NTFS格式大硬盘数据恢复特殊案例
大容量NTFS分区格式化为NTFS后快捷数据恢复案例.
大容量NTFS分区格式化为NTFS后快捷数据恢复案例大家好,我是abian,如果你看过我之前写的“U盘FAT系统手工恢复二进制文档碎片经典案例分析”,那么现在我们又见面了,呵呵,这次带给大家的是NTFS分区(大于200G)在格式化为NTFS后的快速手工恢复方法,在看这之前,你要有相应的NTFS文件系统的一些知识,比如至少要知道什么是MFT及MFT的重要DATARUN参数。
这次拿我的盘来给大家做小白呀,哈哈.首先大家请看我的原盘数据完好,属性如下图: 文件数量如下:原来的MFT大小如下:现在把这个分区快速格式化为NTFS:格式化后数据全没有了:此时要恢复数据一般就是用软件扫描,在没有覆盖的情况数据基本上是能恢复的,但是扫描所需要的时间一般都会在1个钟以上,拷贝数据又要一个钟左右,如何能快速的在原盘上搞好数据呢?接下来就跟大家分享下一个快速恢复此类故障的一个思路.首先,WINHEX打开分区,可以看到,MFT大小为256K,只有512个扇区,再跳到DBR 看下MFT的开始簇数如图:可以看到,开始簇数为:00000C00/H,对DBR有所了解的朋友都知道,DBR的偏移位置一般都是这个,那我们假设以前的DBR如果也是这个位置的话,那么格式化后对于MFT来说只是改了他的前面512 SEC,现在我们就来验证这个猜想,跳到MFT的相对512 SEC,看接下来的扇区是否还是MFT记录,我们查看6291456+512=6291968号扇区,可以看到,在MFT结束位置过后还存在MFT记录号为256的MFT项,我们再在这个扇区往上跳两个扇区,可以看到:如上图,上一个MFT记录号为255号,再跳到6291970扇区,可以看到MFT记录号为257,从以上三个连续的MFT号可以判断,原来MFT开始的簇位也是00000C00/H号簇,因此在格式化后MFT项只改了前面的512个扇区,后面的MFT记录项都是完好的,OK,现在我们再来看MFT项的第0号记录项,即记录MFT文件本身的MFT项作了什么改变.可以看到MFT 0号记录项的80属性如下:从80属性可以看到,文件的虚拟簇号为从0到0000003F/H=(63,一共64个簇,(一个簇有8个扇区大小为00040000/H=262144(字节/512=512(扇区,从DATARUN信息可知:第一个簇开始于簇号为00000C/H,一共有40/H=64个簇.OK,有了以上信息,通过对比以前的MFT 0号记录项的80属性,以前的MFT有12M,而现在只变为256K,我们不难发现, MFT 0号记录项记录着MFT文件本身的一个大小及开始簇位,也就是说,原来有数据的MFT项包含了所有MFT记录项在里面,而我们格式化后的MFT只包含了系统元文件(指MFT , BOOT, LOGFILE , BITMAP等及$RECYCLE.BIN, System Volume Information文件夹及其里面文件的记录项,因此,我们大胆猜想,如果以把原来的MFT 0号记录项还原回去,是不是文件就可以恢复了呢?NOW,LET’S DO IT!对80属性有了解的朋友知道,MFT项最重要的就是它了,而且对于MFT元文件本身来讲,只要找到MFT文件夹的一个起始簇号,文件是否有连续,文件长度就可以把MFT项的80属性还原了.通过以上判断,我们已经可以确定,原来的MFT项跟现在的MFT项起始簇号是一样的,那么如确定文件是否连续的及它的大小呢?我们从MFT的开始扇区6291456扇区开始,在事先不知道MFT大小的情况下,我们可以根据经验大概判断下,先搜索MFT项的最后一个记录,300G左右的分区一般MFT项不会超过100M(当然对于一般用户来说,对于那些作小文件如HTML服务器的硬盘分区就另当别论了,好,我们就跳到6291456+200 000(大概100M=6491456 SEC,可以看到,在这个位置已经不再是MFT项了,那么我们往上搜索MFT文件头,这个不用我教了吧,向上搜索FILE0的HEX值,找到第一个就停下来很快,就找到下面这个扇区这个就是MFT的最后一个记录项吗,不急,再来慢慢分析往上再搜索往上两个扇区是相邻的MFT记录项,再往上找都是连续的MFT记录号,隔一段再找,发现MFT项都是连续的,很好,到此可以总结这个位置的MFT项是连续的,那么它还有没有碎片呢,我们再从6491456 SEC开始往下搜索MFT项,一直往下搜索到超过八分之一都没有再发现MFT记录项的影子了那就不再找了,因为系统开始为MFT分配的空间最多只占分区的八分之一,何况我的分区数据还不满,那么现在确认了MFT项的结束扇区为6316031 SEC,开始扇区为6291456 SEC,那么MFT所占的簇数为6316031-6291456=(24575/8= 3071(FF0B/H 簇,虚拟簇号为0-3070(FE0B/H,文件大小为3071*8*512=12578816(00F0BF00/H,OK,现在把这些补到MFT的80属性去吧补完如下:改完保存,准备收工!卸载磁盘并再次加载,然后再用WINHEX打开分区并重新加载目录OK,文件都出来了!再验证下文件能否正常打开OK,文件能正常打开,再打开资源管理器,分区文件还是为空,这是因为只有MFT项改好了,但是其他系统元文件如BITMAP, LOGFILE等是有问题的,这种情况下除了直接用WINHEX直接COPY数据出来外,别一种比较好的方法就是用CHKDSK命令来修复原盘.具体做法如下:先用”CHKDSK M:”命令检查,结果如下再用”CHKDSK M:/F”命令来修复CHKDSK完成,修复分区错误,现在来打开分区看看! OK,数据在资源管理中重现!数据容量不变,OK!收工!Abian原创,尊重作者劳动成果,转载请注明出处!。
NTFS被快速格式化成NTFS后数据恢复的研究
NTFS被快速格式化成NTFS后数据恢复的研究陈培德;王丽清;吴建平【摘要】快速格式化是高级格式化中的一种特殊形式.逻辑盘被快速格式化后数据能否恢复取决于快速格式化操作对原来文件系统中所存储数据的破坏程度.以Windows 7为平台,WinHex 15.08为分析工具,对NTFS文件系统结构进行分析,将逻辑盘由NTFS文件系统快速格式化成NTFS文件系统,通过快速格式化后与快速格式化前对元文件$MFT变化的对比,提出了恢复快速格式化前NTFS文件系统数据的基本思路、方法与步骤.实验结果表明,将逻辑盘由NTFS文件系统快速格式化成NTFS文件系统后,只要恢复格式化前的元文件$MFT的80H属性值,通过CHKDSK命令,便可以恢复被快速格式化破坏的NTFS文件系统结构,除部分数据被覆盖无法恢复外,其他未覆盖的数据均可全部恢复.【期刊名称】《计算机技术与发展》【年(卷),期】2018(028)008【总页数】5页(P191-195)【关键词】格式化;FAT32文件系统;NTFS文件系统;数据恢复【作者】陈培德;王丽清;吴建平【作者单位】云南大学信息学院,云南昆明 650223;云南省高校数字媒体技术重点实验室,云南昆明 650223;云南大学信息学院,云南昆明 650223;云南省高校数字媒体技术重点实验室,云南昆明 650223;云南大学信息学院,云南昆明 650223;云南省高校数字媒体技术重点实验室,云南昆明 650223【正文语种】中文【中图分类】TP311.120 引言格式化是指对磁盘或磁盘中的分区进行初始化的一种操作,这种操作通常会导致现有的磁盘或分区中所有的文件被清除。
格式化通常分为低级格式化和高级格式化[1]。
如果没有特别指明,对硬盘的格式化通常是指高级格式化。
外存储器在生产出来后,一般要经过低级格式化、分区和高级格式操作后,才能用来存储数据[1]。
低级格式化针对的是整个硬盘,一般由外存储器生产厂商来完成;而对外存储器的分区和高级格式化一般由销售商或者用户来完成,高级格式化针对的是某个分区。
恢复移动硬盘文件或目录损坏无法读取文件
移动硬盘文件或目录损坏无法读取能恢复文件无法打开X盘,文件或目录损坏且无法读取故障现象不管是移动硬盘还是优盘,包括本地电脑上的硬盘分区,双击打开时,提示:“无法打开x盘,文件或目录损坏且无法读取,....”。
有的分区格式变为RAW。
数据丢失原因分析出现这种错误提示,是由于各种原因导致的磁盘文件目录(FAT,MFT)出错造成。
主要发生在优盘、MP3、移动硬盘等移动设备上,其中大容量(160G以上)NTFS分区格式的外置移动硬盘发生几率最高最多。
产生的原因很多,一般有下面几种原因:1、没有正常插拔移动设备,系统没有完成完整的读写操作,致使文件目录信息错乱和不完整。
比如我们复制一个文件到移动设备,关机重启、拔取后,再次打开使用或到别的电脑上使用时出现症状。
2、选用了劣质产品,包括劣质电源、主板、数据线、特别是劣质外置硬盘盒。
产品的电源、主控电路不稳定,致使磁盘寻址出错,写信息错乱。
3、使用了PQ、PM等磁盘分区调整工具。
4、病毒、硬盘硬件本身故障、工作期间突然停电。
恢复效果质量如果是大移动硬盘并且是NTFS分区格式的,恢复质量十分理想,基本都能成功恢复文件和目录结构。
如果是FAT或FAT32格式,根据损坏程度不同,恢复质量效果比NTFS格式结构的分区稍差一些,所以日常使用建议使用NTFS格式分区,其数据安全性更高一些。
数据恢复准备不知从谁开始的,网上有人告诉你先将分区格式化一遍,然后再用一些数据恢复软件恢复数据,天神老爷爷,你千万不要这么做,格式化后,特别是FAT格式分区,恢复出来的数据其目录结构是不完整的,特别是经常编辑的最需要的文件,因为文件碎片比较多,恢复软件失去FAT表的对比分析,恢复出来的文件大多打不开。
下面操作前建议先做镜像备份!你想走捷径的话,可以先碰一下运气,可以先 CHKDSK 一下试试。
CHKDSK,Windows操作系统自带的磁盘检查修复命令。
先看一下你出错设备的盘符,然后点取--开始--运行,在运行对话框中输入 CHKDSK X:/F 回车。
基于NTFS文件系统的数据恢复编程技术
基于NTFS文件系统的数据恢复编程技术作者:高洪涛李孟林赵璇元来源:《信息安全与技术》2015年第06期【摘要】文章针对由主观因素造成计算机中数据丢失的情况提出了一种Windows NTFS 文件系统下数据恢复的实现方法,介绍了NTFS 数据恢复编程的原理,设计了数据恢复的编程框架,并结合实际编程完成了数据恢复的实现,最后通过测试验证了程序的功能可用性。
本程序创新性采用自定义结构体的方式扫描MFT表,速度飞快,同时能读出Linux环境下用DD 命令拷贝的文件,所有数据恢复操作均在内存中进行,不会对磁盘写入任何数据。
【关键词】 NTFS;数据恢复;编程1 引言随着信息化社会的快速发展及电脑的广泛应用,使用计算机进行犯罪的案件越来越多,给人们和社会造成了巨大的财产损失。
然而,为了逃脱公安机关的打击,犯罪分子经常将计算机上的犯罪数据信息彻底删除,或将分区甚至整个硬盘进行格式化操作,从而使得重要的犯罪证据丢失,给案件的取证带来极大的困难。
因此,如何迅速准确地在计算机上恢复出犯罪证据,成为切实打击犯罪的一个关键因素。
在NTFS卷中,虽然文件被删除了,但其MFT表项并没有清空。
不过删除文件的同时,MFT被清空的可能性也存在,在极端情况下,如系统分配给MFT的空间已经接近用完时,系统在删除文件的同时也会将MFT清空,并直接用其他文件的MFT覆盖该文件的MFT。
一般情况下,只要MFT表项没有清空,则文件MFT表项中80属性值就不会清空,也就是说文件数据还存在磁盘上,故文件数据就存在恢复的可能。
2 编程需要的原理要想进行数据恢复,就必须知道文件存储的原理,本文首先对NTFS 文件系统、主文件表MFT结构以及文件的几个关键属性(即文件名、标准信息、数据流等)进行分析。
2.1 NTFS文件系统概述NTFS是随着 Windows NT操作系统而产生的,全称为“New Technology File System”,中文意为新技术文件系统,简称“NTFS”。
基于NTFS的数据恢复系统设计与实现
基于NTFS的数据恢复系统设计与实现封富君;姚俊萍;李晓军【摘要】Windows下的NTFS文件系统具有较好的稳定性和安全性,对NTFS下数据恢复软件的研究对数据的安全保护具有重要作用。
分析了NTFS文件系统的结构,设计并实现了一个基于NTFS的数据恢复系统,详细阐述了系统的三个主要模块的实现过程,包括磁盘分析模块、分区扫描模块和数据恢复模块。
数据恢复模块是恢复系统的核心模块,给出了NFTS数据恢复实现的具体流程。
软件测试结果表明该软件能够很好的恢复原始数据。
【期刊名称】《计算机科学与应用》【年(卷),期】2017(007)012【总页数】9页(P1245-1253)【关键词】NTFS;数据恢复;MFT【作者】封富君;姚俊萍;李晓军【作者单位】[1]西安高新技术研究所,陕西西安;;[1]西安高新技术研究所,陕西西安;;[1]西安高新技术研究所,陕西西安;【正文语种】中文【中图分类】TP311. 引言随着网络技术的不断发展,以及数据量的急剧增加,在大数据环境下,越来越多的用户习惯于把重要资料保存到计算机硬盘中,却不得不面对数据可能丢失的风险。
数据恢复是信息安全的最后一道防线,是保护数据安全的重要方法。
数据恢复技术就是因计算机系统遭到误操作、病毒侵袭、硬件故障、黑客攻击等事件后,将用户数据从各种“无法读取”的存储设备中拯救出来,从而将损失减到最小的技术[1]。
数据恢复根据故障可分为两大类:软恢复和硬恢复。
由于磁盘故障导致的数据恢复称为硬恢复,例如磁道或盘片损坏。
软恢复是指通过软件的方式进行的数据恢复,整个过程并不涉及硬件维修。
产生的原因主要有误操作,如误格式化或误删除;恶意程序的破坏,如病毒感染;操作系统错误,如系统死机导致的数据丢失等。
大多数的数据恢复属于软恢复。
在数据恢复之前应该对数据存储介质进行全面的了解和检查,并根据实际情况制定科学合理的数据恢复方案。
数据恢复涉及的领域较广,具有电子数字数据和数字文档存储的地方都会有数据存储、数据损坏和数据修复的问题,目前对计算机的数据恢复[2] [3][4] [5] [6]和电子取证中的数据恢复[7] [8]研究较多,本文则设计并实现了一个数据恢复系统。
NTFS分区格式化后用WINHEX手工提取数据一例
这是我们这里的一同行转到我这里来的一个数据,据客户描述故障为:盘分了三个区在一次意外死机后重启电脑后客户继续死机前的工作打开最后一个区(前两个区是正常的)提示未格式化(其实大多数朋友知道这时的问题简单得多也许重建DBR后整个盘里面的数据都在,这里暂且就不谈这种问题的解决方法了),要命的是这时客户鬼使神差地点击了格式化了,结果大家当然就知道了,数据肯定是没有了。
据转到我这里的那同行说他用各种搜索软件对整个区搜了好几遍(这也是大多数所谓专业的数据恢复商所用的恢复方法了),当然也搜到了很多数据,尽管很乱但还能正常打开。
最后客户确认搜出来数据大部份正常,但客户最重要的的一个压缩文件损坏了,(据客户说那压缩文件是他多年搞设计购买的素材库的精华)。
大家知道压缩文件损坏了是很难很难修复的了。
首先我用WINHEX把他搜出来的那个压缩文件打开分析了下,文件头乱了,中间的数据也不正常。
无法修复,只好从原盘着手了。
竟然搜索软件搜出来的是损坏的,那就只有用手工来做了,当然用手工做这种格式化了的数据很费时,且计算量也很大,只能针对像这样的个别特重要的数据。
对原盘的那个格式化掉的分区做完镜像后,用WINHEX打开镜像,设置镜像文件为磁盘。
如下图所示:1.jpg分区是NTFS格式的,整个分区大小为25.4G。
对NTFS分区格式研究过的朋友会知道,在NTFS文件系统中,文件亦是按簇进行分配的,文件通过主文件表MFT(Master File Table)来确定其在磁盘上的存储位置、大小、属性等信息。
相当于FAT系统下的FAT+FDT 的功能。
每文件都有一个文件记录。
其中第一个记录就是MFT自己本身。
我们转到第一个文件记录也就是MFT了直接点可以看到如下图所示:2.jpg通过第一个文件记录往下观察发现格式化了后对文件记录没有产生破坏。
那么这时我们就可以有一个恢复的思路了:找客户所说的那个压缩文件的在MFT中的记录,再通过对文件记录的分析来确定文件在磁盘中的位置及大小,就可以直接从中提出文件了。
移动硬盘显示ntfs双击无法访问的解决方法
移动硬盘显示ntfs双击无法访问的解决方法全文共四篇示例,供读者参考第一篇示例:移动硬盘是我们存储重要数据的重要工具之一,而NTFS格式是Windows系统中常见的磁盘格式。
在使用移动硬盘的过程中,有时候我们会遇到移动硬盘显示NTFS格式,双击无法访问的问题。
这给我们的数据存储和访问带来了不便。
那么,究竟是什么原因导致了这个问题,又该如何解决呢?接下来,我们将为大家详细介绍关于移动硬盘显示NTFS双击无法访问的解决方法。
让我们来解释一下为什么会出现这个问题。
在Windows系统中,NTFS是一种高级的文件系统,它支持大容量硬盘、大量文件和文件夹,同时具有更好的数据安全性和稳定性。
有时候移动硬盘显示NTFS格式,双击无法访问的问题可能是由以下原因导致的:1. 移动硬盘的NTFS分区损坏:当移动硬盘的NTFS分区损坏时,会导致无法正常访问移动硬盘中的数据。
2. 移动硬盘的NTFS分区被病毒感染:病毒是常见的数据破坏因素,如果移动硬盘的NTFS分区被病毒感染,可能会导致文件无法正常访问。
3. 移动硬盘的NTFS文件系统损坏:NTFS文件系统损坏也可能导致移动硬盘无法正常打开。
接下来,我们将介绍如何解决移动硬盘显示NTFS双击无法访问的问题:1. 使用Windows自带工具检测和修复移动硬盘的NTFS分区:Windows系统自带了磁盘检查和磁盘清理的工具,可以帮助我们检测和修复硬盘的分区问题。
我们可以在Windows资源管理器中找到移动硬盘,右键点击移动硬盘,选择“属性”>“工具”>“错误检测”,然后点击“检查”按钮,系统会自动检测和修复硬盘的分区问题。
2. 使用杀毒软件扫描和清除移动硬盘的NTFS分区病毒:当我们怀疑移动硬盘的NTFS分区被病毒感染时,我们可以使用杀毒软件对移动硬盘进行全盘扫描,清除病毒。
在扫描过程中,杀毒软件会发现和清除移动硬盘中的病毒,解决无法正常访问的问题。
3. 使用NTFS文件系统修复工具修复移动硬盘的NTFS文件系统:如果移动硬盘的NTFS文件系统损坏,我们可以使用NTFS文件系统修复工具来修复文件系统。
基于NTFS文件系统的数据恢复编程技术
基于NTFS文件系统的数据恢复编程技术高洪涛;李孟林;赵璇元【摘要】文章针对由主观因素造成计算机中数据丢失的情况提出了一种Windows NTFS文件系统下数据恢复的实现方法,介绍了NTFS数据恢复编程的原理,设计了数据恢复的编程框架,并结合实际编程完成了数据恢复的实现,最后通过测试验证了程序的功能可用性.本程序创新性采用自定义结构体的方式扫描MFT表,速度飞快,同时能读出Linux环境下用DD命令拷贝的文件,所有数据恢复操作均在内存中进行,不会对磁盘写入任何数据.【期刊名称】《信息安全与技术》【年(卷),期】2015(006)006【总页数】4页(P33-36)【关键词】NTFS;数据恢复;编程【作者】高洪涛;李孟林;赵璇元【作者单位】中国刑事警察学院辽宁沈阳110035;中国刑事警察学院辽宁沈阳110035;中国刑事警察学院辽宁沈阳110035【正文语种】中文随着信息化社会的快速发展及电脑的广泛应用,使用计算机进行犯罪的案件越来越多,给人们和社会造成了巨大的财产损失。
然而,为了逃脱公安机关的打击,犯罪分子经常将计算机上的犯罪数据信息彻底删除,或将分区甚至整个硬盘进行格式化操作,从而使得重要的犯罪证据丢失,给案件的取证带来极大的困难。
因此,如何迅速准确地在计算机上恢复出犯罪证据,成为切实打击犯罪的一个关键因素。
在NTFS卷中,虽然文件被删除了,但其MFT表项并没有清空。
不过删除文件的同时,MFT被清空的可能性也存在,在极端情况下,如系统分配给MFT的空间已经接近用完时,系统在删除文件的同时也会将MFT清空,并直接用其他文件的MFT覆盖该文件的MFT。
一般情况下,只要MFT表项没有清空,则文件MFT表项中80属性值就不会清空,也就是说文件数据还存在磁盘上,故文件数据就存在恢复的可能。
要想进行数据恢复,就必须知道文件存储的原理,本文首先对NTFS文件系统、主文件表MFT结构以及文件的几个关键属性(即文件名、标准信息、数据流等)进行分析。
数据恢复-ntfs文件系统
2-1*每个文件记录的簇数
● 例如该参数值为“F6H ”,换算成十进制是-10 ,所以文 件的大小为1024字节。
2-1*10
元文件$MFT分析
● 32H~35H处为更新数组 ,这4个字节很重要 ,它的 作用如下:
● 当记录文件的信息需要向第一扇区的最后两个字节和 第二扇区的最后两个字节写入数据时 ,就跳转到 32H~35H处来写 ,对应关系如下图。
● 当信息还没有写入该文件记录第一扇区最后两个字节 和第二扇区的最后两个字节时 ,更新数值处的4个字 节就是0。
● 第11个记录为大写文件($UpCase , upper case file) ,该文件包含 一个大小写字符转换表。
● 第12个记录是扩展元数据目录($Extended metadata directory) 。 ● 第13个记录是重解析点文件($Extend\$Reparse) 。
● 第14个记录是变更日志文件($Extend\$UsnJrnl) 。
● 非常驻属性 。如果属性体太大而不能放在1K大小的MFT 中 ,那么系统将从MFT外为其分配区域,这些区域成为 数据流(Data Run) 。如果属性体是不连续的,就会分配 多个数据流来管理不连续的数据。
● 属性头
● 包含属性的一些重要信息 ,如类型、大小、名字、是否 常驻等
● 一个属性根据其是否常驻和是否有属性名分为四类:
● 扩展元数据目录($Extended metadata directory)
● 重解析点文件($Extend\$Reparse) ● 变更日志文件($Extend\$UsnJrnl) ● 配额管理文件($Extend\$Quota) ● 对象ID文件($Extend\$ObjId)
L002007005-NTFS数据恢复实验
图17
偏移为0x0D的位置的数据为0x08,根据实验要求书中的说明,可以知道每簇扇区数为8。偏移量为0x30的连续8个字节为C7 63 00 00 00 00 00 00,说明$MFT的起始逻辑簇号为0x00000000000063C7,换算为十进制即为:25543。25543*8=204344,即为$MFT的起始逻辑扇区号。
图23
3)40H类型属性
30H类型属性的描述结束之后的40个字节是40H类型属性,分析方法和上面两个类型属性的分析方法相同,在此不再赘述。
4)80H类型属性
40H类型属性的描述结束之后的4个字节是80 00 00 00,这说明此属性是80H类型属性,描述的是文件的数据内容。
设80所在位置的偏移为0x00,则偏移量为0x08的1个字节的值为00H,这说明该属性为常驻属性,则它不占用除MFT以外的空间,即:在此属性的内容中,包含了文件“实验.txt”中我们写入的数据内容。
实验内容
对NTFS进行数据分区恢复
实验步骤
1、学生单击“试验环境试验”进入试验场景,单击“打开控制台”按钮,进入目标主机,如图1所示:
图1
2、利用PQ给硬盘进行分区,分出一个新的NTFS卷。
(1)在桌面上找到pq压缩包,将其解压。双击打开PQMagic,如图3所示。
图2
图3
(2)点击界面左侧的“快速创建”,会弹出“Express Create New Partition Wizard”的界面,直接点击“Next”。
图4
图5
(3)更改新分区属性的界面。如图6的设置,然后点击“Next”。
图6
(4)出现了提示成功完成创建新分区向导的界面,如下图7所示,点击“Finish”完成此向导。
Ext3文件系统、NTFS文件系统、FAT32文件系统
Ext3文件系统、NTFS文件系统、FAT32文件系统2009-06-27 16:31--------------------------------Ext3--------------------------------------Ext3Ext3(Third extended file system)Ext3是一种日志式文件系统,是对ext2系统的扩展,它兼容ext2。
日志式文件系统的优越性在于:由于文件系统都有快取层参与运作,如不使用时必须将文件系统卸下,以便将快取层的资料写回磁盘中。
因此每当系统要关机时,必须将其所有的文件系统全部shutdown后才能进行关机。
如果在文件系统尚未shutdown前就关机 (如停电) 时,下次重开机后会造成文件系统的资料不一致,故这时必须做文件系统的重整工作,将不一致与错误的地方修复。
然而,此一重整的工作是相当耗时的,特别是容量大的文件系统,而且也不能百分之百保证所有的资料都不会流失。
为了克服此问题,使用所谓‘日志式文件系统(Journal File System) ’。
此类文件系统最大的特色是,它会将整个磁盘的写入动作完整记录在磁盘的某个区域上,以便有需要时可以回溯追踪。
由于资料的写入动作包含许多的细节,像是改变文件标头资料、搜寻磁盘可写入空间、一个个写入资料区段等等,每一个细节进行到一半若被中断,就会造成文件系统的不一致,因而需要重整。
然而,在日志式文件系统中,由于详细纪录了每个细节,故当在某个过程中被中断时,系统可以根据这些记录直接回溯并重整被中断的部分,而不必花时间去检查其他的部分,故重整的工作速度相当快,几乎不需要花时间。
Ext3概述开发商:开放源代码全称:Third extended file system发布时间:2001年11月 (Linux 2.4.15)分区标识:0x83 (MBR);EBD0A0A2-B9E5-4433-87C0-68B6B72699C7 (GPT) Ext3结构目录内容:表, 树文件分配:位图(空闲区域), 表(元数据)坏块:表限制最大文件大小:16GiB – 64TiB最大文件数量:可变最长文件名限制:255字节最大卷大小:2TiB – 32TiB文件名允许的字符数:除NUL和'/'外的所有字节功能记录日期:修改(mtime), 属性修改 (ctime), 访问(atime)日期范围:1901年12月14日 - 2038年1月18日日期分辨率:1秒岔流:是属性:No-atime, append-only, synchronous-write, no-dump, h-tree (directory), immutable, journal, secure-delete, top (directory),allow-undelete访问权限:Unix权限,ACLs和arbitrary security attributes (Linux 2.6 and later)透明压缩:否透明加密:否(块设备级上提供)支持操作系统:Linux、BSD、Windows (通过 IFS)------------------------------------NTFS----------------------------------------NTFS概述NTFS (New Technology File System)是Windows NT 操作环境和 Windows NT 高级服务器网络操作系统环境的文件系统。
误克隆,硬盘只剩下一个大分区数据恢复图文教程
误克隆,硬盘只剩下一个大分区数据恢复图文教程赛门铁克的Ghost是一个伟大的软件,给我们系统安装备份带来极大便利。
由Ghost派生出来的克隆版操作系统安装方式被大多数朋友采用。
便利工具也是双刃剑,由于一些朋友对磁盘、分区的概念不是太了解熟悉,经常误将分区镜像克隆到整个硬盘,破坏了硬盘原来的分区结构,即硬盘只剩一个大分区,这种误克隆是经常发生的事。
本文将带你自己动手,恢复丢失的数据和硬盘分区,重建硬盘原来的分区结构,由于硬盘的环境不同,特别是一些品牌机,硬盘设定工作在LRG模式,硬盘磁头定义为240个,本文介绍的方法不一定适合你遇到的分区表克隆丢失故障。
从Ghost克隆镜像文件恢复一个操作系统或者分区时,经常失误将单个分区镜像文件恢复到整个硬盘上,克隆工作完成后,发现硬盘只剩下一个大分区一个大C 盘,从系统磁盘管理中查看如上图所示。
遇到这种情况,我们有多种方法可以恢复,最先考虑的也是最常用的分区表医生。
需要注意的是,从现在开始,每一步都要仔细分析,谨慎操作,因为我们最后确定保存的时候,该软件会改写几个扇区信息。
虽然只是几个,可万一上面有数据,便会造成数据的二次破坏。
在我们没有退出当前此次操作,软件菜单中有个撤销更改功能,一旦退出软件,便没有了这个机会。
首次开启软件后,软件会检查当前系统中存在的硬盘及其错误,并弹出上面对话框。
我们现在要做的是恢复硬盘分区即分区信息表,不需要备份,取消即可。
如果你电脑上有软驱,备一下份更安全,一旦操作失误,可以用该软盘启动,恢复现在的分区休息。
由于给软件工作在LBA模式,磁头定义为255,一些硬盘接上后(如磁头定义为240的)接上后会提示参数错误,要求修正。
遇到这种情况,请不要修正,取消即可,然后继续下面的操作。
如果下面的操作找不到任何分区信息,哪本方法不适合你,需要手工或其他方法处理。
根据容量信息,请仔细选择你要恢复硬盘分区信息的硬盘,选择后,软件显示当前的分区结构。
浅谈WindowsNTFS下的数据恢复
在信息 高速 发展的当代, 计算机在大众的工组生活 中扮演的角 色越来越重要 , 几乎所有 的企事业单位、 商业组 织、 普通个人都使用 计算来来辅 助工 作 , 获取处理信息 , 同时也会将随之产生 的数据存 储在计算机 硬盘 中, 一旦发生数据丢失 , 如何能够对数据恢复是 非 常重要 的, 这就使得 数据 恢复 技术 成为 一个 不可或缺 的关键技术。 当前 , 微软 公司 的Wi n d o ws  ̄作系统在计算中操作 系统 中占据 了多数份额 , 其文件系统广泛应用的 ̄NT F S 文件系统。 因此本文就 针对N TF S 文件 系统下的数据恢复进行分析 。
中图分 类号 : T P 3 0 9 _ 3 文献标 识码 : A 文章 编号 : 1 0 0 7 — 9 4 1 6 ( 2 0 1 3 ) 0 7 . 0 2 2 7 — 0 1
一 荸 一
引言
浅谈 Wi n d o w s N T F S 下的数据恢复
徐 宏 涛 张 伟 窦 慧
2基 于NT F S 文 件 系统 的数 据恢 复 原理
NT F S 文件系统的管理模式是磁盘上所有 的数据都是以文件的 形式进行存储 , MF T记录 了每一个 文件 的存储位置 , 每建立一 个文 件, MF T就增加一个文件记录 , 此文件 记录 并不随着 文件被删 了而 被MF T 删 除。 在 数据恢 复时可 以对 文件记录进行分析 , 确认其 是否 被删除 。 ( 1 ) 分析MF T 文件记录 , NT F S 建立 属性/ 属性值 的集 合来处理 文件 , 能够直接存在MF T中的属性称为常驻 属性 ; 如果属 性太大 , NTF S 就会将其存储在MF T之外的位置 , 这就是非常驻属性 。 ( 2 ) 文件 记录起始位置 , 文件记录从“ F I L E ” 开始 , 其字位为 “ 4 6 4 9 4 C 4 5 ” , 标志字节是 自偏移0 x 1 6 , 删 除的文件为0 0 H, 正常 的文 件为 0 1 H, 删 除的 目录为0 2 H, 正的 目录为O 3 H表示 ; 偏移0 x 2 C H起 的4 个字节表示 了文件号 的低3 2 位。 ( 3 ) 分析文件名属性 , 文件名属性用于存储文件名 , 类型为0 x 3 0
Windows NTFS下格式化数据恢复方案设计与实现
格式化
数据恢复 文献标志码A
中图法分类号TP309.3;
随着信息技术的不断发展,计算机越来越多地 参与到人们的工作与生活中,在社会和生活中扮演 着日益重要的角色。计算机的应用已经渗透到政 府、军事、文教与日常生活的各个方面。它们都通 过计算机来获取信息、处理信息,同时将自己最重 要的信息以数据文件的形式保存在计算机中。“电 脑有价,数据无价”是信息时代对计算机数据重要 性的认可,信息社会的发展使信息资源成为宝贵的 财富,信息资源和数据的丢失将造成极大的 损失‘1I。 硬盘是计算机存取数据的核心部件,一般情况 下,硬盘被分成多个分区,几乎所有重要的数据都 存储在硬盘各个分区之中。一旦电脑的分区被误 格式化,分区中的数据也就随之丢失,如果所有分 区都被格式化,就会导致硬盘中的所有数据全部丢 失。如何能够迅速而正确地进行数据恢复也就成 为了至关重要的问题。目前,Windows操作系统在 个人桌面系统中占有很大分量,NTFS文件系统是 Windows操作系统主要使用和大力发展的文件系 统。现提出和实现Windows NTFS下的格式化数据 恢复的方案。 当用户高级格式化一个NTFS卷时,格式化程 序清空Bitmap元数据中的内容,清空根目录中的索
BYTE
NTFS—DBR{
LogI)river;//逻辑磁盘序号,A,B,C,D,E…分别用,
2,3,4,5…表示
WORD BYTE BYTE
BytesPerSector;//每扇区字节数 SectorsPerCluster;//每簇扇区数 MediaDescriptor;//磁介质描述符 TotalSectors;//逻辑磁盘总扇区数 MFTStartCluster;//¥MFT的起始逻辑
if(‘(LPBYTE)(Buff+dwOffset+8)==0x01)//0x80H为非 常驻属性,从中取出数据运行
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
NTFS格式大硬盘数据恢复特殊案例
公司一块80G 迈拓金九硬盘,某天突然进不了分区,提示为“无法访问X:参数错误”。
硬盘上为该公司为本市摄制和编辑的运动会视频和音频文件,摄录磁带中已清除,运动会也不可能再开一次。
先前到某电脑公司去试过,结果没能解决问题。
广告公司经理和我的一个朋友是朋友,知道此事后就转来我处。
修复过程:该硬盘为只有一个NTFS分区的数据盘,先在DOS下用扇区编辑软件查看LBA0--63扇区,结果发现分区表和63扇区都有错误,1—62扇区间有大量扇区被写上不明代码,87-102扇区不正常,先手工修复分区表,恢复63引导扇区,删除1—62扇区间的代码。
87-102扇区之间暂不处理,到WINDOWS下检查,结果还是出现同样的提示,试用恢复软件1,可以看到目录结构,再试FINALDATE,这个软件此时太不尽人意;用恢复软件1选择某目录进行试恢复,结果28个试恢复文件只恢复2个,其余的全部为0字节,恢复工作陷入困境。
再次对79-102扇区进行分析,79扇区面目全非,被严重篡改破坏,80-86扇区被清空,87-102扇区的内容也不正常。
经过一番苦思冥想,对某些扇区进行备份后做清除,备份被放到1-62扇区之间,以备不测时改回原样。
再次在WINDOWS下用恢复软件1进行恢复,让其读该盘约10秒钟,停止扫描,看到的内容和前面提到的相同,试恢复一个文件夹,从恢复过程能看到这时恢复动作正常了,随后对其余的文件和文件夹进行恢复,近3个多小时后,63.9G资料全部恢复,文件中几乎就AVI、WAV、PSD和其它格式的图形文件,逐个打开完全正常。
恢复工作顺利结束,大功告成。
后来一个朋友说这个分区应该是2000格式化出来的,mft在分区的前面,很容易被破坏,象此案里里面87-102扇区里大约有6个左右的用户文件/文件夹是恢复不出来的,但102~~以后的文件
应该能完全恢复的。
在ntfs里面,一般90扇区以后的mft才是用户的文件信息,前面的是系统的一些元文件,对数据恢复影响不大的。
个人觉得ntfs还是比较先进的,文件碎片都放在一个mft里面,只要这个扇区没有被破坏,就可以恢复。
NTFS的结构确实比较复杂,正常情况下所有的操作MFT中有记录。
但是,那些扇区被使用,那些没被使用,这些概念还是很有用的。
实验盘被删除79-102扇区内容后,开机后不需要第三方软件,文件和目录直接可以读出拷贝到其它地方。
查看被删除扇区内容,95扇区后的内容都自动修复了,80-94嘛。
看来MFT中应该还有一个备份,或是具有自动修复功能。
故障盘为何就不能自动修复?且不让访问。
故障盘中某些扇区看来是被利用了。
它的数据恢复是通过第三方软件得到的,对第三方软件来讲,就算格式化了,绝大部分数据还是能找回来的。