?winhex：鏈接：https://pan.baidu.com/s/1PERs1m0pnARBG9Yxi96zFg?
? ? ? ? ? ? ? ? 提取碼：j38f

6.3.1 NTFS(常駐80與非常駐)文件和目錄文件恢復(fù)

創(chuàng)建8G NTFS磁盤 如圖60

????????????????????????????????????????????????圖60??? 創(chuàng)建8G磁盤

復(fù)制文件ssss.doc，angs.txt，666目錄文件 如圖60，61，62

????????????????????????????????????????圖60??? ssss.doc hash 值

????????????????????????????????????????圖61 ???hash 值

????????????????????????????????????????????????圖62? hash值

分析ntfs文件系統(tǒng)

元文件	功能
$MFT	主文件表本身，是每個文件的索引
$MFTMIirr	主文件表的部分鏡像
$LogFile	事務(wù)型日志文件
$Volume	卷文件，記錄卷標(biāo)等信息
$AttrDef	屬性定義列表文件
$Root	根目錄文件，管理根目錄
$Bitmap	位圖文件，記錄了分區(qū)中簇的使用情況
$Boot	引導(dǎo)文件，記錄用于系統(tǒng)引導(dǎo)的數(shù)據(jù)情況
$BadClus	壞簇列表
$Quota (NTFS4)	在早期的Windows NT系統(tǒng)中此文件為磁盤配額信息
$Secure	安全文件
$UpCase	大小寫字符轉(zhuǎn)換表文件
$Extend metadata directory	擴展元數(shù)據(jù)目錄
$Extend$Reparse	重解析點文件
$Extend\$UsnJml	加密日志文件
$Extend$Quota	配額管理文件
$Extend$ObjId	對象ID文件

?????????????????????????????????????????????? ntfs文件系統(tǒng)

非常駐80屬性，完全刪除ssss.doc文件 如圖63

?

????????????????????????????????圖63??? 查看$MFT? 文件索引

在NTFS文件系統(tǒng)中，磁盤上的所有數(shù)據(jù)都是以文件的形式存儲，包括元文件。每個文件都有一個或多個文件記錄，每個文件記錄占用兩個扇區(qū)，$MFT 元文件就是專門記錄每個文件的文件記錄。由于NTFS文件系統(tǒng)是通過$MFT來確定文件在磁盤上的位置以及文件的屬性，$MFT的起始位置在DBR中有描述。$MFT的文件記錄在物理上是連續(xù)的，并且從0開始編號。$MFT的前16個文件記錄總是元文件的，并且順序是固定不變的。

80H屬性是文件數(shù)據(jù)屬性，該屬性容納著文件的內(nèi)容，文件的大小一般指的就是未命名數(shù)據(jù)流的大小。該屬性沒有最大最小限制，最小情況是該屬性為常駐屬性。

Run List：當(dāng)屬性不能存放完數(shù)據(jù)，系統(tǒng)就會在NTFS數(shù)據(jù)區(qū)域開辟一個空間存放，這個區(qū)域是以簇為單位的。Run List就是記錄這個數(shù)據(jù)區(qū)域的起始簇號和大小。

例如：Run List的值為“32 CC 26 00 00 0C”，因為后面是00H。如何解析這個Run List呢？ 第一個字節(jié)是壓縮字節(jié)，高位和低位相加，3 + 2 = 5，表示這個Data Run信息占用五個字節(jié)，其中高位表示起始簇號占用多少個字節(jié)，低位表示大小占用的字節(jié)數(shù)。在這里，起始簇號占用3個字節(jié)，值為0C 00 00，大小占用2個字節(jié)，值為26 CC。解析后，得到這個數(shù)據(jù)流起始簇號為C0000，大小為9932簇。如圖64

????????????????????????????????????????????????圖64? 數(shù)據(jù)流

由圖可知：

38 00 00 00中38 00 01 00 表示未刪除，00表示完全刪除

80屬性01表示非常駐屬性

文件大小：00 CA 02 00? 182784字節(jié) 占用扇區(qū)=182784/512=357

數(shù)據(jù)流: 31 2D 1E EA 0B?

起始簇號： 780830 占用三個字節(jié)：1E EA 0B

大小占用：2D 轉(zhuǎn)化45簇

起始扇區(qū)：780830*8=6246640 扇區(qū)

結(jié)束扇區(qū)：624660+357=6246997扇區(qū)

復(fù)制起始扇區(qū)到結(jié)束扇區(qū)的十六進制數(shù)值，導(dǎo)出成文件如圖65

????????????????????????????????????????????????圖65?? 導(dǎo)出s.doc

對比查看hash值如圖66

????????????????????????????????????????????????圖66? 對比hash值

80 常駐屬性 angs.txt 如圖67

由圖可知這是常駐的80屬性，非常駐的80H屬性與常駐80H屬性不一樣，在標(biāo)準(zhǔn)屬性頭后面是該文件的內(nèi)容文件的內(nèi)容存儲在另-個地方,占用MFT以外的空間。80H屬性的第一個數(shù)據(jù)流也就是文件真正的數(shù)據(jù)由DATA?Run來記錄其屬性體即文件數(shù)據(jù)的具體地址

??

????????????????????????????????????????????????圖67??? 常駐80 文件

常駐80屬性

80H屬性的第一個數(shù)據(jù)流也就是文件真正的數(shù)據(jù)

復(fù)制文件的數(shù)據(jù)流導(dǎo)出文件，查看hash值，如圖68

????????????????????????????????????????圖68 對比hash值

目錄下文件恢復(fù)

查看$MFT文件 如圖69

????????????????????????????????????????圖69? 目錄文件夾

查看目錄下文件 如圖70

????????????????????????????????????????????????圖70??? gg.jpg文件

文件大小：B6 14 00 00? 5203字節(jié) 占用扇區(qū)=5203/512=10數(shù)據(jù)流: 31 02 4B EA 0B

起始簇號： 780875 占用三個字節(jié)4B EA 0B

大小占用：02 轉(zhuǎn)化2簇

起始扇區(qū)：780875*8=6247000 扇區(qū)

結(jié)束扇區(qū)：6247000+10=6247010扇區(qū)

復(fù)制起始扇區(qū)到結(jié)束扇區(qū)的十六進制，導(dǎo)出文件如圖71

????????????????????????????????????????????????????????圖71 導(dǎo)出文件

對比hash值 如圖72

????????????????????????????????????????圖 72 對比hash值

6.3.2? NTFS視頻大文件恢復(fù)

復(fù)制科技.mp4文件到E盤，查看hash值 如圖73

????????????????????????????????????????圖73???? 科技.mp4? hash值

完全刪除文件科技.mp4 如圖74

??????

????????????????????????????????????????????????????????圖74 刪除視頻

查看$MFT文件，如圖75

????

????????????????????????????????????????圖75??? 科技.mp4 相關(guān)信息

文件大小：37 98 C6 0D 231118903字節(jié)

占用扇區(qū)=231118903/512≈452405

數(shù)據(jù)流: 13 6A DC 00 2D

起始簇號： 45 占用一個字節(jié)2D

大小占用：6A DC 00? 轉(zhuǎn)化56426簇

起始扇區(qū)：45*8=360 扇區(qū)

結(jié)束扇區(qū)：360+452405=451764扇區(qū)

復(fù)制起始扇區(qū)到結(jié)束扇區(qū)的十六進制，導(dǎo)出文件如圖76

????????????????????????????????????????圖76 導(dǎo)出恢復(fù)視頻文件

查詢kj.mp4文件hash值 如圖77

????????????????????????????????????????????????圖77 對比hash值

總結(jié)

以上是生活随笔為你收集整理的windows NTFS文件系统手动数据恢复的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。