第22講-NTFS文件系統(tǒng)數(shù)據(jù)恢復(fù)_第1頁
第22講-NTFS文件系統(tǒng)數(shù)據(jù)恢復(fù)_第2頁
第22講-NTFS文件系統(tǒng)數(shù)據(jù)恢復(fù)_第3頁
第22講-NTFS文件系統(tǒng)數(shù)據(jù)恢復(fù)_第4頁
第22講-NTFS文件系統(tǒng)數(shù)據(jù)恢復(fù)_第5頁
已閱讀5頁,還剩25頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

項目四:文件系統(tǒng)數(shù)據(jù)恢復(fù)任務(wù)4NTFS文件系統(tǒng)數(shù)據(jù)恢復(fù)主講人

高靈霞、廖艷CONTENT目錄課前學(xué)情用戶文件屬性分析0102總結(jié)與拓展教學(xué)內(nèi)容04工單-提取用戶文件數(shù)據(jù)03教學(xué)目標(biāo)>項目四

文件系統(tǒng)數(shù)據(jù)恢復(fù)任務(wù)4NTFS文件系統(tǒng)數(shù)據(jù)恢復(fù)素質(zhì)目標(biāo)知識目標(biāo)能力目標(biāo)1.通過用戶文件80屬性分析,培養(yǎng)學(xué)生良好的職業(yè)道德教育2.通過用戶文件數(shù)據(jù)的提取,培養(yǎng)學(xué)生能立足專業(yè),使學(xué)生遵守數(shù)據(jù)恢復(fù)工程師職業(yè)操守和注意事項1.學(xué)生掌握用戶文件記錄項的搜索判斷方法2.學(xué)生掌握常見屬性10H、30H、80H的分析方法3.學(xué)生掌握非常駐屬性分析、索引運行項分析方法4.學(xué)生掌握提取文件數(shù)據(jù)的方法1.學(xué)生能夠搜索NTFS分區(qū)中用戶文件的文件記錄項,并進行判斷分析。2.學(xué)生能夠分析80H的非常駐屬性,索引運行項,分析文件存放結(jié)構(gòu)。3.學(xué)生能讀取用戶文件數(shù)據(jù)組成新文件。思政點:自立(立足專業(yè),奮發(fā)有為)教學(xué)重點與難點

教學(xué)重點1.分析主控文件表結(jié)構(gòu),屬性頭結(jié)構(gòu),區(qū)分常駐屬性和非常駐屬性2.基本文件屬性30H屬性內(nèi)容,80H常駐屬性內(nèi)容>

教學(xué)難點

屬性頭結(jié)構(gòu)和屬性內(nèi)容結(jié)構(gòu)課前學(xué)情01學(xué)情分析信安2004班---項目四

任務(wù)3NTFS文件系統(tǒng)結(jié)構(gòu)分析課堂活動:1.NTFS分區(qū)結(jié)構(gòu)2.MFT(主控文件表)是由若干文件記錄項組成,每個記錄項固定占()空間。3.文件記錄項總體兩部分組成()和(屬性列表),屬性結(jié)束標(biāo)志()4.文件記錄頭的簽名明文是(),記錄頭中文件標(biāo)志()表示刪除的文件。5.大多數(shù)用戶文件都有()()()屬性。課堂活動:主控文件表結(jié)構(gòu)文件記錄頭10H屬性結(jié)束標(biāo)志80H屬性B0H屬性30H屬性任務(wù)引入

NTFS文件系統(tǒng)中,$MFT文件中存放了卷中所有的文件屬性信息,它是恢復(fù)數(shù)據(jù)的重要文件。我們?nèi)绾味ㄎ挥脩粑募挠涗涰?,分析文件屬性、文件名、日期及簇的分配,提取文件中的?shù)據(jù)。這是學(xué)習(xí)NTFS數(shù)據(jù)恢復(fù)的一個非常重要的過程。要求:讀取以下文件數(shù)據(jù)組成新文件,判斷是否與原文件內(nèi)容一致。任務(wù)分析MFT主控文件表中存放了文件的記錄項,記錄項由記錄頭和屬性列表組成。

記錄頭中的偏移位置16H-17H記錄文件標(biāo)志,00表示刪除文件,01表示使用文件。

屬性中10H記錄文件基本信息屬性,30H記錄文件名屬性,80H記錄文件數(shù)據(jù)屬性。通過文件名屬性定位文件的記錄項,80H屬性讀取并分析文件數(shù)據(jù)屬性,是學(xué)習(xí)NTFS數(shù)據(jù)恢復(fù)的重要基礎(chǔ)技能。1.用戶文件記錄項的查找?2.80屬性分析?用戶文件屬性分析02一、查找用戶文件記錄項第1步:知道用戶文件名,30H屬性內(nèi)容中存放文件名的16位的Unicode字符編碼。每個字符占2個字節(jié)。第2步:將文件名存放在記事本中,另存為Unicode編碼文件,使用Winhex工具打開該文件,復(fù)制文件名對應(yīng)的Unicode編碼的16進制數(shù)值。一、查找用戶文件記錄項第3步:定位到$MFT文件的起始扇區(qū),搜索文件名對應(yīng)的文件記錄項,判斷文件記錄項的文件標(biāo)志是否(01)使用文件,30H中文件父目錄編號,驗證文件目錄項是否正確。二、分析文件記錄項組成提問1:文件記錄項由記錄項頭和哪些屬性組成?提問2:記錄頭中簽名,第1個屬性位置,文件標(biāo)志,MFT文件記錄項編號?提問3:屬性列表的結(jié)束標(biāo)志?每個屬性的頭4個字節(jié)表示屬性類型,接下來的4個字節(jié)表示本屬性大小。MFT中的各屬性的大小均以8字節(jié)為邊界。每個屬性又分為屬性頭和屬性內(nèi)容兩部分,屬性頭給出了該屬性的結(jié)構(gòu)信息。有的屬性內(nèi)容存儲在記錄項中(如文件名),稱為常駐屬性。有的屬性內(nèi)容很大,需要在MFT外另外開辟空間存儲(如文件數(shù)據(jù)),則稱為非常駐屬性。10H和30H都總是常駐屬性。三、鞏固30H屬性三、鞏固30H屬性–常駐屬性

(屬性頭占18H)偏移大小含義00H4B屬性類型04H4B屬性大小(包括屬性頭和屬性內(nèi)容)08H1B是否常駐(00=常駐;01=非常駐)09H1B屬性名長度(0表示無屬性名,非0表示屬性名的字符個數(shù))0AH2B屬性名的起始偏移(如果有的話),通常為18H0CH2B壓縮(0001H)、加密(4000H)、稀疏(8000H)標(biāo)志0EH2B屬性ID10H4B屬性內(nèi)容的長度14H2B屬性內(nèi)容的起始偏移(如果沒有屬性名,則為18H)16H1B索引標(biāo)志17H1B無意義,通常為018H-該屬性的內(nèi)容,或?qū)傩悦ㄈ绻袑傩悦脑挘┤?、鞏?0H屬性偏移大小含義~~屬性頭00H8B父目錄的文件參考號(MFT頭的記錄編號,偏移2CH)08H8B文件創(chuàng)建時間10H8B文件修改時間18H8BMFT修改時間20H8B文件最后訪問時間28H8B文件分配大小30H8B文件實際大小38H4B標(biāo)志(傳統(tǒng)文件屬性)3CH4B$EA(擴充屬性)使用的空間,或$REPARSE_POINT(重解析點屬性)的類型40H1B文件名長度(字符數(shù)L)41H1B文件名命名空間(0=POSIX,1=WIN32,2=DOS,3=WIN32&DOS)42HL×2Unicode編碼的文件名文件名屬性可以定位文件路徑四、分析80H屬性80H屬性是存放文件數(shù)據(jù)的屬性,正常情況下無屬性名。假如某個文件存在不同的數(shù)據(jù)流,那么數(shù)據(jù)屬性也可能有多個,分別放在命名的80H屬性中。80H屬性有可能是常駐,也可能非常駐,根據(jù)屬性頭來判斷。四、分析80H屬性若80H是常駐屬性,文件中的數(shù)據(jù)則在存放在80H屬性內(nèi)容中,文件的大小在80H屬性頭10H-13H位置處屬性內(nèi)容的大小。四、分析80H屬性如果是非常駐屬性,屬性頭占40H個字節(jié),之后的屬性內(nèi)容就是數(shù)據(jù)運行表了,在屬性頭的偏移30H處給出了屬性內(nèi)容(文件數(shù)據(jù))的實際字節(jié)數(shù)。這里的數(shù)據(jù)運行表就是記錄數(shù)據(jù)存放簇號的索引表,不過這個索引表不是按簇記錄,而是按運行塊記錄,NTFS把連續(xù)存放的簇作為一個數(shù)據(jù)運行,這樣可以極大地壓縮記錄所需的空間。四、分析80H屬性---非常駐屬性頭偏移大小含義00H4B屬性類型04H4B屬性大?。ò▽傩灶^和屬性內(nèi)容)08H1B是否常駐(00=常駐;01=非常駐)09H1B屬性名長度(0表示無屬性名,非0表示屬性名的字符個數(shù))0AH2B屬性名的起始偏移(如果有的話),通常為18H0CH2B壓縮(0001H)、加密(4000H)、稀疏(8000H)標(biāo)志0EH2B屬性ID10H8B起始VCN18H8B結(jié)束VCN20H2B數(shù)據(jù)運行(即非常駐區(qū)域,等同于數(shù)據(jù)區(qū))的信息的偏移地址22H2B壓縮單位大小,0表示未壓縮24H4B無意義28H8B屬性分配大小,是該屬性所占的所有簇空間的大小30H8B屬性真實大小,即實際占用空間38H8B最初的屬性大?。ㄋ坪鹾蛯傩哉鎸嵈笮∠嗤?0H-屬性的運行信息(記錄了屬性內(nèi)容的位置和大?。蛘邽閷傩悦ㄈ绻械脑挘┻\行索引項結(jié)構(gòu)如果某個文件被分割存放,則每個運行塊記錄依次排列,最后以“00”結(jié)束?!?15253……8485868788…LCN塊1塊200文件的數(shù)據(jù)運行表分析運行索引項這個運行項,只有1項占用簇數(shù)起始LCN運行索引項結(jié)構(gòu)偏移大小描述00H1高4位為描述起始的LCN所需字節(jié)數(shù)(L)低4位為表示連續(xù)占用簇數(shù)所需的字節(jié)數(shù)(N)如果該字節(jié)為00H,則表示運行表結(jié)束01HN該運行連續(xù)占用的簇數(shù)N+1L第一個運行項表示為起始LCN,第二個及以后的運行項則是以補碼表示距離第一個運行項的偏移簇號運行項從偏移40H處起始,描述了一個至多個區(qū)塊。工單-提取用戶文件數(shù)據(jù)03任務(wù)實施

工單任務(wù)

項目四

任務(wù)4.4

提取用戶文件數(shù)據(jù)自足專業(yè)奮發(fā)有為五、讀取用戶文件數(shù)據(jù)演示對NTFS分區(qū)中指定文件的屬性分析過程。準備好NTFS分區(qū)的演示環(huán)境,如虛擬機、Winhex等。搜尋指定的文件記錄項。分析80H屬性,讀取文件數(shù)據(jù)組成文件判斷是否與原文件相同??偨Y(jié)與拓展04總結(jié)1.搜索用戶文件的文件記錄項。2.分析文件記錄項屬性列表組

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論