数据恢复实用技术课件：恢复NTFS数据.pptx

恢复NTFS数据

任务3.1恢复NTFS文件系统的DBR

3.1.1NTFS系统的基本结构0号扇区，即DBR扇区，包含分区的引导程序和BPB参数，如果参数破坏，则分区不能正常使用。DBR扇区后是15个扇区的NTLDR区域，DBR与NTLDR构成$Boot文件。NTFS文件主文件表中还记录一些非常重要的系统数据，这些数据被称为元数据文件，简称为“元文件”，包括用于定位和恢复的数据结构、引导程序数据及整个卷的分配位图等信息。NTFS文件系统从0扇区开始以簇为单位对扇区进行管理，采用虚拟簇号和逻辑簇号两种方式来管理分区。

3.1.2NTFS文件系统DBR分析NTFS文件系统的引导扇区是$Boot的第一个扇区，称该扇区为DBR扇区。DBR包括跳转指令、OEM代号、BPB参数、引导程序和结束标志五个部分。BPB参数是数据恢复中需要着重掌握的部分，BPB是BIOSParameterBlock的缩写，其含义为BIOS参数块。BPB从DBR的OBH偏移处开始，到偏移53H结束，占用73字节，记录了文件系统的重要信息。

3.1.2NTFS文件系统DBR分析字节偏移字段长度（字节）字段定义字节偏移字段长度（字节）字段定义00H~02H3跳转指令20H~23H4NTFS未使用，为003H~0AH8OEM代号24H~27H4NTFS未使用，为800080000BH~0CH2每扇区字节数28H~2FH8扇区总数0DH~0DH1每簇扇区数30H~37H8$MFT的起始簇号0EH~0FH2保留扇区（NTFS不用）38H~3FH8$MFTMirr的起始簇号10H~11H3总是040H~40H1文件记录的大小描述13H~13H2NTFS未使用，为041H~43H3未用15H~17H1介质描述符44H~44H1索引缓冲的大小描述16H~19H2总是045H~47H3未用18H~1BH2每磁道扇区数48H~4FH8卷序列号1AH~1DH2磁头数50H~53H4校验和1CH~1FH4隐藏扇区数???表3-1NTFS文件系统BPB参数的含义

任务3.2恢复NTFS文件系统中丢失的文件

3.2.1文件记录结构分析1.NTFS文件系统的元文件序号元文件功能0$MFT主文件表本身，是每个文件的索引1$MFTMirr主文件表的部分镜像，通常为前4个文件记录的备份2$LogFile事务型日志文件3$Volume卷文件，记录卷标等信息4$AttrDef属性定义列表文件5$Root根目录文件，管理根目录6$Bitmap位图文件，记录了分区中簇的使用情况7$Boot引导文件，记录了用于系统引导的数据情况8$BadClus坏簇列表文件9$Secure安全文件10$UpCase大小写字符转换表文件11$Extendmetadatadiectory扩展元数据目录12$Extend\$Reparse重解析点文件13$Extend\$UsnJrnl加密日志文件14$Extend\$Quota配额管理文件15$Extend\$ObjId对象ID文件在NTFS的文件系统中，磁盘上的所有的内容数据全都是以文件的形式出现的，即使是文件系统的管理信息也是以一组文件的形式存储的，统称为元文件。

3.2.1文件记录结构分析2．文件记录整体结构MFT以文件记录来实现对文件的整体管理，每个文件记录都对应着不同的文件，固定是1KB，也就是一个MFT项占用两个扇区。文件记录是连续的，从0开始依次顺序编号。表3-3文件记录结构表

3.2.1文件记录结构分析2．文件记录整体结构MFT以文件记录来实现对文件的整体管理，每个文件记录都对应着不同的文件，固定是1KB，也就是一个MFT项占用两个扇区。文件记录是连续的，从0开始依次顺序编号。字节偏移字段长度（字节）字段含义00H~03H4MFT标志，一定为字符串“FILE”04H~05H2更新序列号(UpdateSequenceNumber)的偏移06H~07H2更新序列号的大小与数组，包括第一个字节08H~0FH8日志文件序列号($LogFileSequenceNumber,LSN)10H~11H2序列号(SequenceNumber)12H~13H2硬连接数(HardLinkCount)，即有多少目录指向该文件14H~15H2第一个属性的偏移地址16H~17H2标志(Flag),00H表示文件被删除，01H表示文件正在使用，02H表示目录被删除，03H表示目录正在使用18H~1BH4文件记录的实际长度1CH~1FH4文件记录的分配长度20H~27H8基本文件记录中的文件索引号28H~29H2下一属性ID,当增加新的属性时，将该值分配给新属性，然后该值增加，如果MFT记录重新使用，则将它