對(duì)MFT偏移的修正-親歷一次數(shù)據(jù)修復(fù)

1、對(duì)MFT偏移的修正-親歷一次數(shù)據(jù)修復(fù)前陣子，我在一次正常開(kāi)機(jī)后，打開(kāi)QQ空間，突然系統(tǒng)死機(jī)。點(diǎn)擊鼠標(biāo)無(wú)反應(yīng)， 按鍵ctrl+alt+del想殺進(jìn)程確無(wú)反應(yīng)，于是只好按主機(jī) reset鍵強(qiáng)制重啟，結(jié)果RP爆發(fā)，百年一遇重啟后，無(wú)法進(jìn)XP系統(tǒng)，用PE光盤(pán)進(jìn)，發(fā)現(xiàn)C盤(pán)和E盤(pán)都提示“文件或 目錄損壞且無(wú)法讀取”，于是用ptdd重建mbr,仍進(jìn)不了系統(tǒng)。重啟又進(jìn)入PE, 發(fā)現(xiàn)此250G的5個(gè)分區(qū)的硬盤(pán)中，E盤(pán)反而可以正常讀取了，其他分區(qū)出現(xiàn)上 面那個(gè)提示。用PTDEM建分區(qū)表，沒(méi)解決。后來(lái)在網(wǎng)上搜過(guò)“文件或目錄損壞 且無(wú)法讀取”的解決方法，最多提到的是 chkdsk /f, 但是在PE里，提示無(wú)法 識(shí)別

2、ntfs。于是只好把硬盤(pán)掛載到室友的電腦里，用 chkdsk /f修復(fù)，修復(fù)后 我在Xp雙擊這些分區(qū)，原來(lái)的C盤(pán)，F(xiàn)盤(pán)G盤(pán)依舊無(wú)法進(jìn)入，還是那個(gè)錯(cuò)誤提 示。而D盤(pán)可以了。后來(lái)掛載到我電腦另一個(gè)硬盤(pán)的 linux里，竟然能進(jìn)F和G 盤(pán)，里面有FOUND.00值類(lèi)文件夾，在里面找到了不少修復(fù)回來(lái)的文件， 隨機(jī)在 不同目錄點(diǎn)了幾個(gè)都能用。于是接下來(lái)要解決的問(wèn)題有：.同樣全部是ntfs系統(tǒng)，為什么XP無(wú)法讀取F和G分區(qū)，而linux可以？ （雖然不可以在windows里讀取，但至少在linux下可以把數(shù)據(jù)導(dǎo)出備份，成功 了一點(diǎn)點(diǎn)）.如果從數(shù)據(jù)修復(fù)的角度看，現(xiàn)在只剩下C分區(qū)了。頭疼PTDDDISKGEN

3、 還有用過(guò)一些磁盤(pán)錯(cuò)誤掃描，都檢查不出什么錯(cuò)誤。（這里明顯我是病急亂投醫(yī)）本著不修復(fù)好不罷休的精神吧，雖然C分區(qū)的數(shù)據(jù)真的沒(méi)有了也不至于損 失多慘重，可恰好我可以在另一個(gè)硬盤(pán) linux里的虛擬機(jī)里的XP上網(wǎng)，所以也 不需要急用電腦而不得不重裝系統(tǒng)。（雙系統(tǒng)的好處之一o（ n_n ）o）之后是上網(wǎng)找專(zhuān)業(yè)論壇，搜索期刊。順便做下廣告，我覺(jué)得中國(guó)硬盤(pán)基地反術(shù)論壇不錯(cuò)。 我也是第一次從這里知道可以用 winhex修復(fù)數(shù)據(jù)。并且也通過(guò)搜索得知我的故 障可能是MFTt錯(cuò)。在里面看過(guò)一句話,“你要是不會(huì)手動(dòng)16進(jìn)制寫(xiě)mft,不知道他的規(guī)則，計(jì)算方式。就別費(fèi)勁了，你從現(xiàn)在學(xué)，學(xué)3個(gè)月有可能能學(xué)會(huì)”。 天啊，

4、估計(jì)我沒(méi)這耐性，更主要是我還有不少事情做不過(guò)我試著去了解吧，趁機(jī)能懂點(diǎn)東西也不錯(cuò)。于是，從一開(kāi)始不懂 mft,然后慢慢的去了解ntfs的文 件系統(tǒng)其實(shí)一共也不需花多少時(shí)間，中間快 20天都忙著考試和找工。這里還 有個(gè)小插曲，因?yàn)榭催^(guò)這方面的書(shū)，那時(shí)候印象較深，還去筆試面試了一個(gè)數(shù)據(jù) 修復(fù)公司，吹吹自己會(huì)用 winhex和其他修復(fù)軟件，通過(guò)了。說(shuō)1月中旬給個(gè)回 復(fù)去不去，去的話開(kāi)始實(shí)習(xí)了，不過(guò)待遇感覺(jué)太低所以不想了的。 畢竟生活壓力 吧，還有綜合考慮興趣與待遇，還有發(fā)展。說(shuō)點(diǎn)硬盤(pán)ntfs文件系統(tǒng)的，或許很多人也聽(tīng)過(guò)了。之前我沒(méi)怎么了解， 后來(lái)借此機(jī)會(huì)也趁機(jī)學(xué)學(xué)了。硬盤(pán)由引導(dǎo)扇區(qū)（Boot Sec

5、tor ）與各分區(qū)組成。 不超過(guò)四個(gè)主分區(qū)，原因是主引導(dǎo)記錄（MBR里的分區(qū)表里只有64字節(jié)，一共 只可描述4個(gè)分區(qū)表項(xiàng)，從winhex里看，描述一個(gè)分區(qū)表項(xiàng)用16字節(jié)。有人可 以分七八個(gè)分區(qū)是因?yàn)橛玫綌U(kuò)展分區(qū)，現(xiàn)在我們的普遍分法是一個(gè)主分區(qū)+一個(gè)擴(kuò)展分區(qū)，然后擴(kuò)展分區(qū)又是由相應(yīng)的 EBR（即擴(kuò)展MBR里的分區(qū)表來(lái)描述。 一個(gè)以C盤(pán)為主分區(qū)，D E F為擴(kuò)展分區(qū)的硬盤(pán)數(shù)據(jù)結(jié)構(gòu)如下所示：c盤(pán)嫉口盤(pán)4EBRE盤(pán)/E咖F盤(pán)一 J關(guān)于主引導(dǎo)記錄MBR一般都占用63個(gè)扇區(qū)，即從第0-62扇區(qū)（這里有個(gè)例外， 虛擬機(jī)里我看過(guò)只有56個(gè)扇區(qū)），而實(shí)際有寫(xiě)入內(nèi)容的一般只有一個(gè)扇區(qū)，及 常說(shuō)的0柱面0磁道1扇區(qū)

6、。1個(gè)扇區(qū)512字節(jié)，MB更實(shí)分三部分，1.引導(dǎo)代 碼446節(jié)2.分區(qū)表64字節(jié)3.結(jié)束標(biāo)記55AA及2個(gè)字節(jié)。Of Eset01234567g9ABcDEFx_J1ODOOOOODOO33CO9EDOBCDO7CFB5C0750IFFC50BE00OOODODOO1O7CBF00B90002F3MBFIE0657CB33DB.i 一步，制30ODOOOODD2033D2BEBE07Bl04FE04807403SBD643B3It . IOCI0000000030C610E2F3S3F00174的BEU4ooB917000Ahl d . t .幡,1 . . e0000000040719052

7、B441B280BBAA55CD135A61FB550000000050AA7533F6Cl01742EBB0042BEAD07BlL04u3oA.t. =,4 *0000000060C&040046E2FABEAD07FAC6CM10CG44A. . Faiiili-. lu . .D。0000。00700201C74404007CBB5D08S9SC08BE5DDA一伽1 】0000000080095C0AEfiOF9DB80 102BBno7c0BF28B4Cl.e.|lolL000D000090028A7401B280CD13EEFE7D813c55AA74.咤14皿OOOOOODDA

8、C09BEDB00B9ia00EB059033CO50E8007C5i.31詢，ODOOOOOOEO50CB61跳00ACBE0700B40ECD1CE2F&PE 1正f冷.I ,aOOOOOOOOCOBlOFE2FC&E76616C69642070617274aulnval id partOOOOOOOODO6974696F6E207461626c4D697373&9it ion tabloMissiooooooooeo6E67206F70&S7261746gSE6720737973ny operating sysOOOOOOOOFO71656D004 口617374657220426F6F

9、74?0tem,Master Boot00000001005265636F72M2057726F7465206279?DRecord Wrote by00000001104D42522042T92044616861694c656500MBR By DahaiLee.0000000120000000000000000000000000000000000000000130in000DC00ao0000cc00000000OC00no03000001400000000000000000oo00g00000000000000000150000000OC00DD00DOOC00no00000000900

10、000000160g0000QU00州0000oo000000000000DO000000017C0000DO00DO0000DOOC000000DO000000 a- a ife c a Ji a - a *00000001800000000000000000OC00000000OC00ao0000000190000000000000000OC00000000000000000000D1A00000000000000000OC0000000000000000000001B00000000000口。0000D480075F0叫1畫(huà)0.6iC_ _ i.0000000ICOoTombFEFF_F

11、T3fDOOC00E558ai01匹E.小時(shí)？.&xi .一ODOOOOOIDOpl FF1函FEFFFK2459ei01MDEC9AIE0090OOOOOOD1ECw0000QQ00。口DO00oc0000DO00OC003ODOOOOOIFODD00DO0000000000OC0000000000區(qū)AAUi如果，兩藍(lán)色豎線把第一個(gè)扇區(qū)劃分為三部分，及上述的MBRE部分。兩 藍(lán)豎線間為分區(qū)表。每16字節(jié)為一個(gè)分區(qū)表項(xiàng)，兩個(gè)緊挨著的數(shù)字為一個(gè)字節(jié)。第一個(gè)分區(qū)中：第一個(gè)紅色框內(nèi)80代表活動(dòng)分區(qū)。綠色框01 01 00代表磁頭號(hào)、 扇區(qū)號(hào)、柱面號(hào)。第一個(gè)藍(lán)色框07代表NTF的區(qū)。緊接著三條綠橫線，

12、分別是 本分區(qū)結(jié)束磁頭號(hào)、扇區(qū)號(hào)、柱面號(hào)，然后是本分區(qū)之前已用的扇區(qū)數(shù)（3F000000, 必須倒過(guò)來(lái)，即0000003F,轉(zhuǎn)為10進(jìn)制63,即MB毆占用63扇區(qū)，注意MBR 是不屬于磁盤(pán)第一個(gè)分區(qū)?。?，最后是本分區(qū)的總扇區(qū)數(shù)（E5588101，倒過(guò)來(lái)， 018158E5,即是 25254117個(gè)扇區(qū)，25254117*512/1024/1024/1024=12.04G ）第二個(gè)分區(qū)：第二個(gè)紅色框00表示非活動(dòng)區(qū)。綠色框00 C1 FF代表磁頭號(hào)、扇 區(qū)號(hào)、柱面號(hào)。第二個(gè)藍(lán)色框 0F代表擴(kuò)展分區(qū)。三條綠線所表達(dá)的也與上面相 同。（注意這里的第二個(gè)分區(qū)代表擴(kuò)展分區(qū)，切勿與通常的D盤(pán)相混淆！ ！

13、！）因無(wú)其他主分區(qū)，所以第三、第四個(gè)分區(qū)表項(xiàng)為00最后以55AA結(jié)尾，代表MBR吉束。到這里，給道題目，如何知道 D盤(pán)的EBRft哪里？很簡(jiǎn)單，從第一個(gè)分區(qū)表項(xiàng)得知，第一個(gè)分區(qū)有25254117個(gè)扇區(qū)，而在第一個(gè)分區(qū)前的MBRt 63個(gè)扇區(qū)，因?yàn)檎麄€(gè)硬盤(pán)扇區(qū)數(shù)從 0記起，所以MBRft區(qū)數(shù)十 第一個(gè)分區(qū)扇區(qū)數(shù)=63+25254117=25254180即通過(guò)轉(zhuǎn)到25254180扇區(qū)即可。這 里就是D盤(pán)前面的EBRT。| Offset0123456739aBcDEF302524600CO0000000000ao00oa00co00000000 00302B246100000 0000 0ao000

14、000000000000D00302B2482000000000000c00DO00000000000000 0302B246300000000000ao00000000000000000000302B24S400000CD0000caoDO口口0000000000 0 00302B24B50oo000000000000000000DO00DO000000302B24B&000000D00000caoDO000000000000 0 00302B2487D0Q0000000000口口oaOQ00co00oo00QO00302924B80co00000000cCIO0000oa000000000

15、0000302B248900 Q000 0oo0 0 0 0000000oo0000oo 000030282480CO0000000cCIO00oaoa00000000DO000302B248B0 000 0O0 0 0 0oaoo00oo0 000oo 0 0O3O20240COOO0000000000CIO00口口00000000000000302B24BDO 000 0O0 0 0 0oa0000oo000000 0ooQ302B248E00000000000000000口。00000000000000302B24870 0000 0oo00 0 0oaoo00oo000000 0000

16、3026249000000000000 0aooc000000000000 0 0302B24910 000 0oo00c 0000000oo000000000003028249200 0口口CD0000caoocoa0000000000 0 00902B24930000000000000ao000000co0000000000Q302B249400000000000cao0000000000000000 00302B2495000000000uuoc3000UD00co00000000000000000000cao000000co0000000000302B24570co00 0000000

17、ao000000co0000000000302B24930co00 00000000000000co0000000 000302B24990co000000000cQ0000000co00000000000302B249A000000000nnocao00no00000000000000302B249B0co000000 0cao00oa0000000000 0 1O3D2B249C0ClFF07FEFFFF3F000000即OD23口 3oo302B249D0ClFF05FEFFFFccDD23039DC3 3 0 00302B249E00 0oo0 000000 0000000oo0000

18、oo0000302B249K00000000000 0aoDO00000000000055AA對(duì)紅線進(jìn)行分析（紅線前面446個(gè)字節(jié)，因?yàn)槭菙U(kuò)展分區(qū)，不需要啟動(dòng)代碼，用 0填充）：00:非活動(dòng)分區(qū)01 C1 FF起始磁頭號(hào)、扇區(qū)號(hào)、柱面號(hào)07: NTF的區(qū)FE FF FF:本分區(qū)結(jié)束磁頭號(hào)、扇區(qū)號(hào)、柱面號(hào)。其實(shí)可以發(fā)現(xiàn)，實(shí)際不需要理 會(huì)這一項(xiàng)，所有分區(qū)表項(xiàng)都用這三個(gè)字節(jié)來(lái)表示本分區(qū)結(jié)束磁頭、扇區(qū)和柱面的 3F 00 00 00 :如前面分析 MBR倒過(guò)來(lái)是00 00 00 3F ,即63個(gè)扇區(qū)。8D 0D 23 03:倒過(guò)來(lái)是03 23 0D 8D,轉(zhuǎn)為10進(jìn)制是52628877,即本分區(qū)有52

19、628877扇區(qū)，25.09G。為計(jì)算第二個(gè)EBR在哪里只需將前面的“ MBRS區(qū)數(shù)+第一個(gè)分區(qū)扇區(qū) 數(shù)” + “EBR扇區(qū)數(shù)+第二個(gè)分區(qū)扇區(qū)數(shù)”略去對(duì)后面幾個(gè)分區(qū)的計(jì)算。剛剛是對(duì)MBR EBR（EBR實(shí)際與MB於似，只是少了啟動(dòng)代碼）的分析，現(xiàn)在對(duì) 具體分區(qū)分析（以修復(fù)好的C盤(pán)為例）。通過(guò)翻閱資料得知,NTFSC件系統(tǒng)的結(jié)構(gòu)是BOOT K (CIKFT 區(qū) bFTWA區(qū)WlMiTT 區(qū)“M區(qū)網(wǎng) XINTLDR元般堀立怦L文件板需呻而叫（文件班搪舄區(qū)，找占陽(yáng)及R分配區(qū)存禽區(qū)域,1個(gè)元做第支存脩區(qū)域）1L6HUS)域）杵的番份）*圖1 NTFS文件系統(tǒng)總體靖構(gòu)圖如何進(jìn)入具體分區(qū)呢？選擇 winh

20、ex里的“工具一打開(kāi)磁盤(pán)”，選中相應(yīng)物理磁 盤(pán)即可打開(kāi)。我的硬盤(pán)（修復(fù)好后）顯示如下：三WkiH曰c - hlard d Mk D女伴編輯（E）搜索位置回 視圖在）工具3 專(zhuān)家0）選項(xiàng)）窗口幫助to Kard dials Q |Partitioning style: MBRName 上印Size 1 CreatedI Modified事 FartMon 1MTTS12.0 GBPartition 2MTFS25.1 CB 0 x0000000000004000 = 16384Sec/Cluster-0 x80 = 128128*16384 = 2097152micrcscft TechNet而

21、我自己C盤(pán)的情況是OffsetD1234567OOOCOOO電5290交5446S32000000001D0000000000F3000000000020000000006000800000000003000口 Q0C000000000000000040F60U00000100000D89AECDEFq 0202020 002030000ORINTFS3F00FF003F0000000. . ? .yE458Bl0100000000.1.1.aXIAE：4A0800OD000000 I i 一 ：- J *B5557EB0377EE0AEl。口LT對(duì)比這里的說(shuō)明:$日0。饃件結(jié)構(gòu)偏移地琉一占用

22、字節(jié)數(shù)轆0H3跳轉(zhuǎn)到啟動(dòng)例程的指令3H4NTF驗(yàn)區(qū)粽恚：-NTFS*日H2每扇區(qū)字節(jié)數(shù)DH1每裱扇區(qū)數(shù)EH2俁胃扇區(qū)數(shù)10H1FAT個(gè)藪C為了與FAT7FAT支的BPB兼容,值為0)11H2報(bào)目錄項(xiàng)數(shù)，值為。13H2分區(qū)扇區(qū)數(shù).值為015H1存睛介質(zhì)扇區(qū)為FB)1&H2每個(gè)FAT占用扇區(qū)數(shù),值為018H2每道扇區(qū)數(shù)1AH2聞?lì)^數(shù)1CH4隱藏扁區(qū)數(shù)20H4由區(qū)鹿區(qū)數(shù)，值為口24H1物理設(shè)備號(hào)C每一個(gè)硬盤(pán)為3葉1)25H1槌|26H2保翟/值為&QH2BHS30Hg5MF璐一靛菠號(hào)38H8SMFT峰肆一旗號(hào)4QH1每個(gè)文件記錄占用的簇?cái)?shù),具體描述諸見(jiàn)表后在釋44H4每個(gè)目錄項(xiàng)存儲(chǔ)區(qū)占用的赧數(shù)，具體

23、描述同上|4BHe分區(qū)序列號(hào)圖中第一條藍(lán)色粗線是表示$MF之一簇簇號(hào)，00 00 0C 00 00 00 00 00 , 倒過(guò) 來(lái)是00000000000c0000即16進(jìn)制C0000轉(zhuǎn)為10進(jìn)制是786432,表示MFM 第786432簇(注意這里表示的是相對(duì)于本分區(qū)的簇?cái)?shù)，而不是整個(gè)硬盤(pán))。接 下來(lái)，轉(zhuǎn)去786432簇，看看是不是NameEXtSizeCreatedModifiedAccessedJ Bitmap3的KB2009-03-04 21:12009-03-04 21:1.2COS-03-04 21:1 1J陽(yáng)cm8 0 K0200S-03-04 21:12009-03-04 21

24、:1.2009-03-04 21;1,.P iLo HF 112637 MB2009-12-31 16：2.2009-12-31 16:2.2009-12-31 16：2.:or94 3 MB 2009-03-04 21:1. 2009-03-04 21:1. 2009-03-04 21:1.：Hard di sk 0 Hsrd disk & P art 1 ti on 1 | Hard dimk 0, Par titi n 2 | Hard disk Cl. Pajrti ti on 3 | Hard di sk 0. Parti ti21:116:2.211.21:1 .211 .-1 S

25、MFi5Hitmap11BKB20CQSMFTMirr4.0 KB20 CJ Secure0 B20CQ SSecure SSDH420 KB20CCjSSeciire:$SDS2BBMB20CJsSecure:$SII472 KB20C_l SMFTHard diskD PartitilS% freeOffset0 12 3File system:NTFSocooooooo46 49 4c 45Volume label:Xp00000001001 00 01 00DeAult Edrt Mode00000002000 00 00 00State：original0CC00C03012 00

26、00 00Undo level:000000004000 00 18 00Undo reverses:nJaOCOODOOSOAA 05 IE 70n廣nnnnnAnnt if 7廣CB 9C C9 01 AA 05 pr qp r,Q n 1 占占 nc00 I isoiooo IOiO CBPR9CIE 1 poa oo oa 4S oouuoo i oio i7C7C1I f*Q H通過(guò)GoTo Sector到786432,與單擊$MFM到的扇區(qū)都是一樣的。說(shuō)明定位沒(méi)接下來(lái)看下$MFT$MFT （ Master File Table ）文件。主文件列表。此文件是 NTF的區(qū)中最重要 的文

27、件，記錄了分區(qū)中所有文件（包括 $MFT自身）的基本信息。通過(guò)$MF僦可 以訪問(wèn)分區(qū)中的所有文件和系統(tǒng)數(shù)據(jù)。$MFT由多個(gè)MF下己錄單元組成，每一個(gè)文件的描述占用一到多個(gè)（一個(gè)不夠的情況下）$MF下己錄單元。其中前十二個(gè)記錄單元中記錄著這里的十二個(gè)系統(tǒng)文件的信息。每個(gè)記錄單元記錄著文件的建立時(shí)間、在分區(qū)中的位置、長(zhǎng)度、屬性、文件名等信息。MFT的第一個(gè)記錄就是$MFT自身，編號(hào)為00每個(gè)文件記錄占用1KB,即 兩個(gè)扇區(qū)。識(shí)別一項(xiàng)MFTB起始很簡(jiǎn)單，看開(kāi)頭的4個(gè)字節(jié)是否46 49 4C 45 ,其相應(yīng)的 ASCII碼是FILE?，F(xiàn)在就看MFT怎樣記錄其本身$MFT。Ext1 SiuCreated

28、I Wodifi&dAccessedI AttrI 1s1 sectorQsuft94 3 MB2009-0 3H)4 21 1.2009-03-04 21 12009-03-04 21 1SHR6291456Hard disk 0, Partib 13% treeFile systemMTFSVolume la帥xpOffset0 1 2 3 4 57 egABCDEF|_OCOOOOOOODCOOOOOLO46 49 4C 4530 00 03 OD 78 OD 67 4日 00 DO OO 00FILED. *30 00 01 00 BO 01 00 DO 00 04 00 0。01 0

29、0 01 00 8 .* a-DefauH EditState：originalUn 加0Undo revtrstsn/wDC0000020E)C00O0(30QC0000040OCOO ：CQ5C00 00 00 0012 00 00 00 on nn is no00 00 OO OD 口6 OD 00 OO OO 00 00 00,. n in .00 00 oa 00 10 00 OO OO 60 00 00 00 nn oo nn on as no oo no is no no on4 A H fr 立！it+AA 05 IE 7C CB 9C C? 01 AA 05 IE 7c CB

30、 SC C9 QI卡|EIE.0C00O006DAA 05 IE 7C CB 9C C9 01 M 05 IE 7C CB 9C C9 01,|EIEhAllotduster No.:785432SMFT (#0 Snap shot laket? hours agoPhysical sector no6?9 1519Logical sector No. .6291456C00Q0C70DC0000080C7 00 00 00 OC 00 0t 00 DO 00 CD 0 00 DO t)0 00CO 00 00 00 00 01 0。 00 00 00 00 OU 00 00 00 00OCO

31、OOOOSOOCOOOOOAO00 00 DO 00 00 00 OtJ 00 30 00 00 DO 68 00 00 0000 00 19 00 CO 00 03 OD 4A 00 OO 00 18 DO 01 ?？贑M2QOOOOBOOS 00 00 00 00 00 OS 00 AA 05 IE 7C CB 9C C9 01DCOOOOOCD瑞 05 IE 7C CB 9c C9 01 AA OS IE 7C CB % C9 014,.|E【LDCOOOOODOAA 05 IE 7C CB 9C C 01 QO CO E4 05 00 00 00 00.|EIE.Us*。space9.

32、9 GBOCDOOOUEL00 CO E4 05 00 00 口口 00 07 OD 00 OO OD OO 00 001 b I *10.627.384.993 bjiesOCOOOOCFO04 03 24 00 4D 00 4& 00 54 00 00 OC OO 00 00 OQFree space:2.1 GB2,302,020.352 bytesTotal capacity: 12 0 GB 12.930P 107.904 bytesOCQO0口ID口 ocoooouo 0C00Q0120 0C00O013080 0000005B0000OD010040DOOO00010000 00

33、0000000000004B5E00OO00DO000040 oooooocooaonodnocoE4nsoodooootj00 COE4050000000000CDE4OS0口DOGO001.Ke a *. a.AnB*ies per cluster 4.096DC000014D32 20 36 00 00 OC 32 00 03 ID 28 24 32 2C 25 D62 62,Free dusters: SS2N12OCOOOOISOC5 FB 00 89 AO 19 IC 89 00 00 00 OO SO 00 00 00Au J -1Total dusiers: 3.156,764

34、Bjl&s per s&ctor512Sector count 25,254,117Physical di9lc0Displajr Ume 工口附C +03:00 mo$；nMadecimaiCnaraaereet: ansi ASCII OffsetshexadecimalB -les per 口am 30 x16=480DC0000160 OC0000170 OCOOOOISO Kooooigo DC00001AD DCOOOOIBO DCOOOOICO DCOOOOIDO01 00 4口 00 00 00 05 00 QO 00 00 OO 00 00 QQ 00 02 00 OO 00

35、 00 00 QD 00 40 OD 00 OO 00 OD GO 00 00 30 00 00 00 00 OO OD 28 2F DO 00 OO 00 00 00 20： 2F 00 00 00 00 0。00 31 01 FF FF OB 31 02 IF 00 F4 00 03 60 FA FF FF FF FF FF FF 00 OO 00 00 BO OO OO OO 48 OO CO OD UI OO 40 00 CO DO 05 OO CD 00 00 00 00 00 DO 00 口口 OD CO DO 00 DO 00 004。 00 DO 00 OC 00 CO OD

36、DO ID 00 OC OO OO 00 00* * 巾 , 口(/* If* .6. . Iiiyy 。H同理，MFT勺鏡像$MFTMirr用同樣的方法也可以計(jì)算得出和定位，$MFTMirr是對(duì)MFT里的重要文件備份，只有4K,即備份了 4個(gè)文件記錄單元而已。其實(shí)說(shuō)了上面這些，還沒(méi)涉及到故障的解決，有人會(huì)說(shuō)，明明可以在 winhex里 選中$乂5砒定位了，為何這般復(fù)雜，實(shí)際上，我此次故障，就是遇到 MFT移 了！說(shuō)了前面這么多，只是為NTFSi件系統(tǒng)結(jié)構(gòu)做個(gè)很大概的描述，實(shí)際上真的很 復(fù)雜。在故障處理前，我雙擊 C盤(pán)出現(xiàn)了這種情況：文旭已魏輯俎瞿氯W 也置電播爵婚工曲!專(zhuān)家0) 出款型窗口需

37、聃坦)D 曰每各薦電生呢湍I河繇片信依 f 牛尾 口由。岫P,口Mud disk 0 |PMitMiH。Style； MBRName *? Paittlonl/ Partitjon 2/ Parttwn 3/ Partrion 4:Partitwin 5P ait It ion 口 apPsrtnon gapHard disk 0Mode!： ST325fr3iftASFrmwar# Rev.:1.1QBusSCS17SATADe fauk Ett ModeSUtetongkial出此陌趾0Modifiec5 s 5 5s TFTrTFTTrF N N H N Nl，Q G825.1GB304

38、 GB91J 6B74.6 GE315 KB3,5 KO6iCaniipt op?n 15HFT Vn4rp?td data at affset COOOODM Mid offitt 10JESEOM), R=T. *i片噌AaessM252542.,77883。141034.332047.252541 779831.0QL0O7EUO0030007E1D0000007E200000007E300000007E400000007E506 6 0 4 F o 4 0 0 5 0 8 E Q 口 4 0 0 o o o 9 0 0 2 0 0 5 0 0 Boo FBI 0 口0 0 3 0 0

39、3 o 1 AOOFODODoo coo o o o o o oDoo 0 6 0 o F oo o 8 s2 0 5 1 o F 4 E2 3 E 8F o o o o E o o o o o o 8 0 0 0 o o o o 2 F o o 0 3 0 0 o o 1 o o o o o o F 1 8 2 F 8 17 Pq8 Fo cE 7E o7 o5 c5 B5 oB D7E 7A 00 oB c看來(lái)問(wèn)題跟這個(gè)MF說(shuō)有些關(guān)系了的一進(jìn)去后, 以下這幾個(gè)，郁悶。傻眼了,沒(méi)有其他的文件,只有Swir#ea_Hrd dte.0, Pdrbbon 1).文件編攝尊位置四視團(tuán)。工看號(hào)疊心選項(xiàng)

40、窗口的幫助囪 TOC o 1-5 h z 口片R國(guó)旨部 二曲造由 14荔樓笈鼻 f *4 J咐G餐Q 席 Hard 0 | rtarJ diwk 0, Paititica 2 Hurd disk 0,L |I 一 :_ F . I 1 . ，.Hams*|0(t. |5iz. .Cr*Md| Hodifted.Accass-d |Afct. | jtsecfcol(Root directory)F電電罩占t電Idlt space 12.0 GB0方法一：用前面的方法，從分區(qū)引導(dǎo)扇區(qū)計(jì)算出MFTB置。所以，證明前面說(shuō)的不算是廢話。方法二：留意提示，看到了 offset C0000000 和off

41、set 18158E000 字樣，那 就過(guò)去看看吧。iYtmcx lrd diskPartbon 1J爻件的絹盟鬟索囪位置嘮晅圖包 Tfifr：普家匕娜項(xiàng)窗匕回會(huì)勖3(Rgt dlrectflcyF電口印式電Idle SpdCt12.0 GB。Hard d tsIcC, Partit.Fie SfStUE：MTFSOffset01234567 89fcBCDE?l. / iJacoooaooo00 00 00 00 00 00 00 00 00 00i 00 OC 00 00 01 口口Edit ModeSUte：originaln do level:0n do reverses：n/a.AI

42、DCh of wb、dnvc 印口3coooaoio01 00 Q0 00 00 00 00 CO 00 口口 0C 00 00 01 00- a . a.qcocaauzo OCODOQ03D OCOOOOD40DC000005CCOC0306046 43 4c 45 加 QQ Q3 UU 78 QD 67 鋁 QQ QQ QQ Q0 |FILE|.01 000100380001口口EO01DO00CIO04000000 DO000000000000060000口。00000000OD 0000000000801000DODO500000口口co ooisoooooooaoo48oooooc

43、leoooo口口8F R 8電CIUEter No.：786432Idle000000070 acoooaosoAA 05 IE 7C OB 9C C9 01 AA OS IE 7C CB 9C C9 01AA 05 IE 7C CB 9c C9 DL AA 05 IE 7c CB 9C C9 01ft. . |EGC000009007 ao oo oo oo oo oo oa co oo oo oo oo oo cm oa-發(fā)現(xiàn)C0000000里，不是一項(xiàng)文件記錄的起始，文件記錄的其實(shí)，一定是“46494C 45”開(kāi)頭的，仔細(xì)找下，很明顯偏移兩行了！ ！ ！這就是故障所在。MFTH的第一項(xiàng)文

44、件記錄正是MF怵身，而現(xiàn)在本身位置都記錄錯(cuò)了，如何定位其余文 件呢？所以，此分區(qū)下的所有文件不可見(jiàn)！接下來(lái)嘗試修復(fù)了。至于另外一個(gè) 18158E00Q其實(shí)可以猜測(cè)到是$MFTMirr的其實(shí)我曾經(jīng)想過(guò)找相關(guān)MFT勺修復(fù)軟件試下，但始終覺(jué)得會(huì)否因軟件“誤判”， 反而搞亂了。畢竟對(duì)于數(shù)據(jù)修復(fù)，一般是“只需一次成功，不許多次失敗的”。 還是手動(dòng)吧其實(shí)到這里我已經(jīng)找到了故障所在，和處理方法了，只是即使想手動(dòng)也有 點(diǎn)下不了手一期間在學(xué)校某個(gè)地方做過(guò)一次實(shí)驗(yàn)，也是一件壞事呃，把它的某個(gè)分區(qū)，用winhex寫(xiě)0 了寫(xiě)0 了是什么概念應(yīng)該猜到吧。不過(guò)也自私慶幸幸 好不是在自己的硬盤(pán)這樣操作！這款軟件是有一定危險(xiǎn)

45、性的。拿修復(fù)$MFTMirr舉例吧$MFT勺我忘了截圖。找到18158E000的那個(gè)扇 區(qū)里（可以看到偏移了三行）選中 46 49 4C 45開(kāi)頭的一段數(shù)據(jù)，多大好呢， 我是一直選到非0的末尾，后面全0的就不選了。原因：記錄一個(gè)文件其實(shí)有時(shí) 候不需要用到1KB的。粘貼到正確位置Wirtlci ?!(! dink 口 J，bbufi IJ.文件。鐮轅立 普索 位民工 規(guī)的一Xfl；r：甘涼工 這項(xiàng) 誨匚的話勒依息下T坦2曳(B),扯fiLK if? irt 用 4vIl品rreJ SMFTMut* 口度四1點(diǎn)8杼班至.UeI寫(xiě)入觀工廠Ctrl+B鉆砧等字軍)世設(shè)若文怦 2AmiBO2I：- 20

46、曲?？占糍N祓11 .一03-04 21：. 20C1Hi(J匕麻白，國(guó) system:宸史迪塊) 一一12 35679 9團(tuán)拶主至卜，Ctrl+Jl語(yǔ)除選跳電ESSq QO 00 00 OP QO 00 00 OD 0Q C 0 0G 00 DO 00 00 00 00 00 0E3 C U 00 00 00 00 00 00 00 00 00 c 口 DO ?？?00 0Q 00 DO CO 00 00 CCefajt E?IlS二3：E；Unilc轉(zhuǎn)爨叨以H4E船悔鼓數(shù)據(jù)(HL.ctnnFill BUck. .Ctrl+LUi(J口中節(jié)：g科二產(chǎn)口 山- 13- 小 181S9EC20dL

47、 mU U U U U UU UU UU UU UU UU I nn nn nn nn nn nn nn nn nn rAl be, of vfiblespace: 18158EC30Cu 冷m；! 575362 13159EC40TMUTlJ ir 4 g，lglh l)n46 494C45300003003S24C03 0001003B000100F801:n-rta 代門(mén)n nn n介門(mén)nnncnconger*-1口中口。新消口日立Ikrd dLisk iCQpy Rl.uk就這樣，手工的找，手工的修復(fù)，看到就修復(fù)，反正間隔 1KB就一個(gè)記錄一所幸 不是很多，10來(lái)個(gè)而已。保存退出，重啟

48、以為應(yīng)該好了，默默的等待一種喜悅。結(jié)果啟動(dòng)不了。沒(méi)辦法， 只好到另一個(gè)硬盤(pán)的linux里進(jìn)去看，久違的那個(gè)分區(qū)是出現(xiàn)了，可是掛載不了, 如圖提示：*無(wú)法拄賽卷。無(wú)法掛鞍慝“即詳細(xì)信息心1Incomplete multi-sector Transfer：瑜入廊出錯(cuò)誤 Record 0 has no FILE magic (0 x44-1141421 Failed to load SMFT：3力入膈出錯(cuò) 謀 Failed to mount VdevMaT:策入而出錯(cuò)誤 NTFS is either inconsistent, or there is a hardware fault. or its a SoftRAID/ FakeRAID hardware. In the first case run ctikdsk t1 an WirdQw十 then reboot ini。Wiru衛(wèi)we twi匚已 The usage of the /F psrarneteris very imporrarit! if rhe device is a SoftRAfDZ FakeRAID then first act