计算机检测维修与数据恢复(上册)课件 任务2 NTFS文件系统恢复.pptx
子任务1利用WinHex读取FAT32文件系统参数任务2NTFS文件系统恢复项目7文件系统恢复
01利用Winhex读取$MFT参数02利用Winhex读取$Root参数目录contents03利用Winhex读取数据区主要参数
利用Winhex读取$MFT参数01
任务实施1(一)利用Winhex读取$MFT参数(共有2个步骤)步骤一:附加虚拟磁盘,运行Winhex并打开它步骤二:读取和记录$MFT参数
一步骤一:附加虚拟磁盘,运行Winhex并打开它在素材文件夹中,双击“7任务2-1-1.vhd”,然后运行Winhex,打开“HD1”,界面显示该硬盘信息,此虚拟磁盘共分有1个主分区点开分区1(NTFS分区)。利用Winhex读取$MFT参数
一步骤二:读取和记录$MFT参数点开$MFT元文件,第一个记录(0号记录)就是本身文件记录。如图7-10所示。利用Winhex读取$MFT参数图7-10Winhex编辑窗口信息($MFT的0号文件记录表)图
一步骤二:读取和记录$MFT参数1.读取0号文件记录头参数根据表7-13(文件记录头参数表),对应读取0号文件记录头,得其参数,如表7-17所示。利用Winhex读取$MFT参数表7-170号文件记录头参数表偏移长度值记录内容0X0040X454C4946MFT标志,一定为字符串“FILE0X0420X30更新序列号的偏移0X300X0620X03更新序列号的大小与数组,包括第一个字节0X0880X2004BF2日志文件序列号($LogFileSequenceNumber,LSN)0X1020X01序列号(SequenceNumber)0X1220X01有1个目录指向该文件0X1420X38第一个属性的偏移地址0X380X1620X013H表示记录正在使用0X1840X1A0文件记录的实际长度为416字节0X1C40X400总共分配给记录的长度为1KB0X2080X00基本文件记录中的文件索引号0X2820X04下一属性ID(4号属性)0X2A20X00边界,WindowsXP中为偏移0x30处0X2C40X00WindowsXP中使用,MFT记录编号为0(从0号开始)0X3020X0600更新系列号
一步骤二:读取和记录$MFT参数2.读取0号文件记录0X80属性参数根据表7-14(0X80属性参数表),对应读取0号文件记录0X80属性参数,得其参数,如表7-18所示。利用Winhex读取$MFT参数表7-180号文件记录0X80属性参数表偏移长度值0X80非常驻没有属性名属性内容0X10040X800X80属性0X10440X48属性头长度(单位:72字节)0X10810X01常驻与非常驻标志,此处为01,表示非常驻0X10910X00文件名长度(00表示没有属性名),此处为00,表示未命名,即无属性名0X10A20X40名称偏移值(没有属性名),此处为0X400X10C20X00压缩、加密、稀疏标志:0001H表示该属性是被压缩的;4000H表示该属性是被加密的;8000H表示该属性是稀疏的0X10E20X02属性ID标识(2号属性)0X11080X00开始VCN,此处为000X11880X3F结束VCN,此处为630X12020X40数据运行列表偏移地址0X400X12220X00压缩单位大小(2x簇,如果为0表示未压缩)0X12440X00填充0X12880X040000系统分配给文件的空间大小(单位:262,144字节)0X13080X040000数据流的实际大小,即文件的实际大小(单位:262144字节)0X13880X040000数据流已初始化大小,即文件压缩后的大小(单位:262144字节)0X140H+L+10X31/0X40/0X0C0000数据流占本卷的起始簇号786432,数据流占本卷的总簇数为64簇
利用Winhex读取$Root参数02
利用Winhex读取$Root参数二、利用Winhex读取$Root参数(共有2个步骤)步骤一:跳转到5号文件记录步骤二:读取和记录5号文件记录参数
二步骤一:跳转到5号文件记录在0号文件记录,继续向后移10个扇区,就到5号文件记录($Root根目录文件目录)。如图7-11所示。利用Winhex读取$Root参数图7-11Winhex编辑窗口信息($MFT的5号文件记录表)图
二步骤二:读取和记录5号文件记录参数1.5号文件记录头参数根据表7-13表(文件记录头参数表),对应读取5号文件记录头,得其参数,如表7-19所示。利用Winhex读取$Root参数表7-195号文件记录头参数表偏移长度值记录内容0X0040X454C4946MFT标志,一定为字符串“FILE0X0420X30更新序列号的偏移0