計算機(jī)檢測維修與數(shù)據(jù)恢復(fù)（上冊）課件 項目7 文件系統(tǒng)恢復(fù)

子任務(wù)1利用WinHex讀取FAT32文件系統(tǒng)參數(shù)任務(wù)1FAT32文件系統(tǒng)恢復(fù)項目7文件系統(tǒng)恢復(fù)01利用Winhex讀取FAT表項參數(shù)02利用Winhex讀取數(shù)據(jù)區(qū)用戶文件（夾）目錄項主要參數(shù)目錄contents利用Winhex讀取FAT表項參數(shù)01任務(wù)實(shí)施1（一）利用Winhex讀取FAT表項參數(shù)（共有2個步驟）步驟一：附加虛擬磁盤，運(yùn)行Winhex并打開它步驟二：讀取和記錄FAT表項參數(shù)一步驟一：附加虛擬磁盤，運(yùn)行Winhex并打開它在素材文件夾中，雙擊“7任務(wù)1-1-1.vhd”，然后運(yùn)行Winhex，打開“HD1”，界面顯示該硬盤信息，此虛擬磁盤共分有1個主分區(qū)（FAT32分區(qū)），點(diǎn)開分區(qū)1，再點(diǎn)開FAT1。如圖7-1所示。利用Winhex讀取FAT表項參數(shù)圖7-1Winhex編輯窗口信息（FAT1表）圖一步驟二：讀取和記錄FAT表項參數(shù)讀取FAT表項參數(shù)，記錄到表7-1中，得FAT1表項參數(shù)表，如表7-5所示。利用Winhex讀取FAT表項參數(shù)表7-5FAT1表項的參數(shù)表表項偏移長度值項數(shù)表項內(nèi)容00號0X0040X0FFFFFF81FAT表標(biāo)志表項01號0X0440XFFFFFFFF1系統(tǒng)保留表項02號0X0840X0FFFFFFF1目錄表項03號0X0C40X0FFFFFFF1文件只一個表項04號0X1040X0FFFFFFF1文件只一個表項05號0X1440X0FFFFFFF1文件只一個表項06?20號0X18600X07?1515文件存儲指向7?20號表項21號0X5440X0FFFFFFF1文件結(jié)束項22號0X5840X0FFFFFFF1文件只一個表項23號0X5C40X0FFFFFFF1文件只一個表項24號0X6040X0FFFFFFF1文件只一個表項25號0X6440X0FFFFFFF1文件只一個表項利用Winhex讀取數(shù)據(jù)區(qū)用戶文件（夾）目錄項主要參數(shù)02利用Winhex讀取數(shù)據(jù)區(qū)用戶文件（夾）目錄項主要參數(shù)二、利用Winhex讀取數(shù)據(jù)區(qū)用戶文件（夾）目錄項主要參數(shù)（共有3個步驟）步驟一：附加虛擬磁盤，運(yùn)行Winhex并打開它步驟二：讀取和記錄根目錄下文件夾“7任務(wù)1”目錄項的主要參數(shù)步驟三：讀取用戶文件夾“7任務(wù)1”這個子目錄下目錄項的主要參數(shù)二步驟一：附加虛擬磁盤，運(yùn)行Winhex并打開它在素材文件夾中，雙擊“7任務(wù)1-1-1.vhd”，然后運(yùn)行Winhex，打開“HD1”，點(diǎn)開分區(qū)1，發(fā)現(xiàn)用戶文件夾“7任務(wù)1”，進(jìn)一步點(diǎn)開此文件夾，它有2個文件“7任務(wù)1-1-1.txt”和“7任務(wù)1-1-1.png”。因此，讀取的目錄項有：根目錄下文件夾“7任務(wù)1”的目錄項、文件夾“7任務(wù)1”目錄下的文件“7任務(wù)1-1-1.txt”和文件“7任務(wù)1-1-1.png”的目錄項，共3個目錄項。利用Winhex讀取數(shù)據(jù)區(qū)用戶文件（夾）目錄項主要參數(shù)二步驟二：讀取和記錄根目錄下文件夾“7任務(wù)1”目錄項的主要參數(shù)單擊根目錄，偏移0X80?X09F為根目錄下文件夾“7任務(wù)1”的目錄項。如圖7-2所示。利用Winhex讀取數(shù)據(jù)區(qū)用戶文件（夾）目錄項主要參數(shù)圖7-2Winhex編輯窗口信息（文件夾“7任務(wù)1”目錄項）圖二步驟二：讀取和記錄根目錄下文件夾“7任務(wù)1”目錄項的主要參數(shù)根據(jù)表7-2，對應(yīng)讀取該目錄項主要參數(shù)，制成該目錄項主要參數(shù)表，如表7-6所示。利用Winhex讀取數(shù)據(jù)區(qū)用戶文件（夾）目錄項主要參數(shù)表7-6文件夾“7任務(wù)1”目錄項的主要參數(shù)表偏移長度值短文件目錄項內(nèi)容0X0080X202031F1CEC837主文件（夾）名:7任務(wù)10X0830X202020擴(kuò)展名：空0X0B10X10屬性：10(子目錄)0X0C10X00子目錄名大小寫：OO（大寫）0X1420X00文件（夾）開始簇號的高16位:0簇0X1A20X05文件（夾）開始簇號的低16位:5簇0X1C40X00文件實(shí)際大小，0字節(jié)二步驟三：讀取用戶文件夾“7任務(wù)1”這個子目錄下目錄項的主要參數(shù)①讀取文件“7任務(wù)1-1-1.txt”目錄項的主要參數(shù)。單擊用戶文件夾“7任務(wù)1”，偏移0X80?X0BF為文件“7任務(wù)1-1-1.txt”的目錄項，長文件名占2個目錄項。如圖7-3所示。利用Winhex讀取數(shù)據(jù)區(qū)用戶文件（夾）目錄項主要參數(shù)圖7-3Winex編輯窗口信息（文件“7任務(wù)1-1-1.txt”目錄項）圖二步驟三：讀取用戶文件夾“7任務(wù)1”這個子目錄下目錄項的主要參數(shù)根據(jù)表7-2和表7-3，對應(yīng)讀取該目錄項主要參數(shù)，制成該目錄項主要參數(shù)表，如表7-7、表7-8所示。利用Winhex讀取數(shù)據(jù)區(qū)用戶文件（夾）目錄項主要參數(shù)表7-7文件“7任務(wù)1-1-1.txt”長文件名目錄項參數(shù)表偏移長度值長文件名目錄項內(nèi)容0X0010X41長文件名序列號：65。0X01100X002D003152A14EFB0037長文件名的第1?5個字符：7任務(wù)1-。0X0B10X0F長文件名目錄項標(biāo)志：0X0F。0X0C10X00系統(tǒng)保留0X0D10XBE校驗(yàn)值和。0X0E120X00780074002E0031002D0031長文件名的第6?11個字符：-1-1.tx。0X1A20X0000保留0X1C40X74長文件名的第12?13個字符：t。二步驟三：讀取用戶文件夾“7任務(wù)1”這個子目錄下目錄項的主要參數(shù)根據(jù)表7-2和表7-3，對應(yīng)讀取該目錄項主要參數(shù)，制成該目錄項主要參數(shù)表，如表7-7、表7-8所示。利用Winhex讀取數(shù)據(jù)區(qū)用戶文件（夾）目錄項主要參數(shù)表7-8文件“7任務(wù)1-1-1.txt”短文件名目錄項的主要參數(shù)表偏移長度值短文件目錄項內(nèi)容0X0080X317E31F1CECEC837主文件（夾）名:7任務(wù)1?10X0830X545854擴(kuò)展名：TXT0X0B10X20屬性：20(文檔)0X0C10X00子目錄名大小寫：OO（大寫）0X1420X00文件（夾）開始簇號的高16位:00X1A20X16文件（夾）開始簇號的低16位:22簇0X1C40X21文件實(shí)際大小，33字節(jié)二步驟三：讀取用戶文件夾“7任務(wù)1”這個子目錄下目錄項的主要參數(shù)②讀取文件“7任務(wù)1-1-1.png”目錄項的主要參數(shù)。單擊用戶文件夾“7任務(wù)1”，偏移0X40?X07F為文件“7任務(wù)1-1-1.png”的目錄項，長文件名占2個目錄項。如圖7-4所示。利用Winhex讀取數(shù)據(jù)區(qū)用戶文件（夾）目錄項主要參數(shù)圖7-4Winex編輯窗口信息（文件“7任務(wù)1-1-1.png”目錄項）圖二步驟三：讀取用戶文件夾“7任務(wù)1”這個子目錄下目錄項的主要參數(shù)根據(jù)表7-2、表7-3，對應(yīng)讀取該目錄項主要參數(shù)，制成該目錄項主要參數(shù)表，如表7-9、表7-10所示。利用Winhex讀取數(shù)據(jù)區(qū)用戶文件（夾）目錄項主要參數(shù)表7-9文件“7任務(wù)1-1-1.png”長文件名目錄項參數(shù)表偏移長度值長文件名目錄項內(nèi)容0X0010X41長文件名序列號：65。0X01100X002D003152A14EFB0037長文件名的第1?5個字符：7任務(wù)1-。0X0B10X0F長文件名目錄項標(biāo)志：0X0F。0X0C10X00系統(tǒng)保留0X0D10XAB校驗(yàn)值和。0X0E120X006E0070002E0031002D0031長文件名的第6?11個字符：-1-1.pn。0X1A20X0000保留0X1C40X67長文件名的第12?13個字符：g。二步驟三：讀取用戶文件夾“7任務(wù)1”這個子目錄下目錄項的主要參數(shù)根據(jù)表7-2、表7-3，對應(yīng)讀取該目錄項主要參數(shù)，制成該目錄項主要參數(shù)表，如表7-9、表7-10所示。利用Winhex讀取數(shù)據(jù)區(qū)用戶文件（夾）目錄項主要參數(shù)表7-10文件“7任務(wù)1-1-1.png”短文件名目錄項參數(shù)表偏移長度值短文件目錄項內(nèi)容0X0080X317E31F1CECEC837主文件（夾）名:7任務(wù)1?10X0830X474E50擴(kuò)展名：PNG0X0B10X20屬性：20(文檔)0X0C10X00子目錄名大小寫：OO（大寫）0X1420X00文件（夾）開始簇號的高16位:00X1A20X06文件（夾）開始簇號的低16位:6簇0X1C40X1E449文件實(shí)際大小，123977字節(jié)感謝觀看THANKSFORWATCHING子任務(wù)2利用WinHex恢復(fù)FAT32文件系統(tǒng)任務(wù)1FAT32文件系統(tǒng)恢復(fù)項目7文件系統(tǒng)恢復(fù)01用Winhex恢復(fù)受破壞FAT表02用Winhex恢復(fù)受破壞FAT32數(shù)據(jù)區(qū)用戶目錄項目錄contents用Winhex恢復(fù)受破壞FAT表01任務(wù)實(shí)施2（一）用Winhex恢復(fù)受破壞FAT表（被清零）（共有3個步驟）步驟一：附加虛擬磁盤，運(yùn)行Winhex并打開它步驟二：確定FAT32文件系統(tǒng)受破壞步驟三：恢復(fù)FAT32文件系統(tǒng)一步驟一：附加虛擬磁盤，運(yùn)行Winhex并打開它在素材文件夾中，雙擊“7任務(wù)1-2-1.vhd”，然后運(yùn)行Winhex，打開“HD1”，界面顯示該硬盤信息，此虛擬磁盤共分有1個主分區(qū)（FAT32分區(qū)）。用Winhex恢復(fù)受破壞FAT表步驟二：確定FAT32文件系統(tǒng)受破壞進(jìn)入在分區(qū)1，分別點(diǎn)開FAT1、FAT2表，發(fā)現(xiàn)它倆偏移0X03?07有數(shù)據(jù)“0X7FFFFFFF”，其它都有為0，說明FAT表被破壞了。一步驟三：恢復(fù)FAT32文件系統(tǒng)1.確定各目錄項參數(shù)分別讀取“根目錄”、“systemVolumeInformation”、“7任務(wù)1”、“$RECYCLE.BIN”四個文件及其管理的目錄項數(shù)據(jù)，得出各自的起始簇及大小，然后根據(jù)DBR的BPB的每簇扇區(qū)數(shù)為16，就可以計算出起始扇區(qū)及大?。ㄉ葏^(qū)數(shù)）用Winhex恢復(fù)受破壞FAT表2.推算FAT1表項值，并把它填入FAT1表項推算出各文件所占的表項號、簇數(shù)及對應(yīng)的表項值，填入FAT1表項表，如表7-11所示。表7-11FAT1表項表表項值起始簇大?。ㄉ葏^(qū)）表項數(shù)表項內(nèi)容00號0X0FFFFFF800號01FAT表標(biāo)志表項01號0XFFFFFFFF01號01系統(tǒng)保留表項02號0X0FFFFFFF02號01目錄表項03號0X0FFFFFFF03號01文件只一個表項04號0X0FFFFFFF04號01文件只一個表項05號0X0FFFFFFF05號01文件只一個表項06?20號0X07?1506?20號123,97716文件存儲指向7?20號表項21號0X0FFFFFFF21號文件結(jié)束項22號0X0FFFFFFF22號331文件只一個表項23號0X0FFFFFFF23號01文件只一個表項24號0X0FFFFFFF24號1291文件只一個表項25號0X0FFFFFFF25號01文件只一個表項

一步驟三：恢復(fù)FAT32文件系統(tǒng)根據(jù)表7-11，填入FAT1的各個表項，如圖7-7所示。用Winhex恢復(fù)受破壞FAT表圖7-7Winhex編輯窗口信息（FAT1表）圖3.把FAT1復(fù)制到FAT2表把FAT1表復(fù)制到FAT2表,最后進(jìn)行保存和磁盤快照?；謴?fù)受破壞FAT表（被清零）的操作完成。用Winhex恢復(fù)受破壞FAT32數(shù)據(jù)區(qū)用戶目錄項02用Winhex恢復(fù)受破壞FAT32數(shù)據(jù)區(qū)用戶目錄項二、用Winhex恢復(fù)受破壞FAT32數(shù)據(jù)區(qū)用戶目錄項（共有3個步驟）步驟一：附加虛擬磁盤，運(yùn)行Winhex并打開它步驟二：確定FAT32文件系統(tǒng)受破壞步驟三：恢復(fù)FAT32文件系統(tǒng)二步驟二：確定FAT32文件系統(tǒng)受破壞進(jìn)入在分區(qū)1，點(diǎn)擊根目錄，發(fā)現(xiàn)用戶目錄項為0，用資源管理器打開本分區(qū)，根目錄下沒有文件（夾），說明用戶目錄項被破壞了。如圖7-8所示。用Winhex恢復(fù)受破壞FAT32數(shù)據(jù)區(qū)用戶目錄項圖7-8Winhex編輯窗口信息（被“清零”的用戶目錄項）圖二步驟三：恢復(fù)FAT32文件系統(tǒng)1.確定非用戶文件（夾）占的簇號從DBR的BPB參數(shù)表得知“根目錄”分配2號表項，“systemVolumeInformation”子目錄項中得知其占3-4、25號表項，“$RECYCLE.BIN”子目錄項中可知其占23-24號表項。具體讀數(shù)流程可參考“子任務(wù)1”。用Winhex恢復(fù)受破壞FAT32數(shù)據(jù)區(qū)用戶目錄項二步驟三：恢復(fù)FAT32文件系統(tǒng)2.推算用戶文件目錄項參數(shù)推算出用戶文件（夾）所占的簇號為5-22，跳轉(zhuǎn)至5號簇，發(fā)現(xiàn)用戶子目錄項，且有兩個文件，經(jīng)推算，第1個文件占6-21號簇，第2個文件占22號簇，因此，被破壞的是用戶文件夾，不是文件，把數(shù)據(jù)填入用戶文件目錄項參數(shù)表，如表7-12所示。用Winhex恢復(fù)受破壞FAT32數(shù)據(jù)區(qū)用戶目錄項表7-12用戶文件目錄項參數(shù)表偏移長度值短文件目錄項內(nèi)容0X0080X202031F1CEC837主文件（夾）名:7任務(wù)1（重新命名）0X0830X202020擴(kuò)展名：空0X0B10X10屬性：10H(子目錄)0X0C10X00子目錄名大小寫：OOH（大寫）0X1420X00文件（夾）開始簇號的高16位:0簇0X1A20X05文件（夾）開始簇號的低16位:5簇0X1C40X00文件實(shí)際大小，0字節(jié)二步驟三：恢復(fù)FAT32文件系統(tǒng)3.把用戶文件目錄參數(shù)填入用戶文件目錄項根據(jù)表7-12，把用戶文件目錄參數(shù)填入根目錄下用戶文件目錄項，如圖7-9所示。用Winhex恢復(fù)受破壞FAT32數(shù)據(jù)區(qū)用戶目錄項圖7-9Winhex編輯窗口信息（修復(fù)后用戶文件的目錄項）圖感謝觀看THANKSFORWATCHING子任務(wù)1利用WinHex讀取FAT32文件系統(tǒng)參數(shù)任務(wù)2NTFS文件系統(tǒng)恢復(fù)項目7文件系統(tǒng)恢復(fù)01利用Winhex讀取$MFT參數(shù)02利用Winhex讀取$Root參數(shù)目錄contents03利用Winhex讀取數(shù)據(jù)區(qū)主要參數(shù)利用Winhex讀取$MFT參數(shù)01任務(wù)實(shí)施1（一）利用Winhex讀取$MFT參數(shù)（共有2個步驟）步驟一：附加虛擬磁盤，運(yùn)行Winhex并打開它步驟二：讀取和記錄$MFT參數(shù)一步驟一：附加虛擬磁盤，運(yùn)行Winhex并打開它在素材文件夾中，雙擊“7任務(wù)2-1-1.vhd”，然后運(yùn)行Winhex，打開“HD1”，界面顯示該硬盤信息，此虛擬磁盤共分有1個主分區(qū)點(diǎn)開分區(qū)1（NTFS分區(qū)）。利用Winhex讀取$MFT參數(shù)一步驟二：讀取和記錄$MFT參數(shù)點(diǎn)開$MFT元文件，第一個記錄（0號記錄）就是本身文件記錄。如圖7-10所示。利用Winhex讀取$MFT參數(shù)圖7-10Winhex編輯窗口信息（$MFT的0號文件記錄表）圖一步驟二：讀取和記錄$MFT參數(shù)1.讀取0號文件記錄頭參數(shù)根據(jù)表7-13（文件記錄頭參數(shù)表），對應(yīng)讀取0號文件記錄頭，得其參數(shù)，如表7-17所示。利用Winhex讀取$MFT參數(shù)表7-170號文件記錄頭參數(shù)表偏移長度值記錄內(nèi)容0X0040X454C4946MFT標(biāo)志，一定為字符串“FILE"0X0420X30更新序列號的偏移0X300X0620X03更新序列號的大小與數(shù)組，包括第一個字節(jié)0X0880X2004BF2日志文件序列號（$LogFileSequenceNumber,LSN)0X1020X01序列號（SequenceNumber）0X1220X01有1個目錄指向該文件0X1420X38第一個屬性的偏移地址0X380X1620X013H表示記錄正在使用0X1840X1A0文件記錄的實(shí)際長度為416字節(jié)0X1C40X400總共分配給記錄的長度為1KB0X2080X00基本文件記錄中的文件索引號0X2820X04下一屬性ID（4號屬性）0X2A20X00邊界，WindowsXP中為偏移0x30處0X2C40X00WindowsXP中使用，MFT記錄編號為0（從0號開始）0X3020X0600更新系列號一步驟二：讀取和記錄$MFT參數(shù)2.讀取0號文件記錄0X80屬性參數(shù)根據(jù)表7-14（0X80屬性參數(shù)表），對應(yīng)讀取0號文件記錄0X80屬性參數(shù)，得其參數(shù)，如表7-18所示。利用Winhex讀取$MFT參數(shù)表7-180號文件記錄0X80屬性參數(shù)表偏移長度值0X80非常駐沒有屬性名屬性內(nèi)容0X10040X800X80屬性0X10440X48屬性頭長度（單位：72字節(jié)）0X10810X01常駐與非常駐標(biāo)志，此處為01,表示非常駐0X10910X00文件名長度（00表示沒有屬性名），此處為00,表示未命名，即無屬性名0X10A20X40名稱偏移值（沒有屬性名），此處為0X400X10C20X00壓縮、加密、稀疏標(biāo)志：0001H表示該屬性是被壓縮的；4000H表示該屬性是被加密的；8000H表示該屬性是稀疏的0X10E20X02屬性ID標(biāo)識(2號屬性）0X11080X00開始VCN，此處為000X11880X3F結(jié)束VCN，此處為630X12020X40數(shù)據(jù)運(yùn)行列表偏移地址0X400X12220X00壓縮單位大?。?x簇，如果為0表示未壓縮）0X12440X00填充0X12880X040000系統(tǒng)分配給文件的空間大?。▎挝唬?62,144字節(jié)）0X13080X040000數(shù)據(jù)流的實(shí)際大小，即文件的實(shí)際大?。▎挝唬?62144字節(jié)）0X13880X040000數(shù)據(jù)流已初始化大小，即文件壓縮后的大?。▎挝唬?62144字節(jié)）0X140H+L+10X31/0X40/0X0C0000數(shù)據(jù)流占本卷的起始簇號786432，數(shù)據(jù)流占本卷的總簇數(shù)為64簇利用Winhex讀取$Root參數(shù)02利用Winhex讀取$Root參數(shù)二、利用Winhex讀取$Root參數(shù)（共有2個步驟）步驟一：跳轉(zhuǎn)到5號文件記錄步驟二：讀取和記錄5號文件記錄參數(shù)二步驟一：跳轉(zhuǎn)到5號文件記錄在0號文件記錄，繼續(xù)向后移10個扇區(qū)，就到5號文件記錄（$Root根目錄文件目錄）。如圖7-11所示。利用Winhex讀取$Root參數(shù)圖7-11Winhex編輯窗口信息（$MFT的5號文件記錄表）圖二步驟二：讀取和記錄5號文件記錄參數(shù)1.5號文件記錄頭參數(shù)根據(jù)表7-13表（文件記錄頭參數(shù)表），對應(yīng)讀取5號文件記錄頭，得其參數(shù)，如表7-19所示。利用Winhex讀取$Root參數(shù)表7-195號文件記錄頭參數(shù)表偏移長度值記錄內(nèi)容0X0040X454C4946MFT標(biāo)志，一定為字符串“FILE"0X0420X30更新序列號的偏移0X300X0620X03更新序列號的大小與數(shù)組，包括第一個字節(jié)0X0880X050055E1日志文件序列號（$LogFileSequenceNumber,LSN)0X1020X05序列號（SequenceNumber）0X1220X01有1個目錄指向該文件0X1420X38第一個屬性的偏移地址0X380X1620X033H表示記錄正在使用0X1840X0290文件記錄的實(shí)際長度為656字節(jié)0X1C40X0400總共分配給記錄的長度為1KB0X2080X00基本文件記錄中的文件索引號0X2820X08下一屬性ID（8號屬性）0X2A20X00邊界，WindowsXP中為偏移0x30處0X2C40X05WindowsXP中使用，MFT記錄編號（從0號開始）0X3020X0900更新系列號二步驟二：讀取和記錄5號文件記錄參數(shù)2.5號文件記錄屬性參數(shù)（1）讀取5號文件記錄0X90屬性參數(shù)根據(jù)表7-17（文件記錄0X90屬性參數(shù)格式表），對應(yīng)讀取5號文件記錄0X90屬性參數(shù)，得其參數(shù)，如表7-27所示。利用Winhex讀取$Root參數(shù)二步驟二：讀取和記錄5號文件記錄參數(shù)利用Winhex讀取$Root參數(shù)表7-275號文件記錄0X90屬性參數(shù)表偏移長度值0X90屬性內(nèi)容結(jié)構(gòu)0X55040X900X90屬性屬性頭0X55440X58屬性長度（即屬性頭+屬性體）88字節(jié)0X55810X00總為000X55910X04屬性名的名稱長度4字節(jié)0X55A20X18屬性名的偏移0X180X55C20X00標(biāo)志（壓縮、加密、稀疏）0X55E20X02屬性ID標(biāo)識（2號屬性）0X56040X38屬性體長度56字節(jié)0X56420X20屬性體開始偏移0X200X56610X00索引標(biāo)志為000X56710X00無意義（填充到8字節(jié)的倍數(shù)）0X56880X0030003300480024屬性名為$I300X57040X30屬性類型30,即為索引索引根0X57440X01校對規(guī)則0X57840X1000每個索引節(jié)點(diǎn)分配大?。?096字節(jié)）0X57C10X01每個索引節(jié)點(diǎn)所占簇數(shù)為10X57D30X00無意義（填充到8字節(jié)的倍數(shù)）0X58040X10第一個索引項的偏移0X10索引頭0X58440X28索引項總的大小，40字節(jié)0X58840X28索引項的分配大小，40字節(jié)0X58C10X01標(biāo)志：為大索引，有兩個以上的索引節(jié)點(diǎn)0X58D30X00無意義（填充到8字節(jié)的倍數(shù)）0X59080X00未用索引項10X59820X18索引項的大?。ㄏ鄬λ饕楅_始的偏移）0X180X59A20X00文件（夾）名字屬性體大小0X59C20X03索引標(biāo)志，有子節(jié)點(diǎn)0X59E20X00未用0X5A080X00未用二步驟二：讀取和記錄5號文件記錄參數(shù)（2）讀取5號文件記錄A0屬性參數(shù)根據(jù)表7-16（文件記錄0X80屬性參數(shù)格式表），對應(yīng)讀取5號文件記錄A0屬性參數(shù)，得其參數(shù)，如表7-28所示。利用Winhex讀取$Root參數(shù)表7-285號文件記錄A0屬性參數(shù)表偏移長度值A(chǔ)0屬性內(nèi)容0X5A840XA0A0屬性0X5AC40X50A0屬性頭長度為80字節(jié)0X5B010X01此處為01,即表示非常駐0X5B110X04屬性名長度為4個Unicode碼0X5B220X40名稱偏移地址為0X400X5B420X00沒有壓縮、加密、稀疏0X5B620X04屬性標(biāo)識ID為（4號屬性）0X5B880X00開始VCN為0X000X5C080X00結(jié)束VCN為0X000X5C820X48數(shù)據(jù)運(yùn)行列表偏移地址為0X480X5CA20X00壓縮引擎號為00X5CC40X00填充00X5D080X1000為索引文件分配的大小為4096字節(jié)0X5D880X1000實(shí)際索引文件的大小為4096字節(jié)0X5E080X1000索引文件已初始化的大小為4096字節(jié)0X5E88

屬性名為$I30,即索引為文件名索引0X5F080X21/0X01/0X40E6起始簇0X40E6(16614簇，132912號扇區(qū)），總簇數(shù)為0X01(1簇)。有下劃線的是高位。利用Winhex讀取數(shù)據(jù)區(qū)主要參數(shù)03利用Winhex讀取數(shù)據(jù)區(qū)主要參數(shù)三、利用Winhex讀取數(shù)據(jù)區(qū)主要參數(shù)（共有2個步驟）步驟一：讀取用戶目錄記錄項的0X90屬性參數(shù)步驟二：讀取“7任務(wù)2-1-1.png”文件目錄項主要參數(shù)及其內(nèi)容步驟三：讀取“7任務(wù)2-1-1.txt”文件目錄項主要參數(shù)及其內(nèi)容三步驟一：讀取用戶目錄記錄項的0X90屬性參數(shù)用戶目錄“7任務(wù)2”在$FMT表的記錄項0X90屬性結(jié)構(gòu)如圖7-17所示。利用Winhex讀取數(shù)據(jù)區(qū)主要參數(shù)圖7-17Winhex編輯窗口信息（目錄“7任務(wù)2”目錄項的0X90屬性）圖三步驟二：讀取“7任務(wù)2-1-1.png”文件目錄項主要參數(shù)及其內(nèi)容1.讀取“7任務(wù)2-1-1.png”文件目錄項主要參數(shù)把光標(biāo)從當(dāng)前記錄項移到下一個記錄項（或跳轉(zhuǎn)至6291542號扇區(qū)），即$FMT表43號記錄項，顯示是43號記錄項參數(shù)（“7任務(wù)2-1-1.png”的文件記錄項參數(shù)），找到其0X80屬性，如圖7-18所示。利用Winhex讀取數(shù)據(jù)區(qū)主要參數(shù)圖7-18Winhex編輯窗口信息（7任務(wù)2-1-1.png文件目錄項的0X80屬性）圖三步驟二：讀取“7任務(wù)2-1-1.png”文件目錄項主要參數(shù)及其內(nèi)容2.讀取“7任務(wù)2-1-1.png”文件內(nèi)容跳轉(zhuǎn)至22216號簇或（177,728扇區(qū)），在數(shù)據(jù)區(qū)顯示“7任務(wù)2-1-1.png”文件的內(nèi)容，如圖7-19所示利用Winhex讀取數(shù)據(jù)區(qū)主要參數(shù)圖7-19Winhex編輯窗口信息（“7任務(wù)2-1-1.png”文件內(nèi)容）圖三步驟三：讀取“7任務(wù)2-1-1.txt”文件目錄項主要參數(shù)及其內(nèi)容跳轉(zhuǎn)至6291542號扇區(qū)，即$FMT表44號記錄項，顯示是44號記錄項參數(shù)（“7任務(wù)2-1-1.txt”的文件記錄項參數(shù)），找到其0X80屬性，如圖7-20所示。利用Winhex讀取數(shù)據(jù)區(qū)主要參數(shù)圖7-20Winhex編輯窗口信息（0X80屬性）圖感謝觀看THANKSFORWATCHING子任務(wù)2利用WinHex恢復(fù)NTFS文件系統(tǒng)任務(wù)2NTFS文件系統(tǒng)恢復(fù)項目7文件系統(tǒng)恢復(fù)01利用NTFS自動修改功能恢復(fù)NTFS文件系統(tǒng)02利用Winhex手動恢復(fù)受破壞NTFS的DBR及其備份目錄contents利用NTFS自動修改功能恢復(fù)NTFS文件系統(tǒng)01任務(wù)實(shí)施2（一）利用NTFS自動修改功能恢復(fù)NTFS文件系統(tǒng)（共有2個步驟）步驟一：附加虛擬磁盤，運(yùn)行Winhex并打開它步驟二：確認(rèn)NTFS文件系統(tǒng)被破壞一步驟一：附加虛擬磁盤，運(yùn)行Winhex并打開它在素材文件夾中，雙擊“7任務(wù)2-2-1.vhd”，然后運(yùn)行Winhex，打開“HD1”，界面顯示該硬盤信息，此虛擬磁盤共分有1個主分區(qū)（NTFS分區(qū)）。利用NTFS自動修改功能恢復(fù)NTFS文件系統(tǒng)步驟二：確認(rèn)NTFS文件系統(tǒng)被破壞1.確認(rèn)DBR被破壞進(jìn)入在分區(qū)1，發(fā)現(xiàn)沒有用根目錄下沒有用戶目錄及文件，通過查找“EB52904E”發(fā)現(xiàn)在本卷開頭及末尾扇區(qū)有DBR，說明此卷已被重新格式化了。2.確定$MFT各記錄項損壞進(jìn)入$MFT，發(fā)現(xiàn)其所有文件記錄項（43項）都是系統(tǒng)元文件或系統(tǒng)文件，沒有用戶文件或目錄。查找“46494C45”，在$MFT區(qū)域外都沒找到，說明這個磁盤被同參數(shù)格式化了，用戶的文件和目錄記錄項被“清零”，同時，用戶常駐文件也被“清零”，已無法恢復(fù)，而放在數(shù)據(jù)區(qū)的用戶文件只能通過文件類型掃描恢復(fù)出來了。一利用NTFS自動修改功能恢復(fù)NTFS文件系統(tǒng)步驟二：確認(rèn)NTFS文件系統(tǒng)被破壞3.通過文件類型掃描分區(qū)，恢復(fù)用戶文件打開Winhex“工具”主菜單，進(jìn)入下拉菜單“磁盤工具”，選擇點(diǎn)擊“通過文件類型恢復(fù)”程序。彈出“依據(jù)文件頭標(biāo)志搜索”窗口，在“選擇文件類型”欄的各類型文件前的小方框打“√”，若已知將要恢復(fù)的文件的類型了，那就只選擇該文件類型，這樣可提高掃描速度，“輸出文件”欄，選擇“/桌面/恢復(fù)文件”這個文件夾，其它欄默認(rèn)，最后點(diǎn)擊“確認(rèn)”，程序進(jìn)行進(jìn)入掃描進(jìn)程。掃描結(jié)束后，彈出掃描結(jié)果。切換到電腦桌面，打開電腦桌面“恢復(fù)文件”文件夾，發(fā)現(xiàn)一個已恢復(fù)了的圖片文件“000002.JPG”，把”000002.JPG”改名為“7任務(wù)2-2-1.PNG”4.把桌面的“恢復(fù)文件”復(fù)制到原被損壞分區(qū)的根目錄下用資源管理器，把桌面的“恢復(fù)文件”復(fù)制到原被損壞的卷的根目錄下。一利用NTFS自動修改功能恢復(fù)NTFS文件系統(tǒng)步驟二：確認(rèn)NTFS文件系統(tǒng)被破壞5.對原被損壞分區(qū)進(jìn)行磁盤快照切換回Winhex編輯窗口，對原被損壞卷進(jìn)行磁盤快照，因?yàn)?，NTFS文件系統(tǒng)有強(qiáng)大的自我修復(fù)功能，在此，進(jìn)行磁盤快照后，系統(tǒng)就會自動把資源管理器復(fù)制進(jìn)來的文件（夾）管理起來。用戶可正常使用本分區(qū)，原文件也恢復(fù)了，只不過，文件（夾）名字與原來不一致，還需用戶自已修改為原名就可以了。利用NTFS自動修改功能恢復(fù)NTFS文件系統(tǒng)的操作完成。利用Winhex手動恢復(fù)受破壞NTFS的DBR及其備份02利用Winhex手動恢復(fù)受破壞NTFS的DBR及其備份二、利用Winhex手動恢復(fù)受破壞NTFS的DBR及其備份（共有2個步驟）步驟一：附加虛擬磁盤，運(yùn)行Winhex并打開它步驟二：確認(rèn)NTFS文件系統(tǒng)被破壞二步驟一：附加虛擬磁盤，運(yùn)行Winhex并打開它在素材文件夾中，雙擊“7任務(wù)2-2-2.vhd”，然后運(yùn)行Winhex，打開“HD1”，界面顯示該硬盤信息，此虛擬磁盤共分有1個主分區(qū)（NTFS分區(qū)）。利用Winhex手動恢復(fù)受破壞NTFS的DBR及其備份步驟二：確認(rèn)NTFS文件系統(tǒng)被破壞1.確認(rèn)DBR是否被破壞進(jìn)入在分區(qū)1，無法瀏覽根目錄下的文件，本卷扇區(qū)0及末尾扇區(qū)都是亂碼，分區(qū)的結(jié)尾標(biāo)志55AAH也被修改，沒發(fā)現(xiàn)DBR，說明DBR及備份參數(shù)全被破壞。2.確定$MFT各記錄項是否被損壞當(dāng)DBR的BPB參數(shù)全被破壞后，是無法直接打開$MFT和$MFTMirr，只能手工查找它倆了。點(diǎn)擊Winhex的“查找”功能，向下查找46494C45H關(guān)鍵值，當(dāng)查找到第一個46494C45H時，剛好在右邊窗口能看到$MFT字樣文本時，說明找到0號文件記錄，是$MFT自身的記錄，當(dāng)然下一個記錄是$MFTMirr自身的記錄，且它倆數(shù)據(jù)正常。說明$MFT、$MFTMirr沒被破壞。他倆所在的扇區(qū)號，應(yīng)該是$MFT的備份$MFTMirr的前兩個文件記錄。二利用Winhex手動恢復(fù)受破壞NTFS的DBR及其備份步驟二：確認(rèn)NTFS文件系統(tǒng)被破壞3.讀取$MFT、$MFTMirr記錄項中主要參數(shù)（1）讀取$MFT自身分配到的空間大小$MFT自身分配到的空間大小，是在0X80屬性里，偏移是0X128～0X12F，值40000H，大小為262144字節(jié)，512扇區(qū)（262144÷512=512）。（2）讀取$MFT自身分配到的總簇數(shù)，并計算本卷設(shè)定每簇扇區(qū)數(shù)$MFT自身分配到的總簇數(shù)，是在0X80屬性的數(shù)據(jù)運(yùn)行表（RunList）里，偏移是0X141，值40H，大小為64簇。計算$MFT自身分配到空間的扇區(qū)數(shù)和總簇數(shù)的比值，這比值就是分區(qū)設(shè)定每簇扇區(qū)數(shù)，即：512÷64=8(扇區(qū)/簇）。（3）$MFT的起始簇號$MFT自身在分區(qū)里的起始簇，是在0X80屬性的數(shù)據(jù)運(yùn)行表（RunList）里，偏移是0X142～0X144，值0XC0000，大小為786432簇，6291456扇區(qū)（786432×8=6291456）。二利用Winhex手動恢復(fù)受破壞NTFS的DBR及其備份步驟二：確認(rèn)NTFS文件系統(tǒng)被破壞3.讀取$MFT、$MFTMirr記錄項中主要參數(shù)（4）$MFTMirr的起始簇號$MFTMirr自身在分區(qū)里的起始簇，是在0X80屬性的數(shù)據(jù)運(yùn)行表（RunList）里，偏移是0X54B，值0X02，大小為2簇，16扇區(qū)（2×8=16）。二利用Winhex手動恢復(fù)受破壞NTFS的DBR及其備份步驟二：確認(rèn)NTFS文件系統(tǒng)被破壞4.讀取分區(qū)前面已用扇區(qū)數(shù)和分區(qū)實(shí)際大小跳轉(zhuǎn)0扇區(qū)，MBR分區(qū)表如圖8-21所示。圖7-21MBR分區(qū)表圖本分區(qū)的第一扇區(qū)為63號扇區(qū)（偏移0X1C6～0X1C9，值0X3F,即為63號扇區(qū)），因此，分區(qū)前面已用的扇區(qū)為0～62號扇區(qū)，共63扇區(qū)。本分區(qū)的大小為33543657扇區(qū)（偏移0X1CA～0X1CD,值0X1FFD5E9，即為33543657扇區(qū)）,在DBR的BPB參數(shù)中的本分區(qū)大小為33543657-1=33543656（扇區(qū)）。二利用Winhex手動恢復(fù)受破壞NTFS的DBR及其備份步驟二：確認(rèn)NTFS文件系統(tǒng)被破壞5.確定需DBR的主要參數(shù)1.每簇扇區(qū)數(shù)，偏移0X0D，8扇區(qū)/簇。2.分區(qū)前面已用的扇區(qū)，偏移0X1C～0X1F，63扇區(qū)。3.本卷大小，偏移0X18～0X1B，33543656扇區(qū)。4.$MFT自身在分區(qū)里的起始簇，偏移0X30～0X34，786432簇。5.$MFTMirr自身在分區(qū)里的起始簇，偏移0X38～0X3C，2簇。6.復(fù)制一個正常的DBR扇區(qū)打開一個正常磁盤，跳轉(zhuǎn)到NTFS的DBR位置，選擇整個DBR扇區(qū)，并復(fù)制到被破壞的DBR處。二利用Winhex手動恢復(fù)受破壞NTFS的DBR及其備份步驟二：確認(rèn)NTFS文件系統(tǒng)被破壞7.運(yùn)用數(shù)據(jù)解釋器修改DBR1.光標(biāo)移到偏移0X0D，在數(shù)據(jù)解釋器8Bit處輸入8，并回車。2.光標(biāo)移到偏移0X1C～0X1F，在數(shù)據(jù)解釋器32Bit處輸入63，并回車。3.光標(biāo)移到偏移0X28～0X2B，在數(shù)據(jù)解釋器32Bit處輸入33543656，并回車。4.光標(biāo)移到偏移0X30～0X34，在數(shù)據(jù)解釋器32Bit處輸入786432，并回車。5.光標(biāo)移到偏移0X38～0X3C，在數(shù)據(jù)解釋器32Bit處輸入2，并回車。8.恢復(fù)DBR備份復(fù)制DBR,然后跳轉(zhuǎn)本分區(qū)最后一個扇區(qū)，把DBR粘貼到最后扇區(qū)上，得到DBR備份。最后進(jìn)行保存和磁盤快照，然后將故障硬盤脫機(jī)后再加載，本分區(qū)得以恢復(fù)，丟失的數(shù)據(jù)得到修復(fù)。利用Winhex手動恢復(fù)受破壞NTFS的DBR及其備份的操作完成。二步驟二：讀取和記錄5號文件記錄參數(shù)1.5號文件記錄頭參數(shù)根據(jù)表7-13表（文件記錄頭參數(shù)表），對應(yīng)讀取5號文件記錄頭，得其參數(shù)，如表7-19所示。利用Winhex讀取$Root參數(shù)表7-195號文件記錄頭參數(shù)表偏移長度值記錄內(nèi)容0X0040X454C4946MFT標(biāo)志，一定為字符串“FILE"0X0420X30更新序列號的偏移0X300X0620X03更新序列號的大小與數(shù)組，包括第一個字節(jié)0X0880X050055E1日志文件序列號（$LogFileSequenceNumber,LSN)0X1020X05序列號（SequenceNumber）0X1220X01有1個目錄指向該文件0X1420X38第一個屬性的偏移地址0X380X1620X033H表示記錄正在使用0X1840X0290文件記錄的實(shí)際長度為656字節(jié)0X1C40X0400總共分配給記錄的長度為1KB0X2080X00基本文件記錄中的文件索引號0X2820X08下一屬性ID（8號屬性）0X2A20X00邊界，WindowsXP中為偏移0x30處0X2C40X05WindowsXP中使用，MFT記錄編號（從0號開始）0X3020X0900更新系列號二步驟二：讀取和記錄5號文件記錄參數(shù)2.5號文件記錄屬性參數(shù)（1）讀取5號文件記錄0X90屬性參數(shù)根據(jù)表7-17（文件記錄0X90屬性參數(shù)格式表），對應(yīng)讀取5號文件記錄0X90屬性參數(shù)，得其參數(shù)，如表7-27所示。利用Winhex讀取$Root參數(shù)二步驟二：讀取和記錄5號文件記錄參數(shù)利用Winhex讀取$Root參數(shù)表7-275號文件記錄0X90屬性參數(shù)表偏移長度值0X90屬性內(nèi)容結(jié)構(gòu)0X55040X900X90屬性屬性頭0X55440X58屬性長度（即屬性頭+屬性體）88字節(jié)0X55810X00總為000X55910X04屬性名的名稱長度4字節(jié)0X55A20X18屬性名的偏移0X180X55C20X00標(biāo)志（壓縮、加密、稀疏）0X55E20X02屬性ID標(biāo)識（2號屬性）0X56040X38屬性體長度56字節(jié)0X56420X20屬性體開始偏移0X200X56610X00索引標(biāo)志為000X56710X00無意義（填充到8字節(jié)的倍數(shù)）0X56880X0030003300480024屬性名為$I300X57040X30屬性類型30,即為索引索引根0X57440X01校對規(guī)則0X57840X1000每個索引節(jié)點(diǎn)分配大?。?096字節(jié)）0X57C10X01每個索引節(jié)點(diǎn)所占簇數(shù)為10X57D30X00無意義（填充到8字節(jié)的倍數(shù)）0X58040X10第一個索引項的偏移0X10索引頭0X58440X28