数据恢复技术分析NTFS分区结构
ntfs分区
ntfs分区NTFS 分区: 全面了解与管理NTFS(新技术文件系统)是一种广泛应用于 Windows 操作系统的文件系统。
它具有优异的性能、可靠性和可扩展性,因此被广泛用于电脑硬盘、外接存储设备以及其他 Windows 系统支持的存储介质。
本文将深入探讨 NTFS 分区的原理、功能以及管理方法,帮助读者充分了解和有效管理 NTFS 分区。
第一部分:NTFS 分区的基础知识几十年来,NTFS 一直是 Windows 系统的首选文件系统。
以下是一些关键的基础知识,有助于我们更好地理解 NTFS 分区。
1. NTFS 的历史和起源NTFS 文件系统最早是在 Windows NT 操作系统中引入的。
它被设计为取代较早的文件系统,如 FAT 和 FAT32。
由于 FAT32 的限制,包括单个文件大小不能超过 4GB,NTFS 迅速成为首选文件系统,并一直被使用至今。
2. NTFS 分区的优势NTFS 分区具有多种优势,使其成为理想的文件系统选择。
其中包括更好的安全性、更快的文件读写速度、对大容量存储的有效支持以及较低的碎片化程度。
NTFS 还支持许多高级功能,如文件加密、磁盘配额和压缩等。
3. NTFS 分区的结构NTFS 分区由多个组成部分组成。
其中包括 MBR(主引导记录)、分区表、引导扇区以及文件记录和文件表。
理解 NTFS 分区结构对于数据恢复和分区管理至关重要。
第二部分:NTFS 分区的管理管理 NTFS 分区涉及到多个方面,包括创建、格式化、调整大小、备份和恢复以及问题解决等。
以下是关于这些方面的详细介绍。
1. 创建 NTFS 分区在 Windows 操作系统中,我们可以使用磁盘管理工具来创建NTFS 分区。
通过这个工具,我们可以选择磁盘驱动器、分区大小以及分区的标签等。
2. 格式化 NTFS 分区对于新创建的分区或需要清空的分区,我们需要格式化为 NTFS 文件系统。
格式化将删除该分区上的所有数据,并准备它以存储新的数据。
NTFS文件系统结构分析
NTFS元文件 元文件
• • • • • • $MFT :中的第一个记录是$MFT自身。 $MFTMirr: 主文件表的部分镜像 $LogFile (日志文件),该文件是NTFS为实现可恢复性和安全性而设计。在系统失败时 能恢复NTFS卷。 $Volume(卷文件),它包含卷名、NTFS的版本和一个表明该磁盘是否损坏的标志位。 (NTFS系统以此决定是否需要调用Chkdsk程序来进行修复) $AttrDef:(属性定义表),其中存放着卷所支持的所有文件属性,并指出他们是否可以 被索引和恢复等。 $Root(跟目录),其中保存着该卷跟目录下的所有文件和目录的索引。
NTFS的元文件 的元文件
• NTFS系统中,文件按照簇进行分配,簇大小在格式化的时候由格式化 程序根据卷的大小自动进行分配。 • 文件通过主文件表MFT来确定文件在磁盘上的存储位置。主文件表是一 个对应的数据库,由一系列文件记录组成,卷中每个文件都有一个文件 记录。第一个文件记录称为基本文件记录,其中存储有其他扩展文件记 录的一些信息。文件表本身也有它自己的文件记录。 • MTF中的文件记录大小一般固定为1KB,文件记录在MFT文件记录数组 中物理上是连续的,从0开始编号。
• 1.容错性:NTFS可以自动地修复磁盘错误而不会显示出错信 息. • 2.安全性:NTFS有许多安全性能方面的选项,可以阻止没有授 权的用户访问文件. • 3.EFS提供对存储在NTFS分区的文件进行加密的功能 • 4.用户可以选择压缩单个文件整个文件夹. • 5.磁盘配额:就是管理员可以对本域中的每个用户所能使用 的磁盘空间进行定额限制,即每个用户只能使用最大定额范 围内的磁盘空间.
属性头
• 每个属性又分为属性头和属性内容两部分,属性头给出了该 属性的结构信息。 • 有的属性内容存储在记录项中(如文件名),称为常驻属性。 有的属性内容很大,需要在MFT外另外开辟空间存储(如 文件数据),则称为非常驻属性。 • 有的属性在属性头之后列出了属性名,而有的则没有。
ntfs的磁盘分区结构
ntfs的磁盘分区结构
NTFS的磁盘分区结构主要包含卷、簇、主控文件表(MFT)和文件引用号等组成部分。
卷建立在磁盘分区之上,分区是磁盘的基本组成部分,可以被格式化和单独使用。
NTFS使用簇作为磁盘空间分配和回收的基本单位,一
个文件占用若干个整簇,而最后一簇的剩余空间不再使用。
主控文件表(MFT)是NTFS卷结构的核心,每个文件在MFT中都有一行对应的文件
记录,包括文件的属性和属性值。
每个文件还有一个唯一的文件引用号,由文件号和文件顺序号组成。
在NTFS中,文件目录仅仅是文件名的一个索引,方便快速访问。
此外,NTFS还支持常驻属性和非常驻属性,当一个文件很
小时,其所有属性和属性值可存放在MFT的文件记录中,非常驻属性则需
要单独存储。
总体而言,NTFS的磁盘分区结构是一个高效、有序的文件管
理系统,能够支持大型文件和目录的管理,并提供了丰富的文件属性和安全控制机制。
NTFS分区的恢复技巧
NTFS分区的恢复技巧
NTFS分区结构大概如上图所示,NTFS的第一个扇区是DBR,最后一个扇区是DBR 的备份。
$MFTMirr通常在DBR向下16个扇区,$MFT通常在DBR向下6291456个扇区,实际的话还是要根据实际的分区去判断,不过我们要记住这些常见的偏移位置,可以提高数据恢复的效率,速度。
在数据恢复中,如果分区文件过多,我们建议修复好分区结构,然后去提取文件。
如果分区文件较少,并且我们只需要提取少数文件,我们可以直接手工定位文件提取文件。
NTFS手工定位文件的思路是先到DBR找到$MFT的偏移位置,如果文件较少,我们可以从$MFT向下跳转70个扇区,手动向下翻去我们要提取的用户文件,因为大多数$MFT向上70个扇区都是记录元文件和系统文件的,我们也可以直接用unicode编码去搜索文件名。
定位到文件记录直接通过文件记录的属性去提取文件。
如果DBR的bpb参数丢失,我们说几个bpb参数的恢复方法。
$MFT和$MFTMirr,可以先用上面说的常见参数判断$MFT和$MFTMirr的位置,如果不是常见参数的话,我们可以搜索文件记录的一些固定标识去寻找其位置。
簇大小的恢复方法有很多,说一个我喜欢用的方法,我先找到$MFT的起始扇区(比如是6291456扇区)然后在看$MFT的第一个文件记录的80属性去看一下$MFT的起始簇号(这里假设起始簇是786432),然后我们用6291456/786432=8,得出分区簇大小是8。
如果分区大小丢失的话,我们可以通过$bitmap的大小字节8簇大小。
NTFS恢复文件就是查二算一,查$MTF、查日志;算大小。
如果查二都没有找到文件的话,我们就算大小去找其他分区。
4。
详解NTFS文件系统
详解NTFS⽂件系统⼀、分析NTFS⽂件系统的结构当⽤户将硬盘的⼀个分区格式化为NTFS分区时,就建⽴了⼀个NTFS⽂件系统。
NTFS⽂件系统同FAT32⽂件系统⼀样,也是⽤“簇”为存储单位,⼀个⽂件总是占⽤⼀个或多个簇。
NTFS⽂件系统使⽤逻辑簇号(LCN)和虚拟簇号(VCN)对分区进⾏管理。
逻辑簇号:既对分区内的第⼀个簇到最后⼀个簇进⾏编号,NTFS使⽤逻辑簇号对簇进⾏定位。
虚拟簇号:既将⽂件所占⽤的簇从开头到尾进⾏编号的,虚拟簇号不要求在物理上是连续的。
NTFS⽂件系统⼀共由16个“元⽂件”构成,它们是在分区格式化时写⼊到硬盘的隐藏⽂件(以”$”开头),也是NTFS⽂件系统的系统信息。
NTFS的16个元⽂件介绍:⾸先找到该分区的起始扇区,具体可以参考这篇⽂章。
⼆、分析$Boot⽂件$Boot元⽂件由分区的第⼀个扇区(既DBR)和后⾯的15个扇区(既NTLDR区域)组成,其中DBR由“跳转指令”、“OEM代号”、“BPB”、“引导程序”和“结束标志”组成,这⾥和FAT32⽂件系统的DBR⼀样。
下图是⼀个NTFS⽂件系统完整的DBR。
下⾯我们分析⼀下DBR中的各参数EB 58 90:(跳转指令)本⾝占2字节它将程序执⾏流程跳转到引导程序处。
“EB 58 90″清楚地指明了OS引导代码的偏移位置。
jump 52H加上跳转指令所需的位移量,即开始于0×55。
4E 54 46 53 20 20 20 20:(OEM代号)这部分占8字节,其内容由创建该⽂件系统的OEM⼚商具体安排。
为“NTFS”。
BPB:NTFS⽂件系统的BPB从DBR的第12个字节开始,占⽤73字节,记录了有关该⽂件系统的重要信息,下表中的内容包含了“跳转指令”、“OEM代号”以及“BPB”的参数。
对照上⾯的BPB分析如下:02 00:每个扇区512个字节08:每个簇8个扇区00 00:保留扇区为000 00 00:为000:不使⽤F8:为硬盘00 00:为000 3F:每磁道63个扇区00 FF:每柱⾯255个磁头00 00 00 3F:隐藏扇区数(MBR到DBR)00 00 00 00:不使⽤80 00 80 00:不使⽤00 00 00 00 0C 80 33 FF:扇区总数20972851100 00 00 00 00 00 00 03:$MFT的开始簇号00 00 00 00 00 85 57 80:$MFTmirr的开始簇号00 00 00 F6:每个MFT记录的簇数00 00 00 01:每索引的簇数B8 11 2A 0C B8 11 2A 0C:分区的逻辑序列号引导程序:DBR的引导程序占⽤426字节,其负责完成将系统⽂件NTLDR装⼊,对于没有安装系统的分区是⽆效的。
NTFS 结构说明
NTFS 结构说明NTFS 结构说明关键字:Windows NT NTFS 文件系统MFT在Windows NT?中,Microsoft使用了一种新型的文件系统NTFS,它针对FAT/FAT32文件系统安全性差、容易产生碎片、难以恢复等缺点作了重大改进,使得系统总能保持较好的性能。
不过使用NTFS的分区只能被Windows NT?系统识别和操作,而且它的结构是Microsoft的内部机密,没有任何官方文档。
因此给各位需要在非Windows NT?环境读写NTFS分区的编程人员带来了巨大不便。
不过好在还有很多人在研究分析它,现在结合网上搞到的一些资料和我自己的分析对NTFS作一个说明(可惜还是有很多东西没能搞明白)。
一、概述在NTFS中一改FAT/FAT32中将文件分配表等系统数据放在分区最前面,然后接着才是数据区的做法,把所有的信息都组织起来以文件的形式存放,包括扇区分配表,引导记录等数据都是作为文件存在于磁盘中。
其中只有$Boot(分区引导记录)文件的位置是固定存放在分区首部,其他的文件都可以随意存在于分区中的任何一个位置。
这样使得对所有数据的读写都有一个较为统一的方法,而且使得改变分区的尺寸和碎片整理变得非常容易。
在NTFS分区中,存储分区信息的文件被称为系统文件。
在每个NTFS分区中都有十个这样的系统文件,它们分别是:$MFT$MFTMirr$LogFile$Volume$AttrDef. (分区根目录)$Bitmap$Boot$BadClus$Secure$UpCase$Extend下面分别对每个系统文件的作用及所保存的信息作一个说明:$MFT(Master File Table)文件。
这个文件是NTFS分区中最重要的文件,它记录了分区中所有文件(包括$MFT自身)的基本信息。
通过$MFT就可以访问分区中的所有文件和系统数据。
$MFT由多个MFT记录单元组成,每一个文件的描述占用一到多个(一个不够的情况下)$MFT记录单元。
数据恢复基础知识
数据恢复基础知识 DATA区分析
DATA
2号簇 3号簇 4号簇
……
根目录
子目录 或内容
子目录 或内容
……
N号簇
子目录 或内容
数据恢复基础知识
5 NTFS文件系统
数据恢复基础知识
16个元文件
$Mft
主文件表
$MftMirr 主文件表镜像
$LogFile
属性描述 标准信息 属性列表
文件名 对象ID 安全描述符
卷名 卷信息 文件数据
属性类型 90 00 00 00 A0 00 00 00 B0 00 00 00 C0 00 00 00 D0 00 00 00 E0 00 00 00 F0 00 00 00 00 10 00 00
属性描述 缩银根
索引分配 位图
子扩展分区
子扩展分区
M
主
E
B
分
B
R
区
R
扩展
E
扩展
磁盘
B
磁盘
分区
R
分区
2048
xxxxx
2048
xxxxx
2048
xxxxx
数据恢复基础知识
3 Windows系统的GPT磁盘分区
数据恢复基础知识 GPT是GUID Partition Table(全局唯一标识磁盘分区表)。 GPT是作为EFI(可扩展固件接口)计划的一部分引入的。
$Volume
$AttrDef
$Root
$Bitmap
$Boot 引导文件
$BadClus $Secure $UpCase $Extended metadata directory $Extend\$Reparse $Extend\$UsnJrnl $Extend\$Quota $Extend\$ObjId
NTFS的索引结构分析数据恢复迷
NTFS的索引结构分析数据恢复迷NTFS的一些新功能建立在一种叫作“综合索引”的基本功能之上。
综合索引中包含了具有某一特征类型的多个分类项,并使用一种高效的存储机制以便于快速查找。
在Windows 2000以前的NTFS版本中仅支持$I30的综合索引,索引中仅存储目录项。
索引过程将目录项按名称分类并将这些项按照B+树的结构保存,如图4-466所示。
图4-466 NTFS索引结构图4-466是一个包含3个节点,每个节点3个项,共9项的目录的MFT条目,其中索引根(Index Root)属性指向B+树的根。
这个MFT条目并不能容纳所有9个目录项,NTFS必须把其中一部分项存放在别处,因此,NTFS分配了两个索引缓冲区来存放另外的项(索引根以及索引缓冲区一般能够存储三个以上文件项,这依赖于文件名的长度)。
一个MFT条目占1KB的空间,而一个索引缓冲区占4KB的空间。
从图4-466中的箭头可以看出NTFS的存储项是按字母顺序进行的。
假设运行一个程序试图打开目录中的e.doc文件,NTFS会首先去读索引根属性,其中包含了d.pic、h.ppt及i.ddt三个文件项,并将名称“e.doc”与第一个项的名称“d.pic”进行比较,NTFS得出结论:e.doc在字母序上排在d.pic之后。
因此转而处理下一个项“h.ppt”,经过比较以后,由于e.doc的字母序在h.ppt之前,NTFS就会检索h.ppt项中索引缓冲区的虚拟簇号(VCN)。
这个索引缓冲区中存储着字母序比h.ppt小但比d.pic大的项。
VCN代表一个簇在一个文件或目录中的顺序,NTFS能够将虚拟簇号映射成逻辑簇号(LCN),而逻辑簇号表示着一个簇相对于一个卷的起始点的相对偏移量。
而如果h.ppt项中并不存在这个索引缓冲区的虚拟簇号,则NTFS可以立即断定这个目录中不存在e.doc文件,并报告打开文件失败。
当获得索引缓冲区的虚拟簇号以后,NTFS就会继续查找。
数据恢复技术学习研究体会
数据恢复核心知识一、 硬盘数据结构C 盘D 盘E 盘 ….. …..二、主引导扇区(一)、主引导扇区组成:由440个字节的MBR 引导程序、4个字节的磁盘签名、2个字节的保留扇区、64个字节的分区结构信息、2个字节结束标志55 AA 组成。
1、 MBR 中的磁盘分区表组成:1个字节的引导指示符、3个字节的开始磁头、开始扇区、3(1)、系统激活标志为80H ,非激活为00H 。
(2)、微软常见的文件系统即分区类型标识Ⅰ、主分区中FA T12为01H,FA T16为06H 表示大于32M 的分区而04H 表示小于32M 的分区,FA T32为0BH 表示小于8.4G 的分区而0CH 却表示大于8.4G 的分区,NTFS 为07H ; Ⅱ、扩展分区大于8.4G 时用0FH 而小于8.4G 时用05H三、操作系统引导扇区(FA T32的DBR 备份为第一个DBR 向下数6个扇数NTFS 的DBR 备份为该分区扇区总数减去1.即该分区最后一个扇区。
)(一)、操作系统引导扇区组成:跳转指令,厂商标志和操作系统版本号,主BPB 参数表,扩展BPB 参数表, DOS 引导程序,结束标志几部分组成。
1、FA T16分区中的DBR 扇区由六部分组成:3个字节的跳转指令(EB 3C 90)、8个字节的厂商标志及OS 版本号、25字节的主BPB 参数表、26个节的扩展BPB 参数表、448个字节的DOS 引导代码、2个字节的有效结束标志。
(1)、FAT16分区的DBR 中25个字节的主BPB 参数表(主BPB 参数是从DBR 的12字节开始的)的含义详解: 12至13字节为每扇区字节数,14字节为每簇的扇区数,15至16字节为dos保留扇区(第一个FAT表开始之前的扇区数即DBR到FAT的距离。
),17字节为FAT表个数,18字节至19字节为根目录项数(根目录最多存放512个文件),20字节至21字节为扇区总数(小于32M的分区在此存放)22字节为媒体描述符(媒体描述符要用于MS-DOS FAT16磁盘),23字节至24字节为每个FAT扇区数一般为250(只被FAT12/FAT16),25字节至26字节为每磁道扇区数63,27字节至28字节为磁头数(在一张1.44MB 3.5英寸的软盘上,本字段的值为2),29字节至32字节为隐藏扇区数(该分区上引导扇区之前的扇区数。
NTFS
NTFS数据恢复实验【实验思考】对于FAT32格式的分区,使用EasyRecovery软件能否实现误删恢复和格式化恢复?列举你所知道的其它数据恢复软件。
【实验原理】一、NTFS文件系统结构在NTFS文件系统中,文件也按簇进行分配,一个簇必须是物理扇区的整数倍,而且总是2的整数次方。
NTFS文件系统的簇大小在使用格式化程序时,由格式化程序根据卷的大小自动进行分配。
在NTFS中,所有存储在卷上的数据都包含在文件中,包括用来定位和获取文件的数据结构、引导程序以及记录卷自身大小和使用情况的位图文件。
这体现了NTFS的原则:磁盘上的任何事物都为文件。
在文件中存储一切使得文件系统很容易定位和维护数据。
文件通过主文件表(MFT,Master File Table)来确定其在磁盘上的存储位置。
主文件表是一个与文件相对应的数据库,由系列的文件记录(File Record)组成——卷中每一个文件都有一个文件记录(对于大型文件还可能有多个记录与之相对应)。
主文件表自身也有它自己的文件记录。
NTFS分区的MFT中的文件记录大小一般是固定的,不管簇的大小是多少均为1KB。
文件记录在MFT文件记录数组中物理上是连续的,且从0开始编号,MFT仅供系统本身组织、架构文件系统使用,这在NTFS中称为元数据(Metadata,是存储在卷上支持文件系统格式管理的数据。
它不能被应用程序访问,只能为系统提供服务)。
其中最基本的前16个记录是操作系统使用的非常重要的元数据文件。
这些元数据文件的名字都以“$”开始,是隐藏文件,在Windows NT/2000/XP中不能使用dir命令像普通文件一样列出。
这些元数据文件是系统驱动程序管理卷所必需的,Windows NT/2000/XP给每个分区赋予一个盘符并不表示该分区包含有Windows NT/2000/XP可以识别的文件系统格式。
如果主文件表损坏,那么该分区在Windows NT/2000/XP下是无法读取的。
基于NTFS文件系统的数据恢复技术
体 方 法 和 过 程 进 行 了详 细 的 阐述 。
要 由 引 导 扇 区 、 文 件 表 f s rFl al, T 、 很 多重 要信 息 , 主 Mat i T be MF ) e e 包含 了每簇 扇 区数 、 区的扇 区总 分
系统 文件 和文 件存 储 区域 等 4个部 分组 成 .其分 数 、 T的起 始逻 辑 簇 号 、 件 系 统标 识 等信 息。 MF 文 区结 构 如图 1 示 所 在 NF T S中 .分 区上 的所 有 数据 都 是 以文 件 的形
通 过分 析文件 删 除前后 文 件属 性值 的变化 .提 出 多少 .文件 记 录的大小 都 将是 固定 不变 的 .且为 和实现 N F T S文件 系统 下数 据恢 复 的方法 1 KB 。 2 NT S 文 件 系统 介 绍 、 F 2 分 区引导 扇 区 ) NF T S和 F T 2文 件 系统 在 结 构上 几 乎 是完 A3 在操作 系统 引导 的过程 中 .分 区 引导扇 区起 全 不 同的两种 文件 系 统 . T S自身具 有很 多 新 的 着 很重 要 的作 用 .其 中存储 着 和卷 文件 相关 的结 NF
件 在磁 盘上 的详 细存 储 位置 。主 文件 表 由一系列 文 件记 录组 成 , 是一个 与文 件对 应 的数据 库 . 中 卷
【 关键 词 】 数 据恢 复 ; F ; : NT S 文件 系统
1 引 言 、
数据恢复-ntfs文件系统
2-1*每个文件记录的簇数
● 例如该参数值为“F6H ”,换算成十进制是-10 ,所以文 件的大小为1024字节。
2-1*10
元文件$MFT分析
● 32H~35H处为更新数组 ,这4个字节很重要 ,它的 作用如下:
● 当记录文件的信息需要向第一扇区的最后两个字节和 第二扇区的最后两个字节写入数据时 ,就跳转到 32H~35H处来写 ,对应关系如下图。
● 当信息还没有写入该文件记录第一扇区最后两个字节 和第二扇区的最后两个字节时 ,更新数值处的4个字 节就是0。
● 第11个记录为大写文件($UpCase , upper case file) ,该文件包含 一个大小写字符转换表。
● 第12个记录是扩展元数据目录($Extended metadata directory) 。 ● 第13个记录是重解析点文件($Extend\$Reparse) 。
● 第14个记录是变更日志文件($Extend\$UsnJrnl) 。
● 非常驻属性 。如果属性体太大而不能放在1K大小的MFT 中 ,那么系统将从MFT外为其分配区域,这些区域成为 数据流(Data Run) 。如果属性体是不连续的,就会分配 多个数据流来管理不连续的数据。
● 属性头
● 包含属性的一些重要信息 ,如类型、大小、名字、是否 常驻等
● 一个属性根据其是否常驻和是否有属性名分为四类:
● 扩展元数据目录($Extended metadata directory)
● 重解析点文件($Extend\$Reparse) ● 变更日志文件($Extend\$UsnJrnl) ● 配额管理文件($Extend\$Quota) ● 对象ID文件($Extend\$ObjId)
NTFS分区-FAT32分区-FAT16分区
NTFS分区-FAT32分区-FAT16分区
---------先了解FAT/FAT16/FAT32---------
在推出FAT32文件系统之前,通常PC机使用的文件系统是FAT16。像基于MS-DOS,Win 95等系统都采用了FAT16文件系统。在Win 9X下,FAT16支持的分区最大为2GB。我们知道计算机将信息保存在硬盘上称为“簇”的区域内。使用的簇越小,保存信息的效率就越高。在FAT16的情况下,分区越大簇就相应的要增大,存储效率就越低,势必造成存储空间的浪费。并且随着计算机硬件和应用的不断提高,FAT16文件系统已不能很好地适应系统的要求。在这种情况下,推出了增强的文件系统FAT32。同FAT16相比,FAT32主要具有以下特点:
6. 在Win 2000的NTFS文件系统下可以进行磁盘配额管理。磁盘配额就是管理员可以为用户所能使用的磁盘空间进行配额限制,每一用户只能使用最大配额范围内的磁盘空间。设置磁盘配额后,可以对每一个用户的磁盘使用情况进行跟踪和控制,通过监测可以标识出超过配额报警阈值和配额限制的用户,从而采取相应的措施。磁盘配额管理功能的提供,使得管理员可以方便合理地为用户分配存储资源,避免由于磁盘空间使用的失控可能造成的系统崩溃,提高了系统的安全性。
◎◎◎◎◎◎◎◎◎◎◎◎◎◎◎◎◎◎◎◎◎◎◎◎◎◎◎◎◎◎◎◎◎◎◎◎◎◎◎◎◎◎◎◎◎◎◎◎◎
注意了!!!!!1
----------再看一下NTFS-------
NTFS 5.0的特点主要体现在以下几个方面:
1. NTFS可以支持的分区(如果采用动态磁盘则称为卷)大小可以达到2TB。而Win 2000中的FAT32支持分区的大小最大为32GB。
ntfs文件误删除后的手工恢复实验原理
在NTFS文件误删除后的手工恢复实验原理一、NTFS文件系统简介1. NTFS文件系统是一种用于Windows操作系统的文件系统,具有高性能和稳定性。
2. NTFS文件系统支持文件的安全性和权限控制,能够避免数据损坏和文件丢失的风险。
二、NTFS文件误删除后的手工恢复实验原理1. 误删除文件后,文件并没有真正被删除,而是被标记为可以被覆盖的状态。
2. 改变文件属性,即使文件看起来被删除,实际上还可以通过技术手段进行恢复。
3. 手工恢复实验需要使用专业的数据恢复工具,对磁盘进行扫描并找回误删除的文件。
三、手工恢复实验的步骤1. 确认误删除文件的存储位置和文件名。
2. 下载并安装专业的数据恢复工具,如Recuva、EaseUS Data Recovery Wizard等。
3. 打开数据恢复工具,选择相应的磁盘进行扫描。
4. 等待扫描完成,查看扫描结果并找回误删除的文件。
四、手工恢复实验的原理分析1. 数据恢复工具通过扫描磁盘,找回被标记为可以被覆盖的文件。
2. 文件系统的数据结构保留了被误删除文件的信息,使得可以被找回。
3. 手工恢复实验的关键在于及时进行操作,避免被覆盖的风险。
五、对NTFS文件误删除手工恢复实验的个人观点和理解1. NTFS文件系统的设计使得误删除的文件并没有立即被永久删除,给予了用户一定的恢复机会。
2. 但是,手工恢复实验需要专业的数据恢复工具和技术支持,并不是所有的文件都能够成功找回。
3. 在误删除文件后,及时进行手工恢复实验是提高成功率的关键。
在本文中,我们探讨了NTFS文件误删除后的手工恢复实验原理,并介绍了相关的步骤和原理分析。
希望本文能够帮助您更好地理解NTFS 文件系统的恢复机制,以及如何通过手工恢复实验找回误删除的文件。
NTFS文件误删除后的手工恢复实验原理随着科技的发展,计算机和数字化设备在我们的生活中扮演着越来越重要的角色。
然而,随之而来的数据损失和文件误删除也成为了我们必须面对的问题之一。
L002007005-NTFS数据恢复实验
图17
偏移为0x0D的位置的数据为0x08,根据实验要求书中的说明,可以知道每簇扇区数为8。偏移量为0x30的连续8个字节为C7 63 00 00 00 00 00 00,说明$MFT的起始逻辑簇号为0x00000000000063C7,换算为十进制即为:25543。25543*8=204344,即为$MFT的起始逻辑扇区号。
图23
3)40H类型属性
30H类型属性的描述结束之后的40个字节是40H类型属性,分析方法和上面两个类型属性的分析方法相同,在此不再赘述。
4)80H类型属性
40H类型属性的描述结束之后的4个字节是80 00 00 00,这说明此属性是80H类型属性,描述的是文件的数据内容。
设80所在位置的偏移为0x00,则偏移量为0x08的1个字节的值为00H,这说明该属性为常驻属性,则它不占用除MFT以外的空间,即:在此属性的内容中,包含了文件“实验.txt”中我们写入的数据内容。
实验内容
对NTFS进行数据分区恢复
实验步骤
1、学生单击“试验环境试验”进入试验场景,单击“打开控制台”按钮,进入目标主机,如图1所示:
图1
2、利用PQ给硬盘进行分区,分出一个新的NTFS卷。
(1)在桌面上找到pq压缩包,将其解压。双击打开PQMagic,如图3所示。
图2
图3
(2)点击界面左侧的“快速创建”,会弹出“Express Create New Partition Wizard”的界面,直接点击“Next”。
图4
图5
(3)更改新分区属性的界面。如图6的设置,然后点击“Next”。
图6
(4)出现了提示成功完成创建新分区向导的界面,如下图7所示,点击“Finish”完成此向导。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
三、引导扇区结构
NTFS的BPB
NTFS的DBR
三、引导扇区结构
偏移 00H 03H 0BH 0DH 15H 18H 1AH 1CH 24H 28H 30H 38H 40H 44H 48H 50H 长度 3B 8B 2B 1B 1B 2B 2B 4B 4B 8B 8B 8B 4B 4B 8B 4B 跳转指令(EBH 52H 90H),跳至54H处DBR部分 文件系统和版本的OEM标志(NTFS) 每扇区字节数(通常为200H) 每簇扇区数(值为2的N次方,通常为8) 介质描述,恒为F8 每磁道扇区数(通常为3FH,63) 磁头数(通常为FFH,255) 隐含扇区数(本分区前的扇区总数,也就是本分区的起始逻辑扇区号) NTFS未使用,总为80H 00H 80H 00H 扇区总数 $MFT的起始逻辑簇号 $MFTMirr的起始逻辑簇号 每MFT记录簇数 每索引簇数 分区的逻辑序列号,格式化的时候随机产生 校验和 描 述
请在自己的计算机(或虚拟机)上选择一个NTFS 分区,找到它的备份引导扇区位置,然后将其复 制到引导扇区位置。
四、修复引导扇区
演示使用备份的引导扇区实现对NTFS分区的引导 扇区的恢复。
1. 在NTFS分区中定位某个NTFS分区的备份引导扇区。 2. 修复引导扇区。 3. 检查修复工作区结构与特点。 2.MFT和元文件的概念。 3.使用备份扇区修复引导扇区。
作业
二、主控文件表与元文件
编号 0 1 2 3 4 5 6 7 8 9 10 元数据文件 $MFT $MFTMirr $LogFile $Volume $AttrDef $Root $Bitmap $Boot $BadClus $Secure $UpCase 主控文件表本身 主控文件表的部分备份(通常为前4项) 日志文件,实现了NTFS的可恢复性和安全性 卷文件,标识卷名,是否格式化,是否需要修复等信息 属性定义列表文件 根目录,存放目录和文件的索引,表示文件的逻辑层次关系 位图元文件,记录了卷中簇的分配情况 引导元文件,恒为0簇起始 坏簇列表元文件 安全元文件,存储访问控制表(在NTFS4及以前为磁盘配额信息) 大小写字符转换表元文件 功能或内容
一、NTFS分区结构
NTFS仍然使用簇来分配文件存储,簇又叫卷因子,在分区 中通常每个簇包含8个扇区,从0开始编号,这个簇号叫做 逻辑簇号(LCN)。 在存储文件的时候,NTFS采用了索引存储方式:即把文件 按照逻辑簇大小划分为多个区块,称为虚拟簇(VCN), 在主控文件表中有一张索引表,记录了VCN和LCN的对应关 系,因此可以快速地访问文件任意一个部分的内容,而且 簇到扇区的转换也非常简单。 VCN 1 2 3 4 5 6
11
12~15 16~23 24~?
$ExtMD
$Extended\
扩展元数据目录(Extended metadata directory)
扩展元数据,分别为重解析点、加密日志、配额管理、对象ID 为以后扩展而保留 用户文件和目录的记录编号
三、引导扇区结构
NTFS分区的0扇区是引导扇区,也叫DBR扇区,它 和后面的15个扇区(NTLDR区域)合起来构成BOOT 区域,也就是$Boot元文件。$Boot元文件恒定从0 簇起始,占16个扇区。 NTFS分区的引导扇区同FAT分区的引导扇区在结构 上非常相似,同样包含BPB,DBR和结束标志三个 部分,只是在BPB参数上有部分不同。由于所有的 结构信息都以元文件方式组织,因此在BPB中只包 含几个重要的参数。
LCN
101
102
106
107
108
221
一、NTFS分区结构
NTFS分区不再设管理控制区域,分区的0扇区便是 0簇,全部空间都是数据区域。分区中承担管理控 制信息的数据块被组织成文件,灵活地存放在任 意一个位置。只有BOOT区域比较特殊,由于0扇区 仍是引导扇区,因此BOOT区域始终位于分区前端。
分析NTFS分区结构
M6-1 本单元主要内容
一
NTFS分区结构
二 主控文件表与元文件 三
引导扇区结构 修复引导扇区
四
M6-1 本单元重难点
重点
NTFS分区概述 NTFS引导扇区分析 恢复NTFS引导扇区的方法 NTFS元文件介绍
难点
NTFS引导扇区BPB参数 NTFS元文件的概念和作用
一、NTFS分区结构
微软公司自推出Windows NT服务器操作系统以来, 就开发了一种与之对应的,可靠性和安全性都很 强的,可用于服务器操作系统的文件系统,即 NTFS。 它与FAT文件系统相比有许多优点:可恢复性、安 全性、保密性、数据容错、文件压缩、磁盘配额 管理等。
一、NTFS分区结构
在NTFS分区中,引入了卷概念。卷可以看成是分 区的升级版,是为了解决某些分区限制而提出的 概念,卷的操作和使用和分区是一样的。 卷分为简单卷和动态卷两种,简单卷就是一个普 通分区,而动态卷则可以实现一些高级功能,比 如可以将多个分区或者磁盘组织成一个卷,能够 动态增长容量等,使其可以支持服务器存储所需 的海量存储空间。
三、引导扇区结构
演示对NTFS分区引导扇区的BPB的分析过程。
1. 准备好NTFS分区的演示环境,如虚拟机、Winhex等。 2. 分析引导扇区BPB参数。 3. 指出重要的参数信息如$MFT簇号。
四、修复引导扇区
NTFS的引导扇区如果遭到破坏,同样可以使用备 份的引导扇区记录来恢复,只是NTFS的备份引导 扇区存于分区末尾处,这样对于普通的破坏攻击 有较好的保护作用。 它存放的形式很巧妙:假设在分区表中标识了该 分区大小为N,则在格式化为NTFS分区的时候,在 引导扇区的BPB里面给出本分区占用扇区数为N-1, 这样在分区表容量和分区内标注的容量间就有1个 扇区的空隙,这个扇区既不会被本分区操作访问 到,也不会被分区工具破坏。
二、主控文件表与元文件
在NTFS分区中,最重要的就是主控文件表(MFT), 它记载了所有文件的属性信息,甚至包括数据, 有点类似于FAT分区的文件目录表。 为了防止遭到破坏,NTFS分区将MFT的位置移到了 分区的中间,并在引导扇区中给出了它的簇号。 我们在恢复数据的时候,就是依靠MFT来完成的。
二、主控文件表与元文件
在NTFS中承担管理控制信息的数据称为元数据, 用于记载文件属性信息、簇分配信息、以及加密、 配额、日志等。这些元数据分别被组织成文件, 称为元文件。 前面所提到的BOOT区域和MFT区域,也分别被组织 为两个重要的元文件:$Boot和$MFT。 NTFS中有16个元文件,每个元文件都以美元符号 起头,以标示其特殊身份。这些元文件记录了分 区底层的结构信息,因此非常特殊而重要,被系 统保护起来,用户和应用程序不能访问它们。