用WinHex實(shí)現(xiàn)NTFS文件系統(tǒng)的數(shù)據(jù)恢復(fù)_第1頁(yè)
用WinHex實(shí)現(xiàn)NTFS文件系統(tǒng)的數(shù)據(jù)恢復(fù)_第2頁(yè)
用WinHex實(shí)現(xiàn)NTFS文件系統(tǒng)的數(shù)據(jù)恢復(fù)_第3頁(yè)
用WinHex實(shí)現(xiàn)NTFS文件系統(tǒng)的數(shù)據(jù)恢復(fù)_第4頁(yè)
用WinHex實(shí)現(xiàn)NTFS文件系統(tǒng)的數(shù)據(jù)恢復(fù)_第5頁(yè)
已閱讀5頁(yè),還剩2頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、用WinHex實(shí)現(xiàn)NTFS文件系統(tǒng)的數(shù)據(jù)恢復(fù)WinHextoAchievewithNTFSFileSystemDataRecovery/QiQinAnoverviewofthestructureofNTFSfilesystem,masterfiletable,filerecords,filerecordsrelatedtoproperty,aswellasdatafilesinthediskfiledataofthetargetedarea.OnNTFSfilesystemdatarecoveryanalysisdone,theuseofWinHexdiskeditortorestorethe

2、deletedfileswerecompletedata.Author'saddressInstituteofEducationScienceandTechnology,XuzhouInstituteofTechnology,Xuzhou,Jiangsu,221008,China隨著科技的進(jìn)步,計(jì)算機(jī)教學(xué)已成為現(xiàn)代教育技術(shù)的主要技術(shù)手段,在教育教學(xué)中發(fā)揮著越來(lái)越重要的作用。在平時(shí)教學(xué)過(guò)程中,計(jì)算機(jī)可實(shí)現(xiàn)電子教案與板書(shū)演示、CAI輔助教學(xué)、聯(lián)機(jī)測(cè)試等多種教學(xué)手段,在提高學(xué)生學(xué)習(xí)效率、擴(kuò)充信息知識(shí)量、培養(yǎng)學(xué)習(xí)和動(dòng)手能力等方面發(fā)揮著重要作用。而這些教學(xué)信息均以文件數(shù)據(jù)的形式存儲(chǔ)在計(jì)算機(jī)中,一

3、旦遇到系統(tǒng)故障、病毒攻擊、誤刪除或格式化造成數(shù)據(jù)丟失,將影響教學(xué)活動(dòng)的正常開(kāi)展。NTFS文件系統(tǒng)基于可恢復(fù)文件結(jié)構(gòu)設(shè)計(jì),在安全性和穩(wěn)定性方面有顯著優(yōu)勢(shì),提供容錯(cuò)結(jié)構(gòu)日志,為多用戶設(shè)置限制的磁盤配額文件特性,對(duì)文件和文件夾有安全驗(yàn)證和數(shù)字加密,保護(hù)系統(tǒng)的安全,不易產(chǎn)生文件碎片,減少用戶數(shù)據(jù)文件丟失或毀壞的危險(xiǎn)。由于系統(tǒng)的優(yōu)越性,NTFS已取代FAT成為當(dāng)前主流文件系統(tǒng)。1NTFS文件系統(tǒng)結(jié)構(gòu)分析NTFS文件系統(tǒng)的結(jié)構(gòu)以卷為基礎(chǔ),卷由邏輯分區(qū)組成。卷以簇為最小存儲(chǔ)管理單元,對(duì)磁盤空間和文件對(duì)象進(jìn)行有機(jī)操作。簇的大小稱卷因子,每簇可按需要分配1、2、4或8扇區(qū),為簇2的募且是整數(shù)倍,每扇區(qū)512字節(jié)

4、,由操作系統(tǒng)建立分區(qū)時(shí)格式化生成。當(dāng)分區(qū)空間超過(guò)2G時(shí),NTFS默認(rèn)簇是8扇區(qū)。NTFS文件系統(tǒng)使用邏輯簇號(hào)和虛擬簇號(hào)對(duì)卷進(jìn)行管理。邏輯簇號(hào)是對(duì)卷上所有簇進(jìn)行順序編號(hào),虛擬簇號(hào)是對(duì)文件占用簇的編號(hào),以便于引用文件中的數(shù)據(jù)。NTFS#卷定義為4個(gè)區(qū)域:分區(qū)引導(dǎo)扇區(qū)、主文件表、系統(tǒng)文件和文件數(shù)據(jù)區(qū)1。分區(qū)引導(dǎo)扇區(qū)位于卷的首扇區(qū),包括分區(qū)的引導(dǎo)程序和BIOS參數(shù)塊(BPB),BPB表中的參數(shù)是在建立文件系統(tǒng)時(shí)由操作系統(tǒng)生成的,系統(tǒng)根據(jù)BPB中參數(shù)得到卷的重要信息,對(duì)分區(qū)引導(dǎo)扇區(qū)、主文件表、文件數(shù)據(jù)等進(jìn)行卷邏輯地址定位。如果BPB參數(shù)丟失,NTFS無(wú)法完成數(shù)據(jù)的定位,文件系統(tǒng)將不能正常使用。主文件表(

5、MFT)是由一系列文件記錄組成,與文件數(shù)據(jù)區(qū)中的文件相對(duì)應(yīng)的關(guān)系數(shù)組,是NTFS的控制中心。NTFS通過(guò)文件記錄來(lái)描述數(shù)據(jù)文件的各種屬性并確定其在磁盤上的存儲(chǔ)位置。MFT的前16個(gè)文件記錄屬于系統(tǒng)文件,稱為元文件,用于存放系統(tǒng)的元數(shù)據(jù)。元文件在主文件表中地址固定不變,而對(duì)其他文件和文件夾的文件記錄在主文件表中的地址則無(wú)具體要求。文件記錄由記錄頭、屬性列表和結(jié)束標(biāo)志組成。以“46494C45”為開(kāi)始標(biāo)志,“FFFFFFFF”為結(jié)束標(biāo)志,大小為1K&NTFS將數(shù)據(jù)文件作為屬性/屬性值的集合來(lái)處理,屬性的內(nèi)容是屬性值(流),由簡(jiǎn)單字符隊(duì)列組成。NTFS并不對(duì)文件數(shù)據(jù)進(jìn)行操作,而通過(guò)對(duì)屬性流讀

6、寫(xiě)來(lái)對(duì)文件進(jìn)行創(chuàng)建、讀寫(xiě)、刪除等操作。當(dāng)文件和文件夾的數(shù)據(jù)較小時(shí),其所有屬性和屬性值都可直接存放在文件記錄中,稱為常駐屬性。當(dāng)文件或文件夾的屬性太大而不能直接存放在文件記錄中時(shí),稱為非常駐屬性。NTFS將從主文件表之外的磁盤空間中為非常駐屬性值分配存儲(chǔ)區(qū)域,稱為運(yùn)行。運(yùn)行主要說(shuō)明文件在文件數(shù)據(jù)區(qū)簇的分配情況,由多個(gè)運(yùn)行項(xiàng)組成,一個(gè)運(yùn)行項(xiàng)包含一個(gè)虛擬簇號(hào),是屬性數(shù)據(jù)內(nèi)部簇的順序編號(hào);一個(gè)邏輯簇號(hào),是數(shù)據(jù)儲(chǔ)存在磁盤上的位置;以及數(shù)據(jù)在磁盤上所占用空間的連續(xù)簇的數(shù)量2。利用文件的邏輯簇號(hào)和卷因子相乘得到文件在卷中的物理磁盤地址,NTFS通過(guò)這種方法對(duì)文件的數(shù)據(jù)區(qū)地址進(jìn)行定位。2實(shí)現(xiàn)NTFS文件系統(tǒng)的

7、數(shù)據(jù)恢復(fù)主要思路在NTFS文件系統(tǒng)中,磁盤上的所有數(shù)據(jù)都是文件,每個(gè)文件在主文件表中都有一個(gè)文件記錄。在文件創(chuàng)建時(shí),在主文件表中為文件生成一個(gè)文件記錄;在文件刪除或者系統(tǒng)格式化時(shí),并沒(méi)有破壞磁盤上文件的數(shù)據(jù)信息,而且文件記錄也沒(méi)有被刪除,只是更改標(biāo)志(偏移0X16H)的屬性值,并回收文件所占用的空間。實(shí)現(xiàn)NTFS文件系統(tǒng)的數(shù)據(jù)恢復(fù),首先通過(guò)分區(qū)引導(dǎo)扇區(qū)的BPB表參數(shù)定位主文件表、文件的文件記錄;分析文件記錄以及記錄中的屬性,獲取數(shù)據(jù)恢復(fù)時(shí)所需要的文件信息;確定文件的數(shù)據(jù)區(qū)地址;對(duì)刪除文件進(jìn)行恢復(fù)。2.1對(duì)主文件表和文件記錄的定位由于文件是通過(guò)主文件表的文件記錄來(lái)確定其在文件數(shù)據(jù)區(qū)的存儲(chǔ)位置,因

8、此首先要找到主文件表。主文件表卷起始邏輯地址二卷因子*當(dāng)前卷的主文件表邏輯簇號(hào)。通過(guò)卷的引導(dǎo)扇區(qū)的BPB參數(shù),可獲取主文件表和卷因子信息。分區(qū)引導(dǎo)扇區(qū)開(kāi)始偏移OXDH為卷因子,即每簇扇區(qū)數(shù);偏移0X30H為主文件表在當(dāng)前卷的邏輯地址。2.2文件記錄屬性分析文件記錄屬性有標(biāo)準(zhǔn)屬性、文件名屬性、數(shù)據(jù)流屬性、位圖屬性等類型3。記錄頭偏移0X16H處為文件使用標(biāo)志,文件系統(tǒng)通過(guò)標(biāo)志判斷文件的當(dāng)前使用狀態(tài)。當(dāng)文件刪除時(shí),NTFS并不刪除文件記錄,僅更改文件記錄的使用標(biāo)志值。00表示文件已刪除,01表示文件正常使用,02表示文件夾已刪除,03表示文件夾正常使用。文件名屬性的類型為30H,是常駐屬性,用于存

9、儲(chǔ)文件名。需要注意的是,NTFS的文件名采用Unincode字符集,可支持中文和長(zhǎng)文件名,當(dāng)文件名含有超過(guò)傳統(tǒng)DOS“8.3”的長(zhǎng)文件名時(shí),文件記錄會(huì)有2個(gè)30H的文件名屬性,第1個(gè)是與DOS兼容的短文件名,第2個(gè)是完整的長(zhǎng)文件名。通過(guò)30H屬性判斷是否為所需要恢復(fù)的文件。數(shù)據(jù)流屬性的類型為80H,其中包含有非常駐標(biāo)識(shí)、起始虛結(jié)束虛擬簇號(hào)、運(yùn)行的偏移、數(shù)據(jù)的運(yùn)行項(xiàng)等內(nèi)容。通過(guò)分析數(shù)據(jù)流屬性中運(yùn)行的邏輯簇號(hào)和虛擬簇號(hào),來(lái)對(duì)文件在文件數(shù)據(jù)區(qū)定位。2.3文件數(shù)據(jù)區(qū)的定位數(shù)據(jù)流屬性的開(kāi)頭為“80000000”,從屬性頭開(kāi)始第5個(gè)字節(jié)起的4個(gè)字節(jié)表示屬性的長(zhǎng)度。第8個(gè)字節(jié)是非常駐標(biāo)識(shí),如果該值是0,為常

10、駐屬性,表示數(shù)據(jù)流存儲(chǔ)在文件記錄中,可在文件記錄中對(duì)數(shù)據(jù)直接進(jìn)行提取操作如果該值為1,說(shuō)明數(shù)據(jù)存儲(chǔ)在運(yùn)行中。第17到24字節(jié)共8個(gè)字節(jié)表示起始虛擬簇號(hào),第25到32字節(jié)共8個(gè)字節(jié)表示結(jié)束虛擬簇號(hào)。號(hào)。第33字節(jié)表示運(yùn)行的偏移地址,一般為40H,即從屬性頭偏移64字節(jié)。從運(yùn)行的偏移處讀出數(shù)據(jù)運(yùn)行項(xiàng)。在運(yùn)行中說(shuō)明各運(yùn)行項(xiàng)的起始邏輯簇號(hào)和該運(yùn)行項(xiàng)占用的簇?cái)?shù),從而可以定位每一個(gè)數(shù)據(jù)運(yùn)行,對(duì)文件的數(shù)據(jù)進(jìn)行提取操作。2.4保存恢復(fù)文件通過(guò)分析運(yùn)行項(xiàng),獲取文件在文件數(shù)據(jù)區(qū)起始和結(jié)束邏輯扇區(qū)地址,直接提取磁盤扇區(qū)上的二進(jìn)制代碼,并將數(shù)據(jù)保存到其他卷上。3用WinHex數(shù)據(jù)恢復(fù)實(shí)例在卷E中存入一個(gè)名為xyzzy

11、x.rar的壓縮文件。按Shift+Delete組合鍵,徹底刪除xyzzyx.rar文件。刪除文件后,注意不要對(duì)E盤進(jìn)行寫(xiě)入操作,也不要對(duì)磁盤進(jìn)行碎片整理、磁盤錯(cuò)誤掃描等操作。下面介紹實(shí)現(xiàn)方法。1)啟動(dòng)WinHex軟件。點(diǎn)擊“Tool”菜單,選擇"OpenDisk”菜單項(xiàng),打開(kāi)卷E。首先定位主文件表,單擊“GoToSector”按鈕,輸入“0”,跳轉(zhuǎn)至分區(qū)引導(dǎo)扇區(qū)。從BPB表開(kāi)始偏移0X30H0x38H處的值為00000C00H偏移OxDH處的值為08Ho則主文件表的起始邏輯地址為C0000*08=600000H單擊工具欄上“GoToOffset”按鈕,在“Newposition”對(duì)

12、話框中輸入主文件表的偏移地址“600000",位置類型選擇Sectors”,在“relativeto”復(fù)選框中選擇“beginning”,單擊確定跳轉(zhuǎn)至主文件表。單擊工具欄上“Findtext”,在文本框中輸入要搜索的文件名“xyzzyx.rar",NTFS里面文件名是用Unincode字符集來(lái)表示的,編碼類型選擇“Unincode",搜索方向選擇“Down”。2)經(jīng)過(guò)搜索后,光標(biāo)停在記錄的文件名屬性位置上。通過(guò)分析30H的文件名屬性,可以看到文件名是“xyzzyx.rar",確認(rèn)是要恢復(fù)的文件。從記錄頭偏移0x16處使用標(biāo)志值為00,表示文件已被刪除。

13、接著分析80H的數(shù)據(jù)流屬性,偏移0XC029DD38處表示此文件為非常駐屬性。0XC029DD50為運(yùn)行的偏移值40H,即從第64個(gè)字節(jié)開(kāi)始,偏移0XC029DD7s0xC029DD75為數(shù)據(jù)運(yùn)行,只有一個(gè)運(yùn)行項(xiàng)32D104E0AE69o0x32H表示該運(yùn)行項(xiàng)為3字節(jié)的偏移,2字節(jié)的文件長(zhǎng)度。文件長(zhǎng)度為04D1H,即虛擬簇號(hào)。文件的起始邏輯簇號(hào)為69AEE0H通過(guò)計(jì)算可知“xyzzyx.rar”文件的起始邏輯扇區(qū)地址為69AEE0H*8=34D7700H吉束邏輯扇區(qū)地址為(69AEE0H+04DlH)*8=69B3BlH*8=34D9D88H3)單擊工具欄上“GoToOffset”按鈕,在“N

14、ewposition”對(duì)話框中輸入文件的起始邏輯扇區(qū)地址位34D7700”,置類型選擇“Sectors”,在“relativeto”復(fù)選框中選擇beginning”,單擊確定跳轉(zhuǎn)。光標(biāo)在二進(jìn)制代碼“526172211A0700CF”處停下,看右面字符集可知是Rar的ASCII碼,確定是壓縮文件的開(kāi)頭標(biāo)志。單擊鼠標(biāo)右鍵選擇Beginningofblock”,定義文件的數(shù)據(jù)區(qū)開(kāi)始。再單擊工具欄上“GoToOffset”按鈕,輸入文件的結(jié)束邏輯扇區(qū)地址“34D9D88",確定轉(zhuǎn)到后的新位置即為該文件數(shù)據(jù)的結(jié)束,單擊鼠標(biāo)右鍵選擇“Endofblock”。4)依次選擇“EDITIntoNewFile”,輸入文件名“xyzzyx.rar”,保存在桌面,點(diǎn)擊確定

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論