高级数据恢复

ntfs”为重点（fat32的备份在第六扇区，ntfs在最后一个扇区）

ntfs文件系统：

1， ntfs是new technology file system（新技术文件系统）的缩写与fat相比ntfs具有很多的特点如容错性安全性，文件压缩（compress）和磁盘配额（disk quotas）

2， ntfs的元文件：在ntfs的文件系统中文件亦是按簇进行分配一簇必须需是物理扇区的整数倍，而且是2的倍数，文件通过主文件表(master file table)来确定磁盘上的存储位置。

3， mft中文件记录大小一般是固定的不管簇的大小为多少它场为1kb

$mft：主文件夹。

$mftmirr：即为mft的备份镜像文件。

$logfile：日志文件是为实现可恢复性和安全性而设计的。

$volume：卷文件它包含卷名ntfs的版本和一个标明该磁盘是否损坏的标志。

$attrdef：属性定义表，其中存放着卷所支持的所有文件属性。

$(\根目录其中保存着该根目录下的所有文件和目录的索引。

$bitmap：位**件，ntfs卷中簇的使用情况都保存于此。

$boot：引导文件存放着windowsxp/2000/2003的引导程序**。

$badclus：坏簇文件记录着该卷中所有损坏情况。

$secure：安全文件存储着整个卷中的安全描述符数据库。

$vpcase：大写文件该文件包含一个大小写转换表。

$extended metadata directory：扩展原数据目录。

$extended\$reparse：重解析点文件。

$ extended\$usnfrn：变更日志文件。

$ extended\$quata：配额管理文件。

$ extended\$qbyid：对象id文件。

datantfs文件系统dbr的构造图（回写dbr）

注：1，上图结构只是ntfs文件系统的示意图并不完全成比例。

2，元文件在图中只体现了一部份，没有画完整并且除了$bat文件以外，其它文件的位置不是固定的，例如$mft文件也可以在$mftmirr文件之后。

3，在ntfs文件系统所在的分区的最后一个扇区是db的备份但，该扇区并不属于ntfs文件系统[如1个g的分区（0-199999最后一个扇区）但到数据区最后一个扇区为1999998]

4,ntfs的dbr需要修改的bpb参数。

odh 每簇扇区数。

28-2fh扇区总数(左下角sector of x“x-1”为扇区总数)

30h-37h$mft的逻辑簇号（原文件，用小望眼十六进制）

38h-3fh$mftmirr的逻辑簇号（这是原文件的备份，用大望眼镜一般在50%的位。

置）注：搜到的数据后都要除以每簇扇区数。

40h-43hh每mft记录的簇数（mft是固定的2个扇区）

44h-47h每索引簇数（求每簇数）

ntfs中dbr的回写步骤：

一，从可以正常打开且分区类型相同的分区上复制dbr

二，修改相应的bpb参数。

1,每簇扇区数(0dh)ntfs卷大小和簇大小关系表。

注：a，当一个分区由fat卷转变成nfts卷时卷因子大小总占用一个扇区，所以当出现这种情况时就不可能用上面的表表示了，也就是只要是fat转ntfs的每簇扇区数都用“1”来计算成本。

b,此外卷大小不能仅看卷标对处在过渡段值大小的（如1gb）应根据属性总大小值。

来确定（右键属性）

c,参照ntfs分区默认簇大小来写以每簇扇区数为8者居多（分区在2049mb以上）

2，扇区总数（28-2fh）看左下角4241097扇区填入winhex中值应为左下角的扇区

数“-1”即4241096转十六40 b6 c8填入winhex中应为c8 b6 40 00 00 00 00

注：总扇区数的大小=左下角扇区数一1

计算：搜到的扇区数。

3，$mft的逻辑簇号（30-37h）

方法：查找十六进制字节“46 49 4c 45”找到后记录下起始的扇区号，换算式簇号。

填入相应位置即可，在搜索该标志的字节时，$mft需要和$mftirr一起确定因。

为$mftirr是$mft的部份，而不是完全备份一般$mft在$mftirr之前，但也可。

以在其后。具体的确定方案为：在果找“46 49 4c 45”字节时需要找两个区域，然后比较两个。

区域的大小，小的为$mftirr如在搜索mft时，在扇区32的位置发现了$mft，共16个元件而在中部的2682848位置发现了$mft共四个元文件，那么中部的。

这个为$mftirr所以mft所在的逻辑簇号为：

所在的扇区数。

转化为十六进制4h填入winhex中为04 00 00 00 00 00 00 00 00

注：$mftirr一般在总扇区数的中间位置。

方法：在中间靠前扇区处搜“46 49 4c 45”

4，$mftirr的逻辑簇号（38h-3fh）由于$mftirr所在的位置为2682848扇区则。

$mftirr所在逻辑簇号=所在扇区数/每簇扇区。

=335356转十六进制51df（填入winhex中）

5，每簇mft记录的簇数，即所占用的簇数（40h-43h）是指在$mft中每个文件记。

录所占用的簇数，一般是固定的1kb，而不管簇本身有多大（1kb=2个扇区）

注：对于簇小于1kb的分区，就是实际占用的值。

每簇1个扇区：占用2簇。

每簇2个扇区：占用1簇 1个扇区=节。

对于簇大于2扇区的分区一律是f6h即246由于我们分析的案例中的每簇扇区。

数为8，所以这里的值就是是默认值246并转十六进f6填入winhex中。

6，每索引块的簇数（44h-47h）两个索引间的扇区按簇的大小换算成簇数就是两个。

索引所占用的簇数。

方法：搜索索引特征字符“49 4e 44 58”每簇索引的特征为前几个扇区有字节，后几个。

则为空一般占用8个扇区。

在搜索“49 4e 44 58”时不妨多搜几次一般都找到相邻的索引文件，那么按照照。

案例。每索引块的簇故为1

填入winhex中为01 00 00 00 00

ebr（extend boot record）:

ebr的现象如一个主分区一个扩展分区，扩展下又分了几个逻辑分区，当在mbr回写正确后，主分区恢复了但扩展分区打不开，也没逻辑分区)

注：这里回写扩展分区中的逻辑分和dbr没关系，主要回写ebr

磁盘管理中或在软件下对分区逐个删除后又重新分区装系统后的恢复方法：

1,对分区进行逐个删除是破坏了mbr和ebr如果将f区删除是将f区前的ebr分区表，部分清零且保留结果束标志“55aa”依此类推，将分区全部删除后去写分区表mbr，c区的数据可以恢复，可是后面的分区只有一个扩展分区，而下面无逻辑分区，必须回写每个逻辑分区前的ebr,分区才会逐个打开。

2，回写分区前首先要了解ebr的构造如图所示：

c区前的mbr前16字节扫描c区，后16字描述后面的整个扩展分区。

d区前的ebr的前16字节描述d区本身后面的16字节描述的是d区后面的扩展。

分区即ebr+e区。

e区前的ebr前16字节描述的是e区本身后面的16字节描述的是e区后面的扩展。

分区即ebr+f区。

f区前的ebr前16字节描述f区本身，因为f区后没有逻辑分区，所以没有后16

字节的描述。

当客户将所有分区删除的时候，实际上就是将mbr和ebr分区表部分全部清空，恢复数据就要回写ebr。

回写ebr的步骤：

第一步：写d区前的ebr（分区表）前16字节中第5字节内d区的分区类型，第9，10，11，12字节为d区之前已用的扇区数即ebr大小第13，14，15，16字节为d区大小后16字节中的第5字节为扩展分区类型（05或0fh）第9，10，11，12字节指的是（ebr+e区）之前已用的扇区数即（ebr+d）大小，第13，14，15，16字节为扩展分区大小即（ebr+e区）大小。

第二步：写e区前的ebr（分区表）前16字节同d区前16字节的写入方法，后16字节中的第5字节描述扩展分区类型，第9，10，11，12字节指的是（ebr+f区）之前已用的扇区数即（ebr+d区+ebr+e区大小）第13，14，15，16字节内扩展分区大小即（ebr+f区大小）

第三步：写f区前的ebr：

因为f区为磁盘的最后一个分区，所以在ebr中的前16字节对它进行描述，回写方法同上。

注：1，当我们把d区前的ebr写完之后，系统可能自动将e区写回，将e区之前。

的ebr写完之后，f区就可能自动写回。

2，我们在计算分区大小的时候可以通过访问分区的dbr来确定，如需计算d 区大小，可在整个磁盘当跳到（mbr+c区+ebr）来访问d区的dbr（搜到。

扇区数时看20h本区大小）

利用fat和fdt来定位磁盘分区中的单个文件：（这是对单个分区中的文件被病毒感染或是隐藏时要恢复的文件）

第一种情况根目录下的单个文件：

第一步：确定数据区的起始位置。

数据区的起始扇区=第一点所在扇区数-[（第一点所在簇数-2）×8]

搜点法：搜文本字符“*加三个空格”down,512=0

假如：点所在的扇区数那么点所在的起始扇区。

=4136 sec

第二步：跳到数据库的起始扇区，找ascⅱ（命名的文件）值显示下的文件名。

1，从58-56字节文件及扩展名。

高级数据恢复

计算机数据恢复作业

《数据恢复》参考题目与答案

高级数据查询

其他用户还读了