計(jì)算機(jī)病毒磁盤格式與數(shù)據(jù)恢復(fù)

計(jì)算機(jī)病毒磁盤格式與數(shù)據(jù)恢復(fù)計(jì)算機(jī)病毒磁盤格式與數(shù)據(jù)恢復(fù)第1頁引言數(shù)據(jù)地位數(shù)據(jù)安全計(jì)算機(jī)病毒磁盤格式與數(shù)據(jù)恢復(fù)第2頁數(shù)據(jù)恢復(fù)是指因?yàn)楦鞣N原因造成數(shù)據(jù)損失時(shí)把保留在介質(zhì)上數(shù)據(jù)重新恢復(fù)過程。即使數(shù)據(jù)被刪除或硬盤出現(xiàn)故障，只要在介質(zhì)沒有嚴(yán)重受損情況下,數(shù)據(jù)就有可能被完好無損地恢復(fù)。格式化或誤刪除引發(fā)數(shù)據(jù)損失情況下，大個(gè)別數(shù)據(jù)仍未損壞，用軟件重新恢復(fù)連接步驟話，能夠重讀數(shù)據(jù)。假如硬盤因硬件損壞而無法訪問時(shí)，更換發(fā)生故障零件，即可恢復(fù)數(shù)據(jù)。在介質(zhì)嚴(yán)重受損或數(shù)據(jù)被覆蓋情況，數(shù)據(jù)將無法恢復(fù)。計(jì)算機(jī)病毒磁盤格式與數(shù)據(jù)恢復(fù)第3頁課前咱們應(yīng)該思索問題磁盤物理結(jié)構(gòu)是怎樣？其由哪些個(gè)別組成？磁盤中數(shù)據(jù)是怎樣存放和索引？磁盤中數(shù)據(jù)怎樣被刪除？刪除之后數(shù)據(jù)是否能夠恢復(fù)？怎樣恢復(fù)磁盤中丟失數(shù)據(jù)?計(jì)算機(jī)病毒磁盤格式與數(shù)據(jù)恢復(fù)第4頁本講內(nèi)容提要硬盤基礎(chǔ)知識(shí)硬盤數(shù)據(jù)存放結(jié)構(gòu)FAT32文件系統(tǒng)及數(shù)據(jù)恢復(fù)原理NTFS文件系統(tǒng)數(shù)據(jù)恢復(fù)實(shí)例安全刪除技術(shù)計(jì)算機(jī)病毒磁盤格式與數(shù)據(jù)恢復(fù)第5頁1.硬盤基礎(chǔ)知識(shí)計(jì)算機(jī)病毒磁盤格式與數(shù)據(jù)恢復(fù)第6頁1.1硬盤外觀IBM10MB硬盤內(nèi)部結(jié)構(gòu)圖及外觀圖計(jì)算機(jī)病毒磁盤格式與數(shù)據(jù)恢復(fù)第7頁20GB7200RPM高速西部數(shù)據(jù)硬盤計(jì)算機(jī)病毒磁盤格式與數(shù)據(jù)恢復(fù)第8頁全球最小HDD東芝推出0.85英寸硬盤被吉尼斯認(rèn)可為一項(xiàng)世界統(tǒng)計(jì)“全球最小HDD”

。0.85英寸HDD大小為32×24×3～5mm（長×寬×高），重量只有10g，容量為2-4GB。計(jì)算機(jī)病毒磁盤格式與數(shù)據(jù)恢復(fù)第9頁1.2硬盤物理結(jié)構(gòu)硬盤外部結(jié)構(gòu)接口（電源接口+數(shù)據(jù)接口）硬盤控制電路固定面板硬盤內(nèi)部結(jié)構(gòu)盤片、磁頭、盤片主軸、控制電機(jī)、磁頭控制器、數(shù)據(jù)轉(zhuǎn)換器…計(jì)算機(jī)病毒磁盤格式與數(shù)據(jù)恢復(fù)第10頁1.2.1硬盤外部結(jié)構(gòu)接口硬盤后面及各部件名稱計(jì)算機(jī)病毒磁盤格式與數(shù)據(jù)恢復(fù)第11頁1.2.1硬盤外部結(jié)構(gòu)硬盤控制電路拆下硬盤控制電路后西數(shù)硬盤控制電路近照計(jì)算機(jī)病毒磁盤格式與數(shù)據(jù)恢復(fù)第12頁1.2.1硬盤外部結(jié)構(gòu)固定面板：就是硬盤正面面板，它與底板結(jié)合成一個(gè)密封整體，確保了硬盤盤片和機(jī)構(gòu)穩(wěn)定運(yùn)行。在面板上最顯眼莫過于產(chǎn)品標(biāo)簽，上面印著產(chǎn)品型號(hào)、產(chǎn)品序列號(hào)、產(chǎn)品、生產(chǎn)日期等信息。除此，還有一個(gè)透氣孔，它作用就是使硬盤內(nèi)部氣壓與大氣氣壓保持一致。計(jì)算機(jī)病毒磁盤格式與數(shù)據(jù)恢復(fù)第13頁1.2.2硬盤內(nèi)部結(jié)構(gòu)現(xiàn)在硬盤主要包含：盤片、磁頭、盤片主軸、控制電機(jī)、磁頭控制器、數(shù)據(jù)轉(zhuǎn)換器、接口、緩存等幾個(gè)部份。硬盤上全部盤片都固定在一個(gè)旋轉(zhuǎn)軸上，這個(gè)軸即盤片主軸。其中全部盤片之間是絕對(duì)平行，在每個(gè)盤片存放面上都有一個(gè)磁頭，磁頭與盤片之間距離比頭發(fā)絲直徑還要小。全部磁頭都連在一個(gè)磁頭控制器上，由磁頭控制器負(fù)責(zé)各個(gè)磁頭運(yùn)動(dòng)。磁頭可沿盤片半徑方向動(dòng)作，而盤片在這里以每分鐘數(shù)千轉(zhuǎn)速度在高速旋轉(zhuǎn)，這么磁頭便可對(duì)盤片上指定位置進(jìn)行數(shù)據(jù)讀寫操作。計(jì)算機(jī)病毒磁盤格式與數(shù)據(jù)恢復(fù)第14頁1.2.2硬盤內(nèi)部結(jié)構(gòu)計(jì)算機(jī)病毒磁盤格式與數(shù)據(jù)恢復(fù)第15頁1)磁頭組件它由讀寫磁頭、傳動(dòng)手臂、傳動(dòng)軸三部份組成。硬盤工作原理，它是利用特定磁粒子極性來統(tǒng)計(jì)數(shù)據(jù)。那磁頭是怎么讀取數(shù)據(jù)呢？首先磁頭將磁粒子不一樣極性轉(zhuǎn)換成不一樣電脈沖信號(hào)，再利用數(shù)據(jù)轉(zhuǎn)換器將這些原始信號(hào)變成電腦能夠使用數(shù)據(jù)，寫操作恰好與此相反。計(jì)算機(jī)病毒磁盤格式與數(shù)據(jù)恢復(fù)第16頁西數(shù)WD200BB硬盤采取單碟雙磁頭設(shè)計(jì)，該磁頭組件能支持四個(gè)磁頭，不過其中有兩個(gè)磁頭傳動(dòng)手臂沒有安裝磁頭。計(jì)算機(jī)病毒磁盤格式與數(shù)據(jù)恢復(fù)第17頁2)磁頭驅(qū)動(dòng)機(jī)構(gòu)：磁頭驅(qū)動(dòng)機(jī)構(gòu)由電磁線圈電機(jī)、磁頭驅(qū)動(dòng)小車、防震動(dòng)裝置組成，高精度輕型磁頭驅(qū)動(dòng)機(jī)構(gòu)能夠?qū)Υ蓬^進(jìn)行正確驅(qū)動(dòng)和定位，并能在很短時(shí)間內(nèi)準(zhǔn)確定位系統(tǒng)指令指定磁道。計(jì)算機(jī)病毒磁盤格式與數(shù)據(jù)恢復(fù)第18頁3)磁盤片金屬或玻璃計(jì)算機(jī)病毒磁盤格式與數(shù)據(jù)恢復(fù)第19頁4)主軸組件主軸組件包含主軸部件如軸承和驅(qū)動(dòng)電機(jī)等。計(jì)算機(jī)病毒磁盤格式與數(shù)據(jù)恢復(fù)第20頁5)前置控制電路前置電路控制磁頭感應(yīng)信號(hào)、主軸電機(jī)調(diào)速、磁頭驅(qū)動(dòng)和服務(wù)定位等，因?yàn)榇蓬^讀取信號(hào)微弱，將放大電路密封在腔體內(nèi)可降低外來信號(hào)干擾，提升操作指令準(zhǔn)確性。計(jì)算機(jī)病毒磁盤格式與數(shù)據(jù)恢復(fù)第21頁1.3硬盤邏輯結(jié)構(gòu)

硬盤由很多盤片(platter)組成，每個(gè)盤片每個(gè)面都有一個(gè)讀寫磁頭。假如有N個(gè)盤片。就有2N個(gè)面，對(duì)應(yīng)2N個(gè)磁頭(Heads)，從0、1、2開始編號(hào)。每個(gè)盤片被劃分成若干個(gè)同心圓磁道(邏輯上，是不可見。)每個(gè)盤片劃分規(guī)則通常是一樣。這么每個(gè)盤片半徑均為固定值R同心圓再邏輯上形成了一個(gè)以電機(jī)主軸為軸柱面(Cylinders)，從外至里編號(hào)為0、1、2……每個(gè)盤片上每個(gè)磁道又被劃分為幾十個(gè)扇區(qū)(Sector)，通常容量是512byte，并按照一定規(guī)則編號(hào)為1、2、3……形成Cylinders×Heads×Sector個(gè)扇區(qū)。計(jì)算機(jī)病毒磁盤格式與數(shù)據(jù)恢復(fù)第22頁1.3硬盤邏輯結(jié)構(gòu)1.硬盤參數(shù)CHS(Cylinder/Head/Sector)參數(shù)磁頭數(shù)(Heads)表示硬盤總共有幾個(gè)磁頭,也就是有幾面盤片,最大為255(用8個(gè)二進(jìn)制位存放);柱面數(shù)(Cylinders)表示硬盤每一面盤片上有幾條磁道,最大為1023(用10個(gè)二進(jìn)制位存放);扇區(qū)數(shù)(Sectors)表示每一條磁道上有幾個(gè)扇區(qū),最大為63(用6個(gè)二進(jìn)制位存放).每個(gè)扇區(qū)普通是512個(gè)字節(jié)磁盤最大容量255*1023*63*512/1048576=8024MB(1M=1048576Bytes)或硬盤廠商常見單位:

255*1023*63*512/1000000=8414MB(1M=1000000Bytes)

計(jì)算機(jī)病毒磁盤格式與數(shù)據(jù)恢復(fù)第23頁硬盤空間擴(kuò)展在傳統(tǒng)硬盤中,因?yàn)槊總€(gè)磁道扇區(qū)數(shù)相等,所以外道統(tǒng)計(jì)密度要遠(yuǎn)低于內(nèi)道,所以會(huì)浪費(fèi)很多磁盤空間(與軟盤一樣).為了處理這一問題,深入提升硬盤容量,大家改用等密度結(jié)構(gòu)生產(chǎn)硬盤.也就是說,外圈磁道扇區(qū)比內(nèi)圈磁道多.采取這種結(jié)構(gòu)后,硬盤不再含有實(shí)際3D參數(shù),尋址方式也改為線性尋址,即以扇區(qū)為單位進(jìn)行尋址.為了與使用3D尋址老軟件兼容(如使用BIOSInt13H接口軟件),在硬盤控制器內(nèi)部安裝了一個(gè)地址翻譯器,由它負(fù)責(zé)將傳統(tǒng)3D參數(shù)翻譯成新線性參數(shù).計(jì)算機(jī)病毒磁盤格式與數(shù)據(jù)恢復(fù)第24頁2.硬盤數(shù)據(jù)存放結(jié)構(gòu)計(jì)算機(jī)病毒磁盤格式與數(shù)據(jù)恢復(fù)第25頁2.1硬盤總體結(jié)構(gòu)表計(jì)算機(jī)病毒磁盤格式與數(shù)據(jù)恢復(fù)第26頁計(jì)算機(jī)病毒磁盤格式與數(shù)據(jù)恢復(fù)第27頁2.2MBRMBR(MasterBootRecord),即主引導(dǎo)統(tǒng)計(jì)，有時(shí)也稱主引導(dǎo)扇區(qū)。位于整個(gè)硬盤0柱面0磁頭1扇區(qū)(能夠看作是硬盤第一個(gè)扇區(qū))，BIOS在執(zhí)行自己固有程序以后就會(huì)jump到MBR中第一條指令。將系統(tǒng)控制權(quán)交由MBR來執(zhí)行。在總共512byte主引導(dǎo)統(tǒng)計(jì)中，MBR引導(dǎo)程序占了其中前446個(gè)字節(jié)(偏移0H~偏移1BDH)隨即64個(gè)字節(jié)(偏移1BEH~偏移1FDH)為DPT(DiskPartitionTable，硬盤分區(qū)表)最終兩個(gè)字節(jié)“55AA”(偏移1FEH~偏移1FFH)是分區(qū)有效結(jié)束標(biāo)志。計(jì)算機(jī)病毒磁盤格式與數(shù)據(jù)恢復(fù)第28頁WinHex查看一塊希捷120GB硬盤mbr計(jì)算機(jī)病毒磁盤格式與數(shù)據(jù)恢復(fù)第29頁2.3DPT（硬盤分區(qū)表）在DPT共64個(gè)字節(jié)中，以16個(gè)字節(jié)為分區(qū)表項(xiàng)單位描述一個(gè)分區(qū)屬性。通常情況下，第一個(gè)分區(qū)表項(xiàng)描述一個(gè)分區(qū)屬性，普通為基礎(chǔ)分區(qū)。第二個(gè)分區(qū)表項(xiàng)描述除基礎(chǔ)分區(qū)外其余空間，即咱們所說擴(kuò)展分區(qū)。計(jì)算機(jī)病毒磁盤格式與數(shù)據(jù)恢復(fù)第30頁DPT（硬盤分區(qū)表）示例計(jì)算機(jī)病毒磁盤格式與數(shù)據(jù)恢復(fù)第31頁DPT分區(qū)項(xiàng)各字段含義字節(jié)位移字段長度值字段名和定義0x01BEBYTE0x80引導(dǎo)指示符(BootIndicator)

指明該分區(qū)是否是活動(dòng)分區(qū)。0x01BFBYTE0x01開始磁頭(StartingHead)0x01C06位0x01開始扇區(qū)(StartingSector)只用了0~5位。后面兩位(第6位和第7位)被開始柱面字段所使用0x01C110位0x00開始柱面(StartingCylinder)

除了開始扇區(qū)字段最終兩位外，還使用了1位來組成該柱面值。開始柱面是一個(gè)10位數(shù)，最大值為10230x01C2BYTE0x07系統(tǒng)ID(SystemID)定義了分區(qū)類型0x01C3BYTE0xFE結(jié)束磁頭(EndingHead)0x01C46位0xFF結(jié)束扇區(qū)(EndingSector)

只使用了0~5位。最終兩位(第6、7位)被結(jié)束柱面字段所使用0x01C510位0x7B結(jié)束柱面(EndingCylinder)除了結(jié)束扇區(qū)字段最終兩位外，還使用了1位，以組成該柱面值。結(jié)束柱面是一個(gè)10位數(shù)，最大值為10230x01C6DWORD0x0000003F相對(duì)扇區(qū)數(shù)(RelativeSectors)從該磁盤開始到該分區(qū)開始位移量，以扇區(qū)來計(jì)算0x01CADWORD0x00DAA83D總扇區(qū)數(shù)(TotalSectors)該分區(qū)中扇區(qū)總數(shù)計(jì)算機(jī)病毒磁盤格式與數(shù)據(jù)恢復(fù)第32頁DPT4個(gè)分區(qū)項(xiàng)C盤之前為1個(gè)主引導(dǎo)扇區(qū)和62個(gè)保留扇區(qū)。C盤從63號(hào)扇區(qū)開始，結(jié)束于14329979（63+14329917-1）扇區(qū)。C盤大小為7,336,916,992字節(jié)。主擴(kuò)展分區(qū)從14329980扇區(qū)開始，結(jié)束于（14329980+26565-1）扇區(qū)。主擴(kuò)展分區(qū)大小為112,694,560,768字節(jié)。計(jì)算機(jī)病毒磁盤格式與數(shù)據(jù)恢復(fù)第33頁擴(kuò)展分區(qū)表計(jì)算機(jī)病毒磁盤格式與數(shù)據(jù)恢復(fù)第34頁擴(kuò)展分區(qū)表前面各項(xiàng)均為0，僅存分區(qū)項(xiàng)和結(jié)束標(biāo)識(shí)計(jì)算機(jī)病毒磁盤格式與數(shù)據(jù)恢復(fù)第35頁該硬盤詳細(xì)結(jié)構(gòu)MBR(1)+Res(62)+DBR(1)+Res(31)+FAT1+FAT2+DIR+DATA+……計(jì)算機(jī)病毒磁盤格式與數(shù)據(jù)恢復(fù)第36頁2.4DBR各字段含義計(jì)算機(jī)病毒磁盤格式與數(shù)據(jù)恢復(fù)第37頁DBR各自段詳細(xì)解釋包含：跳轉(zhuǎn)指令廠商標(biāo)志和操作系統(tǒng)版本號(hào)BPB(BIOSParameterBlock)擴(kuò)展BPBOS引導(dǎo)程序結(jié)束標(biāo)志右圖以FAT32為例說明分區(qū)DBR各字節(jié)含義。計(jì)算機(jī)病毒磁盤格式與數(shù)據(jù)恢復(fù)第38頁FAT32下DBR各字段含義0H~02H一條跳轉(zhuǎn)指令，指針指向后面引導(dǎo)程序03H~0AH廠商名和系統(tǒng)版本0BH~0CH每扇字節(jié)數(shù)，普通為512字節(jié)0DH每簇扇區(qū)數(shù)（相關(guān)簇概念咱們?cè)诤竺鏁?huì)詳細(xì)介紹），對(duì)于FAT32磁盤該字節(jié)普通為08H，既每簇為8H*512B=4K。0EH~0FH保留扇區(qū)數(shù)10H磁盤FAT個(gè)數(shù)，普通為2個(gè)11H~12H對(duì)于FAT16磁盤為根目錄最大目錄項(xiàng)，對(duì)于FAT32磁盤該值總為“00H00H”

13H~14H對(duì)于軟盤或早期小硬盤該處為分區(qū)總扇區(qū)數(shù)，對(duì)于硬盤普通此值為“00H00H”

15H介質(zhì)描述，對(duì)于1.44軟盤此處長為“F0H”，對(duì)于硬盤此處長為“F8H”

16H~17H對(duì)于軟盤或早期小硬盤該處為每個(gè)FAT占用扇區(qū)數(shù)，對(duì)于硬盤普通此值為“00H00H”

18H~19H每道扇區(qū)數(shù)，普通為“3FH00H”，即每道有63個(gè)扇區(qū)1AH~1BH磁頭數(shù)，普通為“FFH00H”，即每個(gè)柱面有255個(gè)磁頭1CH~1FH隱含扇區(qū)數(shù)20H~23H對(duì)于大硬盤來說該處存放是該分區(qū)占用扇區(qū)數(shù)24H~27H對(duì)于大硬盤來說該處存放是每個(gè)FAT占用扇區(qū)數(shù)40H該處為磁盤BIOS信息，第一塊硬盤為“80H”，普通軟盤為“00H”

47H~51H用戶設(shè)置卷標(biāo)，假如沒有卷標(biāo)此處常為字符串“NONAME”

52H~59H文件系統(tǒng)，對(duì)于FAT32文件系統(tǒng)此處常為“FAT32”

1FEH~1FFH結(jié)束標(biāo)識(shí)，和上文提到主引導(dǎo)區(qū)結(jié)束標(biāo)識(shí)一樣為“55HAAH”

計(jì)算機(jī)病毒磁盤格式與數(shù)據(jù)恢復(fù)第39頁NTFS下DBR00：3bytes跳轉(zhuǎn)指令03：OEMID0B：25bytesBPB24:48bytes擴(kuò)展BPB54:426bytes引導(dǎo)程序代碼1FE:結(jié)束標(biāo)識(shí)（0xAA55）計(jì)算機(jī)病毒磁盤格式與數(shù)據(jù)恢復(fù)第40頁NTFS下BPB和擴(kuò)展BPB中參數(shù)含義計(jì)算機(jī)病毒磁盤格式與數(shù)據(jù)恢復(fù)第41頁3.FAT32文件系統(tǒng)及數(shù)據(jù)恢復(fù)原理計(jì)算機(jī)病毒磁盤格式與數(shù)據(jù)恢復(fù)第42頁3.1FAT32分區(qū)結(jié)構(gòu)計(jì)算機(jī)病毒磁盤格式與數(shù)據(jù)恢復(fù)第43頁引導(dǎo)扇區(qū)在前面已經(jīng)敘述，其中BPB和擴(kuò)展BPB統(tǒng)計(jì)了分區(qū)屬性，即其它5個(gè)個(gè)別屬性。保留扇區(qū)：FAT32中保留扇區(qū)除了磁盤總第0扇區(qū)用作DBR，總第2扇區(qū)(win98系統(tǒng))或總第0xC扇區(qū)(win,winxp)用作OS引導(dǎo)代碼擴(kuò)展個(gè)別外，其余扇區(qū)都不參加操作系統(tǒng)管理與磁盤數(shù)據(jù)管理，通常情況下是不起作用。操作系統(tǒng)之所以在FAT32中設(shè)置保留扇區(qū)，是為了對(duì)DBR作備份或留待以后升級(jí)時(shí)用，比如引導(dǎo)程序以后擴(kuò)展，F(xiàn)AT32中DBR偏移0x34占2字節(jié)數(shù)據(jù)指明了DBR備份扇區(qū)所在普通為0x06即第6扇區(qū)，當(dāng)FAT32分區(qū)DBR扇區(qū)被破壞造成分區(qū)無法訪問時(shí)能夠用第6扇區(qū)原備份替換第0扇區(qū)來找回?cái)?shù)據(jù)。計(jì)算機(jī)病毒磁盤格式與數(shù)據(jù)恢復(fù)第44頁FAT表(FileAllocationTable文件分配表)是Microsoft在FAT文件系統(tǒng)中用于磁盤數(shù)據(jù)(文件)索引和定位引進(jìn)一個(gè)鏈?zhǔn)浇Y(jié)構(gòu)。FAT表統(tǒng)計(jì)了磁盤數(shù)據(jù)文件存放鏈表。文件系統(tǒng)將磁盤空間按一定數(shù)目標(biāo)扇區(qū)為單位進(jìn)行劃分，這么單位稱為簇。通常情況下，每扇區(qū)512字節(jié)標(biāo)準(zhǔn)是不變。簇大小普通是2n(n為整數(shù))個(gè)扇區(qū)大小，能夠是512B、1KB、2KB、4KB、8KB、16KB、32KB、64KB。實(shí)際中通常不超出32K。計(jì)算機(jī)病毒磁盤格式與數(shù)據(jù)恢復(fù)第45頁FAT表FAT統(tǒng)計(jì)項(xiàng)值對(duì)應(yīng)簇表現(xiàn)情況000000000H未分配簇00000002H–0FFFFFEFH已分配簇0FFFFFF0H--0FFFFFF6H系統(tǒng)保留0FFFFFF7H壞簇0FFFFFF8H--0FFFFFFFH文件結(jié)束簇通常情況其第1、2個(gè)統(tǒng)計(jì)項(xiàng)用作介質(zhì)描述。從第三個(gè)統(tǒng)計(jì)項(xiàng)開始統(tǒng)計(jì)除根目錄外其它文件及文件夾簇鏈情況。依據(jù)簇表現(xiàn)情況FAT用對(duì)應(yīng)取值來描述，見下表：計(jì)算機(jī)病毒磁盤格式與數(shù)據(jù)恢復(fù)第46頁根目錄首簇對(duì)于根目錄第一個(gè)簇，系統(tǒng)并不編號(hào)為第0簇或第1簇，而是編號(hào)為第2簇，也就是說數(shù)據(jù)區(qū)次序上第1個(gè)簇也是編號(hào)上第2簇。計(jì)算機(jī)病毒磁盤格式與數(shù)據(jù)恢復(fù)第47頁FAT中將目錄當(dāng)文件進(jìn)行處理。文件和目錄都以32字節(jié)目錄項(xiàng)來進(jìn)行索引，長文件名擁有多個(gè)目錄項(xiàng)。計(jì)算機(jī)病毒磁盤格式與數(shù)據(jù)恢復(fù)第48頁實(shí)際目錄目錄項(xiàng)例子計(jì)算機(jī)病毒磁盤格式與數(shù)據(jù)恢復(fù)第49頁實(shí)際文件目錄項(xiàng)例子計(jì)算機(jī)病毒磁盤格式與數(shù)據(jù)恢復(fù)第50頁3.2文件存放與恢復(fù)原理計(jì)算機(jī)病毒磁盤格式與數(shù)據(jù)恢復(fù)第51頁4.NTFS文件系統(tǒng)計(jì)算機(jī)病毒磁盤格式與數(shù)據(jù)恢復(fù)第52頁NTFS文件系統(tǒng)總體結(jié)構(gòu)圖引導(dǎo)扇區(qū)將NTLDR區(qū)域代碼讀入內(nèi)存并移交控制權(quán)MFT（主控文件表）是NTFS卷結(jié)構(gòu)關(guān)鍵。MFT是一個(gè)與文件相對(duì)應(yīng)文件屬性數(shù)據(jù)庫，它統(tǒng)計(jì)了除文件數(shù)據(jù)外全部屬性，甚至小文件數(shù)據(jù)本身也包含在MFT中。MFT以文件數(shù)組來實(shí)現(xiàn)，每個(gè)文件統(tǒng)計(jì)大小固定為1KB。計(jì)算機(jī)病毒磁盤格式與數(shù)據(jù)恢復(fù)第53頁NTFS引導(dǎo)分區(qū)計(jì)算機(jī)病毒磁盤格式與數(shù)據(jù)恢復(fù)第54頁實(shí)際含義計(jì)算機(jī)病毒磁盤格式與數(shù)據(jù)恢復(fù)第55頁MFT(MasterFileTable):組織結(jié)構(gòu)示意表

最開始是保留系統(tǒng)關(guān)鍵信息16個(gè)元數(shù)據(jù)文件。從第24個(gè)統(tǒng)計(jì)開始，MFT統(tǒng)計(jì)都是文件或者目錄（其實(shí)被NTFS一樣視為文件）描述信息計(jì)算機(jī)病毒磁盤格式與數(shù)據(jù)恢復(fù)第56頁MFT(MasterFileTable):主控文件表主控文件表中每個(gè)文件統(tǒng)計(jì)由兩個(gè)別組成：表頭（文件統(tǒng)計(jì)頭）長度和偏移處數(shù)據(jù)含義不變屬性列表屬性是File詳細(xì)信息載體，一個(gè)File全部信息（包含文件內(nèi)容）都經(jīng)過屬性表達(dá)。經(jīng)過獲取屬性值，就能夠得到File各種所需信息。不一樣屬性列表對(duì)應(yīng)偏移對(duì)應(yīng)著不一樣含義MFT中每個(gè)文件統(tǒng)計(jì)結(jié)束標(biāo)識(shí)為FFFFFFFFH計(jì)算機(jī)病毒磁盤格式與數(shù)據(jù)恢復(fù)第57頁FileRecord(FR)FileRecord（文件統(tǒng)計(jì)，以下簡(jiǎn)稱FR），大小保持為1KB，即2個(gè)扇區(qū)假如一個(gè)File足夠小（大約700多字節(jié)以下），NTFS將其數(shù)據(jù)直接存放在該FileFR中；不然，NTFS將開辟新空間存放File詳細(xì)數(shù)據(jù)，其存放位置統(tǒng)計(jì)在FR中，經(jīng)過DataRun指明每段起始簇號(hào)和每段（即碎片）占用簇個(gè)數(shù)。計(jì)算機(jī)病毒磁盤格式與數(shù)據(jù)恢復(fù)第58頁FileRecord組織結(jié)構(gòu)示意表FR頭屬性1，通常是$STANDARD_INFORMATION屬性2，通常是$FILE_NAME屬性3，通常是$DATA（普通數(shù)據(jù)文件），或者$INDEX_ROOT其它屬性，比如：$INDEX_ALLOCATION結(jié)束標(biāo)志0xFFFFFFFF計(jì)