?winhex：鏈接：https://pan.baidu.com/s/1PERs1m0pnARBG9Yxi96zFg?
? ? ? ? ? ? ? ? 提取碼：j38f

6.3.1 NTFS(常駐80與非常駐)文件和目錄文件恢復

創建8G NTFS磁盤 如圖60

????????????????????????????????????????????????圖60??? 創建8G磁盤

復制文件ssss.doc，angs.txt，666目錄文件 如圖60，61，62

????????????????????????????????????????圖60??? ssss.doc hash 值

????????????????????????????????????????圖61 ???hash 值

????????????????????????????????????????????????圖62? hash值

分析ntfs文件系統

元文件	功能
$MFT	主文件表本身，是每個文件的索引
$MFTMIirr	主文件表的部分鏡像
$LogFile	事務型日志文件
$Volume	卷文件，記錄卷標等信息
$AttrDef	屬性定義列表文件
$Root	根目錄文件，管理根目錄
$Bitmap	位圖文件，記錄了分區中簇的使用情況
$Boot	引導文件，記錄用于系統引導的數據情況
$BadClus	壞簇列表
$Quota (NTFS4)	在早期的Windows NT系統中此文件為磁盤配額信息
$Secure	安全文件
$UpCase	大小寫字符轉換表文件
$Extend metadata directory	擴展元數據目錄
$Extend$Reparse	重解析點文件
$Extend\$UsnJml	加密日志文件
$Extend$Quota	配額管理文件
$Extend$ObjId	對象ID文件

?????????????????????????????????????????????? ntfs文件系統

非常駐80屬性，完全刪除ssss.doc文件 如圖63

?

????????????????????????????????圖63??? 查看$MFT? 文件索引

在NTFS文件系統中，磁盤上的所有數據都是以文件的形式存儲，包括元文件。每個文件都有一個或多個文件記錄，每個文件記錄占用兩個扇區，$MFT 元文件就是專門記錄每個文件的文件記錄。由于NTFS文件系統是通過$MFT來確定文件在磁盤上的位置以及文件的屬性，$MFT的起始位置在DBR中有描述。$MFT的文件記錄在物理上是連續的，并且從0開始編號。$MFT的前16個文件記錄總是元文件的，并且順序是固定不變的。

80H屬性是文件數據屬性，該屬性容納著文件的內容，文件的大小一般指的就是未命名數據流的大小。該屬性沒有最大最小限制，最小情況是該屬性為常駐屬性。

Run List：當屬性不能存放完數據，系統就會在NTFS數據區域開辟一個空間存放，這個區域是以簇為單位的。Run List就是記錄這個數據區域的起始簇號和大小。

例如：Run List的值為“32 CC 26 00 00 0C”，因為后面是00H。如何解析這個Run List呢？ 第一個字節是壓縮字節，高位和低位相加，3 + 2 = 5，表示這個Data Run信息占用五個字節，其中高位表示起始簇號占用多少個字節，低位表示大小占用的字節數。在這里，起始簇號占用3個字節，值為0C 00 00，大小占用2個字節，值為26 CC。解析后，得到這個數據流起始簇號為C0000，大小為9932簇。如圖64

????????????????????????????????????????????????圖64? 數據流

由圖可知：

38 00 00 00中38 00 01 00 表示未刪除，00表示完全刪除

80屬性01表示非常駐屬性

文件大小：00 CA 02 00? 182784字節 占用扇區=182784/512=357

數據流: 31 2D 1E EA 0B?

起始簇號： 780830 占用三個字節：1E EA 0B

大小占用：2D 轉化45簇

起始扇區：780830*8=6246640 扇區

結束扇區：624660+357=6246997扇區

復制起始扇區到結束扇區的十六進制數值，導出成文件如圖65

????????????????????????????????????????????????圖65?? 導出s.doc

對比查看hash值如圖66

????????????????????????????????????????????????圖66? 對比hash值

80 常駐屬性 angs.txt 如圖67

由圖可知這是常駐的80屬性，非常駐的80H屬性與常駐80H屬性不一樣，在標準屬性頭后面是該文件的內容文件的內容存儲在另-個地方,占用MFT以外的空間。80H屬性的第一個數據流也就是文件真正的數據由DATA?Run來記錄其屬性體即文件數據的具體地址

??

????????????????????????????????????????????????圖67??? 常駐80 文件

常駐80屬性

80H屬性的第一個數據流也就是文件真正的數據

復制文件的數據流導出文件，查看hash值，如圖68

????????????????????????????????????????圖68 對比hash值

目錄下文件恢復

查看$MFT文件 如圖69

????????????????????????????????????????圖69? 目錄文件夾

查看目錄下文件 如圖70

????????????????????????????????????????????????圖70??? gg.jpg文件

文件大小：B6 14 00 00? 5203字節 占用扇區=5203/512=10數據流: 31 02 4B EA 0B

起始簇號： 780875 占用三個字節4B EA 0B

大小占用：02 轉化2簇

起始扇區：780875*8=6247000 扇區

結束扇區：6247000+10=6247010扇區

復制起始扇區到結束扇區的十六進制，導出文件如圖71

????????????????????????????????????????????????????????圖71 導出文件

對比hash值 如圖72

????????????????????????????????????????圖 72 對比hash值

6.3.2? NTFS視頻大文件恢復

復制科技.mp4文件到E盤，查看hash值 如圖73

????????????????????????????????????????圖73???? 科技.mp4? hash值

完全刪除文件科技.mp4 如圖74

??????

????????????????????????????????????????????????????????圖74 刪除視頻

查看$MFT文件，如圖75

????

????????????????????????????????????????圖75??? 科技.mp4 相關信息

文件大小：37 98 C6 0D 231118903字節

占用扇區=231118903/512≈452405

數據流: 13 6A DC 00 2D

起始簇號： 45 占用一個字節2D

大小占用：6A DC 00? 轉化56426簇

起始扇區：45*8=360 扇區

結束扇區：360+452405=451764扇區

復制起始扇區到結束扇區的十六進制，導出文件如圖76

????????????????????????????????????????圖76 導出恢復視頻文件

查詢kj.mp4文件hash值 如圖77

????????????????????????????????????????????????圖77 對比hash值

總結

以上是生活随笔為你收集整理的windows NTFS文件系统手动数据恢复的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。