如何编码实现NTFS格式下删除文件的恢复

最新推荐文章于 2022-01-12 14:42:38 发布
最新推荐文章于 2022-01-12 14:42:38 发布
阅读量8.1k 收藏 57
点赞数
文章标签: 磁盘 system 工具 file windows 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a00553344/article/details/5031993
版权

主要内容

一、NTFS系统结构原理

二、编码实现NTFS磁盘删除文件扫描

三、编码实现NTFS磁盘删除文件恢复

 

(编码实现的磁盘文件恢复小工具下载地址)

 

 工具截图

 

第一部分 NTFS系统结构原理

 

NTFSWindows NT引入的新型文件系统,由于NTFS的结构复杂,内容繁多,这里仅对NTFS卷上的底层结构做分析。

 

1.     基本概念

 

NTFS格式中,文件以簇的形式分配。最小的单位为扇区,N个扇区为一簇。其中,N的值由引导扇区规定。卷与簇的关系如下表。

卷大小(分区大小)

每簇的扇区

缺省的簇大小

小于等于512MB

1

512字节

513MB~1024MB(1GB)

2

1024字节(1KB)

1025MB~2048MB(2GB)

4

2048字节(2KB)

大于等于2049MB

8

4KB

 

2.    基本结构

 

NTFS格式磁盘的数据分为4大部分。

 

 

引导区主文件列表系统文件文件数据区

 

 

l         引导区(Partition boot sector):所有的磁盘格式都有这个区,占用了磁盘的第一个扇区。

l         主文件列表(Master File TableMFT):它记录了卷上所有的文件,每一个文件对应表中的一条记录。NTFS中目录也是以文件的形式存在的。因此,每一个目录也可以看作一个文件。

l         系统文件(System files)NTFS系统一共有16个系统文件,和8个保留文件。

l         文件数据区(File area):存放文件数据。

 

3.    引导区

 

字节偏移

长度(字节)

常用值

意义

0x00

3

0xEB5290

JMP指令

0x03

4

“NTFS”

文件系统 ID

0x0B

2

0x0200

每扇区字节数

0x0D

1

0x08

每簇扇区数

0x0E

2

 

保留扇区

0x10

3

 

总为0

0x13

2

 

NTFS未使用,为0

0x15

1

 

介质描述 

0x16

1

 

总为0

0x18

2

 

每磁道扇区数 

0x1A

2

 

磁头数

0x1C

4

 

隐含扇区

0x20

4

 

NTFS未使用,为0

0x24

4

 

NTFS未使用,为0

0x28

8

 

扇区总数

0x30

8

 

$MFT的逻辑簇号

0x38

8

 

$MFTMirr的逻辑簇号

0x40

4

 

MFT记录簇数

0x44

4

 

每索引簇数

0x48

8

 

卷标

0x50

4

 

校验和

0x54

430

 

引导代码

0x1FE

2

0x55AA

引导扇区标志

 

 

4.    主文件列表(MFT)

 

l         MFT是一个对应的数据库,由一系列的文件记录组成。卷中每一个文件都有一个文件记录(对于大型文件还可能有多个记录与之相对应)。主文件表本身也有它自己的文件记录。

l         实际上,MFT自身也是一个文件,因此,主文件列表的第一个记录就是它自身。MFT的每个记录都有一个编号,这里我们称它为ID号。这个ID0开始。我们知道MFT自身是NTFS系统的第一个文件,所以文件$MFTID号为0

l         MFT和其他23个文件一起(共24个),组成所谓的“Metafiles”(元文件,也是之前提到的System files,系统文件)。这24个文件中,前16ID0-15)个文件是固定的,剩下的8个文件为保留文件。

l         用户的文件(也包括目录)的MFT中的ID号从24开始排。用户每添加一个文件ID号加1,当某文件被删除时,与之对应的MFT记录将被空出来,如果此时再次添加文件,系统会优先填充ID小的空位。

l         无论簇的大小,文件记录大小都是1K。理论上MFT在卷中的分配空间(占12%)。
逻辑上,MFT在卷中会占用一块连续的空间,但实际情况$MFT可能会被分散在磁盘的几个不同的区域。甚至,可能在元文件的部分就被拆分开。

 

5.    系统文件(System files)

 

序号(ID

元文件

功能 

0

$MFT

主文件列表本身

1

$MFTMirr

主文件表的部分镜像 

2

$LogFile

日志文件

3

$Volume

卷文件

4

$AttrDef

属性定义列表

5

$Root

根目录

6

$Bitmap

位图文件,文件$Bitmap标识的是该卷中簇的占用情况。它用一位代表一簇。为0代表此簇空闲,为1代表此簇已使用

7

$Boot

引导文件

8

$BadClus

坏簇文件

9

$Secure

安全文件

10

$UpCase

大写文件

11-15

$Extend

扩展文件(一共5个文件)

16-23

保留 

 

 

下节地址:http://blog.csdn.net/A00553344/archive/2009/12/19/5039884.aspx 

A00553344
关注
  • 0
    点赞
  • 57
    收藏
    觉得还不错? 一键收藏
  • 8
    评论
windows NTFS文件系统手动数据恢复
bqnagus
09-26 1832
windows NTFS文件系统数据恢复
ntfs系统文件查找恢复工具
11-01
个人使用Delphi开发的ntfs系统文件查找恢复工具,查找速度远快于windows自带搜索功能,恢复文件也是非常的简单。由于软件进行了压缩,某些安全软件可能会有提示,请勿担心。欢迎使用并提宝贵意见!
NTFS 删除文件恢复
a65783305的博客
11-16 285
MFT很强大 http://www.installsetupconfig.com/win32programming/windowsvolumeapis1_24.html add a ntfs.h header file to the project. Then, add the source code. // ntfs.h // Just a po...
如何编码实现NTFS格式删除文件恢复(结束)
A00553344的专栏
01-18 1513
写完"如何编码实现NTFS格式删除文件恢复"和"如何编码实现NTFS格式删除文件恢复(续一)"后,好多朋友询问下文,但是最近忙着写别的东西,实在是没工夫继续写,我把所有的源代码都公开在这里,只是代码都没怎么整理,有些乱,大家凑活看吧. 代码是用Delphi6写的,没有用第三方控件.代码下载地址: http://d.download.csdn.net/down/2004547
如何编码实现NTFS格式删除文件恢复(续一)
A00553344的专栏
12-19 7387
上节地址:http://blog.csdn.net/A00553344/archive/2009/12/18/5031993.aspx7.    主文件列表(MFT)记录详解了解了NTFS的基本结构后,现在来详细分析MFT表内的记录,它是NTFS格式存储的关键内容。 “常驻属性”和“非常驻属性”     前面我们知道,磁盘上的每一个文件(目录)对应MFT表内的一条记
C语言删除指定的文件的代码
weixin_44260286的博客
01-12 514
把代码过程比较重要的代码做个珍藏,下面资料是关于C语言删除指定的文件的代码。 #include <stdio.h> int main() { remove(“filename”); return 0; }
删除文件恢复C++实现
05-27
总的来说,C++实现删除文件恢复是一个涉及操作系统底层原理和编程技术的项目,它需要深入理解文件系统的工作方式,并能有效地利用系统资源来执行复杂的文件操作。通过这样的实践,不仅可以提升C++编程技能,还能...
FileRecovery_ntfs_windows_fat32_删除文件恢复_
09-30
标题中的"FileRecovery_ntfs_windows_fat32_删除文件恢复_"暗示了这是一个关于在Windows操作系统中,针对NTFS和FAT32文件系统的删除文件恢复工具。这个工具可能是用C++或C#等编程语言编写的,因为它提到了MFC...
Delphi实现恢复删除文件源代码
01-12
在IT领域,文件恢复是一项重要的技术,特别是在数据丢失或误删的情况下。本篇文章将深入探讨如何使用Delphi编程语言来实现文件恢复的功能。Delphi是一款强大的面向对象的编程工具,以其高效的编译器和直观的集成开发...
ntfs.rar_NTFS恢复_NTFS文件_ntfs_ntfsfind.e_文件恢复
最新发布
09-19
NTFS文件系统基础】 ...文件恢复是一个复杂的过程,涉及到对文件系统底层的理解和操作。在尝试恢复前,最好先备份重要数据,以防进一步损失。同时,定期进行数据备份是防止数据丢失的最有效方式。
NTFS磁盘文件恢复工具 V1.1版本(发布源代码)
01-18
写完"如何编码实现NTFS格式删除文件恢复"和"如何编码实现NTFS格式删除文件恢复(续一)"后,好多朋友询问下文,但是最近忙着写别的东西,实在是没工夫继续写,我把所有的源代码都公开在这里,只是代码都没怎么整理,有些乱,大家凑活看吧.
恢复删除文件的Delphi源代码
08-23
恢复删除文件的Delphi源代码,支持FAT 12/16/32,NTFS文件系统,这是转载的,值得大家研究
数据恢复源码delphi
10-31
数据恢复源码delphi版。类似FINALDATA,编译通过!
精典源码Delphi151:Delphi恢复删除文件源代码.rar
08-19
精典源码Delphi151:Delphi恢复删除文件源代码.rar
NTFS数据恢复工具asm版(开源代码)
06-20
NTFS数据恢复工具asm版(开源代码)
NTFS格式磁盘文件恢复工具
12-17
标题中的“NTFS格式磁盘文件恢复工具”是指一种专门设计用于恢复NTFS(New Technology File System)文件系统中被误删除文件的软件工具NTFSWindows操作系统中广泛使用的高级文件系统,它提供了许多FAT或...
NTFS文件系统下的删除
weixin_34402090的博客
09-21 622
NTFS文件系统下的删除 1.文件删除 G盘用的NTFS文件系统, 在G盘下有一个文件夹typ, typ文件夹内有一个文件ntfsdel和两个图片文件tupian1和tupian2. 用WINHEX查看$MFT本身的位图属性,根据数据流属性,可转到该簇: 用WINHEX打开该盘,并转到TYP文件夹的MFT表项,如下图: 从该MFT中的属性头...
数据恢复软件开发、编程-NTFS扫描恢复通用库
Thinking -Walking@未名
11-01 2122
是否想过自己动手开发数据恢复软件? 是否因为不懂得文件系统结构而却步? NTFS扫描恢复通用库,是一个用于扫描磁盘分区,并进行数据恢复的通用库,提供了函数调用接口头文件和动态链接库,开发人员可通过调用该库,进行磁盘的扫描恢复操作,该库在此(中国数据恢复联盟)论坛为免费版本。 该通用库的特点是接口丰富,调用简单,使用人员只需开发相应的程序界面即可完成扫描恢复操作,不需要了解ntfs文件系统的底层解析及数据结构。
ntfs数据恢复软件编写心得
ty_love's space
11-01 1581
本人是业余电脑爱好者,在学习ntfs知识的过程中编写了一款小工具,其在xp和win7下均能使用,前提是文件系统的版本号:ntfs3.1。其查找文件的速度远快于系统的“搜索”功能,且具有随手的恢复功能,使用简单。 链接:ntfs系统文件查找恢复工具 http://download.csdn.net/detail/ty_love/3742019      在开发的过程中遇到一些问题,通过调试独立解
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值