)。引導(dǎo)程序或設(shè)備驅(qū)動(dòng)程序根據(jù)這些信息將磁盤(pán)邏輯地址（DOS扇區(qū)號(hào)）轉(zhuǎn)換成物理地址（絕對(duì)扇區(qū)號(hào)）。4.2 DBR的數(shù)據(jù)結(jié)構(gòu)字節(jié)偏移（十六進(jìn)制）字節(jié)數(shù)含義00-023跳轉(zhuǎn)指令03-0A8OE

14、M名（“明文NTFS”）0B-0C2每扇區(qū)字節(jié)數(shù)0D1每簇扇區(qū)數(shù)0E-0F2保留扇區(qū)數(shù)151介質(zhì)描述符18-192每磁道扇區(qū)數(shù)（不檢查此項(xiàng)）1A-1B2每柱面磁頭數(shù)（不檢查此項(xiàng)）1C-1F4隱含扇區(qū)數(shù)（不檢查此項(xiàng)）24-274總是80008000（不檢查此項(xiàng)）28-2F8文件系統(tǒng)扇區(qū)總和30-378MFT起始簇號(hào)38-3F8MFT備份的起始簇號(hào)401每MFT項(xiàng)大小41-433未使用441每個(gè)索引的簇?cái)?shù)45-473未使用48-4F8序列號(hào)50-534校驗(yàn)和54-1FD426引導(dǎo)代碼1FE-1FF2簽名55AA標(biāo)記以上引導(dǎo)扇區(qū)最為關(guān)鍵的字節(jié)數(shù)是0B-0C（每扇區(qū)字節(jié)數(shù)） 0B-0C（每扇區(qū)字節(jié)數(shù)）

15、 0D（每簇扇區(qū)數(shù)）28-2F（文件系統(tǒng)扇區(qū)總和） 30-37（MFT起始簇號(hào)）38-3F（MFT備份的起始簇號(hào)） 40（每MFT項(xiàng)大小）44（每個(gè)索引的簇?cái)?shù)），但數(shù)據(jù)發(fā)生不可預(yù)料的損壞時(shí)，可以根據(jù)以上信息重建分區(qū)表，定位數(shù)據(jù)區(qū)，恢復(fù)MFT，重建DBR，這些關(guān)鍵字節(jié)碼的用處不言而喻。第五章 主文件表MFT格式化成NTFS文件系統(tǒng)時(shí)，就是在其中建立了一個(gè)主文件表MFT，其中包含16個(gè)元文件的文件記錄。 為了盡可能減少$MFT文件產(chǎn)生碎片的可能性，系統(tǒng)預(yù)先為其預(yù)先為其預(yù)留整個(gè)文件系統(tǒng)大約12.5%的空間。只有在用戶數(shù)據(jù)區(qū)的空間用盡時(shí)，才會(huì)臨時(shí)讓出MFT區(qū)的部分空間存儲(chǔ)數(shù)據(jù)，但一旦數(shù)據(jù)區(qū)有了足夠的空

16、間，就會(huì)立即收回原來(lái)讓出的MFT空間。主文件表MFT由一個(gè)個(gè)的MFT項(xiàng)組成，每個(gè)MFT項(xiàng)實(shí)際就是一個(gè)文件記錄，其中用各種屬性記錄著該文件或目錄的各種信息。每個(gè)MFT項(xiàng)實(shí)際的大小在引導(dǎo)扇區(qū)中進(jìn)行說(shuō)明，Microsoft的所有版本都使用1024字節(jié)的大小。前部為一個(gè)包含幾十個(gè)字節(jié)的具有固定的大小和結(jié)構(gòu)的MFT頭，剩余的字節(jié)為屬性列表，用于存放各種屬性。5.1 MFT的基本特點(diǎn)：Ø MFT的第一個(gè)區(qū)域是簽名，所有的MFT項(xiàng)都有相同的簽名（FILE）。如果在項(xiàng)中發(fā)現(xiàn)錯(cuò)誤，可能將其改寫(xiě)成“BAAD”的字樣。Ø MFT項(xiàng)還有一個(gè)標(biāo)志域用以說(shuō)明該項(xiàng)是一個(gè)文件項(xiàng)還是目錄項(xiàng)，以及它的分配狀態(tài)

17、。MFT的分配狀態(tài)也在一個(gè)$BITMAP屬性文件中進(jìn)行描述。Ø 每個(gè)MFT項(xiàng)占用兩個(gè)扇區(qū)，每個(gè)扇區(qū)的結(jié)束兩個(gè)字節(jié)都有一個(gè)修正值，這個(gè)修正值與MFT項(xiàng)的更新序列號(hào)相同，如果發(fā)現(xiàn)不同，會(huì)認(rèn)為該MFT項(xiàng)存在錯(cuò)誤。Ø 如果一個(gè)文件的屬性較多，使用一個(gè)MFT項(xiàng)無(wú)法容納下全部的屬性，可以使用多個(gè)MFT項(xiàng)，第一個(gè)項(xiàng)被稱為基本文件記錄或基本MFT項(xiàng)。5.2 MFT的數(shù)據(jù)結(jié)構(gòu)：字節(jié)偏移（十六進(jìn)制）字節(jié)數(shù)含義00-034簽名值“46494C45”（明文“FILE”）04-052更新序列號(hào)偏移06-072更新序列號(hào)的數(shù)組個(gè)數(shù)08-0F8日志序列號(hào)（LSN）10-112序列號(hào)12-132硬鏈接數(shù)1

18、4-152第一個(gè)屬性的偏移地址16-172標(biāo)志，00已刪除的文件；01文件；02已刪除目錄；03目錄。18-1B4MFT項(xiàng)邏輯長(zhǎng)度1C-1F4MFT的物理長(zhǎng)度20-278基本文件記錄索引號(hào)28-292下一屬性ID2A-2B2邊界2C-2F4MFT記錄編號(hào)（起始編號(hào)0）30-378更新序列號(hào)數(shù)組38-3FF968屬性和修正值重要字節(jié)碼解釋如下：1) 00-03：MFT項(xiàng)簽名值“46494C45”，明文為“FILE”。2) 04-05：更新序列號(hào)編號(hào)的偏移。3) 06-07：更新序列號(hào)的數(shù)組個(gè)數(shù)，通常為3。4) 08-0F：日志序列號(hào)。第七章 NTFS數(shù)據(jù)恢復(fù)技術(shù)的實(shí)現(xiàn)7.1 NTFS格式化恢復(fù)

19、數(shù)據(jù)丟失的具體故障為：盤(pán)分了三個(gè)區(qū)在一次意外死機(jī)后磁盤(pán)提示（前兩個(gè)區(qū)是正常的）提示未格式化（其實(shí)大多數(shù)朋友知道這時(shí)的問(wèn)題簡(jiǎn)單得多也許重建DBR后整個(gè)盤(pán)里面的數(shù)據(jù)都在，這里暫且就不談這種問(wèn)題的解決方法了），要命的是這時(shí)已經(jīng)鬼使神差地點(diǎn)擊了格式化了，結(jié)果大家當(dāng)然就知道了，數(shù)據(jù)肯定是沒(méi)有了 。據(jù)轉(zhuǎn)到我這里的那同行說(shuō)他用各種搜索軟件對(duì)整個(gè)區(qū)搜了好幾遍（這也是大多數(shù)所謂專業(yè)的數(shù)據(jù)恢復(fù)商所用的恢復(fù)方法了），當(dāng)然也搜到了很多數(shù)據(jù)，盡管很亂但還能正常打開(kāi)。最后客戶確認(rèn)搜出來(lái)數(shù)據(jù)大部份正常，但最重要的的一個(gè)壓縮文件損壞了，大家知道壓縮文件損壞了是很難很難修復(fù)的了。首先我用WINHEX把他搜出來(lái)的那個(gè)壓縮文件打開(kāi)

20、分析了下，文件頭亂了，中間的數(shù)據(jù)也不正常。無(wú)法修復(fù)，只好從原盤(pán)著手了。竟然搜索軟件搜出來(lái)的是損壞的，那就只有用手工來(lái)做了，當(dāng)然用手工做這種格式化了的數(shù)據(jù)很費(fèi)時(shí)，且計(jì)算量也很大，只能針對(duì)像這樣的個(gè)別特重要的數(shù)據(jù)。對(duì)原盤(pán)的那個(gè)格式化掉的分區(qū)做完鏡像后，用WINHEX打開(kāi)鏡像，設(shè)置鏡像文件為磁盤(pán)。如下圖所示：分區(qū)是NTFS格式的，整個(gè)分區(qū)大小為。對(duì)NTFS分區(qū)格式研究過(guò)的朋友會(huì)知道，在NTFS文件系統(tǒng)中，文件亦是按簇進(jìn)行分配的， 文件通過(guò)主文件表MFT（Master File Table）來(lái)確定其在磁盤(pán)上的存儲(chǔ)位置、大小、屬性等信息。相當(dāng)于FAT系統(tǒng)下的FAT+FDT的功能。每文件都有一個(gè)文件記錄。

21、其中第一個(gè)記錄就是MFT自己本身。我們轉(zhuǎn)到第一個(gè)文件記錄也就是MFT了直接點(diǎn)可以看到如下圖所示：通過(guò)第一個(gè)文件記錄往下觀察發(fā)現(xiàn)格式化了后對(duì)文件記錄沒(méi)有產(chǎn)生破壞。那么這時(shí)我們就可以有一個(gè)恢復(fù)的思路了：找到所說(shuō)的那個(gè)壓縮文件的在MFT中的記錄，再通過(guò)對(duì)文件記錄的分析來(lái)確定文件在磁盤(pán)中的位置及大小，就可以直接從中提出文件了。想到做到，只知道一個(gè)壓縮文件的壓縮文件名為：源文件與素材。那好，我們可以新建一個(gè)文本記事本只輸入壓縮文件名源文件與素材！保存，再用WINHEX打開(kāi)可以看到如下圖：然后再轉(zhuǎn)回來(lái)，直接從第一個(gè)文件記錄往下開(kāi)始搜索十六進(jìn)制數(shù)值90 6E 87 65 F6 4E 0E 4E 20 7D

22、50 67搜索到了一個(gè)地方停下來(lái)了，看看是不是那個(gè)壓縮文件的記錄呢看下圖：根據(jù)觀察可以看出正是客戶要的那個(gè)壓縮文件的記錄，那么我們又如何來(lái)確定這個(gè)壓縮文件在磁盤(pán)上的那一個(gè)扇區(qū)？占用了多少的扇區(qū)呢？這個(gè)就需要對(duì)NTFS格式有所了解了。NTFS將文件作為屬性、屬性值集合來(lái)處理，這一點(diǎn)其他文件系統(tǒng)不一樣。可以看到在MFT中用了不同顏色的段來(lái)區(qū)分， 如上圖所標(biāo)記的，第一個(gè)為文件記錄頭，第二個(gè)10H表示標(biāo)準(zhǔn)屬性，第三個(gè)30H表示文件名屬性，最后一個(gè)80H表示數(shù)據(jù)流屬性也就是關(guān)鍵所在了。這里我們只分析數(shù)據(jù)流屬性，其它屬性就不一一分析了，可以查看相關(guān)資料。每一個(gè)屬性都為兩部份：屬性頭和內(nèi)容。先來(lái)分析數(shù)據(jù)流屬

23、性的屬性頭：從第1第4四個(gè)字節(jié)表示屬性的類型，第5第8四個(gè)字節(jié)這里的值是48 00 00 00表示屬性的長(zhǎng)度（包括屬性頭和內(nèi)容）為72個(gè)字節(jié)。從17到24共8個(gè)字節(jié)表示起始的VCN即虛擬簇號(hào)，第25到32共8個(gè)字節(jié)表示結(jié)束的VCN此處為2D7FH也就是 這個(gè)壓縮文件占用了11648個(gè)簇。再往下分析從33到40共8個(gè)字節(jié)表示數(shù)據(jù)運(yùn)行的偏移。此處為40H也就是從第64個(gè)字節(jié)開(kāi)始了。我們就直接來(lái)分析數(shù)據(jù)運(yùn)行也只有這一個(gè)運(yùn)行32 80 2D D5 58 17所以起始的LCN即邏輯簇號(hào)為1758D5H1530069，長(zhǎng)度為2D80H11648。接下來(lái)我們轉(zhuǎn)到1530069簇看，第一個(gè)字節(jié)右鍵選塊開(kāi)始，上

24、面算出來(lái)這個(gè)文件的，如下圖：大小為11648個(gè)簇，也就是1530069+116481541717再轉(zhuǎn)到1541717簇，所在的扇區(qū)的上一扇區(qū)也就是文件的結(jié)尾了。最后一個(gè)字節(jié)右鍵選塊結(jié)尾。再在所選塊中右鍵編輯復(fù)制扇區(qū)到新文件即指點(diǎn)到路徑保存。然后改擴(kuò)展名為RAR。至此恢復(fù)完成。經(jīng)檢查沒(méi)有一個(gè)損壞的。7.2 手工定位NTFS文件系統(tǒng)下的文件相信很多朋友在認(rèn)真看完數(shù)據(jù)恢復(fù)書(shū)籍中，關(guān)于NTFS文件系統(tǒng)中講述的一系列屬性以后，或多或少還是有些范迷糊。確實(shí)，NTFS文件系統(tǒng)結(jié)構(gòu)比較復(fù)雜，且書(shū)中也沒(méi)有講到如何利用這些屬性來(lái)定位文件，這對(duì)于初學(xué)者來(lái)說(shuō),無(wú)疑是一個(gè)缺憾.為彌補(bǔ)這一缺憾,我根據(jù)我個(gè)人對(duì)NTFS文件

25、系統(tǒng)的理解，制作了本分析過(guò)程。申明，這只是本人的理解，難免會(huì)有錯(cuò)誤的地方。僅供大家參考。現(xiàn)在我就以我電腦里的一個(gè)叫“MFT結(jié)構(gòu)分析”的圖片文件，其存儲(chǔ)路徑為E:教程數(shù)據(jù)恢復(fù)。接下來(lái)我們一層一層的去定位文件.以對(duì)所學(xué)的屬性做一個(gè)融會(huì)貫通.或許有的朋友會(huì)說(shuō):在實(shí)際操作中,可以通過(guò)在MFT中搜索文件名的方式來(lái)做出定位,這樣也是可以的。我制作本分析過(guò)程的初衷也就是給初學(xué)者對(duì)NTFS的理解提供一個(gè)思路。學(xué)過(guò)FAT文件系統(tǒng)的,一定知道如何定位分區(qū)以及DBR,那好,我們就直接從DBR開(kāi)始從DBR中得出，每簇扇區(qū)數(shù)為08H，（$MFT一下簡(jiǎn)稱MFT）.MFT的起始簇為：00000C00H，轉(zhuǎn)換為十六進(jìn)制分別為

26、8扇區(qū)和786432簇。現(xiàn)在跳轉(zhuǎn)到786432簇，如下圖：我們可以看到，這是MFT的第一個(gè)記錄，記錄的是它自己。，接下來(lái)我們跳轉(zhuǎn)到MFT的關(guān)于根目錄的記錄，也就是第5號(hào)記錄。根目錄一般存儲(chǔ)的文件以及文件夾比較多。所以，它是非常駐的，關(guān)于這些文件夾的信息記錄在了其它的位置。而記錄在什么位置是由索引分配屬性來(lái)記錄的，也就是A0屬性，接下來(lái)著重看一下A0屬性，如圖：上圖紅色的標(biāo)注的位置是運(yùn)行（Data run）31H表示用三個(gè)字節(jié)描述的是索引的位置的起始LCN（3E9002H），一個(gè)字節(jié)描述的是長(zhǎng)度(02H)。下一個(gè)運(yùn)行的位置描述的是00H表示到此結(jié)束，只有一個(gè)運(yùn)行。（提示：如果下一個(gè)運(yùn)行由內(nèi)容，那

27、么它描述的LCN加上前一個(gè)運(yùn)行描述的LCN才是其真正的LCN，如果由三個(gè)運(yùn)行，用第三個(gè)運(yùn)行的LCN加上前兩個(gè)的LCN就是第三個(gè)運(yùn)行的真正的LCN，以此類推！）我們將其轉(zhuǎn)換為10進(jìn)制數(shù)值得到這樣一個(gè)信息，索引項(xiàng)的起始位置為167998簇，乘以每簇扇區(qū)數(shù)8，等于1343984扇區(qū)，長(zhǎng)度為2個(gè)簇，跳轉(zhuǎn)到1343984扇區(qū)，如圖：這個(gè)位置是根目錄的索引項(xiàng)，可以看到里面索引的文件名為元數(shù)據(jù)。“教程”這個(gè)文件夾也存放在根目錄里面，我們搜索該文件名，以找到相對(duì)應(yīng)的索引項(xiàng)，由于NTFS里面文件名是用Unincode字符來(lái)表示的，所以該文件名轉(zhuǎn)換為16進(jìn)制數(shù)值為59650B7A8765H，我們?cè)诟夸浰饕?xiàng)里搜

28、索此文件名：在1343994扇區(qū)找到了“教程”的索引項(xiàng)，（1343994-1343984=10，每簇扇區(qū)數(shù)為8，說(shuō)明次索引項(xiàng)存放在第二簇里面）從上圖可以看出，其文件記錄存放在第6B3500H號(hào)扇區(qū)，轉(zhuǎn)換為十六進(jìn)制為13675號(hào)記錄，一個(gè)MFT占用2個(gè)扇區(qū)，其文件記錄的開(kāi)始為，從MFT第一號(hào)記錄向下數(shù)27350個(gè)扇區(qū)，就其文件記錄存放的位置，計(jì)算方式為：6291456 +（13675*2）=6318806，跳轉(zhuǎn)到6318806扇區(qū)，如圖：圖中描述的本MFT號(hào)正是我們要找的，看下面的運(yùn)行31011BEB01H，轉(zhuǎn)換為16進(jìn)制數(shù)值為：125723，再乘以每簇扇區(qū)數(shù)8等于1005784扇區(qū)，現(xiàn)在跳轉(zhuǎn)到1005784扇區(qū)搜索“數(shù)據(jù)恢復(fù)”這個(gè)文件夾的十六進(jìn)制數(shù)值7065