本文档详述了一个关于NTFS文件系统的实验,旨在理解NTFS结构,分析MFT,以及如何在WinHex中查找和恢复已删除文件。通过虚拟硬盘创建、删除并恢复'SWK.jpg'文件,展示了在WinHex中定位MFT、根目录、数据区的过程,并成功恢复了文件。
实验名称:NTFS删除及恢复分析
一、 实验目的
通过对NTFS文件系统的学习,掌握NTFS的组成,能对其文件记录结构进行分析,知道在WinHex中怎样寻找文件记录MFT,分析MFT的10,30,80H等的属性,学会在根目录寻找硬盘中纯如文件对应的文件记录。并且能够通过掌握的知识能够成功的对已经彻底删除的文件进行恢复。
二、 实验内容
1、在winhex中对虚拟硬盘中的数据进行分析,找出文件“SWK.jpg”的MFT、数据区等信息;
2、将文件“SWK.jpg”删除,观察磁盘中的数据会出现什么变化;
3、利用NTFS数据恢复的原理,将删除的文件“SWK.jpg”恢复到其他的磁盘当中;
三、 实验操作步骤及截图
1、 在电脑上虚拟一个硬盘并对其进行分区,分区为NTFS文件系统,创建一个图片命名为SWK.jpg保存到虚拟硬盘的系统分区。
2、 用WinHex打开虚拟的硬盘,找到对应的分区并打开。
也可以发现在打开的分区1中的文件名里,SWK.jpg文件在其中
3、 转到5号MFT项,5号MFT项中对应的是 R o o t 文 件 目 录 项
最低0.47元/天 解锁文章
19万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
