數(shù)據(jù)恢復

項目四修復NTFS文件系統(tǒng)下的數(shù)據(jù)項目概述

NTFS(NewTechnologyFileSystem，新技術文件系統(tǒng))，是WindowsNT

環(huán)境的文件系統(tǒng)，是WindowsNT家族（如，Windows2000、WindowsXP、WindowsVista、Windows7和windows8.1等）的限制級專用的文件系統(tǒng)（操作系統(tǒng)所在的盤符的文件系統(tǒng)必須格式化為NTFS的文件系統(tǒng)）。NTFS文件系統(tǒng)同其它文件系統(tǒng)比還有支持分區(qū)容量大；非常穩(wěn)定、文件碎片少、支持壓縮功能、較高磁盤利用率、嚴格共享控制、可進行磁盤配額管理等特點。因此，NTFS取代了老式的FAT文件系統(tǒng)。當然，要想進行NTFS格式的數(shù)據(jù)恢復尤其是手工進行數(shù)據(jù)恢復，就必須熟知該系統(tǒng)的數(shù)據(jù)結構、文件管理等知識。本項目使用中盈數(shù)據(jù)恢復機及其配套的中盈底層編輯軟件，以三個任務的方式，介紹了NTFS文件系統(tǒng)下常用的數(shù)據(jù)恢復技術?！韭殬I(yè)能力目標】

理解NTFS文件系統(tǒng)管理方法理解NTFS文件系統(tǒng)的數(shù)據(jù)分布結構與DBR的結構分析理解NTFS的MFT的文件記錄結構、文件記錄頭分析、文件主要屬性分析掌握修復與重建NTFS文件系統(tǒng)DBR的方法掌握NTFS文件數(shù)據(jù)的恢復方法任務1：利用備份恢復NTFS文件系統(tǒng)的DBR任務情景01任務分析02必備知識03任務實施04知識拓展05一、任務情景數(shù)據(jù)恢復用戶：我的電腦的D盤在使用時系統(tǒng)提示需要格式化。工作人員：您D盤的這個分區(qū)是什么文件系統(tǒng)？用戶：是NTFS的。工作人員：請稍等，我看一下。二、任務分析將該盤連接至中盈數(shù)據(jù)恢復機上，雙擊該盤符，提示如圖，單擊“否”。利用中盈底層編輯軟件打開該盤，提示如圖，單擊“OK”按鈕選擇“NTFS”文件系統(tǒng)打開該盤。發(fā)現(xiàn)其第一個扇區(qū)即DBR部分全部為0，顯然DBR被破壞了。但是當查看該分區(qū)的DBR備份時，發(fā)現(xiàn)是完好的，所以只需將DBR的備份復制過來即可修復DBR。。三、必備知識一、NTFS文件系統(tǒng)的管理方法NTFS一改前面FAT文件系統(tǒng)的管理機制，將整個磁盤分區(qū)上的每件事物都看做一個文件，而文件的相關事物又視為一個屬性（如文件名屬性等），統(tǒng)一按文件方式對磁盤上的一切事件進行管理，使得文件系統(tǒng)數(shù)據(jù)定位和維護變得更加容易,DBR成了BOOT文件中的一部分，這些文件在磁盤中的位置也相對比較靈活，因此對文件安全性能有很大的提高。NTFS將分區(qū)格式化后，文件名屬性、數(shù)據(jù)屬性等，甚至描述文件系統(tǒng)本身的信息（我們叫做元數(shù)據(jù)）就會生成若干個在正常系統(tǒng)里不可見的NTFS系統(tǒng)文件以及一個特殊文件MFT(“MasterFileTable”,主文件表)。當用戶將硬盤的某個分區(qū)格式化為NTFS格式時，就建立了一個NTFS文件系統(tǒng)，如圖所示。二、NTFS文件系統(tǒng)的數(shù)據(jù)分布結構與FAT文件系統(tǒng)一樣，NTFS的第一個分區(qū)為引導扇區(qū)，即DBR扇區(qū)，其中有NTFS分區(qū)的引導程序和一些BPB(BIOSParameterBlock,基本輸入輸出系統(tǒng)參數(shù)模塊)參數(shù)。在分區(qū)的第一個扇區(qū)之后是15個扇區(qū)的NTLDR（NTLoader，系統(tǒng)加載程序）區(qū)域，這16個扇區(qū)共同構成根目錄文件$boot。在NTLDR后（但不一定是物理上連續(xù)的）就是主文件表MFT區(qū)域，它的文件名為$MFT，主文件由文件記錄構成，每個文件記錄占用2個扇區(qū)。NTFS文件系統(tǒng)的主文件表中還記錄了一些非常重要的系統(tǒng)數(shù)據(jù)，這些數(shù)據(jù)被稱為元數(shù)據(jù)文件，簡稱為“元文件”，其中包括了用于文件定位和恢復數(shù)據(jù)結構、引導程序數(shù)據(jù)及整個卷的分配位圖等信息。在NTFS文件系統(tǒng)中這樣的文件主要有16個，最重要的包括MFT本身（$MFT）、MFT鏡像（$MFTMirr）、日志文件($LogFile)、根目錄($Root)、位圖文件（$BitMap）、引導文件($Boot)等。這16個元數(shù)據(jù)文件總是占據(jù)著MFT的前16項紀錄，并且這16個文件記錄的順序是固定的，而且是連續(xù)的。在16項以后就是用戶建立的文件和文件夾的記錄了。位和恢復數(shù)據(jù)結構、引導程序數(shù)據(jù)及整個卷的分配位圖等信息。四、任務實施第一步：用中盈底層編輯軟件NavHex打開物理硬盤，然后定位到分區(qū)E盤的DBR扇區(qū)，向上搜索“EB5290”并偏移“0”字節(jié)，如圖4-5所示，就會搜索到D盤的完整的DBR備份，如圖所示。第二步：將整個備份扇區(qū)選中按<CTRL+C>鍵復制下來，然后將光標定位到0扇區(qū)的起始位置，按<CTRL+B>鍵粘貼，然后保存。第三步：再次打開D盤，其恢復正常并能顯示里面的內容，如圖所示。五、知識拓展NTFS的DBR結構NTFS文件系統(tǒng)的引導扇區(qū)是$Boot的第一個扇區(qū)，它的結構與FAT文件系統(tǒng)的DBR類似，所以習慣上也稱該扇區(qū)為DBR扇區(qū)。DBR扇區(qū)所在的$Boot文件是NTFS中唯一一個能夠準確定位的文件。NTFS文件系統(tǒng)的DBR扇區(qū)和FAT文件系統(tǒng)的結構一樣，也包括跳轉指令、OEM代號、BPB參數(shù)、引導程序結束標志。下圖是一個完整的NTFS文件系統(tǒng)的DBR結構圖。(1)跳轉指令

跳轉指令本身占用兩個字節(jié)，它將程序執(zhí)行流程跳轉到引導程序處，緊接著是一條空指令NOP（90H）。其值固定為“EB5290”。(2)OEM代號（系統(tǒng)ID）這部分占8個字節(jié)，其內容由創(chuàng)建該文件系統(tǒng)的OEM廠商具體安排。例如，微軟的Windows系統(tǒng)將此處直接設置為“NTFS”，在NTFS文件系統(tǒng)中也稱為“文件系統(tǒng)ID”。(3)BPB（BIOSParameterBlock,BIOS參數(shù)塊）BPB從DBR的0BH偏移處開始，到偏移53H結束，占用73字節(jié)，記錄了有關該文件系統(tǒng)的重要信息。(4)引導程序（IPL初始程序裝入程序）NTFS的DBR引導程序占用426字節(jié)(54H～1FDH),其作用是裝載系統(tǒng)文件NTLDR。對于一個沒有安裝操作系統(tǒng)的分區(qū)來講，這段程序沒有用處。(5)結束標志DBR的結束標志和MBR、EBR的結束標志相同，都為“55AA”。BPB參數(shù)分析BPB從DBR的0BH偏移處開始，各個參數(shù)的含義如表所示。字節(jié)偏移長度(字節(jié))字段名和含義0x0B2每扇區(qū)字節(jié)數(shù)（固定為0002）0x0D1每簇扇區(qū)數(shù)（2N）0x0E2保留扇區(qū)(NTFS不用)0x103總是00x132NTFS未使用,為00x151介質描述符0x162總為00x182每磁道扇區(qū)數(shù)0x1A2磁頭數(shù)0x1C4隱藏扇區(qū)數(shù)0x204NTFS未使用，為0字節(jié)偏移長度(字節(jié))字段名和含義0x244NTFS未使用，總為800080000x288扇區(qū)總數(shù)0x308$MFT的起始簇號0x388$MFTMirr的起始簇號0x401文件記錄的大小(F6或02或01)0x413未用0x441索引緩存的大小描述（F4或08或04或02或01）0x453未用0x488卷序列號0x504校驗和每簇扇區(qū)數(shù)(0x0D)、隱藏扇區(qū)數(shù)（0x1C）、扇區(qū)總數(shù)（0x28）、$MFT的起始簇號（0x30）、$MFTMirr的起始簇號(0x38)、文件記錄的大小描述（0x40）、索引緩存的大小描述（0X44）、這些參數(shù)是數(shù)據(jù)恢復中常用的幾個參數(shù)，如圖黑色線標識的部分。任務2：手工恢復NTFS文件系統(tǒng)的DBR任務情景01任務分析02必備知識03任務實施04知識拓展05一、任務情景數(shù)據(jù)恢復用戶：我的D盤在使用時系統(tǒng)提示需要格式化，分區(qū)中的數(shù)據(jù)無法訪問。工作人員：您硬盤的這個分區(qū)是什么文件系統(tǒng)？用戶：是NTFS的。任務分析工作人員：請稍等，我看一下。二、任務分析恢復DBR最直接的方法就是利用其備份，但是由于DBR及其備份同時被破壞的可能性也較大，本案例中經(jīng)查看發(fā)現(xiàn)其備份DBR扇區(qū)也被破壞了，這時要想恢復DBR就只能通過手工恢復了。（1）復制一個相同版本的NTFS文件系統(tǒng)的DBR（2）計算并修改上面所說的7個重要的BPB參數(shù)。通過對比兩個相同版本不同NTFS分區(qū)的DBR，可以發(fā)現(xiàn)二者以下7個關鍵參數(shù)存在不同：隱藏扇區(qū)數(shù)(也就是分區(qū)的相対開始扇區(qū)號)簇大小扇區(qū)總數(shù)(也就是分區(qū)大小)$MFT起始簇簇號$MFTMirr起始簇號文件記錄的大小描述索引緩存的大小描述三、必備知識一、7個關鍵的BPB參數(shù)隱藏扇區(qū)數(shù)(也就是分區(qū)的相対開始扇區(qū)號)簇大小扇區(qū)總數(shù)(也就是分區(qū)大小)$MFT起始簇簇號$MFTMirr起始簇號文件記錄的大小描述索引緩存的大小描述二、$MFT文件記錄結構在NTFS文件系統(tǒng)的元文件中，主文件表（$MFT）是一個非常重要的元文件，它由文件記錄構成，每個文件記錄占用2個扇區(qū)。由于$MFT文件非常重要，為了確保文件系統(tǒng)結構的可靠性，系統(tǒng)為它準備了一個鏡像文件（$MFTMirr），這個文件的所有屬性在$MFT的第2個記錄中。MFT的文件記錄由三部分構成：文件記錄頭、屬性列表、結束標志。圖4-10為普通文件的MFT結構。圖為目錄文件的MFT結構。（1）文件記錄頭分析在同一系統(tǒng)中，文件記錄頭的長度和具體偏移位置的數(shù)據(jù)含義是不變的，如圖所示。偏移長度描述0x004固定值，一定是“FILE”0x042更新序列號的偏移0x062更新序列號與更新數(shù)組以字為單位大?。⊿）0x088日志文件序列號（每次記錄被修改，都將導致該序列號加1）0x102序列號（用于記錄本文件記錄被重復使用的次數(shù)，每次文件刪除時加1，跳過0值，如果為0，則保持為0）0X122硬連接數(shù)，即有多少個目錄指向該文件0X142第一個屬性流的偏移地址0X162標志字節(jié)。00表示被刪除的文件，01表示正常文件，02表示被刪除的目錄，03表示正常目錄0X184文件記錄實際大?。ㄒ?字節(jié)為邊界）0X1C4文件記錄分配大?。ㄒ?字節(jié)為邊界）0X208基本文件記錄的文件參考號0X282下一個屬性ID號，當增加新的屬性時，將該值分配給新屬性，然后該值增加，如果MFT記錄重新使用，則將它置0，第一個實例總是00X2A2邊界，WINDOWSXP中為偏移0x30處0X2c4WINDOWSXP中使用，本MFT記錄號0X302更新序列號0X324更新序列數(shù)組（2）文件主要屬性分析文件記錄屬性結構在NTFS文件系統(tǒng)中所有與文件相關的數(shù)據(jù)均被定義成文件屬性，包括文件的內容。文件記錄是一個與文件相對應的文件屬性的數(shù)據(jù)庫，它記錄了文件數(shù)據(jù)的所有屬性。每個文件記錄都有多個屬性，它們相對獨立，有各自獨立的類型名稱，不同的屬性其結構、含義和功能各不相同。表4-3為屬性類型及其含義。屬性類型屬性類型名屬性描述10000000（簡稱10H屬性）$STANDARD_INFORMATION標準信息。包括一些基本文件屬性，如只讀、系統(tǒng)、存檔；時間屬性，如文件的創(chuàng)建時間和最后修改時間；有多少目錄指向該文件（即其硬連接數(shù)(hardlinkcount)）20000000$ATTRIBUTE_LIST屬性列表。當一個文件有多個記錄時，用來描述文件的屬性列表30000000$FILE_NAME文件名。用Unicode字符表示的文件名，由于MS-DOS不能識別長文件名，所以NTFS系統(tǒng)會自動生產(chǎn)一個8.3文件名40000000$VOLUME_VERSION在早期的NTFSv1.2中為卷版本40000000$OBJECT_ID對象ID。一個具有64字節(jié)的標識符，其中最低的16字節(jié)對卷來說是唯一的50000000$SECURITY_DESCRIPTION安全描述符。這是為向后兼容而保留的，主要用于保護文件以防止沒有授權的訪問，但Windows2000/XP中已將安全符存放在$Secure元數(shù)據(jù)中，以便于共享（早期的NTFS將其與文件目錄一起存放，不便于共享）60000000$VOLUME_NAME卷名(卷標識)。該屬性僅存在于$Volume元文件中70000000$VOLUME_INFORMATION卷信息。該屬性僅存在于$Volume元文件中80000000$DATA文件數(shù)據(jù)。該屬性為文件的數(shù)據(jù)內容90000000$INDEX_ROOT索引根A0000000$INDEX_ALLOCATION索引分配B0000000$BITMAP位圖C0000000$SYMBOLIC_LINK在早期的NTFSv1.2中為符號鏈接C0000000$REPARSE_POINT重解析點D0000000$EA_INFORMATION擴充屬性信息E0000000$EA擴充屬性F0000000$PROPERTY_SET早期的NTFSv1.2中才有00100000$LOGGED_UTILITY_STREAMEFS加密屬性。該屬性主要用于存儲實現(xiàn)EFS加密的有關加密信息，如合法用戶列表、解碼密鑰等每一個屬性都可以分為兩個部分：屬性頭和屬性體。如圖所示。作為一個文件列表，系統(tǒng)分配給它的空間很有限，僅1KB。對于某些文件屬性來說，能夠在文件列表分配的空間里就能全部容納下來，這樣的屬性成為常駐屬性。如果一個屬性的屬性值太大而不能放在只有1KB大小的MFT文件記錄中，那么，系統(tǒng)將在MFT之外為其分配區(qū)域，這些區(qū)域通常稱為DATARUN（數(shù)據(jù)流），它們用來儲存屬性值。如果屬性值不是連續(xù)的，MFT將會分配多個DATARUN，以便用來管理不連續(xù)的數(shù)值。這種將屬性值儲存在DATARUN中而不是在MFT文件記錄中的屬性稱為非常駐屬性。屬性的屬性頭：常駐沒有屬性名字節(jié)偏移字段長度(字節(jié))含義0x004屬性類型（如10H、30H等類型）0x044包括屬性開頭在內的本屬性的長度（字節(jié)）0x081是否為常駐屬性（00表示為常駐，01H表示非常駐）0x091屬性名長度（為0表示沒有屬性名）0x0A2屬性名長度（為0表示為沒有屬性名）0x0C2壓縮、加密、稀疏標志：0001H表示該屬性是被壓縮了的；4000H表示該屬性是被加密了的；8000H表示該屬性是稀疏的[NTFS下壓縮文件的第二壓縮類型稱為SparesFile(稀疏文件)0x0E2屬性ID0x104屬性體的長度（L）0x142屬性體的開始偏移0x161索引標志0x171無意義0x18L屬性體的內容常駐有屬性名字節(jié)偏移字段長度（字節(jié)）含義0x004屬性類型（如90H、BOH等類型）0x044包括屬性頭在內的本屬性的長度（字節(jié)）0x081是否為常住屬性（00表示為常駐，01H表示非常駐）0x091屬性名長度（N）0x0A2屬性名開始的偏移0x0C2壓縮、加密、稀疏標志0x0E2屬性ID0x104屬性體的長度（L）0x142屬性的開始偏移0x161索引標志0x171無意義0x182N屬性的名字2N+0x18L屬性體的內容非常駐沒有屬性名字節(jié)偏移字段長度（字節(jié)）含義0x004屬性類型（如20H、80H等類型）0x044包括屬性頭在內的本屬性的長度（字節(jié)）0x081是否為常住屬性。01表示該屬性為非常駐屬性0x091屬性名長度。0表示沒有屬性名0x0A2屬性名開始的偏移（沒有屬性名）0x0C2壓縮、加密、稀疏標志0x0E2屬性ID0x108屬性體的起始虛擬簇號（VCN）0x188屬性體的結束虛擬簇號0x202RunList信息的偏移地址（Run即DataRun，是一個在邏輯簇號上連續(xù)的區(qū)域，是不存儲在MFT中的數(shù)據(jù)）0x222壓縮單位大?。?x

簇，如果為0表示未壓縮）0x244無意義0x288屬性體的分配大小。這個屬性體大小是該屬性體所有的簇所占的空間大小（字節(jié)）0x308屬性體的實際大?。ㄒ驗閷傩泽w長度不一定正好占滿所有簇）0x388屬性體的初始大小0x40屬性的RunList信息，它記錄了屬性體開始的簇號、簇數(shù)等信息非常駐有屬性名字節(jié)偏移字段長度（字節(jié)）含義0x004屬性類型（如80H、A0H等類型）0x044包括屬性頭在內的本屬性的長度（字節(jié)）0x081是否為常駐屬性（為01表示該屬性為非常駐屬性)0x091屬性名長度（N）0x0A2屬性名開始的偏移0x0C2壓縮、加密、稀疏標志0x0E2屬性ID0x108屬性體的起始虛擬簇號（VCN）0x188屬性體的結束虛擬簇號0x202RunList信息的偏移地址（Run即DataRun，是一個在邏輯簇號上連續(xù)的區(qū)域，是不存儲在MFT中的數(shù)據(jù)）0x222壓縮單位大?。?x簇，如果為0表示未壓縮）0x244無意義0x288屬性體的分配大小[該屬性體占的大小，這個屬性體大小是該屬性所有的簇所占的空間大?。ㄗ止?jié)）]0x308屬性體的實際大?。ㄒ驗閷傩泽w長度不一定占滿所有簇）0x388屬性體的初始大小0x402N該屬性的屬性名2N+0x40屬性的RunList信息，它記錄了屬性體開始的簇號、簇數(shù)等信息典型屬性體分析10H屬性體分析字體偏移量字段長度（字節(jié)）（字節(jié)）含義0x008文件創(chuàng)建時間0x088文件最后修改時間0x108MFT修改時間0x188文件最后訪問時間0x204傳統(tǒng)文件屬性0x244最大版本數(shù)。為0表示沒有版本0x284版本數(shù)。如果偏移量24H處為0則此處也為00x2C4分類ID（一個雙向的類索引）0x304所有者ID。表示文件的所有者，是訪問文件配額$Quota中$O和$Q索引的關鍵字，如果為0表示沒有設置配額0x344安全ID。是文件$Secure中$SII索引和$SDS數(shù)據(jù)流的關鍵字，注意不要與安全標示相混淆0x388配額管理。配額占用情況，它是文件所有流占用的總字節(jié)數(shù)，為0表示末使用磁盤配額0x408更新序列號（USN）。文件最后的更新序列號，它是進入元數(shù)據(jù)文件$UsnJrnl直接的索引，如果為0，則表示沒有USN30H屬性分析字節(jié)偏移字段長度（字節(jié)）含義0x008父目錄的文件參考號（即父目錄的基本文件記錄號，分為兩部分，前6個字節(jié)48位為父目錄的文件記錄的文件記錄號，后2個字節(jié)為序列號）0x088文件創(chuàng)建時間0x108文件修改時間0x188MFT修改時間0x208文件最后訪問時間0x188文件分配大小0x308文件實際大小0x384標志。如目錄、壓縮、隱藏等0x3C4EAs（擴展屬性）和Reparse(重解析點)使用0x401文件名長度（字符數(shù)L）0x411文件名命名空間（FilenameNamespace）0x422LUnicode文件名80H屬性分析0x00（4字節(jié)）：“80H”，80H屬性的標志0x03（4字節(jié)）：“28H”，80H屬性的長度40字節(jié)0x08（1字節(jié)）：“00”，常駐屬性0x10（4字節(jié)）：“10H”，屬性體的長度16字節(jié)0x14（2字節(jié)）：“18H”，屬性體的起始偏移（相對于80H屬性的標志地址）0x18（16字節(jié)）：“31323334353637383961626364656667”，屬性體的內容“123456789abcdfeg”，即文件的內容。圖標記的是一個非常駐的80H屬性。0x00（4字節(jié)）：“80H”，80H屬性的標志0x03（4字節(jié)）：“50H”，80H屬性的長度80字節(jié)0x08（1字節(jié)）：“01”，非常駐屬性0x20（2字節(jié)）：“40H”，數(shù)據(jù)流表RunList信息的偏移地址（相對于80H屬性的標志地址）0x28（8字節(jié)）：“121C0000H”，屬性體的分配大小303824896字節(jié)0x30（8字節(jié)）“121C0000H”，屬性體的實際大小303824896字節(jié)0x40：“12414703437FDA0094CFAB00”屬性的RunList信息，它記錄了屬性體起始簇號、簇數(shù)等信息。第一個RunList數(shù)值“12414703”的第一個字節(jié)“12”是壓縮字節(jié)，高位和低位相加1+2=3，表示這個RunList信息占用3個字節(jié)。其中高位表示起始簇號占用幾個字節(jié)，低位表示數(shù)據(jù)占用簇數(shù)即大小用幾個字節(jié)來描述。如圖所示。同理第二個RunList“437FDA0094CFAB00”的信息占用4+3=7個字節(jié)，起始簇號占用4個字節(jié)，數(shù)值為“00ABCF94H”，大小占用3個字節(jié)，數(shù)值為“00DA7FH”。解析后，得到這個數(shù)據(jù)流起始簇號為11259796，占用55935個簇。注意第二個數(shù)據(jù)流的起始簇號是相對于第一個數(shù)據(jù)流的開始位置的，如果有第三個數(shù)據(jù)流，則起始簇號是相對于第二個數(shù)據(jù)流的開始位置的，依此類推。這樣圖中文件的內容就是由2個數(shù)據(jù)流按前后順序組成的。數(shù)據(jù)流的起始位置和大小分別為：數(shù)據(jù)流1——起始簇號03，占用18241個簇；數(shù)據(jù)流2——起始簇號03+11259796=11259799，占用55935個簇。四、任務實施用中盈底層編輯軟件NavHex打開分區(qū)，跳轉到D盤的DBR扇區(qū)，如圖所示?？吹紻盤的DBR扇區(qū)被破壞，分區(qū)無法正常打開。下面我們手工來修復DBR扇區(qū)。將NTFS分區(qū)E盤的DBR復制到D盤DBR所在的扇區(qū)，如圖所示。第一步：計算“隱藏扇區(qū)數(shù)”。隱藏扇區(qū)數(shù)就是分區(qū)的相對開始扇區(qū)號，該參數(shù)可以從分區(qū)表中查看，D盤是硬盤上的第二個主分區(qū)，查看硬盤分區(qū)表，如圖所示。第二步：計算“扇區(qū)總數(shù)”扇區(qū)總數(shù)也可以從分區(qū)表中看到，查看圖4-19所示的分區(qū)表0C350000，該值十進制為204800000。因為D盤是NTFS分區(qū)，所以DBR中記錄的扇區(qū)總數(shù)要比分區(qū)表中記錄的少一個扇區(qū)，“扇區(qū)總數(shù)”應該為204799999（換成十六進制為C34FFFF）。第三步：計算“$MFT起始簇號”$MFT起始簇號可以通過搜索文件記錄的方法獲得，具體方法是搜索文件記錄的頭標志“46494C45”，搜索設置如圖所示。通過搜索我們找到一個文件記錄后，再觀察其30H屬性，驗證其文件名是否是$MFT，一般我們搜索到的第一個文件記錄就是$MFT自身的文件記錄，如圖所示。第四步：計算“$MFTMirr起始簇號”$MFT記錄的下一個記錄就是$MFTMirr的記錄了，從$MFTMirr文件記錄的80H屬性中就能查看到$MFTMirr起始簇號，如圖所示。第五步：計算“每簇扇區(qū)數(shù)”方法一：通過第三步，得到$MFT的起始簇號，并可在“中盈底層編輯軟件NavHex”窗口左下角看到$MFT的起始扇區(qū)號，如圖橫線部分所示，用$MFT的起始扇區(qū)號/的$MFT的起始簇號,算出每簇扇區(qū)數(shù)，即：6291456/786432=8。方法二：搜索一個文件的文件記錄，通過其非常駐的80H屬性就可得到。如$MFT文件記錄，如圖4-23方框部分所示，查看其80H屬性就是非常駐的，從$MFT文件記錄中的80H屬性中可以看出“數(shù)據(jù)流的分配大小”為“0000040000000000”，即262144（十進制）字節(jié)，文件只有一個數(shù)據(jù)流“314000000C”，該數(shù)據(jù)流占40個簇，換算為十進制是64個簇。用分配的字節(jié)數(shù)除以占的簇數(shù)，就是每個簇的字節(jié)數(shù)，再除以512，就是每簇扇區(qū)數(shù)了。具體計算一下：262144/64/512=8。方法三：“每簇扇區(qū)數(shù)”這個參數(shù)我們也可以根據(jù)缺省值來確定。因為NTFS卷文件簇的大小一般是依據(jù)卷大小來確定的。具體的卷大小與簇大小的對應關系見表。卷大小每簇扇區(qū)數(shù)缺省的簇大小小于等于512MB1512B513MB-1024MB(1G)21KB1025MB-2048MB(2G)42KB大于等于2019MB84KB第六步：計算“文件記錄的大小描述”文件記錄的大小描述表示每個文件記錄的簇數(shù)，該參數(shù)為帶符號數(shù)。當每個文件記錄的大小小于每簇扇區(qū)數(shù)，該值就是負數(shù)。在這種情況下，文件記錄的大小用字節(jié)數(shù)表示。計算方法為：文件記錄的字節(jié)數(shù)=2-1×文件記錄的大小描述。第七步：計算“索引緩沖區(qū)的大小描述”索引緩沖區(qū)的大小描述表示每個索引緩沖區(qū)的簇數(shù)，該參數(shù)也是帶符號數(shù)。當每個索引緩沖區(qū)的大小小于每簇扇區(qū)數(shù)時，就為負數(shù)。索引緩沖區(qū)的大小一般固定為8個扇區(qū)，而該分區(qū)的簇大小為8個扇區(qū)，所以每個索引緩沖區(qū)為1簇。將這7個參數(shù)寫入到BPB的相應位置，如圖所示，然后保存即可。重新加載分區(qū)，分區(qū)內容就可以打開了，如圖所示。五、知識拓展如果一個硬盤的DBR被破壞，可以用上述方法進行恢復，但是如果一個盤的MBR和DBR同時破壞，首先需要進行MBR的恢復，在恢復的時候需要知道DBR的位置，當然進行DBR恢復的時候也必須知道DBR在盤上的位置，所以確定DBR的具體位置就顯得猶為重要了。DBR是一個NTFS分區(qū)的開始位置，這個位置在MBR中有所體現(xiàn)，但是MBR沒有了，只能從別的地方再找線索了，我們知道，MFT及其鏡像里面有它的起始簇號，并能通過MFT計算出每簇扇區(qū)數(shù)，這樣就可以倒推出分區(qū)的起始位置，即DBR的位置。還有一個簡單方法，一般情況下，MFT的開始位置6291456號扇區(qū)，這樣找到MFT位置，退回6291456個扇區(qū)就是DBR的位置了。任務3：手工恢復NTFS文件系統(tǒng)下的文件任務情景01任務分析02必備知識03任務實施04知識拓展05一、任務情景數(shù)據(jù)恢復用戶：我的移動硬盤里面有一個很重要的文件不知什么原因被刪除了，用常用的恢復軟件沒有恢復回來，你能給我恢復回來嗎?工作人員：文件出問題后，您又往里面寫東西了嗎？用戶：沒有。工作人員：您還記得文件名嗎？用戶：是一個Word文檔，名字是“數(shù)據(jù)恢復技術與應用原稿”。工作人員：我試試吧二、任務分析將該盤連接至中盈數(shù)據(jù)恢復機上，雙擊該盤符，確實沒有用戶所說的那個文件，查看了回收站后也沒有該文件。當文件刪除后，最簡單的恢復方法是先嘗試使用一些反刪除工具，但反刪除工具并不能保證百分之百地成功恢復。如果失敗，可以利用中盈底層編輯軟件根據(jù)存儲介質的實際情況進行手工恢復。三、必備知識一、NTFS文件系統(tǒng)的文件管理底層分析我們以NTFS分區(qū)中的文件，“Solipsistic.jpg”為例來了解一下文件的各部分結構，文件如圖所示。該文件是個圖片文件，打開后如圖所示。該文件在NTFS中由MFT來進行管理，文件記錄占2個扇區(qū)，第一個扇區(qū)的內容如圖所示。

該文件的文件記錄頭以“46494C45”（FILE）開始（深綠色部分），在文件頭的偏移0x16處是文件的標志（2個字節(jié)）“0001”（深綠色中的淺綠色），表示文件正在使用。其文件名在30H屬性中（深灰色部分），如圖所示。文件“Solipsistic.jpg”的數(shù)據(jù)由MFT中80H屬性管理，如圖所示。從圖中可以看出，80H屬性的偏移0x08的數(shù)值為“01”，說明該屬性是非常駐；偏移0x30～0x37的數(shù)值為“82110E0000000000”，說明文件的大小為0E1182H（十進制值為921986）個字節(jié)；偏移0x40～0x47的值為“32E20058E40B0000”，說明該文件的RunList中只有一個數(shù)據(jù)流，所以文件是連續(xù)存放的，數(shù)據(jù)的開始簇號為0BE458H（十進制值為779352），占用00E2H簇（十進制值為226簇）。

用中盈底層編輯軟件NavHex跳轉到779352號簇，其開始的部分內容如圖所示。從779352號簇所在扇區(qū)開始，往后連續(xù)的921986個字節(jié)（文件“Solipsistic.jpg”的大?。?，就是這個文件的所有數(shù)據(jù)。把這些數(shù)據(jù)選中復制出來保存為一個文件，打開該文件可以發(fā)現(xiàn)就是圖中的圖片文件。二、文件徹底刪除后的底層分析首先將文件“Solipsistic.jpg”徹底刪除，刪除后其文件記錄如圖所示。對比圖可以看出，文件的文件記錄頭中的狀態(tài)標志由“0100”（文件在使用中）變?yōu)椤?000”（文件被刪除），而30屬性中的文件名、80屬性中的文件大小、RunList等重要信息沒有任何變化。