2022年數(shù)據(jù)恢復(fù)基本知識(shí)講義

1、數(shù)據(jù)恢復(fù)的基本知識(shí)一、基本概念1、 數(shù)據(jù)這里我們所說的數(shù)據(jù)，只指計(jì)算機(jī)數(shù)據(jù)，后面不再專門指出。首先，“數(shù)據(jù)”是一個(gè)廣義的概念，不僅包括計(jì)算機(jī)文件系統(tǒng)或數(shù)據(jù)庫系統(tǒng)中存儲(chǔ)的各種數(shù)據(jù)、正文、圖形、圖像、聲音等形式的多媒體數(shù)據(jù)文件、軟件或各種文檔資料，也包括存放或管理這些信息的硬件信息， 如計(jì)算機(jī)硬件及其網(wǎng)絡(luò)地址、網(wǎng)絡(luò)結(jié)構(gòu)、 網(wǎng)絡(luò)服務(wù)等。 盡管在許多文獻(xiàn)中都大量引用“數(shù)據(jù)”與“信息”兩個(gè)術(shù)語，但卻沒有一個(gè)被公認(rèn)的數(shù)據(jù)與信息的定義。本書中對(duì)“數(shù)據(jù)”與“信息”不加以區(qū)分，視為同義。2、數(shù)據(jù)恢復(fù)那么什么是數(shù)據(jù)恢復(fù)呢？簡(jiǎn)單地說，數(shù)據(jù)恢復(fù)就是把遭受破壞、或由硬件缺陷導(dǎo)致不可訪問或不可獲得、 或由于誤操作等各種原

2、因?qū)е聛G失的數(shù)據(jù)還原成正常數(shù)據(jù)，即恢復(fù)至它本來的“面目”。數(shù)據(jù)恢復(fù)不僅對(duì)已丟失的文件進(jìn)行恢復(fù)，還可以恢復(fù)物理損傷的磁盤數(shù)據(jù)，也可以恢復(fù)不同操作系統(tǒng)的數(shù)據(jù)。二、硬盤結(jié)構(gòu)1、 硬盤的物理結(jié)構(gòu)圖 1 2、 硬盤的數(shù)據(jù)組織1）盤片： 硬盤的每一個(gè)盤片都有兩個(gè)盤面（side ） ，即上、 下盤面， 一般每個(gè)盤面都利用上，即都裝上磁頭可以存儲(chǔ)數(shù)據(jù)，成為有效盤片， 也有極個(gè)別的硬盤其盤面數(shù)為單數(shù)。每一個(gè)這樣的有效盤面都有一個(gè)盤面號(hào)，按順序從上而下自“0”開始依次編號(hào)。在硬盤系統(tǒng)中，盤面號(hào)又叫磁頭號(hào)，就是因?yàn)槊恳粋€(gè)有效盤面都有一個(gè)對(duì)應(yīng)的讀寫磁頭。硬盤的盤片組在214 片不等，通常有23 個(gè)盤片，故盤面號(hào)（磁頭

3、號(hào)）為03 或 05。精品學(xué)習(xí)資料 可選擇p d f - - - - - - - - - - - - - - 第 1 頁，共 22 頁 - - - - - - - - -2）磁道：磁盤在格式化時(shí)被劃分成許多同心圓，這些同心圓軌跡叫做磁道（track ） 。磁道從外向內(nèi)自0 開始順序編號(hào)。 硬盤的每一個(gè)盤面有3001024 個(gè)磁道， 新式大容量硬盤每面的磁道數(shù)更多，如圖2-24 所示。信息以脈沖串的形式記錄在這些軌跡中，這些同心圓不是連續(xù)記錄數(shù)據(jù)， 而是被劃分成一段段的圓弧，由于徑向長度不一樣，這些圓弧的角速度一樣，而線速度不一樣， 外圈的線速度較內(nèi)圈的線速度大，即同樣的轉(zhuǎn)速下， 外圈在同樣時(shí)間

4、段里，劃過的圓弧長度要比內(nèi)圈劃過的圓弧長度大。每段圓弧叫做一個(gè)扇區(qū)，扇區(qū)從“1”開始編號(hào)，每個(gè)扇區(qū)中的數(shù)據(jù)是作為一個(gè)單元同時(shí)讀出或?qū)懭氲?。一個(gè)標(biāo)準(zhǔn)的3.5 英寸硬盤盤面通常有幾百到幾千條磁道。這些磁道是看不見的，它們只是盤面上以特殊形式磁化了的一些磁化區(qū)。這些磁道是在磁盤格式化時(shí)就規(guī)劃好了的。3）柱面：所有盤面上的同一磁道構(gòu)成一個(gè)圓柱，通常稱作柱面（cylinder ） ，每個(gè)圓柱上的磁頭，由上而下從“0”開始編號(hào)。數(shù)據(jù)的讀寫是按柱面進(jìn)行的，即磁頭在讀寫數(shù)據(jù)時(shí)首先在同一柱面內(nèi)從“0”磁頭開始進(jìn)行操作，依次向下在同一柱面的不同盤面即磁頭上進(jìn)行操作，只在同一柱面所有的磁頭全部讀寫完畢后才移動(dòng)磁頭轉(zhuǎn)

5、移到下一柱面，即數(shù)據(jù)的讀/ 寫是按柱面來進(jìn)行的，而不是按盤面來進(jìn)行的。也就是說， 一個(gè)磁道已寫滿數(shù)據(jù)，就在同一柱面的下一個(gè)盤面來寫，一個(gè)柱面寫滿后，才移到下一個(gè)柱面。4）扇區(qū)：操作系統(tǒng)是以扇區(qū)（sector ）形式將信息存儲(chǔ)在硬盤上的。每個(gè)扇區(qū)包括512 字節(jié)的數(shù)據(jù)和一些其他信息。一個(gè)扇區(qū)有兩個(gè)主要部分：即存儲(chǔ)數(shù)據(jù)地點(diǎn)的標(biāo)識(shí)符和存儲(chǔ)數(shù)據(jù)的數(shù)據(jù)段。三、尋址方式1、c/h/s 尋址方式c：柱面號(hào)（最大10 位） ；h：磁頭號(hào)（最大6 位） ；s：扇區(qū)號(hào)（最大6 位） ，其中扇區(qū)數(shù)從 1 編號(hào)，其它從0 編號(hào)，用三個(gè)參數(shù)唯一定位。2、lba 尋址方式lba 尋址方式下從0 開始給扇區(qū)線性編號(hào)，一直編

6、到整塊硬盤的最后一個(gè)扇區(qū)。顯然線性地址是物理扇區(qū)的邏輯地址。3、c/h/s 和 lba 之間的轉(zhuǎn)換1）讀寫規(guī)則要了解從 c/h/s 到 lba 線性地址的轉(zhuǎn)換規(guī)則。由于系統(tǒng)在寫入數(shù)據(jù)時(shí)是按照從柱面到柱面的方式， 在上一個(gè)柱面寫滿數(shù)據(jù)后才移動(dòng)磁頭到下一個(gè)柱面，并從下一柱面的第一個(gè)磁頭的第一個(gè)扇區(qū)開始寫入，從而使磁盤性能最優(yōu)，所以， 在對(duì)物理扇區(qū)進(jìn)行線性編址時(shí)，也按照這種方式進(jìn)行。即把第一柱面（0 柱）第一磁頭（0 面）的第一扇區(qū)（1 扇區(qū)）編為邏輯“ 0” 扇區(qū)，把第一柱面（0 柱）第一磁頭（0 面）的第二扇區(qū)（2 扇區(qū)）編為邏輯“ 1” 扇區(qū)，直至第一柱面（0 柱）第一磁頭（0 面）的第63

7、扇區(qū)（ 63 扇區(qū)）編為邏輯“ 62” 扇區(qū)，然后轉(zhuǎn)到第一柱面（0 柱）第二磁頭（1 面）的第一扇區(qū)（1 扇區(qū)），接著上一面編為邏輯“ 63” 扇區(qū)， 0 柱面所有扇區(qū)編號(hào)完畢后轉(zhuǎn)到1柱面的 0 磁頭 1 扇區(qū)，依次往下進(jìn)行，直至把所有的扇區(qū)都編上號(hào)。2）從 c/h/s 到 lba 通過對(duì)編號(hào)規(guī)則的介紹，很容易看出c/h/s 與 lba 地址的對(duì)應(yīng)關(guān)系。用c 表示當(dāng)前柱面號(hào)， h 表示當(dāng)前磁頭號(hào)，s 表示當(dāng)前扇區(qū)號(hào)，cs 表示起始柱面號(hào)，hs 表示起始磁頭號(hào)，ss表示起始扇區(qū)號(hào)，ps表示每磁道有多少個(gè)扇區(qū)，ph 表示每柱面有多少個(gè)磁道，則有：lba= （c cs） phps+（h hs） ps

8、+（ s ss）（1）精品學(xué)習(xí)資料 可選擇p d f - - - - - - - - - - - - - - 第 2 頁，共 22 頁 - - - - - - - - -一般情況下，cs=0，hs=0，ss=1，ps=63，ph=255，lba 計(jì)算如下：c/h/s=0/0/1 ，代入（ 1）式中可得lba=0 c/h/s=0/0/63 ，代入（ 1）式中可得lba=62 c/h/s=0/1/1 ，代入（ 1）式中可得lba=63 c/h/s=220/156/18 ，代入（ 1）式中可得lba=3544145 3）從 lba 到 c/h/s 先介紹兩種運(yùn)算div 和 mod （這里指對(duì)正整數(shù)的

9、操作）。div 稱做整除運(yùn)算，即被除數(shù)除以除數(shù)所得商的整數(shù)部分。比如，5 div 2=2 ，33 div 5=6 ；mod 運(yùn)算則是取商的余數(shù)。比如， 5 mod 2=1 ，33 mod 5=3 。div 和 mod 是一對(duì)搭檔，一個(gè)取整數(shù)部分，一個(gè)取余數(shù)部分。各變量仍按上述假設(shè)進(jìn)行，則有：c=lba div （phps）+cs h=（lba div ps） mod ph +hs （2）s=lba mod ps +ss 如果不運(yùn)用mod 運(yùn)算符，只運(yùn)用div 運(yùn)算符，也可按式（3）進(jìn)行轉(zhuǎn)換，兩者的結(jié)果相同，只是運(yùn)算的復(fù)雜度不同。c=lba div （phps）+cs h=lba div ps

10、（c cs） ph +hs （3）s=lba （c cs） ph ps （h hs） ps+ss 按照這個(gè)規(guī)律，則有：lba=0 ，相應(yīng)地， c/h/s=0/0/1 lba=62 ，相應(yīng)地， c/h/s=0/0/63 lba=63 ，相應(yīng)地， c/h/s=0/1/1 lba=3544145 ，相應(yīng)地， c/h/s=220/156/18 四、引導(dǎo)扇區(qū)（ mbr）mbr ，即主引導(dǎo)記錄區(qū)，位于整個(gè)硬盤的0 磁道 0 柱面 1 扇區(qū)。在總共512 字節(jié)的主引導(dǎo)扇區(qū)中， mbr 的引導(dǎo)程序占用其中的前446 個(gè)字節(jié)（偏移0偏移 1bdh ） ，隨后的 64個(gè)字節(jié)（偏移1beh偏移 1fdh）為 dpt

11、 （disk partition table，硬盤分區(qū)表） ，最后的兩個(gè)字節(jié) “ 55 aa ” （偏移 1feh偏移 1ffh）是分區(qū)有效結(jié)束標(biāo)志。由它們共同構(gòu)成硬盤主引導(dǎo)記錄，也稱主引導(dǎo)扇區(qū)。精品學(xué)習(xí)資料 可選擇p d f - - - - - - - - - - - - - - 第 3 頁，共 22 頁 - - - - - - - - -圖 2（mbr ）其中，硬盤分區(qū)表中的每16 個(gè)字節(jié)被稱為分區(qū)表項(xiàng)，一個(gè)分區(qū)表項(xiàng)管理一個(gè)分區(qū)。在分區(qū)表項(xiàng)內(nèi)：第 1 個(gè)字節(jié)為80 的表示被激活，為00 的表示未被激活。第 2 個(gè)字節(jié)為 c/h/s 模式下起始磁頭號(hào)。第 3 個(gè)字節(jié)為 c/h/s 模式下起始

12、扇區(qū)號(hào)。第 4 個(gè)字節(jié)為 c/h/s 模式下起始柱面號(hào)。第 6 個(gè)字節(jié)為 c/h/s 模式下結(jié)束磁頭號(hào)。第 7 個(gè)字節(jié)為 c/h/s 模式下結(jié)束扇區(qū)號(hào)。第 8 個(gè)字節(jié)為 c/h/s 模式下結(jié)束柱面號(hào)。其中，第 3、4個(gè)字節(jié)結(jié)合， 扇區(qū)號(hào)為 6 位，柱面號(hào)為10 位 （占用第3 個(gè)字節(jié)的高兩位） 。第 5 個(gè)字節(jié)為分區(qū)類型：若值為01 表示是 fat12 格式；若值為04 表示是小于32m 的fat16 格式；若值為06 表示是大于32m 的 fat16 格式；若值為0b 或 0c 表示是 fat32 格式；若值為07 表示是ntfs 格式；若此分區(qū)表項(xiàng)為擴(kuò)展分區(qū)，則第5 個(gè)字節(jié)的值應(yīng)為05精品

13、學(xué)習(xí)資料 可選擇p d f - - - - - - - - - - - - - - 第 4 頁，共 22 頁 - - - - - - - - -或 0f，05 為小于 8.4g，0f 為大于 8.4g。從第 9 個(gè)字節(jié)開始為lba 尋址方式下的管理。第912 字節(jié)為當(dāng)前分區(qū)的起始扇區(qū)號(hào)。第 1216 字節(jié)為當(dāng)前分區(qū)的大小（分區(qū)所包含的扇區(qū)數(shù)）。五、擴(kuò)展分區(qū)（ ebr）如何在一個(gè)硬盤中來劃分?jǐn)U展分區(qū)呢？1） 在第一個(gè)扇區(qū)（引導(dǎo)扇區(qū)）中的第一個(gè)分區(qū)表項(xiàng)上填寫主分區(qū)信息。2）在第二個(gè)分區(qū)表項(xiàng)上的第5 個(gè)字節(jié)上填寫05 或 0f，則證明此分區(qū)為一個(gè)擴(kuò)展分區(qū)，此時(shí)這個(gè)分區(qū)為主擴(kuò)展分區(qū)。如果在這個(gè)擴(kuò)展分區(qū)

14、上在劃分?jǐn)U展分區(qū)的話，則找到這個(gè)擴(kuò)展分區(qū)的第一個(gè)扇區(qū)（ebr ） ，重復(fù)上述兩個(gè)步驟，所得到的是次擴(kuò)展分區(qū)，以此類推。圖 3（ebr）精品學(xué)習(xí)資料 可選擇p d f - - - - - - - - - - - - - - 第 5 頁，共 22 頁 - - - - - - - - -下面是一塊硬盤的數(shù)據(jù)組織結(jié)構(gòu)：圖 4六、操作系統(tǒng)引導(dǎo)記錄區(qū)（dbr）進(jìn)入一個(gè)分區(qū)的內(nèi)部，第一個(gè)扇區(qū)就是dbr （dos boot record） 。它包括一個(gè)引導(dǎo)程序和一個(gè)被稱為bpb（bios parameter block ）的本分區(qū)參數(shù)記錄表。引導(dǎo)程序的主要任務(wù)是，當(dāng) mbr 將系統(tǒng)控制權(quán)交給它時(shí)，判斷本分區(qū)根

15、目錄前兩個(gè)文件是不是操作系統(tǒng)的引導(dǎo)文件。 bpb 參數(shù)塊記錄著本分區(qū)的起始扇區(qū)、結(jié)束扇區(qū)、文件存儲(chǔ)格式、硬盤介質(zhì)描述符、根目錄大小、 fat 個(gè)數(shù)，分配單元大小等重要參數(shù)。第 1、2 字節(jié)如果為eb 58 則表示跳轉(zhuǎn)58 個(gè)字節(jié)，則跳到5a。從 5a 開始到 55 aa 之間為引導(dǎo)數(shù)據(jù)。從 3 到 a 為廠家和格式化版本。從 b 到 59 為 bpb 參數(shù)：bc 為每扇區(qū)的字節(jié)數(shù)。d 為每簇的扇區(qū)數(shù)。ef 為 dbr 所保留的扇區(qū)數(shù)。10 為 fat 表的個(gè)數(shù)。15 為媒體描述符（f8 為硬盤）。18 和 19 為每磁道扇區(qū)數(shù)。2023 為記錄本分區(qū)的大小。2427 記錄 fat 表的大小（可

16、確定根目錄的位置）。2c2f 記錄根目錄的起始簇號(hào)。30 為文件信息系統(tǒng)所在的扇區(qū)。32 為 dbr 的備份的扇區(qū)號(hào)。3334 保留。40 為 bios 下記錄媒體方式（80 表示硬盤）。42 為擴(kuò)展引導(dǎo)標(biāo)志（是固定值28 或 29） 。5256 為版本號(hào)。精品學(xué)習(xí)資料 可選擇p d f - - - - - - - - - - - - - - 第 6 頁，共 22 頁 - - - - - - - - -圖 5（c 盤的 dbr，fat 格式）圖 5 為用 winhex打開整個(gè)硬盤后通過mbr 經(jīng)過扇區(qū)計(jì)算后得到的c 盤 dbr 地址。精品學(xué)習(xí)資料 可選擇p d f - - - - - - -

17、- - - - - - - 第 7 頁，共 22 頁 - - - - - - - - -圖 6（c 盤的 dbr，fat 格式）圖 6 為用 winhex直接打開c 盤后顯示的dbr ，兩個(gè)圖是一樣。七、fat 文件系統(tǒng)1、格式化1）低級(jí)格式化 測(cè)試硬盤介質(zhì)； 為硬盤劃分磁道； 為硬盤的每個(gè)磁道按指定的交叉因子間隔安排扇區(qū)； 將扇區(qū) id 放置到每個(gè)磁道上，完成對(duì)扇區(qū)的設(shè)置； 對(duì)磁盤表面進(jìn)行測(cè)試，對(duì)已損壞的磁道和扇區(qū)做“ 壞” 標(biāo)記； 給硬盤中的每個(gè)扇區(qū)寫入某一ascii 碼字符。精品學(xué)習(xí)資料 可選擇p d f - - - - - - - - - - - - - - 第 8 頁，共 22 頁

18、- - - - - - - - -2）高級(jí)格式化從各個(gè)邏輯盤指定的柱面開始，對(duì)扇區(qū)進(jìn)行邏輯編號(hào)（分區(qū)內(nèi)的編號(hào)）。在基本分區(qū)上建立dos 引導(dǎo)記錄（ dbr ） ，若命令中帶有參數(shù)“ /s” 則裝入dos的三個(gè)系統(tǒng)文件。在各個(gè)邏輯盤建立文件分配表（fat） 。建立根目錄對(duì)應(yīng)的文件目錄表（fdt）及數(shù)據(jù)區(qū)。對(duì)于 fat16 和 fat32 文件系統(tǒng)（ ntfs 采用不同的文件管理技術(shù)，另做介紹），硬盤上的數(shù)據(jù)按照其不同的特點(diǎn)和作用大致可分為5 部分：mbr 區(qū)、dbr 區(qū)、fat 區(qū)、dir 區(qū)和 data區(qū)。其中， mbr 由分區(qū)軟件創(chuàng)建，而dbr 區(qū)、fat 區(qū)、 dir 區(qū)和 data 區(qū)由

19、高級(jí)格式化程序創(chuàng)建。文件系統(tǒng)寫入數(shù)據(jù)時(shí)只是改寫相應(yīng)的fat 區(qū)、 dir 區(qū)和 data 區(qū)。2、 fat32 文件系統(tǒng)1）fat32 文件系統(tǒng)將邏輯盤的空間劃分為三個(gè)部分，依次是引導(dǎo)區(qū)（boot 區(qū)） 、文件分配表區(qū)（ fat 區(qū)）和數(shù)據(jù)區(qū)（data 區(qū)） 。引導(dǎo)區(qū)和文件分配表區(qū)又合稱為系統(tǒng)區(qū)。2）引導(dǎo)區(qū)從第一扇區(qū)開始，使用三個(gè)扇區(qū)（實(shí)際只使用了第一個(gè)扇區(qū)，但第二和第三個(gè)扇區(qū)也寫入了 “ 55 aa ” 標(biāo)志） ，保存有該邏輯盤每扇區(qū)字節(jié)數(shù)，每簇對(duì)應(yīng)扇區(qū)數(shù)等重要參數(shù)和引導(dǎo)記錄。之后還留有若干個(gè)保留扇區(qū)，兩者共占用32 個(gè)扇區(qū)。而fatl6 文件系統(tǒng)的引導(dǎo)區(qū)一般只占用一個(gè)扇區(qū)，沒有保留扇區(qū)。3

20、）文件分配表區(qū)保存有兩個(gè)相同的文件分配表，因?yàn)槲募加玫拇鎯?chǔ)空間（簇鏈）及空閑空間的管理都通過fat 來實(shí)現(xiàn)， fat 是如此的重要，所以系統(tǒng)保存兩個(gè)以便第一個(gè)損壞時(shí)，還有第二個(gè)備用。文件系統(tǒng)對(duì)數(shù)據(jù)區(qū)的存儲(chǔ)空間是按簇進(jìn)行劃分和管理的，簇是空間分配和回收的基本單位，即一個(gè)文件總是占用若干個(gè)整數(shù)簇，文件所使用的最后一簇剩余的空間不再使用。4）fat32 系統(tǒng)一簇對(duì)應(yīng)8 個(gè)邏輯相鄰的扇區(qū)，理論上，這種用法所能管理的邏輯盤容量上限為 16tb（ 16 384gb） ，容量大于16tb 時(shí)，可以用一簇對(duì)應(yīng)16 個(gè)扇區(qū)，依此類推。但是，對(duì)于容量小于512mb 的盤，采用fat32 雖然一簇為8 個(gè)扇區(qū)，

21、比使用fatl6 一簇 16 個(gè)扇區(qū)，簇有所減小，但fat32 的 fat 表較大，占用空間較多，總數(shù)據(jù)區(qū)被減少，兩者相抵，實(shí)際并不能增加有效存儲(chǔ)空間，所以微軟建議對(duì)小于512mb的邏輯盤不宜使用fat32。5）根目錄區(qū)（root 區(qū)）不再是固定區(qū)域、固定大小，可看做是數(shù)據(jù)區(qū)的一部分。因?yàn)楦夸浺迅臑楦夸浳募?，采用與子目錄文件相同的管理方式，一般情況下從第二簇開始使用，大小視需要增加，因此根目錄下的文件數(shù)目不再受最多512 個(gè)的限制。 fatl6 文件系統(tǒng)的根目錄區(qū)（ root 區(qū)）是固定區(qū)域、固定大小，占用fat 區(qū)之后緊接著的32 個(gè)扇區(qū)，最多保存 512 個(gè)目錄項(xiàng)，是系統(tǒng)區(qū)的一部分。6

22、）目錄區(qū)中的文件目錄項(xiàng)變化較多。一個(gè)目錄項(xiàng)仍占用32 字節(jié)，可以是文件目錄項(xiàng)、子目錄項(xiàng)、卷標(biāo)項(xiàng)（僅根目錄有）、已刪除目錄項(xiàng)、長文件名目錄項(xiàng)等。目錄項(xiàng)中原來在dos下保留未用的10 個(gè)字節(jié)都有了新的定義，全部32 個(gè)字節(jié)的定義如下。第 07 字節(jié)，文件名。第 810 字節(jié)，文件擴(kuò)展名。第 11 字節(jié)，文件屬性，按二進(jìn)制位定義，最高兩位保留未用，0 至 5 位分別是只讀位、隱藏位、系統(tǒng)位、卷標(biāo)位、子目錄位、歸檔位，當(dāng)只讀位、隱藏位、系統(tǒng)位、卷標(biāo)位全為1，其他位全為0，即 11 字節(jié)為 “0fh ” 時(shí)表示該項(xiàng)為長文件名記錄項(xiàng)。第 1213 字節(jié)，僅長文件名目錄項(xiàng)有效，用來存儲(chǔ)其對(duì)應(yīng)的短文件名目錄項(xiàng)

23、的文件名字節(jié)校驗(yàn)和。第 1315 字節(jié)， 24 位二進(jìn)制文件建立時(shí)間，其中高5 位為小時(shí)，次6 位為分鐘，再次精品學(xué)習(xí)資料 可選擇p d f - - - - - - - - - - - - - - 第 9 頁，共 22 頁 - - - - - - - - -5 位的倍數(shù)為秒，最后8 位為單位精確到10 毫秒的創(chuàng)建秒數(shù)。第 1617 字節(jié)， 16 位二進(jìn)制文件建立日期，其中高7 位為相對(duì)于1980 年的年份值，次 4 位為月份，后5 位為月內(nèi)日期。第 1819 字節(jié)， 16 位二進(jìn)制文件最新訪問日期，定義同16 17 字節(jié)。第 2021 字節(jié)，起始簇號(hào)的高16 位。第 2223 字節(jié)， 16 位

24、二進(jìn)制文件最新修改時(shí)間，其中高5 位為小時(shí)，次6 位為分鐘，后 5 位的倍數(shù)為秒數(shù)。第 2425 字節(jié)， 16 位二進(jìn)制文件最新修改日期，定義同16 17 字節(jié)。第 2627 字節(jié)，起始簇號(hào)的低16 位。第 2831 字節(jié)， 32 位文件字節(jié)長度。其中 1219 字節(jié)為以后陸續(xù)定義。所有字節(jié)的意義如下：圖 7 下面圖8 是文件目錄項(xiàng)的起始扇區(qū)，也是data 區(qū)的起始位置，它的尋找方式是：先通過mbr 中的分區(qū)表項(xiàng)中的第912 字節(jié)的值確定dbr 的位置（本案例值為00 00 00 3f，換算成十進(jìn)制為63） 。然后跳到第63 扇區(qū)找到dbr ，先看第10 個(gè)字節(jié)的值（本案例值為02，說明有兩個(gè)

25、fat 表） ， 再看第 ef 字節(jié)的值 （其值為dbr 的保留扇區(qū)數(shù)， 此案例值為00 26，換算成十進(jìn)制為38） ， 再看第 2427 字節(jié)的值 （其值為記錄fat 表的大小， 此案例值為00 00 27 0d，換算成十進(jìn)制為9997） 。這樣， data 區(qū)的起始位置是：mbr 的保留扇區(qū)數(shù) +dbr精品學(xué)習(xí)資料 可選擇p d f - - - - - - - - - - - - - - 第 10 頁，共 22 頁 - - - - - - - - -的保留扇區(qū)數(shù) +fat 表的大小 2=63+38+9997 2=20095，因此， data 區(qū)的起始位置是第20095 扇區(qū)。圖 8（fdt

26、）下面圖 9 是 fat 表的起始位置：精品學(xué)習(xí)資料 可選擇p d f - - - - - - - - - - - - - - 第 11 頁，共 22 頁 - - - - - - - - -圖 9（fat）下面圖 10 是 fat 表中每個(gè)簇號(hào)可取的表項(xiàng)值及其含義：圖 10 下面圖 11 展示了各個(gè)區(qū)域的邏輯關(guān)系：精品學(xué)習(xí)資料 可選擇p d f - - - - - - - - - - - - - - 第 12 頁，共 22 頁 - - - - - - - - -圖 11 八、ntfs 文件系統(tǒng)ntfs 是在 1993 年隨著 windows nt 的第一個(gè)版本推出而面世的，是一個(gè)性能優(yōu)良的文件

27、系統(tǒng)。 ntfs 基于可恢復(fù)文件結(jié)構(gòu)而設(shè)計(jì)，它可使用戶數(shù)據(jù)文件不會(huì)有丟失或毀壞的危險(xiǎn)，適用于一些要求安全性高、而且在磁盤上存儲(chǔ)遠(yuǎn)遠(yuǎn)大于fat 文件系統(tǒng)所能處理的巨型文件等場(chǎng)合。與fat 相同， ntfs 也使用“簇”作為最小的分配單位。簇的大小，也稱為簇因子，由 ntfs 格式化程序確定。ntfs支持的簇大小為512，1024，2048 和 4096 個(gè)字節(jié)。ntfs 只與簇有關(guān)，與物理扇區(qū)的大小無關(guān)。1、 ntfs 中的 dbr 第 bc 字節(jié)：每扇區(qū)字節(jié)數(shù)。第 d 字節(jié)：每簇占幾個(gè)扇區(qū)。第 2427 字節(jié)：固定值80 00 80 00。第 282f 字節(jié)：分區(qū)大小。第 3037 字節(jié)： $

28、mft 文件起始簇號(hào)。第 383f 字節(jié)：鏡像 $mft 文件起始簇號(hào)。說明： dbr 的備份不再這個(gè)分區(qū)內(nèi)，格式化時(shí)留一個(gè)扇區(qū)備份。精品學(xué)習(xí)資料 可選擇p d f - - - - - - - - - - - - - - 第 13 頁，共 22 頁 - - - - - - - - -圖 12（d 盤的 dbr ，ntfs 格式）2、$mft 文件在 ntfs 中，磁盤上的任何事物都為文件。在文件中存儲(chǔ)一切使得文件系統(tǒng)很容易定位和維護(hù)數(shù)據(jù)。文件通過主文件表（mft ）來確定其在磁盤上的存儲(chǔ)位置。主文件表是一個(gè)與文件相對(duì)應(yīng)的數(shù)據(jù)庫，有一系列文件記錄組成卷中每一個(gè)文件都有一個(gè)文件記錄（對(duì)于大型文件還

29、有可能多個(gè)記錄與之相對(duì)應(yīng)）。主文件表自身也有它自己的文件記錄。mft 中的文件記錄大小一般是固定的，是 1kb 。 文件記錄在mft 文件記錄數(shù)組中物理上是連續(xù)的，且從 0 開始編號(hào)。 mft 僅供系統(tǒng)本身組織、架構(gòu)文件系統(tǒng)使用，這在ntfs 中成為元數(shù)據(jù)（matadata，使存儲(chǔ)在卷上支持文件系統(tǒng)格式管理的數(shù)據(jù)。它不能被應(yīng)用程序訪問，只能為系統(tǒng)提供服務(wù)） 。其中最基本的前16 個(gè)記錄是操作系統(tǒng)使用的非常重要的元數(shù)據(jù)文件。這些元數(shù)據(jù)文件的名字都以“$”開始，所以是隱藏文件。精品學(xué)習(xí)資料 可選擇p d f - - - - - - - - - - - - - - 第 14 頁，共 22 頁 - -

30、 - - - - - - -序號(hào)元 文 件功能0 $mft 主文件表本身1 $mftmirr 主文件表的部分鏡像2 $logfile 日志文件3 $volume 卷文件4 $attrdef 屬性定義列表5 $root 根目錄6 $bitmap 位圖文件7 $boot 引導(dǎo)文件8 $badclus 壞簇文件9 $secure 安全文件10 $upcase 大寫文件11 $extend metadata directory 擴(kuò)展元數(shù)據(jù)目錄12 $extend$reparse 重解析點(diǎn)文件13 $extend$usnjrnl 變更日志文件14 $extend$quota 配額管理文件15 $exte

31、nd$objid 對(duì)象 id 文件1623 保留23+ 用戶文件和目錄我們先把圖12 中第 3037 字節(jié)的值（ 00 00 00 00 00 0c 00 00）換算成十進(jìn)制的值為786432，因?yàn)槭谴靥?hào)所以要乘以8，7864328=6291456，跳到6291456 扇區(qū)，這是 $mft文件的起始扇區(qū)。精品學(xué)習(xí)資料 可選擇p d f - - - - - - - - - - - - - - 第 15 頁，共 22 頁 - - - - - - - - -圖 13（mft ）精品學(xué)習(xí)資料 可選擇p d f - - - - - - - - - - - - - - 第 16 頁，共 22 頁 - -

32、- - - - - - -圖 14（mft 續(xù)）1） 頭四個(gè)字節(jié)46 49 4c 45（固定） 為一個(gè)文件記錄的起始標(biāo)志。一個(gè)文件記錄管理一個(gè)文件，占用1k 空間（ 2 個(gè)扇區(qū)）。2)第 1415 個(gè)字節(jié)記錄第1 個(gè)屬性起始的偏移（位置），屬性前面為文件記錄頭。3)在一個(gè)屬性內(nèi)部第 14 個(gè)字節(jié)：屬性的id ，如果id=10 為標(biāo)準(zhǔn)信息屬性=30 為文件名屬性=80 為數(shù)據(jù)屬性=b0 為位圖屬性4）數(shù)據(jù)屬性第 1724 個(gè)字節(jié)：起始vcn （虛擬簇號(hào)） 。第 3334 個(gè)字節(jié)： run list 起始位置。（data run ：連續(xù)簇）精品學(xué)習(xí)資料 可選擇p d f - - - - - - -

33、 - - - - - - - 第 17 頁，共 22 頁 - - - - - - - - -第 4148 個(gè)字節(jié)：文件屬性體的分配大小。第 4956 個(gè)字節(jié)：文件屬性體的實(shí)際大小（字節(jié)數(shù)）。第 5764 個(gè)字節(jié)：文件屬性體的初始大小。對(duì) run list 的說明：在 run list 的起始位置，第1 個(gè)字節(jié)高位和地位相加，如第1 個(gè)字節(jié)為11 則后面連續(xù) 2 位為 1 個(gè) run 。第 2個(gè)字節(jié)為文件所占連續(xù)簇的個(gè)數(shù)。第 3個(gè)字節(jié)為文件的起始簇號(hào)。 如第 1 個(gè)字節(jié)為31 則后面連續(xù)4 位為 1 個(gè) run 。第 2個(gè)字節(jié)為文件所占連續(xù)簇的個(gè)數(shù)。第 35 個(gè)字節(jié)為文件的起始簇號(hào)。 再往后如果

34、是00，則證明此文件為1 個(gè) run ，不是 00 接下來為第2 個(gè) run 附錄： ntfs常用屬性表文件記錄可能的屬性類型操作系統(tǒng)名稱0x10標(biāo)準(zhǔn)信息0x20屬性列表0x30文件名0x40 nt 卷版本0x402k 對(duì)象 id0x50安全描述符0x60卷名0x70卷信息0x80數(shù)據(jù)0x90索引根0xa0索引分配0xb0位圖0xc0 nt 符號(hào)連接0xc02k 重解析點(diǎn)0xd0擴(kuò)展信息0xe0擴(kuò)展0xf0 nt 特權(quán)設(shè)置0x1002k 日志流mft 文件記錄頭部結(jié)構(gòu)布局精品學(xué)習(xí)資料 可選擇p d f - - - - - - - - - - - - - - 第 18 頁，共 22 頁 - -

35、- - - - - - -偏移長度描述0x0 4 固定值，一定是“file”0x4 2 更新序列號(hào)的偏移0x6 2 更新序列號(hào)與更新數(shù)組以字為單位大小（s）0x8 8 日志文件序列號(hào)（每次記錄被修改，都將導(dǎo)致該序列號(hào)加1）0x10 2 序列號(hào)（用于記錄本文件記錄被重復(fù)使用的次數(shù)，每次文件刪除時(shí)加1，跳過 0 值，如果為 0，則保持為0）0x12 2 硬連接數(shù)，只出現(xiàn)在基本文件記錄中，目錄所含項(xiàng)數(shù)要使用到它0x14 2 第一個(gè)屬性流的偏移地址0x16 2 標(biāo)志字節(jié)， 1 表示記錄使用中，2 表示該記錄為目錄0x18 4 文件記錄實(shí)際大?。ㄌ畛涞? 字節(jié)，即以8 字節(jié)為邊界）0x1c 4 文件記錄

36、分配大?。ㄌ畛涞? 字節(jié)，即以8 字節(jié)為邊界）0x20 8 所對(duì)應(yīng)的基本文件記錄的文件參考號(hào)（擴(kuò)展文件記錄中使用，基本文件記錄中為0，在基本文件記錄的屬性列表0x20 屬性存儲(chǔ)中擴(kuò)展文件記錄的相關(guān)信息）0x28 2 下一個(gè)自由id 號(hào)，當(dāng)增加新的屬性時(shí)，將該值分配給新屬性，然后該值增加，如果mft記錄重新使用，則將它置0，第一個(gè)實(shí)例總是0 0x2a 2 邊界， windows xp 中使用，也就是本記錄使用的兩個(gè)扇區(qū)的最后兩個(gè)字節(jié)的值0x2c 4 windows xp中使用，本mft記錄號(hào)2 更新序列號(hào)2s-2 更新序列數(shù)組標(biāo)準(zhǔn)屬性的屬性頭結(jié)構(gòu)偏移大小值描述0x0040x10 屬性類型（ 10

37、，標(biāo)準(zhǔn)屬性）0x0440x60 總長度（包括頭部本身）0x0810x00非常駐標(biāo)志 (1 表示非常駐 )0x0910x00屬性名的名稱長度0x0a20x18屬性名的名稱偏移0x0c20x00標(biāo)志（似乎已經(jīng)不再使用，統(tǒng)一放在文件屬性中）0x0e2屬性 id （此處的屬性id 不是指與 0x10 同級(jí)別的屬性，應(yīng)該是指下一級(jí)屬性，如多數(shù)據(jù)流，每個(gè)數(shù)據(jù)流屬性都有一個(gè)屬性id，但都是數(shù)據(jù)流屬性0x80）0x104l屬性體長度（ l）0x1420x18屬性內(nèi)容起始偏移0x161索引標(biāo)志0x1710x00填充0x18l從此處開始，共l 字節(jié)為屬性精品學(xué)習(xí)資料 可選擇p d f - - - - - - -

38、- - - - - - - 第 19 頁，共 22 頁 - - - - - - - - -標(biāo)準(zhǔn)屬性的屬性體結(jié)構(gòu)偏移大小操作系統(tǒng)描述標(biāo)準(zhǔn)屬性頭（已經(jīng)分析過）0x008c time 文件創(chuàng)建時(shí)間0x088a time 文件修改時(shí)間0x108m time mft 變化時(shí)間0x188r time 文件訪問時(shí)間0x204文件屬性（按照dos術(shù)語來稱呼，都是文件屬性）0x244文件所允許的最大版本號(hào)（0 表示未使用）0x284文件的版本號(hào)（最大版本號(hào)為0，則也為 0）0x2c4類 id（一個(gè)雙向的類索引）0x3042k所有者 id（表示文件的所有者，是文件配額 $quota 中$o和$q索引的關(guān)鍵字 ，為 0 表示未使用磁盤配額）0x3442k安全 id 是文件 $secure 中$sii 索引和 $sds數(shù)據(jù)流的關(guān)鍵字，注意不要與安全標(biāo)識(shí)相混淆0x3882k本文件所占用的字節(jié)數(shù)，它是文件所有流占用的總字