數(shù)據(jù)恢復(fù)實(shí)驗(yàn)報(bào)告

1、 題目： 數(shù)據(jù)恢復(fù)解析 姓 名： 夏金啟 學(xué)號(hào)： 20101003933院（系）： 計(jì)算機(jī)學(xué)院 專業(yè)： 信 息 安 全 指導(dǎo)老師：_ 職稱： 副教授 評(píng) 閱 人： 職稱： 2013年 1月 名目摘要3第一章 引言41.1 數(shù)據(jù)恢復(fù)的意義41.2 數(shù)據(jù)恢復(fù)的應(yīng)用4其次章 磁盤的規(guī)律結(jié)構(gòu)52.1 硬盤原理慨述52.2硬盤數(shù)據(jù)結(jié)構(gòu)。52.21.MBR區(qū)52.22. DBR區(qū)72.23. FAT區(qū)72.24 .DIR區(qū)82.25.據(jù)（DATA）區(qū)8第三章 NTFS元件83.1 NTFS概念83.11MTF83.12 NTFS屬性93.2 NTFS引導(dǎo)結(jié)構(gòu)93.3 NTFS元文件103.31 NTFS結(jié)

2、構(gòu)圖103.32 DBR的數(shù)據(jù)結(jié)構(gòu)11第四章 數(shù)據(jù)恢復(fù)技術(shù)的實(shí)現(xiàn)124.1 常見(jiàn)數(shù)據(jù)恢復(fù)124.11 NTFS格式化恢復(fù)124.2 手工定位NTFS文件系統(tǒng)下的文件16第五章 常見(jiàn)數(shù)據(jù)恢復(fù)軟件235.1數(shù)據(jù)恢復(fù)軟件235.1.1 winhex235.1.2 easyrecovery235.1.3 finaldata255.1.4 易我數(shù)據(jù)恢復(fù)向?qū)?65.2 幾款數(shù)據(jù)恢復(fù)軟件恢復(fù)效果比較27二 易我數(shù)據(jù)恢復(fù)軟件27三 finaldata27第六章 總結(jié)28摘要本文首先介紹了硬盤的基本結(jié)構(gòu)，讓我們對(duì)硬盤有最基本的生疏和了解。接著介紹了FAT和NTFS文件的基本組成，重點(diǎn)介紹了數(shù)據(jù)恢復(fù)技術(shù)的實(shí)現(xiàn)。最

3、終分析了了目前市場(chǎng)上流行軟件的優(yōu)缺點(diǎn)。關(guān)鍵字：FAT，NTFS文件，硬盤，數(shù)據(jù)恢復(fù)軟件，數(shù)據(jù)恢復(fù)技術(shù)。第一章 引言1.1 數(shù)據(jù)恢復(fù)的意義社會(huì)進(jìn)展和進(jìn)步，大家每個(gè)人的數(shù)據(jù)資源都在日復(fù)一日的膨脹著，而硬盤作為數(shù)據(jù)存儲(chǔ)中心，其高精密的結(jié)構(gòu)和高度的使用頻率，在簡(jiǎn)單的應(yīng)用環(huán)境中，故障發(fā)生率也在與日俱增。幾乎每個(gè)計(jì)算機(jī)使用者都會(huì)遇到一些數(shù)據(jù)損壞或丟失的事情，而隨著各種應(yīng)用軟件、操作系統(tǒng)、病毒木馬等各種因素的增加，數(shù)據(jù)丟失和損壞的程度也在漸漸變的嚴(yán)峻。一旦重要的數(shù)據(jù)丟失，其所帶來(lái)的直接和間接的損失都是很驚人的，而通常大家在費(fèi)盡心思處處找解決方法的同時(shí)，也進(jìn)一步徹底摧毀了這些數(shù)據(jù)恢復(fù)的可能性。NTFS是隨著W

4、indows NT操作系統(tǒng)而產(chǎn)生的，全稱為“NT File System”，中文意為NT文件系統(tǒng)，如今已是windows類操作系統(tǒng)中的主力分區(qū)格式了。它的優(yōu)點(diǎn)是平安性和穩(wěn)定性極其精彩，在使用中不易產(chǎn)生文件碎片，NTFS分區(qū)對(duì)用戶權(quán)限作出了格外嚴(yán)格的限制，每個(gè)用戶都只能按著系統(tǒng)賜予的權(quán)限進(jìn)行操作，任何試圖越權(quán)的操作都將被系統(tǒng)禁止，同時(shí)它還供應(yīng)了容錯(cuò)結(jié)構(gòu)日志，可以將用戶的操作全部記錄下來(lái)，從而愛(ài)護(hù)了系統(tǒng)的平安。本文主要論述的就是NTFS在系統(tǒng)崩潰或磁盤消滅故障后如何平安的恢復(fù)文件系統(tǒng)。1.2 數(shù)據(jù)恢復(fù)的應(yīng)用目前社會(huì)上針對(duì)數(shù)據(jù)恢復(fù)的公司有很多，有關(guān)的軟件也很多。而對(duì)于一般的用戶，想自己動(dòng)手簡(jiǎn)潔恢復(fù)數(shù)

5、據(jù)的伴侶，很少有系統(tǒng)的方法和對(duì)軟件的選擇上有些茫目。本文旨在通過(guò)爭(zhēng)辯硬盤數(shù)據(jù)恢復(fù)的原理，分析硬盤數(shù)據(jù)丟失的緣由，進(jìn)而比較現(xiàn)今比較流行的方法和有關(guān)的軟件，提出對(duì)不同的數(shù)據(jù)丟失狀況下的一些建議，并提出手動(dòng)備份硬盤分區(qū)結(jié)構(gòu)和其它重要數(shù)據(jù)的方法及通過(guò)手工恢復(fù)硬盤全盤結(jié)構(gòu)的方法。本文可作為個(gè)人數(shù)據(jù)丟失時(shí)狀況不是很嚴(yán)峻時(shí)個(gè)人自己動(dòng)手恢復(fù)數(shù)據(jù)的一個(gè)參考。 其次章 磁盤的規(guī)律結(jié)構(gòu)2.1 硬盤原理慨述 硬盤存儲(chǔ)數(shù)據(jù)是依據(jù)電、磁轉(zhuǎn)換原理實(shí)現(xiàn)的。硬盤由一個(gè)或幾個(gè)表面鍍有磁性物質(zhì)的金屬或玻璃等物質(zhì)盤片以及盤片兩面所安裝的磁頭和相應(yīng)的把握電路組成，其中盤片和磁頭密封在無(wú)塵的金屬殼中。硬盤工作時(shí)，盤片以設(shè)計(jì)轉(zhuǎn)速高速旋轉(zhuǎn)，

6、設(shè)置在盤片表面的磁頭則在電路把握下徑向移動(dòng)到指定位置然后將數(shù)據(jù)存儲(chǔ)或讀取出來(lái)。當(dāng)系統(tǒng)向硬盤寫入數(shù)據(jù)時(shí)，磁頭中 “寫數(shù)據(jù)”電流產(chǎn)生磁場(chǎng)使盤片表面磁性物質(zhì)狀態(tài)發(fā)生轉(zhuǎn)變，并在寫電流磁1場(chǎng)消逝后仍能保持，這樣數(shù)據(jù)就存儲(chǔ)下來(lái)了；當(dāng)系統(tǒng)從硬盤中讀數(shù)據(jù)時(shí)，磁頭經(jīng)過(guò)盤片指定區(qū)域，盤片表面磁場(chǎng)使磁頭產(chǎn)生感應(yīng)電流或線圈阻抗產(chǎn)生變化，經(jīng)相關(guān)電路處理后還原成數(shù)據(jù)。2.2硬盤數(shù)據(jù)結(jié)構(gòu)。硬盤上的數(shù)據(jù)依據(jù)其不同的特點(diǎn)和作用大致可分為5部分：MBR區(qū)、DBR區(qū)、FAT區(qū)、DIR區(qū)和DATA區(qū)。2.21.MBR區(qū)MBR（Main Boot Record）,按其字面上的理解即為主引導(dǎo)記錄區(qū)，位于整個(gè)硬盤的0磁道0柱面1扇區(qū)。不過(guò)

7、，在總共512字節(jié)的主引導(dǎo)扇區(qū)中，MBR只占用了其中的446個(gè)字節(jié)（偏移0-偏移1BDH），另外的64個(gè)字節(jié)（偏移1BEH-偏移1FDH）交給了DPT(Disk Partition Table硬盤分區(qū)表),最終兩個(gè)字節(jié)55，AA（偏移1FEH- 偏移1FFH）是分區(qū)的結(jié)束標(biāo)志。這個(gè)整體構(gòu)成了硬盤的主引導(dǎo)扇區(qū)。大致的結(jié)構(gòu)如圖1圖1硬盤的主引導(dǎo)扇區(qū)結(jié)構(gòu)圖主引導(dǎo)記錄中包含了硬盤的一系列參數(shù)和一段引導(dǎo)程序。其中的硬盤引導(dǎo)程序的主要作用是檢查分區(qū)表是否正確并且在系統(tǒng)硬件完成自檢以后引導(dǎo)具有激活標(biāo)志的分區(qū)上的操作系統(tǒng)，并將把握權(quán)交給啟動(dòng)程序。MBR是由分區(qū)程序（如F）所產(chǎn)生的，它不依靠任何操作系統(tǒng)，而且硬

8、盤引導(dǎo)程序也是可以轉(zhuǎn)變的，從而實(shí)現(xiàn)多系統(tǒng)共存。DPT及各字節(jié)的意義。硬盤分區(qū)表偏移長(zhǎng)度所表達(dá)的意義01字節(jié)分區(qū)狀態(tài)0-非活動(dòng)區(qū)80- 活動(dòng)分區(qū)11字節(jié)該分區(qū)起始磁頭（HEAD）22字節(jié)該分區(qū)起始扇區(qū)和起始柱面41字節(jié)該分區(qū)類型：如82- Linux Native分區(qū)83- Linux Swap 分區(qū)51字節(jié)該分區(qū)終止頭（HEAD）62字節(jié)該分區(qū)終止扇區(qū)和終止柱面84字節(jié)該分區(qū)起始確定扇區(qū)C4字節(jié)該分區(qū)扇區(qū)數(shù)2.22. DBR區(qū)DBR（Dos Boot Record）是操作系統(tǒng)引導(dǎo)記錄區(qū)的意思。它通常位于硬盤的0磁道1磁頭1扇區(qū)，是操作系統(tǒng)可以直接訪問(wèn)的第一個(gè)扇區(qū)，它包括一個(gè)引導(dǎo)程序和一個(gè)被稱為

9、BPB（Bios Parameter Block）的本分區(qū)參數(shù)記錄表。引導(dǎo)程序的主要任務(wù)是當(dāng)MBR將系統(tǒng)把握權(quán)交給它時(shí)，推斷本分區(qū)跟名目前兩個(gè)文件是不是操作系統(tǒng)的引導(dǎo)文件（以DOS為例，即是Io.sys和Msdos.sys）。假如確定存在，就把其讀入內(nèi)存，并把把握權(quán)交給該文件。BPB參數(shù)塊記錄著本分區(qū)的起始扇區(qū)、結(jié)束扇區(qū)、文件存儲(chǔ)格式、硬盤介質(zhì)描述符、根名目大小、FAT個(gè)數(shù)，安排單元的大小等重要參數(shù)。2.23. FAT區(qū)在DBR之后的是我們比較生疏的FAT（File Allocation Table文件安排表）區(qū)。在解釋文件安排表的概念之前，我們先來(lái)談?wù)劥兀╟luster）的概念。文件占用磁盤

10、空間時(shí)，基本單位不是字節(jié)而是簇。簇的大小與磁盤的規(guī)格有關(guān)，一般狀況下，軟盤每簇是1個(gè)扇區(qū)，硬盤每簇的扇區(qū)數(shù)與硬盤的總?cè)萘看笮∮嘘P(guān)，可能是4、8、16、32、64。通過(guò)上文我們已經(jīng)知道，同一個(gè)文件的數(shù)據(jù)并不肯定完整地存放在磁盤的一個(gè)連續(xù)的區(qū)域內(nèi)，而往往會(huì)分成若干段，像一條鏈子一樣存放。這種存儲(chǔ)方式稱為文件的鏈?zhǔn)酱鎯?chǔ)。硬盤上的文件經(jīng)常要進(jìn)行創(chuàng)建、刪除、增長(zhǎng)、縮短等操作。這樣操作做的越多，盤上的文件就可能被分得越零碎（每段至少是1簇）。但是，由于硬盤上保存著段與段之間的連接信息（即FAT），操作系統(tǒng)在讀取文件時(shí)，總是能夠精確地找到各段的位置并正確讀出。2.24 .DIR區(qū)DIR（Directory）

11、是根名目區(qū)，緊接著其次FAT表（即備份的FAT表）之后，記錄著根名目下每個(gè)文件（名目）的起始單元，文件的屬性等。定位文件位置時(shí)，操作系統(tǒng)依據(jù)DIR中的起始單元，結(jié)合FAT表就可以知道文件在硬盤中的具體位置和大小了。 2.25.據(jù)（DATA）區(qū)數(shù)據(jù)區(qū)是真正意義上的數(shù)據(jù)存儲(chǔ)的地方，位于DIR區(qū)之后，占據(jù)硬盤上的大部分?jǐn)?shù)據(jù)空間。 第三章 NTFS元件3.1 NTFS概念 3.11MTFMTF，即主文件安排表的簡(jiǎn)稱，它是NTFS文件系統(tǒng)的核心。MFT由一個(gè)或幾個(gè)MFT項(xiàng)（文件記錄）組成，每個(gè)MFT項(xiàng)占用1024字節(jié)的空間。每個(gè)MFT項(xiàng)的前部幾十個(gè)字節(jié)有著固定的頭結(jié)構(gòu)，用來(lái)描述本MFT項(xiàng)的相關(guān)信息。后面

12、的字節(jié)用于存放“屬性”。每個(gè)文件和名目的信息都包含在MFT中，每個(gè)文件和名目在表中至少有有一個(gè)MFT項(xiàng)。初引導(dǎo)扇區(qū)外，訪問(wèn)其他任何一個(gè)前都要先訪問(wèn)MFT，在MFT中找到該文件的MFT項(xiàng)，依據(jù)MFT項(xiàng)中的記錄的信息找到內(nèi)容并對(duì)其進(jìn)行訪問(wèn)。3.12 NTFS屬性 在NTFS中，全部與數(shù)據(jù)相關(guān)的信息都稱為“屬性”，NTFS與其他文件系統(tǒng)最大的不同之處在于，大多數(shù)文件系統(tǒng)是對(duì)文件的內(nèi)容進(jìn)行讀寫，而NTFS則是對(duì)包含文件內(nèi)容的屬性進(jìn)行讀寫。在數(shù)據(jù)結(jié)構(gòu)中，屬性又可以分為長(zhǎng)駐屬性和格外駐屬性長(zhǎng)駐屬性。有的屬性其屬性內(nèi)容很小，它的MFT項(xiàng)可以容納下它的全部?jī)?nèi)容，為了節(jié)省空間，系統(tǒng)會(huì)直接將其存放在MFT項(xiàng)中，而

13、不再為其另外安排簇空間，這樣的屬性稱為長(zhǎng)駐屬性格外駐屬性。格外駐屬性是指那些內(nèi)容較大，無(wú)法完全存放在其MFT項(xiàng)中的屬性。如文件的數(shù)據(jù)屬性，通常內(nèi)容很大，需要在MFT之外另為其安排足夠的簇空間進(jìn)行存儲(chǔ)，這樣的屬性就是非長(zhǎng)駐屬性。 3.2 NTFS引導(dǎo)結(jié)構(gòu)一個(gè)NTFS文件系統(tǒng)大致上可以分為引導(dǎo)區(qū)、MFT、MFT備份區(qū)、數(shù)據(jù)區(qū)和DBR備份扇區(qū)幾個(gè)部分。由于NTFS將全部的數(shù)據(jù)都視為文件，理論上除引導(dǎo)扇區(qū)必需位于第一個(gè)扇區(qū)外，NTFS卷可以在任意位置存放任意文件，但通常狀況下會(huì)遵循肯定的習(xí)慣布局。在XP系統(tǒng)下NTFS卷大致布局如下圖：DBR引導(dǎo)區(qū)用戶數(shù)據(jù)MFT區(qū)用戶數(shù)據(jù)MFT部分記錄備份用戶數(shù)據(jù)DBR

14、備份通常為16個(gè)扇 占用一個(gè)扇區(qū)。1) 引導(dǎo)扇區(qū)。引導(dǎo)區(qū)部分包括DBR和引導(dǎo)代碼，一般系統(tǒng)為其安排16個(gè)扇區(qū)，未完全使用。2) MFT區(qū)。文件系統(tǒng)中消滅一個(gè)“MFT”區(qū)，這個(gè)“MFT區(qū)”是一個(gè)連續(xù)的簇空間，除非其他空間已全部被安排使用，否則不會(huì)在此空間中存儲(chǔ)用戶文件或名目。在WINXP下創(chuàng)建的NTFS，其MFT通常距離引導(dǎo)扇區(qū)較遠(yuǎn)，但在WIN2000下創(chuàng)建的NTFS，其MFT通常起始于4號(hào)簇位置。3) MFT備份區(qū)。由于MFT備份的重要性，在文件系統(tǒng)的中部為其保存了一個(gè)備份，不過(guò)這個(gè)備份很小，只是MFT前幾個(gè)項(xiàng)的備份。4) 引導(dǎo)扇區(qū)備份扇區(qū)。在卷的最終一個(gè)扇區(qū)，保存了一份扇區(qū)的備份。這個(gè)扇區(qū)包

15、含在分區(qū)表描述的該分區(qū)大小中，但卻不在DB描述的文件系統(tǒng)大小范圍之內(nèi)。描述文件系統(tǒng)大小時(shí)，總是比分區(qū)表描述的扇區(qū)數(shù)小個(gè)扇區(qū)。3.3 NTFS元文件3.31 NTFS結(jié)構(gòu)圖NTFS的引導(dǎo)扇區(qū)也位于文件系統(tǒng)的0號(hào)扇區(qū)，這是它與FAT文件系統(tǒng)在布局 上的唯一相同之處。數(shù)據(jù)結(jié)構(gòu)如下圖，此圖為本硬盤DBR： DBR（S扇區(qū)號(hào)）轉(zhuǎn)換成物理地址（確定扇區(qū)號(hào)）。3.32 DBR的數(shù)據(jù)結(jié)構(gòu)字節(jié)偏移（十六進(jìn)制）字節(jié)數(shù)含義00-023跳轉(zhuǎn)指令03-0A8OEM名（“明文NTFS”）0B-0C2每扇區(qū)字節(jié)數(shù)0D1每簇扇區(qū)數(shù)0E-0F2保留扇區(qū)數(shù)151介質(zhì)描述符18-192每磁道扇區(qū)數(shù)（不檢查此項(xiàng)）1A-1B2每柱面磁

16、頭數(shù)（不檢查此項(xiàng)）1C-1F4隱含扇區(qū)數(shù)（不檢查此項(xiàng)）24-274總是80008000（不檢查此項(xiàng)）28-2F8文件系統(tǒng)扇區(qū)總和30-378MFT起始簇號(hào)38-3F8MFT備份的起始簇號(hào)401每MFT項(xiàng)大小41-433未使用441每個(gè)索引的簇?cái)?shù)45-473未使用48-4F8序列號(hào)50-534校驗(yàn)和54-1FD426引導(dǎo)代碼1FE-1FF2簽名55AA標(biāo)記以上引導(dǎo)扇區(qū)最為關(guān)鍵的字節(jié)數(shù)是0B-0C（每扇區(qū)字節(jié)數(shù)） 0B-0C（每扇區(qū)字節(jié)數(shù)） 0D（每簇扇區(qū)數(shù)）28-2F（文件系統(tǒng)扇區(qū)總和） 30-37（MFT起始簇號(hào)）38-3F（MFT備份的起始簇號(hào)） 40（每MFT項(xiàng)大小）44（每個(gè)索引的簇?cái)?shù)）

17、，但數(shù)據(jù)發(fā)生不行預(yù)料的損壞時(shí)，可以依據(jù)以上信息重建分區(qū)表，定位數(shù)據(jù)區(qū)，恢復(fù)MFT，重建DBR，這些關(guān)鍵字節(jié)碼的用處不言而。 第四章 數(shù)據(jù)恢復(fù)技術(shù)的實(shí)現(xiàn)4.1 常見(jiàn)數(shù)據(jù)恢復(fù)4.11 NTFS格式化恢復(fù) 數(shù)據(jù)丟失的具體故障為：盤分了三個(gè)區(qū)在一次意外死機(jī)后磁盤提示（前兩個(gè)區(qū)是正常的）提示未格式化（其實(shí)大多數(shù)伴侶知道這時(shí)的問(wèn)題簡(jiǎn)潔得多或許重建DBR后整個(gè)盤里面的數(shù)據(jù)都在，這里暫且就不談這種問(wèn)題的解決方法了），要命的是這時(shí)已經(jīng)鬼使神差地點(diǎn)擊了格式化了，結(jié)果大家產(chǎn)然就知道了，數(shù)據(jù)確定是沒(méi)有了 。據(jù)轉(zhuǎn)到我這里的那同行說(shuō)他用各種搜尋軟件對(duì)整個(gè)區(qū)搜了好幾遍（這也是大多數(shù)所謂專業(yè)的數(shù)據(jù)恢復(fù)商所用的恢復(fù)方法了），當(dāng)

18、然也搜到了很多數(shù)據(jù)，盡管很亂但還能正常打開。最終客戶確認(rèn)搜出來(lái)數(shù)據(jù)大部份正常，但最重要的的一個(gè)壓縮文件損壞了，大家知道壓縮文件損壞了是很難很難修復(fù)的了。首先我用WINHEX把他搜出來(lái)的那個(gè)壓縮文件打開分析了下，文件頭亂了，中間的數(shù)據(jù)也不正常。無(wú)法修復(fù)，只好從原盤著手了。竟然搜尋軟件搜出來(lái)的是損壞的，那就只有用手工來(lái)做了，當(dāng)然用手工做這種格式化了的數(shù)據(jù)很費(fèi)時(shí)，且計(jì)算量也很大，只能針對(duì)像這樣的個(gè)別特重要的數(shù)據(jù)。對(duì)原盤的那個(gè)格式化掉的分區(qū)做完鏡像后，用WINHEX打開鏡像，設(shè)置鏡像文件為磁盤。如下圖所示：分區(qū)是NTFS格式的，整個(gè)分區(qū)大小為25.4G。對(duì)NTFS分區(qū)格式爭(zhēng)辯過(guò)的伴侶會(huì)知道，在NTFS

19、文件系統(tǒng)中，文件亦是按簇進(jìn)行安排的， 文件通過(guò)主文件表MFT（Master File Table）來(lái)確定其在磁盤上的存儲(chǔ)位置、大小、屬性等信息。相當(dāng)于FAT系統(tǒng)下的FAT+FDT的功能。每文件都有一個(gè)文件記錄。其中第一個(gè)記錄就是MFT自己本身。我們轉(zhuǎn)到第一個(gè)文件記錄也就是MFT了直接點(diǎn)可以看到如下圖所示：通過(guò)第一個(gè)文件記錄往下觀看發(fā)覺(jué)格式化了后對(duì)文件記錄沒(méi)有產(chǎn)生破壞。那么這時(shí)我們就可以有一個(gè)恢復(fù)的思路了：找到所說(shuō)的那個(gè)壓縮文件的在MFT中的記錄，再通過(guò)對(duì)文件記錄的分析來(lái)確定文件在磁盤中的位置及大小，就可以直接從中提出文件了。想到做到，只知道一個(gè)壓縮文件的壓縮文件名為：源文件與素材。那好，我們可

20、以新建一個(gè)文本記事本只輸入壓縮文件名源文件與素材！保存，再用WINHEX打開可以看到如下圖：然后再轉(zhuǎn)回來(lái)，直接從第一個(gè)文件記錄往下開頭搜尋十六進(jìn)制數(shù)值90 6E 87 65 F6 4E 0E 4E 20 7D 50 67搜尋到了一個(gè)地方停下來(lái)了，看看是不是那個(gè)壓縮文件的記錄呢看下圖：依據(jù)觀看可以看出正是客戶要的那個(gè)壓縮文件的記錄，那么我們又如何來(lái)確定這個(gè)壓縮文件在磁盤上的那一個(gè)扇區(qū)？占用了多少的扇區(qū)呢？這個(gè)就需要對(duì)NTFS格式有所了解了。NTFS將文件作為屬性、屬性值集合來(lái)處理，這一點(diǎn)其他文件系統(tǒng)不一樣?？梢钥吹皆贛FT中用了不同顏色的段來(lái)區(qū)分， 如上圖所標(biāo)記的，第一個(gè)為文件記錄頭，其次個(gè)10

21、H表示標(biāo)準(zhǔn)屬性，第三個(gè)30H表示文件名屬性，最終一個(gè)80H表示數(shù)據(jù)流屬性也就是關(guān)鍵所在了。這里我們只分析數(shù)據(jù)流屬性，其它屬性就不一一分析了，可以查看相關(guān)資料。每一個(gè)屬性都為兩部份：屬性頭和內(nèi)容。先來(lái)分析數(shù)據(jù)流屬性的屬性頭：從第1第4四個(gè)字節(jié)表示屬性的類型，第5第8四個(gè)字節(jié)這里的值是48 00 00 00表示屬性的長(zhǎng)度（包括屬性頭和內(nèi)容）為72個(gè)字節(jié)。從17到24共8個(gè)字節(jié)表示起始的VCN即虛擬簇號(hào)，第25到32共8個(gè)字節(jié)表示結(jié)束的VCN此處為2D7FH也就是 這個(gè)壓縮文件占用了11648個(gè)簇。再往下分析從33到40共8個(gè)字節(jié)表示數(shù)據(jù)運(yùn)行的偏移。此處為40H也就是從第64個(gè)字節(jié)開頭了。我們就直接

22、來(lái)分析數(shù)據(jù)運(yùn)行也只有這一個(gè)運(yùn)行32 80 2D D5 58 17所以起始的LCN即規(guī)律簇號(hào)為1758D5H1530069，長(zhǎng)度為2D80H11648。接下來(lái)我們轉(zhuǎn)到1530069簇看，第一個(gè)字節(jié)右鍵選塊開頭，上面算出來(lái)這個(gè)文件的，如下圖：大小為11648個(gè)簇，也就是1530069+116481541717再轉(zhuǎn)到1541717簇，所在的扇區(qū)的上一扇區(qū)也就是文件的結(jié)尾了。最終一個(gè)字節(jié)右鍵選塊結(jié)尾。再在所選塊中右鍵編輯復(fù)制扇區(qū)到新文件即教導(dǎo)到路徑保存。然后改擴(kuò)展名為RAR。至此恢復(fù)完成。經(jīng)檢查沒(méi)有一個(gè)損壞的。4.2 手工定位NTFS文件系統(tǒng)下的文件信任很多伴侶在認(rèn)真看完數(shù)據(jù)恢復(fù)書籍中，關(guān)于NTFS文

23、件系統(tǒng)中敘述的一系列屬性以后，或多或少還是有些范模糊。的確，NTFS文件系統(tǒng)結(jié)構(gòu)比較簡(jiǎn)單，且書中也沒(méi)有講到如何利用這些屬性來(lái)定位文件，這對(duì)于初學(xué)者來(lái)說(shuō),無(wú)疑是一個(gè)缺憾.為彌補(bǔ)這一缺憾,我依據(jù)我個(gè)人對(duì)NTFS文件系統(tǒng)的理解，制作了本分析過(guò)程。申明，這只是本人的理解，難免會(huì)有錯(cuò)誤的地方。僅供大家參考?，F(xiàn)在我就以我電腦里的一個(gè)叫“MFT結(jié)構(gòu)分析”的圖片文件，其存儲(chǔ)路徑為E:教程數(shù)據(jù)恢復(fù)。接下來(lái)我們一層一層的去定位文件.以對(duì)所學(xué)的屬性做一個(gè)融會(huì)貫穿.或許有的伴侶會(huì)說(shuō):在實(shí)際操作中,可以通過(guò)在MFT中搜尋文件名的方式來(lái)做出定位,這樣也是可以的。我制作本分析過(guò)程的初衷也就是給初學(xué)者對(duì)NTFS的理解供應(yīng)一個(gè)

24、思路。學(xué)過(guò)FAT文件系統(tǒng)的,肯定知道如何定位分區(qū)以及DBR,那好,我們就直接從DBR開頭從DBR中得出，每簇扇區(qū)數(shù)為08H，（$MFT一下簡(jiǎn)稱MFT）.MFT的起始簇為：00000C00H，轉(zhuǎn)換為十六進(jìn)制分別為8扇區(qū)和786432簇。現(xiàn)在跳轉(zhuǎn)到786432簇，如下圖：我們可以看到，這是MFT的第一個(gè)記錄，記錄的是它自己。，接下來(lái)我們跳轉(zhuǎn)到MFT的關(guān)于根名目的記錄，也就是第5號(hào)記錄。根名目一般存儲(chǔ)的文件以及文件夾比較多。所以，它是格外駐的，關(guān)于這些文件夾的信息記錄在了其它的位置。而記錄在什么位置是由索引安排屬性來(lái)記錄的，也就是A0屬性，接下來(lái)著重看一下A0屬性，如圖：上圖紅色的標(biāo)注的位置是運(yùn)行（

25、Data run）31H表示用三個(gè)字節(jié)描述的是索引的位置的起始LCN（3E9002H），一個(gè)字節(jié)描述的是長(zhǎng)度(02H)。下一個(gè)運(yùn)行的位置描述的是00H表示到此結(jié)束，只有一個(gè)運(yùn)行。（提示：假如下一個(gè)運(yùn)行由內(nèi)容，那么它描述的LCN加上前一個(gè)運(yùn)行描述的LCN才是其真正的LCN，假如由三個(gè)運(yùn)行，用第三個(gè)運(yùn)行的LCN加上前兩個(gè)的LCN就是第三個(gè)運(yùn)行的真正的LCN，以此類推?。┪覀儗⑵滢D(zhuǎn)換為10進(jìn)制數(shù)值得到這樣一個(gè)信息，索引項(xiàng)的起始位置為167998簇，乘以每簇扇區(qū)數(shù)8，等于1343984扇區(qū)，長(zhǎng)度為2個(gè)簇，跳轉(zhuǎn)到1343984扇區(qū)，如圖：這個(gè)位置是根名目的索引項(xiàng)，可以看到里面索引的文件名為元數(shù)據(jù)?！敖坛?/p>

26、”這個(gè)文件夾也存放在根名目里面，我們搜尋該文件名，以找到相對(duì)應(yīng)的索引項(xiàng)，由于NTFS里面文件名是用Unincode字符來(lái)表示的，所以該文件名轉(zhuǎn)換為16進(jìn)制數(shù)值為59650B7A8765H，我們?cè)诟克饕?xiàng)里搜尋此文件名：在1343994扇區(qū)找到了“教程”的索引項(xiàng)，（1343994-1343984=10，每簇扇區(qū)數(shù)為8，說(shuō)明次索引項(xiàng)存放在其次簇里面）從上圖可以看出，其文件記錄存放在第6B3500H號(hào)扇區(qū)，轉(zhuǎn)換為十六進(jìn)制為13675號(hào)記錄，一個(gè)MFT占用2個(gè)扇區(qū)，其文件記錄的開頭為，從MFT第一號(hào)記錄向下數(shù)27350個(gè)扇區(qū)，就其文件記錄存放的位置，計(jì)算方式為：6291456 +（13675*2）

27、=6318806，跳轉(zhuǎn)到6318806扇區(qū)，如圖：圖中描述的本MFT號(hào)正是我們要找的，看下面的運(yùn)行31011BEB01H，轉(zhuǎn)換為16進(jìn)制數(shù)值為：125723，再乘以每簇扇區(qū)數(shù)8等于1005784扇區(qū)，現(xiàn)在跳轉(zhuǎn)到1005784扇區(qū)搜尋“數(shù)據(jù)恢復(fù)”這個(gè)文件夾的十六進(jìn)制數(shù)值70656E6362600D59H，結(jié)果沒(méi)找到，莫非是此文件夾沒(méi)有記錄？不行能。猜想，會(huì)不會(huì)是被駐留了。存放在MFT里面，跳回6318806扇區(qū)，搜尋70656E6362600D59 ，在該MFT的其次個(gè)扇區(qū)里面找到了該文件夾的記錄。跳轉(zhuǎn)到文件的“數(shù)據(jù)恢復(fù)”文件MFT記錄號(hào)：23A100000000H，十進(jìn)制為41251號(hào)，乘以2

28、加上6291456，等于6373958。如圖：對(duì)NTFS多少有點(diǎn)了解的人都會(huì)發(fā)覺(jué)，這并不是MFT。為什么？看一下我的MFT的分布狀況，如圖：我的MFT是分三大塊來(lái)存放的，（我自己的命名）接下來(lái)計(jì)算一下：第一塊：MFT從786432簇開頭,到796687結(jié)束用了10255個(gè)簇=82040扇區(qū)，每2個(gè)扇區(qū)為一個(gè)完整的MFT。其次塊：MFT從397607開頭到結(jié)束397686，用了79個(gè)簇632第三塊：第一塊MFT只用了10255個(gè)簇來(lái)記錄，（我用簇為來(lái)但來(lái)計(jì)算）而我們要找的文件“數(shù)據(jù)恢復(fù)”存放在41251號(hào)，（41251*2/8= 10312.75簇）已經(jīng)超出了第一塊的記錄范圍，超出75.75個(gè)簇

29、，經(jīng)計(jì)算，在其次塊里面才是存放的“數(shù)據(jù)恢復(fù)”的MFT。其次塊的開頭位置為397607簇，加上75簇，等于397664簇，由于硬盤是從0開頭記錄數(shù)據(jù)的，所以，這個(gè)地方應(yīng)當(dāng)還要減去1。跳轉(zhuǎn)到397663簇的四分之三（0.75）位置，也就是第6個(gè)扇區(qū)依據(jù)運(yùn)行，得知其起始LCN為A08AH(35488*8=283904),占用一個(gè)簇。跳轉(zhuǎn)到283904扇區(qū)：搜尋文件名“MFT”結(jié)構(gòu)分析4D0046005400D37E7E00H其文件MFT號(hào)為26A1H（41254號(hào)記錄），依據(jù)前面的MFT記錄塊的計(jì)算，在“數(shù)據(jù)恢復(fù)”MFT記錄向下數(shù)三個(gè)記錄，就是“MFT結(jié)構(gòu)分析”這個(gè)文件的MFT記錄了。跳轉(zhuǎn)到該位置其

30、運(yùn)行為3281000F8F00H，起始LCN為0F8F00（36623*8=292984扇區(qū)），長(zhǎng)度為8100H（129*8=1032扇區(qū)），那么結(jié)束位置為292984+1032=294016扇區(qū)跳轉(zhuǎn)到文件的開頭292984跳轉(zhuǎn)到294016，選取上一個(gè)扇區(qū)的結(jié)尾編輯-復(fù)制-植入新文件-保存文件名為“MFT結(jié)構(gòu)分析.jpg”。雙擊，能夠正常打開。 第五章 常見(jiàn)數(shù)據(jù)恢復(fù)軟件5.1數(shù)據(jù)恢復(fù)軟件5.1.1 winhexWinhex是一很好的，功能很強(qiáng)大的磁盤，文件二進(jìn)制數(shù)據(jù)查看，修改工具.使用它我們可以很便利的查看磁盤的數(shù)據(jù)，手動(dòng)修改數(shù)據(jù)。WinHex以通用的 16 進(jìn)制編輯器為核心，特地用來(lái)應(yīng)付計(jì)

31、算機(jī)取證、數(shù)據(jù)恢復(fù)、低級(jí)數(shù)據(jù)處理、以及 IT 平安性、各種日常緊急狀況的高級(jí)工具: 用來(lái)檢查和修復(fù)各種文件、恢復(fù)刪除文件、硬盤損壞等。得到 ZDNet Software Library 五星級(jí)最高評(píng)價(jià)，擁有強(qiáng)大的系統(tǒng)效用。功能（特點(diǎn)）如下: A 硬盤, 軟盤, CD-ROM 和 DVD, ZIP, Smart Media, Compact Flash, 等磁盤編輯器. B 支持 FAT, NTFS, Ext2/3, ReiserFS, Reiser4, UFS, CDFS, UDF 文件系統(tǒng) C 支持對(duì)磁盤陣列 RAID 系統(tǒng)和動(dòng)態(tài)磁盤的重組、分析和數(shù)據(jù)恢復(fù)D 多種數(shù)據(jù)恢復(fù)技術(shù),可分析 RAW

32、 格式原始數(shù)據(jù)鏡像文件中的完整名目結(jié)構(gòu)，支持分段保存的鏡像文件E 數(shù)據(jù)解釋器, 已知 20 種數(shù)據(jù)類型,驅(qū)動(dòng)器鏡像和備份 (可選壓縮或分割成 650 MB 的檔案)5.1.2 easyrecovery界面如圖3圖3EasyRecovery軟件主界面圖EasyRecovery 是世界有名數(shù)據(jù)恢復(fù)公司 Ontrack 的技術(shù)杰作。其 Professioanl (專業(yè)) 版更是囊括了磁盤診斷、數(shù)據(jù)恢復(fù)、文件修復(fù)、E-mail 修復(fù)等全部 4 大類目 19 個(gè)項(xiàng)目的各種數(shù)據(jù)文件修復(fù)和磁盤診斷方案。其支持的數(shù)據(jù)恢復(fù)方案包括：高級(jí)恢復(fù) 使用高級(jí)選項(xiàng)自定義數(shù)據(jù)恢復(fù) 刪除恢復(fù) 查找并恢復(fù)已刪除的文件 格式化恢

33、復(fù) 從格式化過(guò)的卷中恢復(fù)文件 Raw 恢復(fù) 忽視任何文件系統(tǒng)信息進(jìn)行恢復(fù) 連續(xù)恢復(fù) 連續(xù)一個(gè)保存的數(shù)據(jù)恢復(fù)進(jìn)度 緊急啟動(dòng)盤 創(chuàng)建自引導(dǎo)緊急啟動(dòng)盤 其支持的磁盤診斷模式包括：驅(qū)動(dòng)器測(cè)試 測(cè)試驅(qū)動(dòng)器以查找潛在的硬件問(wèn)題 SMART 測(cè)試 監(jiān)視并報(bào)告潛在的磁盤驅(qū)動(dòng)器問(wèn)題 空間管理器 磁盤驅(qū)動(dòng)器空間狀況的具體信息 跳線查看 查找 IDE/ATA 磁盤驅(qū)動(dòng)器的跳線設(shè)置5.1.3 finaldata界面如圖4圖4FinalData主界面圖FinalData能夠?qū)AT、FAT32和NTFS三種文件系統(tǒng)中的文件進(jìn)行恢復(fù)，而且它的界面風(fēng)格和操作方法和Windows資源管理器格外接近，即使是非計(jì)算機(jī)專業(yè)人員的一般用戶也可以在幾分鐘的時(shí)間里把握基本的使用方法，完成大部分?jǐn)?shù)據(jù)恢復(fù)工作。另外，快速高效則是FinalData的另一個(gè)顯著特點(diǎn)，恢復(fù)單個(gè)丟失的文件只需要幾秒鐘的時(shí)間，而對(duì)于整個(gè)硬盤的恢復(fù)也可以在幾格外鐘內(nèi)完成。5.1.4 易我數(shù)據(jù)恢復(fù)向?qū)Ы缑嫒鐖D5圖5易我數(shù)據(jù)恢復(fù)主只界面易我數(shù)據(jù)恢復(fù)向?qū)鞘卓顕?guó)內(nèi)自主研發(fā)的數(shù)據(jù)恢復(fù)軟件，是一款功能強(qiáng)大并且性價(jià)比格外高的數(shù)據(jù)恢復(fù)軟件。本軟件在WIND