數(shù)據(jù)恢復(fù)實驗報告

1、 題目： 數(shù)據(jù)恢復(fù)解析 姓 名： 夏金啟 學(xué)號： 20101003933院（系）： 計算機學(xué)院 專業(yè)： 信 息 安 全 指導(dǎo)老師：_ 職稱： 副教授 評 閱 人： 職稱： 2013年 1月 名目摘要3第一章 引言41.1 數(shù)據(jù)恢復(fù)的意義41.2 數(shù)據(jù)恢復(fù)的應(yīng)用4其次章 磁盤的規(guī)律結(jié)構(gòu)52.1 硬盤原理慨述52.2硬盤數(shù)據(jù)結(jié)構(gòu)。52.21.MBR區(qū)52.22. DBR區(qū)72.23. FAT區(qū)72.24 .DIR區(qū)82.25.據(jù)（DATA）區(qū)8第三章 NTFS元件83.1 NTFS概念83.11MTF83.12 NTFS屬性93.2 NTFS引導(dǎo)結(jié)構(gòu)93.3 NTFS元文件103.31 NTFS結(jié)

2、構(gòu)圖103.32 DBR的數(shù)據(jù)結(jié)構(gòu)11第四章 數(shù)據(jù)恢復(fù)技術(shù)的實現(xiàn)124.1 常見數(shù)據(jù)恢復(fù)124.11 NTFS格式化恢復(fù)124.2 手工定位NTFS文件系統(tǒng)下的文件16第五章 常見數(shù)據(jù)恢復(fù)軟件235.1數(shù)據(jù)恢復(fù)軟件235.1.1 winhex235.1.2 easyrecovery235.1.3 finaldata255.1.4 易我數(shù)據(jù)恢復(fù)向?qū)?65.2 幾款數(shù)據(jù)恢復(fù)軟件恢復(fù)效果比較27二 易我數(shù)據(jù)恢復(fù)軟件27三 finaldata27第六章 總結(jié)28摘要本文首先介紹了硬盤的基本結(jié)構(gòu)，讓我們對硬盤有最基本的生疏和了解。接著介紹了FAT和NTFS文件的基本組成，重點介紹了數(shù)據(jù)恢復(fù)技術(shù)的實現(xiàn)。最

3、終分析了了目前市場上流行軟件的優(yōu)缺點。關(guān)鍵字：FAT，NTFS文件，硬盤，數(shù)據(jù)恢復(fù)軟件，數(shù)據(jù)恢復(fù)技術(shù)。第一章 引言1.1 數(shù)據(jù)恢復(fù)的意義社會進展和進步，大家每個人的數(shù)據(jù)資源都在日復(fù)一日的膨脹著，而硬盤作為數(shù)據(jù)存儲中心，其高精密的結(jié)構(gòu)和高度的使用頻率，在簡單的應(yīng)用環(huán)境中，故障發(fā)生率也在與日俱增。幾乎每個計算機使用者都會遇到一些數(shù)據(jù)損壞或丟失的事情，而隨著各種應(yīng)用軟件、操作系統(tǒng)、病毒木馬等各種因素的增加，數(shù)據(jù)丟失和損壞的程度也在漸漸變的嚴(yán)峻。一旦重要的數(shù)據(jù)丟失，其所帶來的直接和間接的損失都是很驚人的，而通常大家在費盡心思處處找解決方法的同時，也進一步徹底摧毀了這些數(shù)據(jù)恢復(fù)的可能性。NTFS是隨著W

4、indows NT操作系統(tǒng)而產(chǎn)生的，全稱為“NT File System”，中文意為NT文件系統(tǒng)，如今已是windows類操作系統(tǒng)中的主力分區(qū)格式了。它的優(yōu)點是平安性和穩(wěn)定性極其精彩，在使用中不易產(chǎn)生文件碎片，NTFS分區(qū)對用戶權(quán)限作出了格外嚴(yán)格的限制，每個用戶都只能按著系統(tǒng)賜予的權(quán)限進行操作，任何試圖越權(quán)的操作都將被系統(tǒng)禁止，同時它還供應(yīng)了容錯結(jié)構(gòu)日志，可以將用戶的操作全部記錄下來，從而愛護了系統(tǒng)的平安。本文主要論述的就是NTFS在系統(tǒng)崩潰或磁盤消滅故障后如何平安的恢復(fù)文件系統(tǒng)。1.2 數(shù)據(jù)恢復(fù)的應(yīng)用目前社會上針對數(shù)據(jù)恢復(fù)的公司有很多，有關(guān)的軟件也很多。而對于一般的用戶，想自己動手簡潔恢復(fù)數(shù)

5、據(jù)的伴侶，很少有系統(tǒng)的方法和對軟件的選擇上有些茫目。本文旨在通過爭辯硬盤數(shù)據(jù)恢復(fù)的原理，分析硬盤數(shù)據(jù)丟失的緣由，進而比較現(xiàn)今比較流行的方法和有關(guān)的軟件，提出對不同的數(shù)據(jù)丟失狀況下的一些建議，并提出手動備份硬盤分區(qū)結(jié)構(gòu)和其它重要數(shù)據(jù)的方法及通過手工恢復(fù)硬盤全盤結(jié)構(gòu)的方法。本文可作為個人數(shù)據(jù)丟失時狀況不是很嚴(yán)峻時個人自己動手恢復(fù)數(shù)據(jù)的一個參考。 其次章 磁盤的規(guī)律結(jié)構(gòu)2.1 硬盤原理慨述 硬盤存儲數(shù)據(jù)是依據(jù)電、磁轉(zhuǎn)換原理實現(xiàn)的。硬盤由一個或幾個表面鍍有磁性物質(zhì)的金屬或玻璃等物質(zhì)盤片以及盤片兩面所安裝的磁頭和相應(yīng)的把握電路組成，其中盤片和磁頭密封在無塵的金屬殼中。硬盤工作時，盤片以設(shè)計轉(zhuǎn)速高速旋轉(zhuǎn)，

6、設(shè)置在盤片表面的磁頭則在電路把握下徑向移動到指定位置然后將數(shù)據(jù)存儲或讀取出來。當(dāng)系統(tǒng)向硬盤寫入數(shù)據(jù)時，磁頭中 “寫數(shù)據(jù)”電流產(chǎn)生磁場使盤片表面磁性物質(zhì)狀態(tài)發(fā)生轉(zhuǎn)變，并在寫電流磁1場消逝后仍能保持，這樣數(shù)據(jù)就存儲下來了；當(dāng)系統(tǒng)從硬盤中讀數(shù)據(jù)時，磁頭經(jīng)過盤片指定區(qū)域，盤片表面磁場使磁頭產(chǎn)生感應(yīng)電流或線圈阻抗產(chǎn)生變化，經(jīng)相關(guān)電路處理后還原成數(shù)據(jù)。2.2硬盤數(shù)據(jù)結(jié)構(gòu)。硬盤上的數(shù)據(jù)依據(jù)其不同的特點和作用大致可分為5部分：MBR區(qū)、DBR區(qū)、FAT區(qū)、DIR區(qū)和DATA區(qū)。2.21.MBR區(qū)MBR（Main Boot Record）,按其字面上的理解即為主引導(dǎo)記錄區(qū)，位于整個硬盤的0磁道0柱面1扇區(qū)。不過

7、，在總共512字節(jié)的主引導(dǎo)扇區(qū)中，MBR只占用了其中的446個字節(jié)（偏移0-偏移1BDH），另外的64個字節(jié)（偏移1BEH-偏移1FDH）交給了DPT(Disk Partition Table硬盤分區(qū)表),最終兩個字節(jié)55，AA（偏移1FEH- 偏移1FFH）是分區(qū)的結(jié)束標(biāo)志。這個整體構(gòu)成了硬盤的主引導(dǎo)扇區(qū)。大致的結(jié)構(gòu)如圖1圖1硬盤的主引導(dǎo)扇區(qū)結(jié)構(gòu)圖主引導(dǎo)記錄中包含了硬盤的一系列參數(shù)和一段引導(dǎo)程序。其中的硬盤引導(dǎo)程序的主要作用是檢查分區(qū)表是否正確并且在系統(tǒng)硬件完成自檢以后引導(dǎo)具有激活標(biāo)志的分區(qū)上的操作系統(tǒng)，并將把握權(quán)交給啟動程序。MBR是由分區(qū)程序（如F）所產(chǎn)生的，它不依靠任何操作系統(tǒng)，而且硬

8、盤引導(dǎo)程序也是可以轉(zhuǎn)變的，從而實現(xiàn)多系統(tǒng)共存。DPT及各字節(jié)的意義。硬盤分區(qū)表偏移長度所表達(dá)的意義01字節(jié)分區(qū)狀態(tài)0-非活動區(qū)80- 活動分區(qū)11字節(jié)該分區(qū)起始磁頭（HEAD）22字節(jié)該分區(qū)起始扇區(qū)和起始柱面41字節(jié)該分區(qū)類型：如82- Linux Native分區(qū)83- Linux Swap 分區(qū)51字節(jié)該分區(qū)終止頭（HEAD）62字節(jié)該分區(qū)終止扇區(qū)和終止柱面84字節(jié)該分區(qū)起始確定扇區(qū)C4字節(jié)該分區(qū)扇區(qū)數(shù)2.22. DBR區(qū)DBR（Dos Boot Record）是操作系統(tǒng)引導(dǎo)記錄區(qū)的意思。它通常位于硬盤的0磁道1磁頭1扇區(qū)，是操作系統(tǒng)可以直接訪問的第一個扇區(qū)，它包括一個引導(dǎo)程序和一個被稱為

9、BPB（Bios Parameter Block）的本分區(qū)參數(shù)記錄表。引導(dǎo)程序的主要任務(wù)是當(dāng)MBR將系統(tǒng)把握權(quán)交給它時，推斷本分區(qū)跟名目前兩個文件是不是操作系統(tǒng)的引導(dǎo)文件（以DOS為例，即是Io.sys和Msdos.sys）。假如確定存在，就把其讀入內(nèi)存，并把把握權(quán)交給該文件。BPB參數(shù)塊記錄著本分區(qū)的起始扇區(qū)、結(jié)束扇區(qū)、文件存儲格式、硬盤介質(zhì)描述符、根名目大小、FAT個數(shù)，安排單元的大小等重要參數(shù)。2.23. FAT區(qū)在DBR之后的是我們比較生疏的FAT（File Allocation Table文件安排表）區(qū)。在解釋文件安排表的概念之前，我們先來談?wù)劥兀╟luster）的概念。文件占用磁盤

10、空間時，基本單位不是字節(jié)而是簇。簇的大小與磁盤的規(guī)格有關(guān)，一般狀況下，軟盤每簇是1個扇區(qū)，硬盤每簇的扇區(qū)數(shù)與硬盤的總?cè)萘看笮∮嘘P(guān)，可能是4、8、16、32、64。通過上文我們已經(jīng)知道，同一個文件的數(shù)據(jù)并不肯定完整地存放在磁盤的一個連續(xù)的區(qū)域內(nèi)，而往往會分成若干段，像一條鏈子一樣存放。這種存儲方式稱為文件的鏈?zhǔn)酱鎯ΑＳ脖P上的文件經(jīng)常要進行創(chuàng)建、刪除、增長、縮短等操作。這樣操作做的越多，盤上的文件就可能被分得越零碎（每段至少是1簇）。但是，由于硬盤上保存著段與段之間的連接信息（即FAT），操作系統(tǒng)在讀取文件時，總是能夠精確地找到各段的位置并正確讀出。2.24 .DIR區(qū)DIR（Directory）

11、是根名目區(qū)，緊接著其次FAT表（即備份的FAT表）之后，記錄著根名目下每個文件（名目）的起始單元，文件的屬性等。定位文件位置時，操作系統(tǒng)依據(jù)DIR中的起始單元，結(jié)合FAT表就可以知道文件在硬盤中的具體位置和大小了。 2.25.據(jù)（DATA）區(qū)數(shù)據(jù)區(qū)是真正意義上的數(shù)據(jù)存儲的地方，位于DIR區(qū)之后，占據(jù)硬盤上的大部分?jǐn)?shù)據(jù)空間。 第三章 NTFS元件3.1 NTFS概念 3.11MTFMTF，即主文件安排表的簡稱，它是NTFS文件系統(tǒng)的核心。MFT由一個或幾個MFT項（文件記錄）組成，每個MFT項占用1024字節(jié)的空間。每個MFT項的前部幾十個字節(jié)有著固定的頭結(jié)構(gòu)，用來描述本MFT項的相關(guān)信息。后面

12、的字節(jié)用于存放“屬性”。每個文件和名目的信息都包含在MFT中，每個文件和名目在表中至少有有一個MFT項。初引導(dǎo)扇區(qū)外，訪問其他任何一個前都要先訪問MFT，在MFT中找到該文件的MFT項，依據(jù)MFT項中的記錄的信息找到內(nèi)容并對其進行訪問。3.12 NTFS屬性 在NTFS中，全部與數(shù)據(jù)相關(guān)的信息都稱為“屬性”，NTFS與其他文件系統(tǒng)最大的不同之處在于，大多數(shù)文件系統(tǒng)是對文件的內(nèi)容進行讀寫，而NTFS則是對包含文件內(nèi)容的屬性進行讀寫。在數(shù)據(jù)結(jié)構(gòu)中，屬性又可以分為長駐屬性和格外駐屬性長駐屬性。有的屬性其屬性內(nèi)容很小，它的MFT項可以容納下它的全部內(nèi)容，為了節(jié)省空間，系統(tǒng)會直接將其存放在MFT項中，而

13、不再為其另外安排簇空間，這樣的屬性稱為長駐屬性格外駐屬性。格外駐屬性是指那些內(nèi)容較大，無法完全存放在其MFT項中的屬性。如文件的數(shù)據(jù)屬性，通常內(nèi)容很大，需要在MFT之外另為其安排足夠的簇空間進行存儲，這樣的屬性就是非長駐屬性。 3.2 NTFS引導(dǎo)結(jié)構(gòu)一個NTFS文件系統(tǒng)大致上可以分為引導(dǎo)區(qū)、MFT、MFT備份區(qū)、數(shù)據(jù)區(qū)和DBR備份扇區(qū)幾個部分。由于NTFS將全部的數(shù)據(jù)都視為文件，理論上除引導(dǎo)扇區(qū)必需位于第一個扇區(qū)外，NTFS卷可以在任意位置存放任意文件，但通常狀況下會遵循肯定的習(xí)慣布局。在XP系統(tǒng)下NTFS卷大致布局如下圖：DBR引導(dǎo)區(qū)用戶數(shù)據(jù)MFT區(qū)用戶數(shù)據(jù)MFT部分記錄備份用戶數(shù)據(jù)DBR

14、備份通常為16個扇 占用一個扇區(qū)。1) 引導(dǎo)扇區(qū)。引導(dǎo)區(qū)部分包括DBR和引導(dǎo)代碼，一般系統(tǒng)為其安排16個扇區(qū)，未完全使用。2) MFT區(qū)。文件系統(tǒng)中消滅一個“MFT”區(qū)，這個“MFT區(qū)”是一個連續(xù)的簇空間，除非其他空間已全部被安排使用，否則不會在此空間中存儲用戶文件或名目。在WINXP下創(chuàng)建的NTFS，其MFT通常距離引導(dǎo)扇區(qū)較遠(yuǎn)，但在WIN2000下創(chuàng)建的NTFS，其MFT通常起始于4號簇位置。3) MFT備份區(qū)。由于MFT備份的重要性，在文件系統(tǒng)的中部為其保存了一個備份，不過這個備份很小，只是MFT前幾個項的備份。4) 引導(dǎo)扇區(qū)備份扇區(qū)。在卷的最終一個扇區(qū)，保存了一份扇區(qū)的備份。這個扇區(qū)包

15、含在分區(qū)表描述的該分區(qū)大小中，但卻不在DB描述的文件系統(tǒng)大小范圍之內(nèi)。描述文件系統(tǒng)大小時，總是比分區(qū)表描述的扇區(qū)數(shù)小個扇區(qū)。3.3 NTFS元文件3.31 NTFS結(jié)構(gòu)圖NTFS的引導(dǎo)扇區(qū)也位于文件系統(tǒng)的0號扇區(qū)，這是它與FAT文件系統(tǒng)在布局 上的唯一相同之處。數(shù)據(jù)結(jié)構(gòu)如下圖，此圖為本硬盤DBR： DBR（S扇區(qū)號）轉(zhuǎn)換成物理地址（確定扇區(qū)號）。3.32 DBR的數(shù)據(jù)結(jié)構(gòu)字節(jié)偏移（十六進制）字節(jié)數(shù)含義00-023跳轉(zhuǎn)指令03-0A8OEM名（“明文NTFS”）0B-0C2每扇區(qū)字節(jié)數(shù)0D1每簇扇區(qū)數(shù)0E-0F2保留扇區(qū)數(shù)151介質(zhì)描述符18-192每磁道扇區(qū)數(shù)（不檢查此項）1A-1B2每柱面磁

16、頭數(shù)（不檢查此項）1C-1F4隱含扇區(qū)數(shù)（不檢查此項）24-274總是80008000（不檢查此項）28-2F8文件系統(tǒng)扇區(qū)總和30-378MFT起始簇號38-3F8MFT備份的起始簇號401每MFT項大小41-433未使用441每個索引的簇數(shù)45-473未使用48-4F8序列號50-534校驗和54-1FD426引導(dǎo)代碼1FE-1FF2簽名55AA標(biāo)記以上引導(dǎo)扇區(qū)最為關(guān)鍵的字節(jié)數(shù)是0B-0C（每扇區(qū)字節(jié)數(shù)） 0B-0C（每扇區(qū)字節(jié)數(shù)） 0D（每簇扇區(qū)數(shù)）28-2F（文件系統(tǒng)扇區(qū)總和） 30-37（MFT起始簇號）38-3F（MFT備份的起始簇號） 40（每MFT項大?。?4（每個索引的簇數(shù)）

17、，但數(shù)據(jù)發(fā)生不行預(yù)料的損壞時，可以依據(jù)以上信息重建分區(qū)表，定位數(shù)據(jù)區(qū)，恢復(fù)MFT，重建DBR，這些關(guān)鍵字節(jié)碼的用處不言而。 第四章 數(shù)據(jù)恢復(fù)技術(shù)的實現(xiàn)4.1 常見數(shù)據(jù)恢復(fù)4.11 NTFS格式化恢復(fù) 數(shù)據(jù)丟失的具體故障為：盤分了三個區(qū)在一次意外死機后磁盤提示（前兩個區(qū)是正常的）提示未格式化（其實大多數(shù)伴侶知道這時的問題簡潔得多或許重建DBR后整個盤里面的數(shù)據(jù)都在，這里暫且就不談這種問題的解決方法了），要命的是這時已經(jīng)鬼使神差地點擊了格式化了，結(jié)果大家產(chǎn)然就知道了，數(shù)據(jù)確定是沒有了 。據(jù)轉(zhuǎn)到我這里的那同行說他用各種搜尋軟件對整個區(qū)搜了好幾遍（這也是大多數(shù)所謂專業(yè)的數(shù)據(jù)恢復(fù)商所用的恢復(fù)方法了），當(dāng)

18、然也搜到了很多數(shù)據(jù)，盡管很亂但還能正常打開。最終客戶確認(rèn)搜出來數(shù)據(jù)大部份正常，但最重要的的一個壓縮文件損壞了，大家知道壓縮文件損壞了是很難很難修復(fù)的了。首先我用WINHEX把他搜出來的那個壓縮文件打開分析了下，文件頭亂了，中間的數(shù)據(jù)也不正常。無法修復(fù)，只好從原盤著手了。竟然搜尋軟件搜出來的是損壞的，那就只有用手工來做了，當(dāng)然用手工做這種格式化了的數(shù)據(jù)很費時，且計算量也很大，只能針對像這樣的個別特重要的數(shù)據(jù)。對原盤的那個格式化掉的分區(qū)做完鏡像后，用WINHEX打開鏡像，設(shè)置鏡像文件為磁盤。如下圖所示：分區(qū)是NTFS格式的，整個分區(qū)大小為25.4G。對NTFS分區(qū)格式爭辯過的伴侶會知道，在NTFS

19、文件系統(tǒng)中，文件亦是按簇進行安排的， 文件通過主文件表MFT（Master File Table）來確定其在磁盤上的存儲位置、大小、屬性等信息。相當(dāng)于FAT系統(tǒng)下的FAT+FDT的功能。每文件都有一個文件記錄。其中第一個記錄就是MFT自己本身。我們轉(zhuǎn)到第一個文件記錄也就是MFT了直接點可以看到如下圖所示：通過第一個文件記錄往下觀看發(fā)覺格式化了后對文件記錄沒有產(chǎn)生破壞。那么這時我們就可以有一個恢復(fù)的思路了：找到所說的那個壓縮文件的在MFT中的記錄，再通過對文件記錄的分析來確定文件在磁盤中的位置及大小，就可以直接從中提出文件了。想到做到，只知道一個壓縮文件的壓縮文件名為：源文件與素材。那好，我們可

20、以新建一個文本記事本只輸入壓縮文件名源文件與素材！保存，再用WINHEX打開可以看到如下圖：然后再轉(zhuǎn)回來，直接從第一個文件記錄往下開頭搜尋十六進制數(shù)值90 6E 87 65 F6 4E 0E 4E 20 7D 50 67搜尋到了一個地方停下來了，看看是不是那個壓縮文件的記錄呢看下圖：依據(jù)觀看可以看出正是客戶要的那個壓縮文件的記錄，那么我們又如何來確定這個壓縮文件在磁盤上的那一個扇區(qū)？占用了多少的扇區(qū)呢？這個就需要對NTFS格式有所了解了。NTFS將文件作為屬性、屬性值集合來處理，這一點其他文件系統(tǒng)不一樣?？梢钥吹皆贛FT中用了不同顏色的段來區(qū)分， 如上圖所標(biāo)記的，第一個為文件記錄頭，其次個10

21、H表示標(biāo)準(zhǔn)屬性，第三個30H表示文件名屬性，最終一個80H表示數(shù)據(jù)流屬性也就是關(guān)鍵所在了。這里我們只分析數(shù)據(jù)流屬性，其它屬性就不一一分析了，可以查看相關(guān)資料。每一個屬性都為兩部份：屬性頭和內(nèi)容。先來分析數(shù)據(jù)流屬性的屬性頭：從第1第4四個字節(jié)表示屬性的類型，第5第8四個字節(jié)這里的值是48 00 00 00表示屬性的長度（包括屬性頭和內(nèi)容）為72個字節(jié)。從17到24共8個字節(jié)表示起始的VCN即虛擬簇號，第25到32共8個字節(jié)表示結(jié)束的VCN此處為2D7FH也就是 這個壓縮文件占用了11648個簇。再往下分析從33到40共8個字節(jié)表示數(shù)據(jù)運行的偏移。此處為40H也就是從第64個字節(jié)開頭了。我們就直接

22、來分析數(shù)據(jù)運行也只有這一個運行32 80 2D D5 58 17所以起始的LCN即規(guī)律簇號為1758D5H1530069，長度為2D80H11648。接下來我們轉(zhuǎn)到1530069簇看，第一個字節(jié)右鍵選塊開頭，上面算出來這個文件的，如下圖：大小為11648個簇，也就是1530069+116481541717再轉(zhuǎn)到1541717簇，所在的扇區(qū)的上一扇區(qū)也就是文件的結(jié)尾了。最終一個字節(jié)右鍵選塊結(jié)尾。再在所選塊中右鍵編輯復(fù)制扇區(qū)到新文件即教導(dǎo)到路徑保存。然后改擴展名為RAR。至此恢復(fù)完成。經(jīng)檢查沒有一個損壞的。4.2 手工定位NTFS文件系統(tǒng)下的文件信任很多伴侶在認(rèn)真看完數(shù)據(jù)恢復(fù)書籍中，關(guān)于NTFS文

23、件系統(tǒng)中敘述的一系列屬性以后，或多或少還是有些范模糊。的確，NTFS文件系統(tǒng)結(jié)構(gòu)比較簡單，且書中也沒有講到如何利用這些屬性來定位文件，這對于初學(xué)者來說,無疑是一個缺憾.為彌補這一缺憾,我依據(jù)我個人對NTFS文件系統(tǒng)的理解，制作了本分析過程。申明，這只是本人的理解，難免會有錯誤的地方。僅供大家參考?，F(xiàn)在我就以我電腦里的一個叫“MFT結(jié)構(gòu)分析”的圖片文件，其存儲路徑為E:教程數(shù)據(jù)恢復(fù)。接下來我們一層一層的去定位文件.以對所學(xué)的屬性做一個融會貫穿.或許有的伴侶會說:在實際操作中,可以通過在MFT中搜尋文件名的方式來做出定位,這樣也是可以的。我制作本分析過程的初衷也就是給初學(xué)者對NTFS的理解供應(yīng)一個

24、思路。學(xué)過FAT文件系統(tǒng)的,肯定知道如何定位分區(qū)以及DBR,那好,我們就直接從DBR開頭從DBR中得出，每簇扇區(qū)數(shù)為08H，（$MFT一下簡稱MFT）.MFT的起始簇為：00000C00H，轉(zhuǎn)換為十六進制分別為8扇區(qū)和786432簇?，F(xiàn)在跳轉(zhuǎn)到786432簇，如下圖：我們可以看到，這是MFT的第一個記錄，記錄的是它自己。，接下來我們跳轉(zhuǎn)到MFT的關(guān)于根名目的記錄，也就是第5號記錄。根名目一般存儲的文件以及文件夾比較多。所以，它是格外駐的，關(guān)于這些文件夾的信息記錄在了其它的位置。而記錄在什么位置是由索引安排屬性來記錄的，也就是A0屬性，接下來著重看一下A0屬性，如圖：上圖紅色的標(biāo)注的位置是運行（

25、Data run）31H表示用三個字節(jié)描述的是索引的位置的起始LCN（3E9002H），一個字節(jié)描述的是長度(02H)。下一個運行的位置描述的是00H表示到此結(jié)束，只有一個運行。（提示：假如下一個運行由內(nèi)容，那么它描述的LCN加上前一個運行描述的LCN才是其真正的LCN，假如由三個運行，用第三個運行的LCN加上前兩個的LCN就是第三個運行的真正的LCN，以此類推?。┪覀儗⑵滢D(zhuǎn)換為10進制數(shù)值得到這樣一個信息，索引項的起始位置為167998簇，乘以每簇扇區(qū)數(shù)8，等于1343984扇區(qū)，長度為2個簇，跳轉(zhuǎn)到1343984扇區(qū)，如圖：這個位置是根名目的索引項，可以看到里面索引的文件名為元數(shù)據(jù)?！敖坛?/p>

26、”這個文件夾也存放在根名目里面，我們搜尋該文件名，以找到相對應(yīng)的索引項，由于NTFS里面文件名是用Unincode字符來表示的，所以該文件名轉(zhuǎn)換為16進制數(shù)值為59650B7A8765H，我們在根名目索引項里搜尋此文件名：在1343994扇區(qū)找到了“教程”的索引項，（1343994-1343984=10，每簇扇區(qū)數(shù)為8，說明次索引項存放在其次簇里面）從上圖可以看出，其文件記錄存放在第6B3500H號扇區(qū)，轉(zhuǎn)換為十六進制為13675號記錄，一個MFT占用2個扇區(qū)，其文件記錄的開頭為，從MFT第一號記錄向下數(shù)27350個扇區(qū)，就其文件記錄存放的位置，計算方式為：6291456 +（13675*2）

27、=6318806，跳轉(zhuǎn)到6318806扇區(qū)，如圖：圖中描述的本MFT號正是我們要找的，看下面的運行31011BEB01H，轉(zhuǎn)換為16進制數(shù)值為：125723，再乘以每簇扇區(qū)數(shù)8等于1005784扇區(qū)，現(xiàn)在跳轉(zhuǎn)到1005784扇區(qū)搜尋“數(shù)據(jù)恢復(fù)”這個文件夾的十六進制數(shù)值70656E6362600D59H，結(jié)果沒找到，莫非是此文件夾沒有記錄？不行能。猜想，會不會是被駐留了。存放在MFT里面，跳回6318806扇區(qū)，搜尋70656E6362600D59 ，在該MFT的其次個扇區(qū)里面找到了該文件夾的記錄。跳轉(zhuǎn)到文件的“數(shù)據(jù)恢復(fù)”文件MFT記錄號：23A100000000H，十進制為41251號，乘以2

28、加上6291456，等于6373958。如圖：對NTFS多少有點了解的人都會發(fā)覺，這并不是MFT。為什么？看一下我的MFT的分布狀況，如圖：我的MFT是分三大塊來存放的，（我自己的命名）接下來計算一下：第一塊：MFT從786432簇開頭,到796687結(jié)束用了10255個簇=82040扇區(qū)，每2個扇區(qū)為一個完整的MFT。其次塊：MFT從397607開頭到結(jié)束397686，用了79個簇632第三塊：第一塊MFT只用了10255個簇來記錄，（我用簇為來但來計算）而我們要找的文件“數(shù)據(jù)恢復(fù)”存放在41251號，（41251*2/8= 10312.75簇）已經(jīng)超出了第一塊的記錄范圍，超出75.75個簇

29、，經(jīng)計算，在其次塊里面才是存放的“數(shù)據(jù)恢復(fù)”的MFT。其次塊的開頭位置為397607簇，加上75簇，等于397664簇，由于硬盤是從0開頭記錄數(shù)據(jù)的，所以，這個地方應(yīng)當(dāng)還要減去1。跳轉(zhuǎn)到397663簇的四分之三（0.75）位置，也就是第6個扇區(qū)依據(jù)運行，得知其起始LCN為A08AH(35488*8=283904),占用一個簇。跳轉(zhuǎn)到283904扇區(qū)：搜尋文件名“MFT”結(jié)構(gòu)分析4D0046005400D37E7E00H其文件MFT號為26A1H（41254號記錄），依據(jù)前面的MFT記錄塊的計算，在“數(shù)據(jù)恢復(fù)”MFT記錄向下數(shù)三個記錄，就是“MFT結(jié)構(gòu)分析”這個文件的MFT記錄了。跳轉(zhuǎn)到該位置其

30、運行為3281000F8F00H，起始LCN為0F8F00（36623*8=292984扇區(qū)），長度為8100H（129*8=1032扇區(qū)），那么結(jié)束位置為292984+1032=294016扇區(qū)跳轉(zhuǎn)到文件的開頭292984跳轉(zhuǎn)到294016，選取上一個扇區(qū)的結(jié)尾編輯-復(fù)制-植入新文件-保存文件名為“MFT結(jié)構(gòu)分析.jpg”。雙擊，能夠正常打開。 第五章 常見數(shù)據(jù)恢復(fù)軟件5.1數(shù)據(jù)恢復(fù)軟件5.1.1 winhexWinhex是一很好的，功能很強大的磁盤，文件二進制數(shù)據(jù)查看，修改工具.使用它我們可以很便利的查看磁盤的數(shù)據(jù)，手動修改數(shù)據(jù)。WinHex以通用的 16 進制編輯器為核心，特地用來應(yīng)付計

31、算機取證、數(shù)據(jù)恢復(fù)、低級數(shù)據(jù)處理、以及 IT 平安性、各種日常緊急狀況的高級工具: 用來檢查和修復(fù)各種文件、恢復(fù)刪除文件、硬盤損壞等。得到 ZDNet Software Library 五星級最高評價，擁有強大的系統(tǒng)效用。功能（特點）如下: A 硬盤, 軟盤, CD-ROM 和 DVD, ZIP, Smart Media, Compact Flash, 等磁盤編輯器. B 支持 FAT, NTFS, Ext2/3, ReiserFS, Reiser4, UFS, CDFS, UDF 文件系統(tǒng) C 支持對磁盤陣列 RAID 系統(tǒng)和動態(tài)磁盤的重組、分析和數(shù)據(jù)恢復(fù)D 多種數(shù)據(jù)恢復(fù)技術(shù),可分析 RAW

32、 格式原始數(shù)據(jù)鏡像文件中的完整名目結(jié)構(gòu)，支持分段保存的鏡像文件E 數(shù)據(jù)解釋器, 已知 20 種數(shù)據(jù)類型,驅(qū)動器鏡像和備份 (可選壓縮或分割成 650 MB 的檔案)5.1.2 easyrecovery界面如圖3圖3EasyRecovery軟件主界面圖EasyRecovery 是世界有名數(shù)據(jù)恢復(fù)公司 Ontrack 的技術(shù)杰作。其 Professioanl (專業(yè)) 版更是囊括了磁盤診斷、數(shù)據(jù)恢復(fù)、文件修復(fù)、E-mail 修復(fù)等全部 4 大類目 19 個項目的各種數(shù)據(jù)文件修復(fù)和磁盤診斷方案。其支持的數(shù)據(jù)恢復(fù)方案包括：高級恢復(fù) 使用高級選項自定義數(shù)據(jù)恢復(fù) 刪除恢復(fù) 查找并恢復(fù)已刪除的文件 格式化恢

33、復(fù) 從格式化過的卷中恢復(fù)文件 Raw 恢復(fù) 忽視任何文件系統(tǒng)信息進行恢復(fù) 連續(xù)恢復(fù) 連續(xù)一個保存的數(shù)據(jù)恢復(fù)進度 緊急啟動盤 創(chuàng)建自引導(dǎo)緊急啟動盤 其支持的磁盤診斷模式包括：驅(qū)動器測試 測試驅(qū)動器以查找潛在的硬件問題 SMART 測試 監(jiān)視并報告潛在的磁盤驅(qū)動器問題 空間管理器 磁盤驅(qū)動器空間狀況的具體信息 跳線查看 查找 IDE/ATA 磁盤驅(qū)動器的跳線設(shè)置5.1.3 finaldata界面如圖4圖4FinalData主界面圖FinalData能夠?qū)AT、FAT32和NTFS三種文件系統(tǒng)中的文件進行恢復(fù)，而且它的界面風(fēng)格和操作方法和Windows資源管理器格外接近，即使是非計算機專業(yè)人員的一般用戶也可以在幾分鐘的時間里把握基本的使用方法，完成大部分?jǐn)?shù)據(jù)恢復(fù)工作。另外，快速高效則是FinalData的另一個顯著特點，恢復(fù)單個丟失的文件只需要幾秒鐘的時間，而對于整個硬盤的恢復(fù)也可以在幾格外鐘內(nèi)完成。5.1.4 易我數(shù)據(jù)恢復(fù)向?qū)Ы缑嫒鐖D5圖5易我數(shù)據(jù)恢復(fù)主只界面易我數(shù)據(jù)恢復(fù)向?qū)鞘卓顕鴥?nèi)自主研發(fā)的數(shù)據(jù)恢復(fù)軟件，是一款功能強大并且性價比格外高的數(shù)據(jù)恢復(fù)軟件。本軟件在WIND