本文详细介绍了NTFS分区的结构,包括如何找到主MFT,根目录的定位,以及文件数据区的计算方法。讲解了不同类型的文件如文本、图片的特征和恢复策略,特别提到了异常情况如文件被异或或损坏的处理。此外,还探讨了EXT文件系统的结构,并分享了数据恢复和分析的实用技巧,如Winhex的快捷键使用等。
NTFS挖数据
需要找到它的主MFT
主MFT的起始扇区=主MFT起始簇*簇大小(找ID为5的扇区MFT) 看倒数8个字节
31 01 0E 00 02 根目录起始簇
所占用了一个簇
NTFS文本用了一个簇(wn编码)到文件名后向上扩选6行,查看第一个字节.
如果第一个字节为30,那么就回到MFT中搜索(注:要将十六进制)然后用这个这个数值*2+主MFT开始簇
在80属性中提取文件(NFT起始扇区,次MFT扇区)
大文件看结束8个字节
数据区的簇*没簇扇区数=数据区的置(alt+1)
数据区的簇大小*每簇扇区数=数据大小
(注:在硬盘中都要+2048)
有乱或证明有文件
文本查找】
05表项描述A0
分区中都是从2048开始的也就是要加上隐藏扇区数
主MFT 0A表项大写字符 80属性
- 记录大写字符的(簇)大小和(簇)位置
- 大写字符的(簇)大小
大写字符的结束是根目录的开始
二次异或题:先判断 在解题 先添加 在 XOR(一般来说)
一次异或题:一般情况下是X0R左移,右移,反转,反转字节顺序2个字节或4个(一般来说 不准)
一次异或:贴加-4(如果说呀它做了4那么我们就要选择-4,也就是说要与它相反)
图片分析:
GIF:文件头:47 49 46 38 39 61
分辨率:位置:偏移:06~09填分辨率
文件尾:00 3B
分辨率不要也可以
考点:20 偏移:20 21偏移 30D
一般来说只破坏一个扇区中的数据
Png图片:
文件头:89 50 4E 47
文件尾:00 00 49 45 4E 44
分辨率位置12~17
一般来说;扫不出来文件的情况是根目录被破坏或被异或了
考中间与前面 考分辨率 考开头
Tif图片:
文件头:49 49 2A
文件尾:是校验码
分辨率
考偏移量:
搜00 FE将它们的偏移地址填到偏移04~07位置(十进制)
Jpg图片:考分辨率 考碎片
实案分析:FF CO FF CI FF C2 (段标记)(一般是FF)
段长度有11个字节 FF C4 FF CO
Bmp图片:文件头:42 4D F6
FF C0 00 11 08
FF 0A 00 0C 03 01 00 02
Rtf文档:
文件头:7B 5C 72 74 66 31
文件尾:7D
文档修复:
异或的情况下要记关键词
Txt文档异或:一般txt文档最后面为00也就是说可能会是xor
Doc修复:Root破坏
搜52 00 6F 00 6F 00 74 (512=0)找Root
Xls文档:
文件头:D0 CF 11 E0 A1 B1 1A E1
考点1:第一个扇区的通用符 针对文件所在
考点2:第二个扇区开头
09 08(固定)
Xls的数据区在中间
复合文档:
2C:MSAT表项总数
3CSSAT起始文档扇区(-2不存在)
48:目录流起始扇区
64:SSAT所占扇区数
注意链接关系FF FD 不知道
Rtf文档: 它是doc的另存为
文件头:7B 5C 72 74 66 31
文件尾:
Xlsx 考点:50 4B后的24个字节
文件头:50 4B
文件尾:FF 03
可能会给你异或,必须要知道
压缩包
50 4B每一节注意它的后面2~8个字节
50 4B 03 04 14
修复好后如果还不行那么是依靠压缩包软件自行修复
Rar压缩包
考点:偏移:19~1E(1B~1E)
文件头:52 61 72
文件尾:C4 3D 7B 00 40 07 00
偏移:19~1A文件大小
偏移:1C~1E压缩大小
Ptf:
文件头:25
最低0.47元/天 解锁文章
3816
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
