NTFS分區(qū)格式化后用WINHEX手工提取數(shù)據(jù)一例

這是我們這里的一同行轉(zhuǎn)到我這里來的一個數(shù)據(jù)，據(jù)客戶描述故障為：盤分了三個區(qū)在一次意外死機(jī)后重啟電腦后客戶繼續(xù)死機(jī)前的工作打開最后一個區(qū)（前兩個區(qū)是正常的）提示未格式化（其實大多數(shù)朋友知道這時的問題簡單得多也許重建DBR后整個盤里面的數(shù)據(jù)都在,這里暫且就不談這種問題的解決方法了），要命的是這時客戶鬼使神差地點擊了格式化了，結(jié)果大家當(dāng)然就知道了，數(shù)據(jù)肯定是沒有了。據(jù)轉(zhuǎn)到我這里的那同行說他用各種搜索軟件對整個區(qū)搜了好幾遍（這也是大多數(shù)所謂專業(yè)的數(shù)據(jù)恢復(fù)商所用的恢復(fù)方法了），當(dāng)然也搜到了很多數(shù)據(jù)，盡管很亂但還能正常打開。最后客戶確認(rèn)搜出來數(shù)據(jù)大部份正常，但客戶最重要的的一個壓縮文件損壞了，（據(jù)客戶說那壓縮文件是他多年搞設(shè)計購買的素材庫的精華）。大家知道壓縮文件損壞了是很難很難修復(fù)的了。首先我用WINHEX把他搜出來的那個壓縮文件打開分析了下，文件頭亂了，中間的數(shù)據(jù)也不正常。無法修復(fù)，只好從原盤著手了。竟然搜索軟件搜出來的是損壞的，那就只有用手工來做了，當(dāng)然用手工做這種格式化了的數(shù)據(jù)很費(fèi)時，且計算量也很大，只能針對像這樣的個別特重要的數(shù)據(jù)。對原盤的那個格式化掉的分區(qū)做完鏡像后，用WINHEX打開鏡像，設(shè)置鏡像文件為磁盤。如下圖所示：IMUHU_J-SEri?nd5MFTISrt'isp$UFTUirT孔叩FPg^tfdlumb■!J.Ji2000)0和D2DD&1]7JD￡￡aH泗MTS20BMZ??型噸日劉誠20(111074?2Xa<liJfl!520[*1]70￡(BTU.623144540IMUHU_J-SEri?nd5MFTISrt'isp$UFTUirT孔叩FPg^tfdlumb■!J.Ji2000)0和D2DD&1]7JD￡￡aH泗MTS20BMZ??型噸日劉誠20(111074?2Xa<liJfl!520[*1]70￡(BTU.623144540kb如q削mm?0QMW520DM7W納囂ZtWtohr2QQM湖.ioowir.m.靈阿旳噸□StHiaOTiTIaooa扣佃2DD&flT.iO5SH352k@.2CW07A520&M7JO5..SHK70M..0EWBSOOBBTfl]..anDauTW.3-1Z4TDEI1￡QKB蒯聞刑$Hows賞idSytRM.aooftfliw..SH■-■SMaOTffl丹卻他2DDMT.W.SHKI7DB1..ISBirrop□Saud」SdadOua_]4S&wre?G3MTF百IU訃配Kid也玄團(tuán)麗10nHnOffsetMGOB&30OflO.WG0UCOCO32CO&OOMIXNSWCODCOKifiliMMWtXIMBiJwcoDffiwae.MDimii.200M7AEZOKiXlfCE0昨申20CW5M20?4)7?520B&fl7?9H*nriT二博硼屮粗IB無耀陽置普i碼2&&i9?aa0已知fl生冃?.0WB聞t即字牛cjqqMMOiXiOllSWMWM012SKIOOO(WOM4&3GOD000160MOOOMOlTf.WM0CO0192oocooMoeos□JDOOftJ02210123EE53SO呃m(xù)o&oo&oOD0000COsoooocMF60D00WmsooowIFLI6S664653?5AA7&滋13軸山OO婪33Cd13OFoaCl2EKFT06114QQOS&CB関SI5468QTB&IS55161616兇9Ufi6&OJ5&7已4&酮20MFaflDMWOG80KiM00flOCO01OD<3000FA33COEEMCE8E1615E-q41BBFTClU1MM49甜城?50IF72OF00仙IE00031.6CF77EFB8DO435091?5闢70flEIE曲甜忸開IE06?&ULJ20FFz?J2F6M&6g或88(K誦應(yīng)帖FSWOTIS92owloTtT6KKI5503cfl3B%迅olalwreoos-UFCETD圧必5E1kDBq$1121-_.-r-fl33I-atflT-5flu52$512§-uQo3Dfl血o3oooooo&E2-u&oo631ev--c-h-3TJ3791Don-2n-5]oJMc13"24H-E4VF_hz&■Ds_-.bTsLDF-uBF6oftcQE01DD-Z7Tu&TU&1Fr-od-ofl-5-dFEriAcE3i5_u!LiCID哺oil訕盟cflM8]E3E[E2sclo眄lz聲6AU(13eFo或Br必&TI2-^gc1csccF6Gft-11731c-MlE1分區(qū)是NTFS格式的，整個分區(qū)大小為25.4G。對NTFS分區(qū)格式研究過的朋友會知道，在NTFS文件系統(tǒng)中，文件亦是按簇進(jìn)行分配的，文件通過主文件表MFT（MasterFileTable）來確定其在磁盤上的存儲位置、大小、屬性等信息。相當(dāng)于FAT系統(tǒng)下的FAT+FDT的功能。每文件都有一個文件記錄。其中第一個記錄就是MFT自己本身。我們轉(zhuǎn)到第一個文件記錄也就是MFT了直接點可以看到如下圖所示：

硬盤1.分區(qū)2100%歸HTFSOffset123目56?9101213L41.5▼1塵0二jjz.03221225472鴨M)4C453000Q30091100000000000AA032iil2254880101Ou380001009S01000004Ouuo—3—Kt0322L22S5040GOO0000加0000000600000000加00—LI0322L22552002OO00000000000010000060000000—Drva0322L22553600W1800加000000脯00DO18000DOfl二H032212255524L葩揭EAA6D3C00LE4舫場DEca01LJLiTS可兀的葩胡器京回「0322L22556S韭陷EAA6DECS01醴E4A6匪DllC301-l!U786432032212255840&OO000000加00QD0000CD0000DO00jQ-,*SMFT就｝0322L2256000D曲0000000100000000000000加00A\0322L225616000000聞000000300000680000000h咽矽謂"片鐘區(qū)闡0322L22563200CMIS000000030G5A0000IS000100J卿H5區(qū)綢號.329111610322L22564805&0000000000500QEE.4A6HAk6DEC801Lji翅吊區(qū)淚馬6291456032212256644EEQ姑血A6DEC801犯E.4A6EADEC801Li二U已供用空冃呂EQMR0322L2256E04HEy鵡邛A6D5C801004000GG0000血00Li￡-W.15744Q宣苓0322122569600doCO0000000000060000曲000DDO00辛宰諄.25JGB032212257120d032400刖00460Q5400000000000000s制FT27s23fl.B9S.B00豐苜03221225728soM0000仙000Q譏004(?DO00000100H二25.5GB032212.2574400ao0000000000OF0000GO0000wg*^[x62-145b'5^1-12S通過第一個文件記錄往下觀察發(fā)現(xiàn)格式化了后對文件記錄沒有產(chǎn)生破壞。那么這時我們就可以有一個恢復(fù)的思路了：找客記所說的那個壓縮文件的在MFT中的記錄，再通過對文件記錄的分析來確定文件在磁盤中的位置及大小，就可以直接從中提出文件了。想到做到，據(jù)客戶告之，壓縮文件名為：源文件與素材。那好，我們可以新建一個文本記事本只輸入壓縮文件名戶告之，壓縮文件名為：源文件與素材。那好，我們可以新建一個文本記事本只輸入壓縮文件名源文件與素材！保存，再用WINHEX打開可以看到如下圖：然后再轉(zhuǎn)回來，直接從第一個文件記錄往下開始搜索十六進(jìn)制數(shù)值906E8765F64E0E4E207D5067搜索到了一個地方停下來了，看看是不是那個壓縮文件的記錄呢看下圖：；Offset0123；Offset012345678910111213141503237054672B：324691A5DEC3010000D30200000000032370546360000000000OO00002000DO0000000000032370547040902906E8765F64E7E0031002E0052000323705472041005200720000003000000070OO0000032370547360000000000QO0200560000001800010003237054752DS00000Q00000500Bl324691A5DECG01032370F4753Bl824691A5DEC301Bl324691A5DECS0103237054784Bl&24691A5DEC3010000DS020000000003237054800000000000000Q00020000000000000000323Y0F4S160A01906E8765F64E0E4E207D50572E00032370548327200610072000000SO000000480000000323T05484801000000000001000000000000000000032370548&47F2D000000000000400000000000000003237GE4S800000DS0200000000A7FlD70200000000032370548%A7FlD7020000000032802DD55817000003237054912VVFFFF嚇3279軒11000000000000000003237054928000000000000oa0000000000000000000323705494^00000000000000000000000000000000偏移：32370bW5二二花-LJ花部二L」花部二LJ花SF-U'亡恿交件與羞料?r3rH二@-總二二禍二藝1441選塊；根據(jù)觀察可以看出正是客戶要的那個壓縮文件的記錄，那么我們又如何來確定這個壓縮文件在磁盤上的那一個扇區(qū)？占用了多少的扇區(qū)呢？這個就需要對NTFS格式有所了解了。NTFS將文件作為屬性、屬性值集合來處理，這一點與其他文件系統(tǒng)不一樣?？梢钥吹皆贛FT中用了不同顏色的段來區(qū)分，B1B1OOH(znfl--yFA.7邛010100<Eoo11-uEooooooo-ooo^-ooooo9100缸轉(zhuǎn)側(cè)30003237054464C3237054^8U03237054^96032370545120323705^528032370545^'；D32370L?4560032370545760323705459203237054608032370E4624032370546^0Q323M54E氐332370!?4672032370b46Eb032370547040323705472003237054736fl3237054752033370517^03237DH73^t)323?0E>4S0U032370548160323705i332A323705484S訓(xùn)朗35牴開032370HS303^23705^%s^a=1ooollooo0000-0000Mfww匿C3MB1B1OOH(znfl--yFA.7邛010100<Eoo11-uEooooooo-ooo^-ooooo9100缸轉(zhuǎn)側(cè)30003237054464C3237054^8U03237054^96032370545120323705^528032370545^'；D32370L?4560032370545760323705459203237054608032370E4624032370546^0Q323M54E氐332370!?4672032370b46Eb032370547040323705472003237054736fl3237054752033370517^03237DH73^t)323?0E>4S0U032370548160323705i332A323705484S訓(xùn)朗35牴開032370HS303^23705^%s^a=1ooollooo0000-0000Mfww匿C3M淌⑶悴翳罰幣的阿肋蛇脯壷刊IraFfitMolMwM腫00III-oOEEOloo-o-SEOSOOO-EEXUoddooooodd-o6oooddooo5&G9ooo55o72Gft-55.GoAAon-DonAoBT-uflAAD00130000-9900Mw釀"MM0020000002202OOS8OOOOO8BOO-uo11ooo9oww牡非⑻00220oo8n-uo89IQ1112131415翱180903UO000000CB01LiC0000肚0000OiOODOOO&23C0000刖it他GE屈DE閉0]Bl32463]塚UECEi01OliOOOO00M000000MOOOOOGM00000011ooOoQooOHooa-QO2ccoD--DDECJE怖屈DCM匹11200990006-6-soL44Do3ni2ooo88000B1B1IK2C7E0001龍'It-9;麗DE朋Q]O0四029QOQDOQQOOOOOD0000oduO目E207D站S72&&7Dfl-D2O1Oo-FE0-00ooD0-0000-00070-01wQfl關(guān)025oQD二甲H:我部二L.sM-LI

毬直二Id花誌二Ljt>二花F-LitttF2L花5f-L|utF2Li-Tif文件-TRARIopzvz-二二花P-L|往誹：L』花5f-L|tttF1U-C耳立骨與幸材tarH:@如上圖所標(biāo)記的，第一個為文件記錄頭，第二個10H表示標(biāo)準(zhǔn)屬性，第三個30H表示文件名屬性，最后一個80H表示數(shù)據(jù)流屬性也就是關(guān)鍵所在了。這里我們只分析數(shù)據(jù)流屬性，其它屬性就不一一分析了，可以查看相關(guān)資料。每一個屬性都為兩部份：屬性頭和內(nèi)容。先來分析數(shù)據(jù)流屬性的屬性頭：從第1第4四個字節(jié)表示屬性的類型，第5第8四個字節(jié)這里的值是48000000表示屬性的長度（包括屬性頭和內(nèi)容）為72個字節(jié)。從17到24共8個字節(jié)表示起始的VCN即虛擬簇號，第25到32共8個字節(jié)表示結(jié)束的VCN此處為2D7FH也就是這個壓縮文件占用了11648個簇。再往下分析從33到40共8個字節(jié)表示數(shù)據(jù)運(yùn)行的偏移。此處為40H也就是從第64個字節(jié)開始了。我們就直接來分析數(shù)據(jù)運(yùn)行也只有這一個運(yùn)行32802DD55817所以起始的LCN即邏輯簇號為1758D5H=1530069,長度為2D80H=11648。接下來我們轉(zhuǎn)到1530069簇看Offset01235&7891006267152624盟6172211A0700CF9073QQ0626716264000M0000532E7dCOE2dS00Q6Z6716265S450100020BPFTB40Bl7335062571&2&7220帥0000D5D5C&AC5C315C06267162￡S32E6A7067DO71606747725CQ&2GT1&27QN3161祀2E6A00706TISID06257162720的CDDE371392磔9127中SE06267162736的23749B酮D21600514906267162Y52D22510開脂93E804飼91230626716276E1E6聊2F5D2E3AOF5377DFF70626Y162784疥961B99ET50DD5D5DD36606267162300AA陋6AAEAA極ALE3DTAE旳0^2671622160E34FCOFC4CPFETBOFSI2E06267162B3247酣CO6690603B09D2OBC206267162348弱513ft05D?30EB別53IS06267162E64F1DB0262PESOCO00S803E&0626716238052dE514E.00陽40OS0500.FF06267162S9G29庖EQ9ft需32隠A26603S90626716291211FB03E6EEC2SO227C3CDB0&Z6Tlf>2928A19E4?ES60303275BC60020626716294^瑪制0163旳23E2IFBA9C1406267162960茁37OLFB68&F7CA3IFD?9A0$S6T162ST$5AB?41&€IB鐘E43015AS0￡2671G29$26EFAABB3犯盟272S2S軒0626716300867軒DF9SFidF876104C2810626716302^34E4嚇EC13&081OE10Ct9006267163040F4BS878