計(jì)算機(jī)檢測(cè)維修與數(shù)據(jù)恢復(fù)（上冊(cè)）課件 子任務(wù)2 利用WinHex恢復(fù)NTFS文件系統(tǒng)

子任務(wù)2利用WinHex恢復(fù)NTFS文件系統(tǒng)任務(wù)2NTFS文件系統(tǒng)恢復(fù)項(xiàng)目7文件系統(tǒng)恢復(fù)01利用NTFS自動(dòng)修改功能恢復(fù)NTFS文件系統(tǒng)02利用Winhex手動(dòng)恢復(fù)受破壞NTFS的DBR及其備份目錄contents利用NTFS自動(dòng)修改功能恢復(fù)NTFS文件系統(tǒng)01任務(wù)實(shí)施2（一）利用NTFS自動(dòng)修改功能恢復(fù)NTFS文件系統(tǒng)（共有2個(gè)步驟）步驟一：附加虛擬磁盤(pán)，運(yùn)行Winhex并打開(kāi)它步驟二：確認(rèn)NTFS文件系統(tǒng)被破壞一步驟一：附加虛擬磁盤(pán)，運(yùn)行Winhex并打開(kāi)它在素材文件夾中，雙擊“7任務(wù)2-2-1.vhd”，然后運(yùn)行Winhex，打開(kāi)“HD1”，界面顯示該硬盤(pán)信息，此虛擬磁盤(pán)共分有1個(gè)主分區(qū)（NTFS分區(qū)）。利用NTFS自動(dòng)修改功能恢復(fù)NTFS文件系統(tǒng)步驟二：確認(rèn)NTFS文件系統(tǒng)被破壞1.確認(rèn)DBR被破壞進(jìn)入在分區(qū)1，發(fā)現(xiàn)沒(méi)有用根目錄下沒(méi)有用戶(hù)目錄及文件，通過(guò)查找“EB52904E”發(fā)現(xiàn)在本卷開(kāi)頭及末尾扇區(qū)有DBR，說(shuō)明此卷已被重新格式化了。2.確定$MFT各記錄項(xiàng)損壞進(jìn)入$MFT，發(fā)現(xiàn)其所有文件記錄項(xiàng)（43項(xiàng)）都是系統(tǒng)元文件或系統(tǒng)文件，沒(méi)有用戶(hù)文件或目錄。查找“46494C45”，在$MFT區(qū)域外都沒(méi)找到，說(shuō)明這個(gè)磁盤(pán)被同參數(shù)格式化了，用戶(hù)的文件和目錄記錄項(xiàng)被“清零”，同時(shí)，用戶(hù)常駐文件也被“清零”，已無(wú)法恢復(fù)，而放在數(shù)據(jù)區(qū)的用戶(hù)文件只能通過(guò)文件類(lèi)型掃描恢復(fù)出來(lái)了。一利用NTFS自動(dòng)修改功能恢復(fù)NTFS文件系統(tǒng)步驟二：確認(rèn)NTFS文件系統(tǒng)被破壞3.通過(guò)文件類(lèi)型掃描分區(qū)，恢復(fù)用戶(hù)文件打開(kāi)Winhex“工具”主菜單，進(jìn)入下拉菜單“磁盤(pán)工具”，選擇點(diǎn)擊“通過(guò)文件類(lèi)型恢復(fù)”程序。彈出“依據(jù)文件頭標(biāo)志搜索”窗口，在“選擇文件類(lèi)型”欄的各類(lèi)型文件前的小方框打“√”，若已知將要恢復(fù)的文件的類(lèi)型了，那就只選擇該文件類(lèi)型，這樣可提高掃描速度，“輸出文件”欄，選擇“/桌面/恢復(fù)文件”這個(gè)文件夾，其它欄默認(rèn)，最后點(diǎn)擊“確認(rèn)”，程序進(jìn)行進(jìn)入掃描進(jìn)程。掃描結(jié)束后，彈出掃描結(jié)果。切換到電腦桌面，打開(kāi)電腦桌面“恢復(fù)文件”文件夾，發(fā)現(xiàn)一個(gè)已恢復(fù)了的圖片文件“000002.JPG”，把”000002.JPG”改名為“7任務(wù)2-2-1.PNG”4.把桌面的“恢復(fù)文件”復(fù)制到原被損壞分區(qū)的根目錄下用資源管理器，把桌面的“恢復(fù)文件”復(fù)制到原被損壞的卷的根目錄下。一利用NTFS自動(dòng)修改功能恢復(fù)NTFS文件系統(tǒng)步驟二：確認(rèn)NTFS文件系統(tǒng)被破壞5.對(duì)原被損壞分區(qū)進(jìn)行磁盤(pán)快照切換回Winhex編輯窗口，對(duì)原被損壞卷進(jìn)行磁盤(pán)快照，因?yàn)?，NTFS文件系統(tǒng)有強(qiáng)大的自我修復(fù)功能，在此，進(jìn)行磁盤(pán)快照后，系統(tǒng)就會(huì)自動(dòng)把資源管理器復(fù)制進(jìn)來(lái)的文件（夾）管理起來(lái)。用戶(hù)可正常使用本分區(qū)，原文件也恢復(fù)了，只不過(guò)，文件（夾）名字與原來(lái)不一致，還需用戶(hù)自已修改為原名就可以了。利用NTFS自動(dòng)修改功能恢復(fù)NTFS文件系統(tǒng)的操作完成。利用Winhex手動(dòng)恢復(fù)受破壞NTFS的DBR及其備份02利用Winhex手動(dòng)恢復(fù)受破壞NTFS的DBR及其備份二、利用Winhex手動(dòng)恢復(fù)受破壞NTFS的DBR及其備份（共有2個(gè)步驟）步驟一：附加虛擬磁盤(pán)，運(yùn)行Winhex并打開(kāi)它步驟二：確認(rèn)NTFS文件系統(tǒng)被破壞二步驟一：附加虛擬磁盤(pán)，運(yùn)行Winhex并打開(kāi)它在素材文件夾中，雙擊“7任務(wù)2-2-2.vhd”，然后運(yùn)行Winhex，打開(kāi)“HD1”，界面顯示該硬盤(pán)信息，此虛擬磁盤(pán)共分有1個(gè)主分區(qū)（NTFS分區(qū)）。利用Winhex手動(dòng)恢復(fù)受破壞NTFS的DBR及其備份步驟二：確認(rèn)NTFS文件系統(tǒng)被破壞1.確認(rèn)DBR是否被破壞進(jìn)入在分區(qū)1，無(wú)法瀏覽根目錄下的文件，本卷扇區(qū)0及末尾扇區(qū)都是亂碼，分區(qū)的結(jié)尾標(biāo)志55AAH也被修改，沒(méi)發(fā)現(xiàn)DBR，說(shuō)明DBR及備份參數(shù)全被破壞。2.確定$MFT各記錄項(xiàng)是否被損壞當(dāng)DBR的BPB參數(shù)全被破壞后，是無(wú)法直接打開(kāi)$MFT和$MFTMirr，只能手工查找它倆了。點(diǎn)擊Winhex的“查找”功能，向下查找46494C45H關(guān)鍵值，當(dāng)查找到第一個(gè)46494C45H時(shí)，剛好在右邊窗口能看到$MFT字樣文本時(shí)，說(shuō)明找到0號(hào)文件記錄，是$MFT自身的記錄，當(dāng)然下一個(gè)記錄是$MFTMirr自身的記錄，且它倆數(shù)據(jù)正常。說(shuō)明$MFT、$MFTMirr沒(méi)被破壞。他倆所在的扇區(qū)號(hào)，應(yīng)該是$MFT的備份$MFTMirr的前兩個(gè)文件記錄。二利用Winhex手動(dòng)恢復(fù)受破壞NTFS的DBR及其備份步驟二：確認(rèn)NTFS文件系統(tǒng)被破壞3.讀取$MFT、$MFTMirr記錄項(xiàng)中主要參數(shù)（1）讀取$MFT自身分配到的空間大小$MFT自身分配到的空間大小，是在0X80屬性里，偏移是0X128～0X12F，值40000H，大小為262144字節(jié)，512扇區(qū)（262144÷512=512）。（2）讀取$MFT自身分配到的總簇?cái)?shù)，并計(jì)算本卷設(shè)定每簇扇區(qū)數(shù)$MFT自身分配到的總簇?cái)?shù)，是在0X80屬性的數(shù)據(jù)運(yùn)行表（RunList）里，偏移是0X141，值40H，大小為64簇。計(jì)算$MFT自身分配到空間的扇區(qū)數(shù)和總簇?cái)?shù)的比值，這比值就是分區(qū)設(shè)定每簇扇區(qū)數(shù)，即：512÷64=8(扇區(qū)/簇）。（3）$MFT的起始簇號(hào)$MFT自身在分區(qū)里的起始簇，是在0X80屬性的數(shù)據(jù)運(yùn)行表（RunList）里，偏移是0X142～0X144，值0XC0000，大小為786432簇，6291456扇區(qū)（786432×8=6291456）。二利用Winhex手動(dòng)恢復(fù)受破壞NTFS的DBR及其備份步驟二：確認(rèn)NTFS文件系統(tǒng)被破壞3.讀取$MFT、$MFTMirr記錄項(xiàng)中主要參數(shù)（4）$MFTMirr的起始簇號(hào)$MFTMirr自身在分區(qū)里的起始簇，是在0X80屬性的數(shù)據(jù)運(yùn)行表（RunList）里，偏移是0X54B，值0X02，大小為2簇，16扇區(qū)（2×8=16）。二利用Winhex手動(dòng)恢復(fù)受破壞NTFS的DBR及其備份步驟二：確認(rèn)NTFS文件系統(tǒng)被破壞4.讀取分區(qū)前面已用扇區(qū)數(shù)和分區(qū)實(shí)際大小跳轉(zhuǎn)0扇區(qū)，MBR分區(qū)表如圖8-21所示。圖7-21MBR分區(qū)表圖本分區(qū)的第一扇區(qū)為63號(hào)扇區(qū)（偏移0X1C6～0X1C9，值0X3F,即為63號(hào)扇區(qū)），因此，分區(qū)前面已用的扇區(qū)為0～62號(hào)扇區(qū)，共63扇區(qū)。本分區(qū)的大小為33543657扇區(qū)（偏移0X1CA～0X1CD,值0X1FFD5E9，即為33543657扇區(qū)）,在DBR的BPB參數(shù)中的本分區(qū)大小為33543657-1=33543656（扇區(qū)）。二利用Winhex手動(dòng)恢復(fù)受破壞NTFS的DBR及其備份步驟二：確認(rèn)NTFS文件系統(tǒng)被破壞5.確定需DBR的主要參數(shù)1.每簇扇區(qū)數(shù)，偏移0X0D，8扇區(qū)/簇。2.分區(qū)前面已用的扇區(qū)，偏移0X1C～0X1F，63扇區(qū)。3.本卷大小，偏移0X18～0X1B，33543656扇區(qū)。4.$MFT自身在分區(qū)里的起始簇，偏移0X30～0X34，786432簇。5.$MFTMirr自身在分區(qū)里的起始簇，偏移0X38～0X3C，2簇。6.復(fù)制一個(gè)正常的DBR扇區(qū)打開(kāi)一個(gè)正常磁盤(pán)，跳轉(zhuǎn)到NTFS的DBR位置，選擇整個(gè)DBR扇區(qū)，并復(fù)制到被破壞的DBR處。二利用Winhex手動(dòng)恢復(fù)受破壞NTFS的DBR及其備份步驟二：確認(rèn)NTFS文件系統(tǒng)被破壞7.運(yùn)用數(shù)據(jù)解釋器修改DBR1.光標(biāo)移到偏移0X0D，在數(shù)據(jù)解釋器8Bit處輸入8，并回車(chē)。2.光標(biāo)移到偏移0X1C～0X1F，在數(shù)據(jù)解釋器32Bit處輸入63，并回車(chē)。3.光標(biāo)移到偏移0X28～0X2B，在數(shù)據(jù)解釋器32Bit處輸入33543656，并回車(chē)。4.光標(biāo)移到偏移0X30～0X34，在數(shù)據(jù)解釋器32Bit處輸入786432，并回車(chē)。5.光標(biāo)移到偏移0X38～0X3C，在數(shù)據(jù)解釋器32Bit處輸入2，并回車(chē)。8.恢復(fù)DBR備份復(fù)制DBR,然后跳轉(zhuǎn)本分區(qū)最后一個(gè)扇區(qū)，把DBR粘貼到最后扇區(qū)上，得到DBR備份。最后進(jìn)行保存和磁盤(pán)快照，然后將故障硬盤(pán)脫機(jī)后再加載，本分區(qū)得以恢復(fù)，丟失的數(shù)據(jù)得到修復(fù)。利用Winhex手動(dòng)恢復(fù)受破壞NTFS的DBR及其備份的操作完成。二步驟二：讀取和記錄5號(hào)文件記錄參數(shù)1.5號(hào)文件記錄頭參數(shù)根據(jù)表7-13表（文件記錄頭參數(shù)表），對(duì)應(yīng)讀取5號(hào)文件記錄頭，得其參數(shù)，如表7-19所示。利用Winhex讀取$Root參數(shù)表7-195號(hào)文件記錄頭參數(shù)表偏移長(zhǎng)度值記錄內(nèi)容0X0040X454C4946MFT標(biāo)志，一定為字符串“FILE"0X0420X30更新序列號(hào)的偏移0X300X0620X03更新序列號(hào)的大小與數(shù)組，包括第一個(gè)字節(jié)0X0880X050055E1日志文件序列號(hào)（$LogFileSequenceNumber,LSN)0X1020X05序列號(hào)（SequenceNumber）0X1220X01有1個(gè)目錄指向該文件0X1420X38第一個(gè)屬性的偏移地址0X380X1620X033H表示記錄正在使用0X1840X0290文件記錄的實(shí)際長(zhǎng)度為656字節(jié)0X1C40X0400總共分配給記錄的長(zhǎng)度為1KB0X2080X00基本文件記錄中的文件索引號(hào)0X2820X08下一屬性ID（8號(hào)屬性）0X2A20X00邊界，WindowsXP中為偏移0x30處0X2C40X05WindowsXP中使用，MFT記錄編號(hào)（從0號(hào)開(kāi)始）0X3020X0900更新系列號(hào)二步驟二：讀取和記錄5號(hào)文件記錄參數(shù)2.5號(hào)文件記錄屬性參數(shù)（1）讀取5號(hào)文件記錄0X90屬性參數(shù)根據(jù)表7-17（文件記錄0X90屬性參數(shù)格式表），對(duì)應(yīng)讀取5號(hào)文件記錄0X90屬性參數(shù)，得其參數(shù)，如表7-27所示。利用Winhex讀取$Root參數(shù)二步驟二：讀取和記錄5號(hào)文件記錄參數(shù)利用Winhex讀取$Root參數(shù)表7-275號(hào)文件記錄0X90屬性參數(shù)表偏移長(zhǎng)度值0X90屬性?xún)?nèi)容結(jié)構(gòu)0X55040X900X90屬性屬性頭0X55440X58屬性長(zhǎng)度（即屬性頭+屬性體）88字節(jié)0X55810X00總為000X55910X04屬性名的名稱(chēng)長(zhǎng)度4字節(jié)0X55A20X18屬性名的偏移0X180X55C20X00標(biāo)志（壓縮、加密、稀疏）0X55E20X02屬性ID標(biāo)識(shí)（2號(hào)屬性）0X56040X38屬性體長(zhǎng)度56字節(jié)0X56420X20屬性體開(kāi)始偏移0X200X56610X00索引標(biāo)志為000X56710X00無(wú)意義（填充到8字節(jié)的倍數(shù)）0X56880X0030003300480024屬性名為$I300X57040X30屬性類(lèi)型30,即為索引索引根0X57440X01校對(duì)規(guī)則0X57840X1000每個(gè)索引節(jié)點(diǎn)分配大?。?096字節(jié)）0X57C10X01每個(gè)索引節(jié)點(diǎn)所占簇?cái)?shù)為10X57D30X00無(wú)意義（填充到8字節(jié)的倍數(shù)）0X58040X10第一個(gè)索引項(xiàng)的偏移0X10索引頭0X58440X28索引項(xiàng)總的大小，40字節(jié)0X58840X28索引項(xiàng)的分配大小，40字節(jié)0X58C10X01標(biāo)志：為大索引，有兩個(gè)以上的索引節(jié)點(diǎn)0X58D30X00無(wú)意義（填充到8字節(jié)的倍數(shù)）0X59080X00未用索引項(xiàng)10X59820X18索引項(xiàng)的大?。ㄏ鄬?duì)索引項(xiàng)開(kāi)始的偏移）0X180X59A20X00文件（夾）名字屬性體大小0X59C20X03索引標(biāo)志，有子節(jié)點(diǎn)0X59E20X00未用0X5A080X00未用二步驟二：讀取和記錄5號(hào)文件記錄參數(shù)（2）讀取5號(hào)文件記錄A0屬性參數(shù)根據(jù)表7-16（文件記錄0X80屬性參數(shù)格式表），對(duì)應(yīng)讀取5號(hào)文件記錄A0屬性參數(shù)，得其參數(shù)，如表7-28所示。利用Winhex讀取$Root參數(shù)表7-285號(hào)文件記錄A0屬性參數(shù)表偏移長(zhǎng)度值A(chǔ)0屬性?xún)?nèi)容0X5A840XA0A0屬性0X5AC40X50A0屬性頭長(zhǎng)度為80字節(jié)0X5B010X01此處為01,即表示非常駐0X5B110X04屬性名長(zhǎng)度為4個(gè)Unicode碼0X5B220X40名稱(chēng)偏移地址為0X400X5B420X00沒(méi)有壓縮、加密、稀疏0X5B620X04屬性標(biāo)識(shí)ID為（4號(hào)屬性）0X5B880X00開(kāi)始VCN為0X000X5C080X00結(jié)束VCN為0X000X5C820X48數(shù)據(jù)運(yùn)行列表偏移地址為0X480X5CA20X00壓縮引擎號(hào)為00X5CC40X00填充00X5D080X1000為索引文件分配的大小為4096字節(jié)0X5D880X1000實(shí)際索引文件的大小為4096字節(jié)0X5E080X1000索引文件已初始化的大小為4096字節(jié)0X5E88

屬性名為$I30,即索引為文件名索引0X5F080X21/0X01/0X40E6起始簇0X40E6(16614簇，132912號(hào)扇區(qū)），總簇?cái)?shù)為0X01(1簇)。有下劃線(xiàn)的是高位。利用Winhex讀取數(shù)據(jù)區(qū)主要參數(shù)03利用Winhex讀取數(shù)據(jù)區(qū)主要參數(shù)三、利用Winhex讀取數(shù)據(jù)區(qū)主要參數(shù)（共有2個(gè)步驟）步驟一：讀取用戶(hù)目錄記錄項(xiàng)的0X90屬性參數(shù)步驟二：讀取“7任務(wù)2-1-1.png”文件目錄項(xiàng)主要參數(shù)及其內(nèi)容步驟三：讀取“7任務(wù)2-1-1.txt”文件目錄項(xiàng)主要參數(shù)及其內(nèi)容三步驟一：讀取用戶(hù)目錄記錄項(xiàng)的0X90屬性參數(shù)用戶(hù)目錄“7任務(wù)2”在$FMT表的記錄項(xiàng)0X90屬性結(jié)構(gòu)如圖7-17所示。利用Winhe