計算機數(shù)據(jù)恢復(fù)技術(shù) 課件 第3章 3.2.3-3.3 NTFS下的數(shù)據(jù)恢復(fù)、exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)

第3章Windows系統(tǒng)的數(shù)據(jù)恢復(fù)技術(shù)3.2NTFS下的數(shù)據(jù)恢復(fù)3.2.3

從NTFS中提取數(shù)據(jù)

要想在NTFS中提取數(shù)據(jù)，就要先找到記錄存放該數(shù)據(jù)的文件的MFT。

接下來，我們就以“FileExtrac2”盤中的6號文件為例，看看如何在NTFS中找到自己所需要的數(shù)據(jù)并提取出來。

“FileExtrac2”盤如圖3-83所示。圖3-83“FileExtrac2”盤3.2NTFS下的數(shù)據(jù)恢復(fù)3.2.3

從NTFS中提取數(shù)據(jù)

要想在NTFS中提取數(shù)據(jù)，就要先找到記錄存放該數(shù)據(jù)的文件的MFT。

接下來，我們就以“FileExtrac2”盤中的6號文件為例，看看如何在NTFS中找到自己所需要的數(shù)據(jù)并提取出來。

6號文件如圖3-84所示。圖3-846號文件3.2NTFS下的數(shù)據(jù)恢復(fù)3.2.3

從NTFS中提取數(shù)據(jù)

第1步，定位DBR。通過分區(qū)表定位DBR的位置，通過DBR的PBP參數(shù)就可以定位這個分區(qū)$MFT的位置。DBR的PBP參數(shù)如圖3-85所示。圖3-85DBR的PBP參數(shù)3.2NTFS下的數(shù)據(jù)恢復(fù)3.2.3

從NTFS中提取數(shù)據(jù)

第2步，定位MFT。根據(jù)DBR的PBP參數(shù)可以知道MFT的起始位置在786432號簇（注意，這里是以簇來記錄的），知道MFT的起始簇就可以計算它的位置了。其計算公式為：

MFT的起始位置=MFT的起始簇號×每簇扇區(qū)數(shù)（2G以上硬盤都是8）+隱含扇區(qū)數(shù)。3.2NTFS下的數(shù)據(jù)恢復(fù)3.2.3

從NTFS中提取數(shù)據(jù)

計算結(jié)果為MFT在6293504扇區(qū)，如圖3-86所示。圖3-86$MFT文件的起始位置3.2NTFS下的數(shù)據(jù)恢復(fù)3.2.3

從NTFS中提取數(shù)據(jù)

第3步，定位根目錄位置。NTFS的根目錄記錄在MFT的05表項，如圖3-87所示。圖3-8705表項3.2NTFS下的數(shù)據(jù)恢復(fù)3.2.3

從NTFS中提取數(shù)據(jù)

找到05表項，就可以開始定位根目錄所在的位置了。先在05表項中找到A0H屬性，如圖3-88所示。圖3-8805表項的A0H屬性3.2NTFS下的數(shù)據(jù)恢復(fù)3.2.3

從NTFS中提取數(shù)據(jù)

根目錄所在簇記錄在05表項A0H屬性的最后8個字節(jié)，如圖3-89所示。圖3-89根目錄所在簇3.2NTFS下的數(shù)據(jù)恢復(fù)3.2.3

從NTFS中提取數(shù)據(jù)

通過圖3-89我們知道了根目錄在65

552

354號簇。現(xiàn)在，要將簇轉(zhuǎn)換為扇區(qū)來計算。

根目錄所在位置計算公式為：

根目錄所在位置=根目錄起始簇號×每簇扇區(qū)數(shù)+隱含扇區(qū)數(shù)：3.2NTFS下的數(shù)據(jù)恢復(fù)3.2.3

從NTFS中提取數(shù)據(jù)

計算結(jié)果為524420880，所以根目錄在524420880扇區(qū)，如圖3-90所示。圖3-90根目錄所在位置3.2NTFS下的數(shù)據(jù)恢復(fù)3.2.3

從NTFS中提取數(shù)據(jù)

第4步，定位記錄6號文件的元文件。找到根目錄就可以定位記錄6號文件的元文件了。圖3-91

6號文件的元文件的文件記錄

向下翻找，找到記錄6號文件的元文件的文件記錄，如圖3-91所示。3.2NTFS下的數(shù)據(jù)恢復(fù)3.2.3

從NTFS中提取數(shù)據(jù)NTFS根目錄中的文件記錄一般是6行96個字節(jié)。找到6號文件的元文件的文件的記錄后，看記錄的第一個字節(jié)。圖3-92搜索2A

從圖3-91中我們可以看到6號文件的元文件的文件記錄的第一個字節(jié)是2A。

這說明6號文件的元文件在2A表項。接下來，跳轉(zhuǎn)到MFT，用查找十六進(jìn)制數(shù)值功能搜索2A，如圖3-92所示。3.2NTFS下的數(shù)據(jù)恢復(fù)3.2.3

從NTFS中提取數(shù)據(jù)6號文件的元文件如圖3-93所示。圖3-936號文件的元文件3.2NTFS下的數(shù)據(jù)恢復(fù)3.2.3

從NTFS中提取數(shù)據(jù)

第5步，提取6號文件。找到記錄6號文件的元文件的80H屬性。圖3-946號文件數(shù)據(jù)流

6號文件的大小和起始位置記錄在80H屬性的最后8個字節(jié)里。6號文件數(shù)據(jù)流如圖3-94所示。3.2NTFS下的數(shù)據(jù)恢復(fù)3.2.3

從NTFS中提取數(shù)據(jù)

從圖3-94中可以看出，6號文件的起始簇為23260號簇。6號文件占了7個簇。

知道了起始簇的位置和大小后，就可以開始提取數(shù)據(jù)了。先計算6號文件開頭在第幾個扇區(qū)，其計算公式為：

文件起始扇區(qū)=文件起始簇×每簇扇區(qū)數(shù)（這里是8）+隱含扇區(qū)（這里是2048）3.2NTFS下的數(shù)據(jù)恢復(fù)3.2.3

從NTFS中提取數(shù)據(jù)

計算結(jié)果為188128，所以6號文件開頭在188128扇區(qū)，如圖3-95所示。圖3-956號文件開頭的位置3.2NTFS下的數(shù)據(jù)恢復(fù)3.2.3

從NTFS中提取數(shù)據(jù)

文件結(jié)束扇區(qū)的計算公式為：圖3-96

6號文件結(jié)尾的位置

文件結(jié)束扇區(qū)=文件開始扇區(qū)（這里是188128扇區(qū)）+文件所占簇數(shù)（這里是7）×每簇扇區(qū)數(shù)（這里是8）

計算結(jié)果為188184，所以6號文件結(jié)尾在188184扇區(qū)，如圖3-96所示。3.2NTFS下的數(shù)據(jù)恢復(fù)3.2.3

從NTFS中提取數(shù)據(jù)

當(dāng)6號文件頭尾位置都知道后，就可以把6號文件提取出來了。先跳轉(zhuǎn)到6號文件開頭的位置，選中第一個字節(jié)并右擊，選擇“選塊起始位置”命令，如圖3-97所示。圖3-97選擇“選塊起始位置”命令3.2NTFS下的數(shù)據(jù)恢復(fù)3.2.3

從NTFS中提取數(shù)據(jù)

再跳轉(zhuǎn)到6號文件結(jié)尾的位置，在6號文件結(jié)尾后任意一空白處右擊，選擇“選塊尾部”命令，如圖3-98所示。圖3-98選擇“選塊結(jié)尾”命令3.2NTFS下的數(shù)據(jù)恢復(fù)3.2.3

從NTFS中提取數(shù)據(jù)

然后，右擊，選擇“編輯”命令，如圖3-99所示。圖3-99選擇“編輯”命令3.2NTFS下的數(shù)據(jù)恢復(fù)3.2.3

從NTFS中提取數(shù)據(jù)

打開的菜單中，選擇“復(fù)制選塊”→“至新文件”命令，如圖3-100所示。圖3-100選擇“復(fù)制選塊”“至新文件”命令3.2NTFS下的數(shù)據(jù)恢復(fù)3.2.3

從NTFS中提取數(shù)據(jù)

在打開的“另存為”對話框中，單擊“保存”按鈕，如圖3-101所示。圖3-101“另存為”對話框3.2NTFS下的數(shù)據(jù)恢復(fù)3.2.3

從NTFS中提取數(shù)據(jù)

這樣，整個6號文件就被提取出來了。提取出來的6號文件如圖3-102所示。圖3-102提取出來的6號文件3.2NTFS下的數(shù)據(jù)恢復(fù)3.2.4NTFSDBR遭破壞后的恢復(fù)

如果雙擊NTFS分區(qū)“K”盤時出現(xiàn)如圖3-103所示的提示信息，當(dāng)“K”盤沒有任何物理故障時，不要單擊“格式化磁盤”按鈕，否則“K”盤中的數(shù)據(jù)會被清空。這種故障很明顯是文件系統(tǒng)遭到了破壞。圖3-103雙擊NTFS分區(qū)“K”盤時出現(xiàn)的提示信息3.2NTFS下的數(shù)據(jù)恢復(fù)3.2.4NTFSDBR遭破壞后的恢復(fù)

用WinHex打開“K”盤，檢查發(fā)現(xiàn)“K”盤DBR遭到了破壞，如圖3-104所示。圖3-103雙擊NTFS分區(qū)“K”盤時出現(xiàn)的提示信息3.2NTFS下的數(shù)據(jù)恢復(fù)3.2.4NTFSDBR遭破壞后的恢復(fù)

從圖3-104中可以看出，“K”盤DBR已經(jīng)被清零。DBR是文件系統(tǒng)中一個非常重要的扇區(qū)。這個扇區(qū)被破壞后分區(qū)將無法打開。

一般修復(fù)DBR扇區(qū)的方法有兩種：第一種是找到DBR的備份，然后將整個扇區(qū)復(fù)制到DBR的位置（NTFSDBR的備份一般在分區(qū)的最后扇區(qū)）；第二種為手工修復(fù)。手工修復(fù)的方法如下。

首先，自建一個NTFS格式的磁盤，然后把自建盤DBR復(fù)制到故障盤DBR的位置（復(fù)制快捷鍵為“Ctrl+C”組合鍵，填入快捷鍵為“Ctrl+B”組合鍵），如圖3-105所示。3.2NTFS下的數(shù)據(jù)恢復(fù)3.2.4NTFSDBR遭破壞后的恢復(fù)圖3-105把自建盤DBR復(fù)制到故障盤DBR的位置3.2NTFS下的數(shù)據(jù)恢復(fù)3.2.4NTFSDBR遭破壞后的恢復(fù)

其次，自建盤DBR復(fù)制到故障盤DBR的位置后不能直接使用，還要修改其中幾個重要參數(shù)。

（1）0DH：每簇扇區(qū)數(shù)。對于2G以上分區(qū)，每簇扇區(qū)數(shù)均為8，如圖3-106所示。圖3-106每簇扇區(qū)數(shù)3.2NTFS下的數(shù)據(jù)恢復(fù)3.2.4NTFSDBR遭破壞后的恢復(fù)

（2）1CH～1FH：隱含扇區(qū)數(shù)。隱含扇區(qū)數(shù)可以在分區(qū)表中查看。如果分區(qū)表被破壞，隱含扇區(qū)可以在EBR中查看。這里將隱含扇區(qū)數(shù)改為2048，如圖3-107所示。圖3-107隱含扇區(qū)數(shù)3.2NTFS下的數(shù)據(jù)恢復(fù)3.2.4NTFSDBR遭破壞后的恢復(fù)

（3）28H～2BH：分區(qū)大小。分區(qū)大小可以在分區(qū)表中查看，也可以用分區(qū)的最后一個扇區(qū)偏移地址減去隱含扇區(qū)偏移地址得到。這里將分區(qū)大小改為4095992個扇區(qū)，如圖3-108所示。圖3-108分區(qū)大小3.2NTFS下的數(shù)據(jù)恢復(fù)3.2.4NTFSDBR遭破壞后的恢復(fù)

（4）30H～33H：$MFT文件的起始簇號，如圖3-109所示。圖3-109$MFT文件的起始簇號3.2NTFS下的數(shù)據(jù)恢復(fù)3.2.4NTFSDBR遭破壞后的恢復(fù)

$MFT文件的起始簇號可以在DBR后第16個扇區(qū)MFT備份80H屬性中查到，如圖3-110所示。圖3-110MFT備份80H屬性3.2NTFS下的數(shù)據(jù)恢復(fù)3.2.4NTFSDBR遭破壞后的恢復(fù)

（5）38H～3BH：$MFTmirr文件的起始簇號，如圖3-111所示。圖3-111$MFTmirr文件的起始簇號DBR修復(fù)結(jié)束后保存即可。3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.1exFAT文件系統(tǒng)的使用與特點

exFAT文件系統(tǒng)全稱為ExtendedFileAllocationTableFileSystem，即擴展文件分配表文件系統(tǒng)，是WindowsEmbeded6.0（包括WindowsCE6.0和WindowsMobile）平臺中引入的一種適合閃存的文件系統(tǒng)。1．如何使用exFAT文件系統(tǒng)

微軟公司在WindowsCE6.0操作系統(tǒng)中首次推出exFAT文件系統(tǒng)后，也逐漸把exFAT文件系統(tǒng)應(yīng)用于桌面操作系統(tǒng)中。桌面操作系統(tǒng)從WindowsVistaSP1版本起開始支持exFAT文件系統(tǒng)，而WindowsXP操作系統(tǒng)目前還沒有直接提供對exFAT文件系統(tǒng)的支持。

如果想在WindowsXP操作系統(tǒng)中使用exFAT文件系統(tǒng)，用戶需要到微軟公司官方網(wǎng)站下載一個特殊補丁。該補丁不是必備的補丁，僅僅是為了提供對exFAT文件系統(tǒng)格式的支持。在WindowsXP操作系統(tǒng)中支持exFAT文件系統(tǒng)的補丁名稱為“KB955704”。3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.1exFAT文件系統(tǒng)的使用與特點2．exFAT文件系統(tǒng)的特點exFAT文件系統(tǒng)是為閃存介質(zhì)而生的?，F(xiàn)在閃存介質(zhì)的容量越來越大，F(xiàn)AT文件系統(tǒng)能夠管理的空間有限，NTFS由于其系統(tǒng)性質(zhì)又不適合使用于閃存介質(zhì)，所以微軟公司推出了exFAT文件系統(tǒng)。exFAT文件系統(tǒng)跟原來的FAT文件系統(tǒng)相比，主要有以下特點”。

（1）支持更大的分區(qū)。

（2）支持更大的文件。

（3）支持更大的簇。

（4）支持訪問控制列表。

（5）支持安全FAT（Transaction-safeFAT，TFAT）文件系統(tǒng)。

（6）支持快速分配的簇位圖功能。

（7）擁有更好的磁盤連續(xù)布局功能。3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.1exFAT文件系統(tǒng)的使用與特點

（8）支持通用協(xié)調(diào)時間的時間戳

（9）增加了臺式計算機與移動媒體之間的兼容性。

雖然exFAT文件系統(tǒng)有這么多特點，但要被廣泛接受還需要較長的時間。它更多意義上是一項立足于未來的技術(shù)。在操作系統(tǒng)方面，只有WindowsVistaSP1和WindowsCE6.0才可以支持exFAT文件系統(tǒng)，而WindowsXP操作系統(tǒng)則需要打?qū)ｉT的補丁后才能支持exFAT文件系統(tǒng)，而Mac、Linux、UNIX等操作系統(tǒng)暫時還不能支持exFAT文件系統(tǒng)。至于數(shù)碼相機、智能手機等設(shè)備，可以通過固件升級來支持exFAT文件系統(tǒng)，但這也得等到廠商推出相應(yīng)的固件才能實現(xiàn)。3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.2exFAT文件系統(tǒng)的結(jié)構(gòu)

exFAT文件系統(tǒng)由DBR及其保留扇區(qū)、FAT、簇位圖文件、大寫字符文件、用戶數(shù)據(jù)區(qū)5個部分組成，如圖3-112所示。圖3-112exFAT文件系統(tǒng)的結(jié)構(gòu)3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.2exFAT文件系統(tǒng)的結(jié)構(gòu)

這些結(jié)構(gòu)是在分區(qū)被格式化時被創(chuàng)建出來的。它們的含義如下：

（1）DBR及其保留扇區(qū)。

（2）FAT。

（3）簇位圖文件。

（4）大寫字符文件。

（5）用戶數(shù)據(jù)區(qū)。3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.2exFAT文件系統(tǒng)的結(jié)構(gòu)

1．exFAT文件系統(tǒng)的DBR分析DBR開始于exFAT文件系統(tǒng)的第一個扇區(qū)。當(dāng)計算機啟動時首先由BIOS讀入主引導(dǎo)盤MBR的內(nèi)容，以確定各個邏輯驅(qū)動器及其起始地址，然后調(diào)入活動分區(qū)的DBR，將控制權(quán)交給DBR，并由DBR來引導(dǎo)操作系統(tǒng)。exFAT文件系統(tǒng)的DBR由6個部分組成，分別為跳轉(zhuǎn)指令、OEM代號、保留區(qū)、BPB、引導(dǎo)程序和結(jié)束標(biāo)志。3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.2exFAT文件系統(tǒng)的結(jié)構(gòu)

如圖3-113所示為一個完整的exFAT文件系統(tǒng)的DBR圖3-113一個完整的exFAT文件系統(tǒng)的DBR3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.2exFAT文件系統(tǒng)的結(jié)構(gòu)1）跳轉(zhuǎn)指令

跳轉(zhuǎn)指令占用2個字節(jié)，用于將程序執(zhí)行流程跳轉(zhuǎn)到引導(dǎo)程序處。當(dāng)前DBR中的“EB76”就是代表匯編語言的“JMP76”。該指令因本身占用2個字節(jié)，在計算跳轉(zhuǎn)目標(biāo)地址時以該指令的下一個字節(jié)為基準(zhǔn)，所以實際執(zhí)行的下一條指令應(yīng)位于78H。在這之后跳轉(zhuǎn)的是一條空指令NOP（90H）。2）OEM代號

OEM代號占用8個字節(jié)，并由創(chuàng)建該文件系統(tǒng)的OEM廠商具體安排其內(nèi)容。例如，微軟公司的WindowsVista操作系統(tǒng)將此處設(shè)置為文件系統(tǒng)類型“exFAT”。

3）保留區(qū)DBR的0BH～3FH是原來的FAT文件系統(tǒng)BPB所占用的空間，而exFAT文件系統(tǒng)不使用這些字節(jié)。3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.2exFAT文件系統(tǒng)的結(jié)構(gòu)4）BPBexFAT文件系統(tǒng)的BPB是從DBR的40BH偏移地址開始的，占用56個字節(jié)，記錄了有關(guān)exFAT文件系統(tǒng)的重要信息。exFAT文件系統(tǒng)的BPB各字段的含義如表3-54所示。偏移地址字段長度/個字節(jié)含義偏移地址字段長度/個字節(jié)含義40H8隱含扇區(qū)數(shù)5CH4卷內(nèi)總簇數(shù)48H8分區(qū)大小60H4根目錄起始簇號50H4FAT起始扇區(qū)號64H4卷ID54H4FAT扇區(qū)數(shù)6CH1扇區(qū)大小58H42號簇起始扇區(qū)號6DH1每簇扇區(qū)數(shù)3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.2exFAT文件系統(tǒng)的結(jié)構(gòu)

BPB也可以使用WinHex的DBR模板來查看。

打開WinHex的“模板管理器”對話框，選擇“exFAT引導(dǎo)扇區(qū)”選項，如圖3-114所示。圖3-114“模板管理器”對話框3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.2exFAT文件系統(tǒng)的結(jié)構(gòu)

單擊“應(yīng)用”按鈕后，就可以查看exFAT文件系統(tǒng)的DBR模板，如圖3-115所示。圖3-115exFAT文件系統(tǒng)的DBR模板3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.2exFAT文件系統(tǒng)的結(jié)構(gòu)

（1）40H～47H：隱含扇區(qū)數(shù)。隱含扇區(qū)數(shù)是指在本分區(qū)之前使用的扇區(qū)數(shù)，與在分區(qū)表中所描述的該分區(qū)的起始扇區(qū)號一致。對于主磁盤分區(qū)來講，隱含扇區(qū)數(shù)是MBR到該分區(qū)DBR之間的扇區(qū)數(shù)；對于擴展分區(qū)中的邏輯驅(qū)動器來講，隱含扇區(qū)數(shù)是EBR到該分區(qū)DBR之間的扇區(qū)數(shù)。

（2）48H～4FH：分區(qū)大小。分區(qū)大小是指分區(qū)的總扇區(qū)數(shù)，由8個字節(jié)組成，也就是64位，所以能管理的最大分區(qū)為264×512B=273B=8ZB。微軟公司官方網(wǎng)站提供的信息稱，exFAT文件系統(tǒng)理論上最大可以支持64ZB的分區(qū)，但從這里只能算出最大分區(qū)為8ZB。

（3）50H～53H：FAT起始扇區(qū)號。FAT起始扇區(qū)號為從DBR到FAT之間的扇區(qū)數(shù)。

（4）54H～57H：FAT扇區(qū)數(shù)。FAT扇區(qū)數(shù)是指FAT包含的扇區(qū)數(shù)。3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.2exFAT文件系統(tǒng)的結(jié)構(gòu)

（5）58H～5BH：2號簇起始扇區(qū)號。2號簇起始扇區(qū)號用來描述在文件系統(tǒng)中的第一個簇的起始扇區(qū)號。與傳統(tǒng)FAT文件系統(tǒng)一樣，exFAT文件系統(tǒng)的第一個簇是2號簇，通常2號簇會分配給簇位圖文件使用。因此，2號簇起始扇區(qū)號也就是簇位圖文件的起始扇區(qū)號。

（6）5CH～5FH：卷內(nèi)總簇數(shù)。卷內(nèi)總簇數(shù)是指從卷內(nèi)的第一個簇算起，到卷末尾所包含的簇的總數(shù)。

（7）60H～63H：根目錄起始簇號。分區(qū)在格式化為exFAT文件系統(tǒng)時，格式化程序會在數(shù)據(jù)區(qū)中指派一個簇作為exFAT文件系統(tǒng)的根目錄區(qū)的開始，并把該簇號記錄在BPB中。通常分區(qū)的第一個簇被分配給簇位圖文件使用。簇位圖文件后面是大寫字符文件。大寫字符文件的下一個簇就是根目錄的起始位置了。3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.2exFAT文件系統(tǒng)的結(jié)構(gòu)

（8）64H～67H：卷ID。卷ID是格式化程序在創(chuàng)建文件系統(tǒng)時生成的一組4個字節(jié)的隨機數(shù)值。

（9）6C：扇區(qū)大小。扇區(qū)大小用來描述每扇區(qū)包含的字節(jié)數(shù)。其描述方法為：假設(shè)此處值為N，則每扇區(qū)字節(jié)數(shù)為2N。例如，如果這個字節(jié)為“09”，即每扇區(qū)字節(jié)數(shù)為29=512。

（10）6D：每簇扇區(qū)數(shù)。每簇扇區(qū)數(shù)用來描述每簇包含的扇區(qū)數(shù)。其描述方法為：假設(shè)此處值為N，則每簇扇區(qū)數(shù)為2N。例如，如果這個字節(jié)為“06”，即每簇扇區(qū)數(shù)為26=64。exFAT文件系統(tǒng)能夠支持512B～32MB的簇大小。3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.2exFAT文件系統(tǒng)的結(jié)構(gòu)5）引導(dǎo)程序exFAT文件系統(tǒng)的DBR引導(dǎo)程序占用390個字節(jié)（78H～1FDH）。這部分字節(jié)對于exFAT文件系統(tǒng)來說也是很重要的。如果這部分字節(jié)的數(shù)據(jù)被破壞，則exFAT文件系統(tǒng)將無法使用。6）結(jié)束標(biāo)志exFAT文件系統(tǒng)的DBR結(jié)束標(biāo)志與FAT文件系統(tǒng)的DBR結(jié)束標(biāo)志一樣，均為“55AA”。在exFAT文件系統(tǒng)的DBR之后還有很多保留扇區(qū)，其中12號扇區(qū)為DBR的備份。如果DBR遭到破壞，可以用DBR的備份進(jìn)行修復(fù)。3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.2exFAT文件系統(tǒng)的結(jié)構(gòu)2．exFAT文件系統(tǒng)的FAT分析1）FAT的作用及結(jié)構(gòu)特點FAT（FileAllocationTab1e）即文件分配表，對于ExFAT文件系統(tǒng)來講也是很重要的一個組成部分，其主要作用及結(jié)構(gòu)特點如下。

（1）exFAT文件系統(tǒng)一般只有一個FAT。

（2）FAT跟在DBR之后，其具體地址由DBR的BPB中偏移地址為50H～53H的4個字節(jié)描述。

（3）FAT是由FAT表項構(gòu)成的。

（4）每個FAT項都有一個固定的編號，這個編號從0開始，也就是說，第一個FAT項是0號FAT項，第二個FAT項是1號FAT項，以此類推。3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.2exFAT文件系統(tǒng)的結(jié)構(gòu)2．exFAT文件系統(tǒng)的FAT分析

（5）FAT的前兩個FAT項有專門的用途：0號FAT項通常用來存放分區(qū)所在的介質(zhì)類型，比如硬盤的介質(zhì)類型為“F8”，那么硬盤上分區(qū)FAT的第一個FAT項就以“F8”開始；1號FAT項一般都是4個“FF”。

（6）在數(shù)據(jù)區(qū)中每一個簇都會映射到FAT中的唯一一個FAT項。。

（7）分區(qū)格式化后，分區(qū)的兩個元文件及用戶文件都以簇為單位存放在數(shù)據(jù)區(qū)中，一個文件至少占用一個簇。

（8）綜合上面的說明可以看出，exFAT文件系統(tǒng)FAT的功能主要是記錄不連續(xù)存儲的文件的簇鏈，所以在FAT中看到數(shù)值為0的FAT項并不能說明該FAT項對應(yīng)的簇是可用簇。3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.2exFAT文件系統(tǒng)的結(jié)構(gòu)2．exFAT文件系統(tǒng)的FAT分析2）FAT的實際應(yīng)用

要分析FAT，首先需要找到FAT。下面模擬一下操作系統(tǒng)定位FAT的方法。下面以圖3-113所示的DBR所在分區(qū)為例介紹定位FAT的方法。

系統(tǒng)通過該分區(qū)的分區(qū)表信息，定位到其DBR扇區(qū)。

讀取DBR的BPB，主要讀取“FAT起始扇區(qū)號”參數(shù)，它在DBR的50H～53H偏移地址處，當(dāng)前值為2048（具體參數(shù)可以查看如圖3-115所示的DBR模板信息）。

讀取“FAT起始扇區(qū)號”參數(shù)的值為2048后，跳轉(zhuǎn)到該分區(qū)的2048號扇區(qū)，這里就是FAT的開始位置。3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.2exFAT文件系統(tǒng)的結(jié)構(gòu)

下面跳轉(zhuǎn)到2048號扇區(qū)來具體分析這個扇區(qū)的數(shù)據(jù)結(jié)構(gòu)

該分區(qū)是剛格式化的一個分區(qū)。當(dāng)把分區(qū)格式化為exFAT文件系統(tǒng)時，格式化程序會把分配給FAT的第一個扇區(qū)清零，然后寫入0號FAT項和1號FAT項，另外還會寫入簇位圖文件、大寫字符文件及根目錄所占簇對應(yīng)的FAT項。exFAT文件系統(tǒng)的FAT如圖3-116所示。圖3-116exFAT文件系統(tǒng)的FAT3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.2exFAT文件系統(tǒng)的結(jié)構(gòu)

從圖3-116中可以看出，每個FAT項占用4個字節(jié)。其中，0號FAT項描述介質(zhì)類型，其首字節(jié)為“F8”，表示介質(zhì)類型為硬盤；1號FAT項寫入4個“FF”；2號FAT項對應(yīng)2號簇；3號FAT項對應(yīng)3號簇，直至最后一個簇。目前，在2、3、4這3個FAT項中都是4個“FF”，說明簇位圖文件、大寫字符文件、根目錄各占一個簇。3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.2exFAT文件系統(tǒng)的結(jié)構(gòu)xFAT文件系統(tǒng)的FAT后面就是數(shù)據(jù)區(qū)，但數(shù)據(jù)區(qū)不一定會緊跟在FAT的后面。FAT后面可能還會有一些保留扇區(qū)，每個分區(qū)不一樣，要看實際情況。數(shù)據(jù)區(qū)的開始位置在DBR的BPB中有描述，“2號簇起始扇區(qū)號”參數(shù)的值就是數(shù)據(jù)區(qū)的開始位置。2號簇一般會分配給簇位圖文件使用。3．exFAT文件系統(tǒng)的簇位圖文件分析

簇位圖文件是在分區(qū)格式化時創(chuàng)建的。該文件不允許用戶訪問和修改。3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.2exFAT文件系統(tǒng)的結(jié)構(gòu)

在圖3-113所示的DBR所在分區(qū)，從偏移地址58H～5BH處可以看到，“2號簇起始扇區(qū)號”是10240，跳轉(zhuǎn)到10240扇區(qū)，如圖3-117所示。圖3-1172號簇起始扇區(qū)3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.2exFAT文件系統(tǒng)的結(jié)構(gòu)

該扇區(qū)中“FF01”為簇位圖文件的內(nèi)容。簇位圖文件是exFAT文件系統(tǒng)中的一個元文件，類似于NTFS中的元文件$Bitmap，是用來管理分區(qū)中簇的使用情況的。在簇位圖文件中，每一位映射到數(shù)據(jù)區(qū)中的每一個簇。如果某個簇分配給了文件，該簇在簇位圖文件中對應(yīng)的位就會被填入“1”，表示該簇已經(jīng)被占用；如果沒有使用的空簇，它們在簇位圖文件中對應(yīng)的位就是“0”。

在圖3-117中簇位圖文件的內(nèi)容為“FF01”，換算成二進(jìn)制數(shù)為“00000111”，這8位二進(jìn)制數(shù)對應(yīng)著數(shù)據(jù)區(qū)2號簇到9號簇這8個簇，從“00000111”這個數(shù)值中能夠很明確地看出2、3、4這3個簇是被使用的，其他5個簇未被使用，而2、3、4這3個簇正是被簇位圖文件、大寫字符文件、根目錄所占用的。3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.2exFAT文件系統(tǒng)的結(jié)構(gòu)

大寫字符文件是在分區(qū)被格式化時創(chuàng)建的。該文件不允許用戶訪問和修改。4．exFAT文件系統(tǒng)的大寫字符文件分析

簇位圖文件結(jié)束后的下一個簇一般會分配給大寫字符文件使用。在圖3-113所示的DBR所在分區(qū)中，簇位圖文件只占用一個簇，當(dāng)前分區(qū)為每簇8個扇區(qū)，開始位置往后跳轉(zhuǎn)8個扇區(qū)就到了大寫字符文件的開始位置了，也就是3號簇的開始位置。

大寫字符文件第一個扇區(qū)的前半部分如圖3-118所示，其內(nèi)容均為在Unicode字母表中的字符，每個字符占用2個字節(jié)。

大寫字符文件的大小固定為5836個字節(jié)。3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.2exFAT文件系統(tǒng)的結(jié)構(gòu)

圖3-118大寫字符文件第一個扇區(qū)的前半部分。圖3-118大寫字符文件第一個扇區(qū)的前半部分3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.2exFAT文件系統(tǒng)的結(jié)構(gòu)

1）目錄項的作用及結(jié)構(gòu)特點

5．exFAT文件系統(tǒng)的目錄項分析

（1）在分區(qū)中，每個文件和文件夾（又稱目錄）都被分配多個大小為32個字節(jié)的目錄項。

（3）在exFAT文件系統(tǒng)下，分區(qū)根目錄下的文件及文件夾的目錄項存放在根目錄區(qū)中，而分區(qū)子目錄下的文件及文件夾的目錄項存放在數(shù)據(jù)區(qū)相應(yīng)的簇中。

（4）exFAT文件系統(tǒng)目錄項的第一個字節(jié)用來描述目錄項的類型，剩下的31個字節(jié)用來記錄文件的相關(guān)信息

（2）在exFAT文件系統(tǒng)中，目錄也被視為特殊類型的文件，所以每個目錄都與文件一樣有目錄項。

（5）根據(jù)目錄項的作用和結(jié)構(gòu)特點，可以把目錄項分為卷標(biāo)的目錄項、簇位圖文件的目錄項、大寫字符文件的目錄項和用戶文件的目錄項4種類型。3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.2exFAT文件系統(tǒng)的結(jié)構(gòu)

卷標(biāo)就是一個分區(qū)的名字，可以在格式化分區(qū)時創(chuàng)建，也可以隨時修改。exFAT文件系統(tǒng)把卷標(biāo)當(dāng)成文件，并用文件目錄項對其進(jìn)行管理。exFAT文件系統(tǒng)為卷標(biāo)建一個目錄項，并將其放在根目錄區(qū)中。

2）卷標(biāo)的目錄項

卷標(biāo)的目錄項有以下特點。

（1）對于exFAT格式的分區(qū)，卷標(biāo)的字符數(shù)理論上要求在11個之內(nèi)，但最多可以達(dá)到15個。卷標(biāo)使用Unicode字符。

（2）在卷標(biāo)的目錄項中不記錄起始簇號和大小。

（3）在卷標(biāo)的目錄項中不記錄時間戳。

卷標(biāo)的目錄項占用32個字節(jié)。其中，第一個字節(jié)是特征值，用來描述類型。卷標(biāo)的目錄項的特征值為“83H”。如果沒有卷標(biāo)或者將卷標(biāo)刪除，該特征值為“03H”。3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.2exFAT文件系統(tǒng)的結(jié)構(gòu)exFAT文件系統(tǒng)在格式化時會創(chuàng)建一個簇位圖文件，并為其建一個目錄項，放在根目錄區(qū)中。

3）簇位圖文件的目錄項

簇位圖文件的目錄項如圖3-119所示。

簇位圖文件的目錄項占用32個字節(jié)。其中，第一個字節(jié)是特征值，用來描述類型。簇位圖文件的目錄項的特征值為“81H”。圖3-119簇位圖文件的目錄項3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.2exFAT文件系統(tǒng)的結(jié)構(gòu)

exFAT簇位圖文件的目錄項各字段的含義如表3-55所示。偏移地址字段長度/個字節(jié)含義00H1目錄項的類型0lH1保留02H18保留14H4起始簇號18H8文件大小3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.2exFAT文件系統(tǒng)的結(jié)構(gòu)

exFAT簇位圖文件的目錄項各字段的含義如表3-55所示。偏移地址字段長度/個字節(jié)含義00H1目錄項的類型0lH1保留02H18保留14H4起始簇號18H8文件大小

簇位圖文件的目錄項有以下特點。

（1）對于exFAT格式的分區(qū)，簇位圖文件的起始簇號一般都為2。

（2）在簇位圖文件的目錄項中不記錄時間戳。3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.2exFAT文件系統(tǒng)的結(jié)構(gòu)exFAT文件系統(tǒng)在格式化時會創(chuàng)建一個大寫字符文件，并為其建一個目錄項。該目錄項放在根目錄區(qū)中。

4）大寫字符文件的目錄項

大寫字符文件的目錄項如圖3-120所示。

大寫字符文件的目錄項占用32個字節(jié)。其中，第一個字節(jié)是特征值，用來描述類型。大寫字符文件的目錄項的特征值為“82H”。圖3-120大寫字符文件的目錄項3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.2exFAT文件系統(tǒng)的結(jié)構(gòu)

大寫字符文件的目錄項各字段的含義如表3-56所示。偏移地址字段長度/個字節(jié)含義00H1目錄項的類型0lH3保留08H14保留14H4起始簇號18H8文件大小

大寫字符文件的目錄項有以下特點。

（1）對于exFAT格式的分區(qū)，大寫字符文件的目錄項一般都跟在簇位圖文件的目錄項之后。

（2）在大寫字符文件的目錄項中不記錄時間戳。3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.2exFAT文件系統(tǒng)的結(jié)構(gòu)

在exFAT文件系統(tǒng)中，每個用戶文件至少有3個目錄項。第一個目錄項稱為“屬性1”目錄項，其特征值為“85H”；第二個目錄項稱為“屬性2”目錄項，其特征值為“C0H”；第三個目錄項稱為“屬性3”目錄項，其特征值為“C1H”。

5）用戶文件的目錄項

（1）“屬性1”目錄項。“屬性1”目錄項用來記錄該目錄項的附屬目錄項數(shù)、校驗和、屬性、時間戳等信息。“屬性1”目錄項如圖3-121所示。圖3-121“屬性1”目錄項3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.2exFAT文件系統(tǒng)的結(jié)構(gòu)

“屬性1”目錄項各字段的含義如表3-57所示。偏移地址字段長度/個字節(jié)含義00H1類型0lH1附屬目錄項數(shù)02H2校驗和04H4屬性08H4文件創(chuàng)建時間0CH4文件最后修改吋間10H4文件最后訪問時間14H1文件創(chuàng)建時間（精確至10ms）15H3保留18H8保留3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.2exFAT文件系統(tǒng)的結(jié)構(gòu)

下面通過WinHex查看“屬性1”目錄項的模板，如圖3-122所示。圖3-122“屬性1”目錄項的模板3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.2exFAT文件系統(tǒng)的結(jié)構(gòu)

01H：附屬目錄項數(shù)。該參數(shù)指該文件除此目錄項外，還有幾個目錄項。該參數(shù)當(dāng)前值為2，說明該文件除了“屬性1”目錄項外，后面還有兩個目錄項，即“屬性2”目錄項和“屬性3”目錄項

00H：類型。該參數(shù)為目錄項類型的特征值

04H～07H：文件屬性。該參數(shù)描述文件的常規(guī)屬性?！拔募傩浴眳?shù)值對應(yīng)屬性的具體含義如表3-58所示。

02H～03H：校驗和。該參數(shù)是通過校驗算法算出來的目錄項的校驗和。參數(shù)值（二進(jìn)制）含義參數(shù)值（二進(jìn)制）含義00000000讀寫00001000卷標(biāo)00000001只讀000l0000子目錄000000l0隱含00100000存檔00000100系統(tǒng)

3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.2exFAT文件系統(tǒng)的結(jié)構(gòu)

08H～0BH：文件創(chuàng)建時間。該參數(shù)是文件的具體創(chuàng)建時間。其格式為32位的DOS時間，包括年、月、日、時、分、秒。其具體表示方法與FAT文件系統(tǒng)的一樣，這里不再重復(fù)講述。

10H～13H：文件最后訪問時間。該參數(shù)是文件最后一次訪問的具體時間，其格式為32位的DOS時間，包括年、月、日、時、分、秒。其具體表示方法跟FAT文件系統(tǒng)的不一樣。在FAT文件系統(tǒng)中，文件最后訪問時間只有年、月、日，沒有時、分、秒。

0CH～0FH：文件最后修改時間。該參數(shù)是文件最后一次修改的具體時間。其格式為32位的DOS時間，包括年、月、日、時、分、秒。其具體表示方法跟FAT文件系統(tǒng)的一樣，這里不再重復(fù)講述。

14H：文件創(chuàng)建時間。該參數(shù)是文件的具體創(chuàng)建時間，精確到10ms。3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.2exFAT文件系統(tǒng)的結(jié)構(gòu)

（2）“屬性2”目錄項。“屬性2”目錄項用來記錄文件是否有碎片、文件名的字符數(shù)、文件名Hash值、文件的起始簇號及大小等信息。

“屬性2”目錄項如圖3-123所示。圖3-123“屬性2”目錄項3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.2exFAT文件系統(tǒng)的結(jié)構(gòu)

屬性2”目錄項各字段的含義如表3-59所示。偏移地址字段長度/個字節(jié)含義00H1類型01H1文件碎片標(biāo)志02H1保留03H1文件名字符數(shù)（N）04H2文件名Hash值06H2保留08H8文件大小110H4保留14H4起始簇號18H8文件大小23.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.2exFAT文件系統(tǒng)的結(jié)構(gòu)

下面通過WinHex查看“屬性2”目錄項的模板，如圖3-124所示。圖3-124“屬性2”目錄項的模板3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.2exFAT文件系統(tǒng)的結(jié)構(gòu)

01H：文件碎片標(biāo)志。該參數(shù)能夠反映出文件是否連續(xù)存放。如果連續(xù)存放、沒有碎片，則該標(biāo)志為03H；如果非連續(xù)存放、文件有碎片，則該標(biāo)志為01H。

00H：類型。目錄項類型的特征值，“屬性2”目錄項的特征值為“C0H”04H～05H：文件名Hash值。該參數(shù)是根據(jù)相應(yīng)算法算出的文件名的校驗值。當(dāng)文件名發(fā)生改變時，該參數(shù)也會發(fā)生改變；當(dāng)文件移動時，該參數(shù)不會改變。03H：文件名字符數(shù)。該參數(shù)用來說明文件名長度。exFAT文件系統(tǒng)的文件名用Unicode字符表示，每個字符占用2個字節(jié)。04H～08H～0FH：文件大小1。該參數(shù)是文件的總字節(jié)數(shù)，用64位記錄文件大小。

14H～17H：起始簇號。該參數(shù)是描述文件的起始簇號，用32位記錄起始簇的地址。

18H～1FH：文件大小2。該參數(shù)也是文件的總字節(jié)數(shù)，是為NTFS的壓縮屬性準(zhǔn)備的，在一般情況下與“文件大小1”參數(shù)值保持一致。3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.2exFAT文件系統(tǒng)的結(jié)構(gòu)

（3）“屬性3”目錄項?！皩傩?”目錄項用來記錄文件名。如果文件名較長，“屬性3”目錄項可以包含多個目錄項，且每個目錄項稱為一個片段，從上到下依次記錄文件名的每一個字符，記錄的方向剛好與FAT文件系統(tǒng)中長文件名目錄項從下到上的順序相反。

“屬性3”目錄項如圖3-125所示。圖3-125“屬性3”目錄項3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.2exFAT文件系統(tǒng)的結(jié)構(gòu)

屬性3”目錄項各字段的含義如表3-60所示。偏移地址字段長度/個字節(jié)含義00H1類型01H1保留02H2N文件名（片段）3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.2exFAT文件系統(tǒng)的結(jié)構(gòu)

通過WinHex查看“屬性3”目錄項的模板，如圖3-126所示。圖3-126“屬性3”目錄項的模板3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.2exFAT文件系統(tǒng)的結(jié)構(gòu)1）根目錄的管理exFAT文件系統(tǒng)會統(tǒng)一在數(shù)據(jù)區(qū)的根目錄區(qū)中為文件創(chuàng)建目錄項，并由簇位圖文件為用戶文件的內(nèi)容分配簇存放數(shù)據(jù)。而根目錄區(qū)的首簇會由格式化程序指派，被指派的簇號會被記錄在DBR的BPB中。如果根目錄下的文件數(shù)目過多，文件的目錄項在根目錄區(qū)的首簇中存放不下，簇位圖文件就會為根目錄分配新的簇來存放根目錄下的文件及文件夾的目錄項，并在FAT中記錄簇鏈。6．exFAT文件系統(tǒng)根目錄與子目錄的管理

2）子目錄的管理exFAT文件系統(tǒng)的根目錄、子目錄及數(shù)據(jù)都是存放在數(shù)據(jù)區(qū)的。3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.3從exFAT文件系統(tǒng)中提取數(shù)據(jù)

要想在exFAT文件系統(tǒng)中提取自己想要的數(shù)據(jù)，首先要找到記錄文件的目錄項。下面以在“FileExtrac”盤中的File2.doc文件為例，具體介紹如何直接用WinHex提取數(shù)據(jù)。

“FileExtrac”盤如圖3-127所示。圖3-127“FileExtrac”盤3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.3從exFAT文件系統(tǒng)中提取數(shù)據(jù)

File2.doc文件如圖3-128所示。圖3-128File2.doc文件3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.3從exFAT文件系統(tǒng)中提取數(shù)據(jù)

現(xiàn)在，我們用WinHex打開“FileExtrac”盤，如圖3-129所示。圖3-129用WinHex打開“FileExtrac”盤3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.3從exFAT文件系統(tǒng)中提取數(shù)據(jù)

在提取數(shù)據(jù)前要先找到根目錄。接下來，我們看一下如何在WinHex中定位根目錄。圖3-130DBR的PBP

第1步，定位DBR。

通過MBR分區(qū)表可以知道，“FileExtrac”盤的開始位置在2048扇區(qū)。這個扇區(qū)就是DBR扇區(qū)。

第2步，定位根目錄首簇。訪問DBR的PBP，如圖3-130所示3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.3從exFAT文件系統(tǒng)中提取數(shù)據(jù)

通過“2號簇起始扇區(qū)號”“根目錄起始簇號”“每簇扇區(qū)數(shù)”3個參數(shù)的值就可以算出根目錄所在的扇區(qū)。

其具體算法為：根目錄所在的扇區(qū)號=DBR的起始扇區(qū)號+2號簇起始扇區(qū)號+（根目錄起始簇號-2）

×每簇扇區(qū)數(shù)。3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.3從exFAT文件系統(tǒng)中提取數(shù)據(jù)

這里的計算結(jié)果為12608，所以根目錄的起始扇區(qū)號為12608，如圖3-131所示。圖3-131根目錄3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.3從exFAT文件系統(tǒng)中提取數(shù)據(jù)

接下來，在根目錄項中尋找記錄File2.doc文件的目錄項。在exFAT文件系統(tǒng)的目錄項中，文件是用6行96個字節(jié)來記錄的，一般以“85”開頭，如圖3-132所示。圖3-132File2.doc文件的文件記錄項3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.3從exFAT文件系統(tǒng)中提取數(shù)據(jù)

File2.doc文件的文件記錄項具體參數(shù)如圖3-133所示。圖3-132File2.doc文件的文件記錄項3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.3從exFAT文件系統(tǒng)中提取數(shù)據(jù)

找到File2.doc文件的文件記錄項后，就可以找File2.doc文件數(shù)據(jù)所在的扇區(qū)了。先找到File2.doc文件數(shù)據(jù)的起始扇區(qū)。

從圖3-133中我們可以看到，F(xiàn)ile2.doc文件的起始簇號是13，然后可以算出File2.doc文件開頭所在的扇區(qū)號。

其計算公式為：

文件開頭所在的扇區(qū)號=文件記錄所在的目錄項的起始扇區(qū)號+（文件的起始簇號-文件記錄所在的目錄項簇號）×每簇扇區(qū)數(shù)。3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.3從exFAT文件系統(tǒng)中提取數(shù)據(jù)

這里的計算結(jié)果為12992，所以File2.doc文件開頭在12992扇區(qū)，如圖3-134所示。圖3-134File2.doc文件開頭所在扇區(qū)3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.3從exFAT文件系統(tǒng)中提取數(shù)據(jù)

知道文件開頭所在扇區(qū)，接下來就要找文件結(jié)尾所在扇區(qū)了。文件結(jié)尾所在的扇區(qū)號可以通過文件大小計算出來。從圖3-133中可以看到，F(xiàn)ile2.doc文件大小為26624字節(jié)。在exFAT文件系統(tǒng)中，文件的大小是通過字節(jié)記錄的。要想計算文件結(jié)尾所在扇區(qū)，要先把文件大小轉(zhuǎn)換為扇區(qū)數(shù)。

字節(jié)轉(zhuǎn)換扇區(qū)數(shù)的計算公式為：扇區(qū)數(shù)=文件大小（字節(jié)數(shù)）/512。

這里的計算結(jié)果為52，說明File2.doc文件在“FileExtrac”盤中占用52個扇區(qū)。知道了文件大小就可以計算文件結(jié)尾所在扇區(qū)號了。

其計算公式為：

文件結(jié)尾所在扇區(qū)號=文件開頭所在扇區(qū)號+文件所占用的扇區(qū)數(shù)-1。3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.3從exFAT文件系統(tǒng)中提取數(shù)據(jù)

這里的計算結(jié)果為13043，F(xiàn)ile2.doc文件結(jié)尾在13043扇區(qū)，如圖3-135所示。圖3-135File2.doc文件結(jié)尾所在扇區(qū)3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.3從exFAT文件系統(tǒng)中提取數(shù)據(jù)

知道文件開頭和文件結(jié)尾所在扇區(qū)，就可以直接提取數(shù)據(jù)了。先跳轉(zhuǎn)到File2.doc文件開頭所在扇區(qū)（12992扇區(qū)）第一個字節(jié)，右擊，選擇“選塊起始位置”命令，如圖3-136所示。圖3-136選擇“選塊起始位置”命令3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.3從exFAT文件系統(tǒng)中提取數(shù)據(jù)

再跳轉(zhuǎn)到File2.doc文件結(jié)尾所在扇區(qū)，（13044扇區(qū)）后任意空白處右擊，選擇“選塊尾部”命令，如圖3-137所示。圖3-137選擇“選塊尾部”命令3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.3從exFAT文件系統(tǒng)中提取數(shù)據(jù)

然后，右擊，選擇“編輯”命令，如圖3-138所示。圖3-138選擇“編輯”命令3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.3從exFAT文件系統(tǒng)中提取數(shù)據(jù)

在打開的菜單中，選擇“復(fù)制選塊”→“至新文件”命令，如圖3-139所示。圖3-139選擇“復(fù)制選塊”→“至新文件”命令3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.3從exFAT文件系統(tǒng)中提取數(shù)據(jù)

在打開的“另存為”對話框中單擊“保存”按鈕，如圖3-140所示。圖3-140“另存為”對話框3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.3從exFAT文件系統(tǒng)中提取數(shù)據(jù)

這樣File2.doc文件就被提取出來了，如圖3-141所示。圖3-141提取出來的File2.doc文件3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.4exFAT文件系統(tǒng)DBR遭破壞后的恢復(fù)

如果雙擊exFAT分區(qū)“J”盤時出現(xiàn)如圖3-142所示的提示信息，當(dāng)“J”盤沒有任何物理故障時，不要單擊“格式化磁盤”按鈕，否則磁盤中的數(shù)據(jù)會被清空。這種故障明顯是文件系統(tǒng)遭到了破壞。圖3-142雙擊exFAT分區(qū)“J”盤時出現(xiàn)的提示信息3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.4exFAT文件系統(tǒng)DBR遭破壞后的恢復(fù)

用WinHex打開“J”盤，檢查發(fā)現(xiàn)“J”盤DBR遭到了破壞，如圖3-143所示。圖3-143“J”盤DBR遭到破壞3.3exFAT文件系統(tǒng)下的數(shù)據(jù)恢復(fù)3.3.4exFAT文件系統(tǒng)DBR遭破壞后的恢復(fù)

從圖3-143中可以看出，“J”盤DBR已經(jīng)被清零。DBR是文件系統(tǒng)中一個非常重要的扇區(qū)。這