数据恢复笔记——NTFS文件系统

最新推荐文章于 2021-12-31 13:48:54 发布
最新推荐文章于 2021-12-31 13:48:54 发布
阅读量4.8k 收藏 31
点赞数 5
分类专栏: 数据恢复
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46146678/article/details/116975428
版权

Winhex数据恢复(NTFS文件系统)

DBR的数据结构

偏移描述
00-02跳转指令
0D-0D每簇扇区数
28-2F文件系统扇区总数
30-37(MFT)主文件表起使簇号

跳转指令对应数据可以找到NTFS的DBR。

NTFS文件系统的元文件

在格式化为NTFS文件后,系统对分区写入的文件就是元文件。元文件序号对应表
其中根据起使簇号,先跳转到MFT。其中2C-2F位置为对应序号,文件名也可以看出来。用鼠标向下滚过一个扇区可以看到2C-2F位置对应序号1的$MFTMirr文件名。

主文件表MFT

  • 以明文“FILE”开头。实验中对应46 49 4C 45。
  • 每个MFT项都占用1024个字节,即两个扇区。
  • 每个MFT项占用的两个扇区,最后两个字节为一个修正值,这个修正值和MFT项中的更新序列号相同。如果系统发现不同,就会认为此MFT项错误,会把开头明文改为“BAAD”。
    主文件表修正值

MFT属性类型

属性类型值(16进制)描述
10标准信息
20属性列表
30文件名属性
40对象ID
50安全描述符
60卷名
70卷信息
80文件数据内容
90索引根属性
A0索引分配树节点
B0$MFT文件和索引的位图

MFT属性类型图

10h属性体数据结构

10h属性体数据结构

30h属性体的数据结构

30h属性体的数据结构1
30h属性体的数据结构2
其中在实验中winhex显示的38-3B为“06 00 00 00”.可以分为:2和4,表明文件为隐藏的系统文件。

60h属性体的数据结构

60属性是卷名属性,用以记录卷名。在属性体中记录的为Unicode代码。
60h属性体的数据结构

70h属性体的数据结构

70属性是卷信息属性,用以描述卷的版本、状态等信息。

80h属性体的数据结构

  • 80属性是数据属性
  • 常驻80h属性的属性体是数据内容
  • 非常驻80h属性的属性体是簇流运行。

MFT属性中的属性头数据结构

其中MFT属性可以分为两类:常驻属性和非常驻属性。
常驻属性:直接在MFT项中记录属性体。(只能记录少量的数据)
非常驻属性:在MFT之外的地方记录属性体。
常驻属性的数据结构(从属性开始的地方偏移,而不是从头):

偏移字节(16进制)描述
00-03属性类型
08-080:常驻属性。1:非常驻属性
10-13属性体字节数。(实验中为“4A 00 00 00”,表示属性体4行在多出半行到A这个位置)
14-15属性体偏移的字节数

非常驻属性的数据结构(从属性开始的地方偏移,而不是从头):

偏移字节(16进制)描述
00-03属性类型
08-080:常驻属性。1:非常驻属性
10-17属性体的起始虚拟簇号
18-1F属性体的结束虚拟簇号
20-21簇流运行的偏移地址
28-2F属性体占用总空间
30-37属性体实际占用字节数
38-3F属性体的初始大小
40-簇流的记录信息

MFT的簇流运行数据结构

簇流运行数据结构
32 => 0011 0010

  • 第一个数值的低4位为“2”:对应后面两个数值
  • 第一个数值的高4位为“3”:簇流大小后面的3个数值
  • 前两个数值“C0 02”:簇流的大小
  • 后面三个数值“00 00 0C”:簇流起使簇

手工提取文件数据

  1. 先在DBR,根据“30-37”对应(MFT)主文件表起使簇号,点击跳转到MFT。(或点击$MFT文件)
  2. 打开LoveString软件,将文件名输入进去。复制Unicode编码方式的编码。
  3. 点击“查找十六进制数值”,将刚刚的代码复制进去,下面的勾都不勾。点击查找。
  4. 会在“30”属性中查找到对应的文件名。
  5. 在“80”属性中查找属性体部分,按照上面簇流运行的数据结构,查找“簇流大小”、“簇流起使簇”
  6. 转跳到“簇流起使簇”,右键“选块起使位置”。再跳转到“簇流起使簇”+“簇流大小”位置,右键“选块尾部”。
  7. 选中之后右键,“编辑”→“复制选块”→“至新文件”。重命名为文件正确格式。

手工提取片段文件数据

如果后面是00,那么那么这个簇流运行结束,否则还有簇流运行。
下个簇流的起始簇号是相对于这个簇流的起始簇号。

  1. 按照上面一般文件提取顺序,将第一部分文件提取出来,命名为“1”
  2. 看到后面不为00重复以上操作,将第二部分文件提取出来,命名为“2”。7.(注意:第二个起始簇号并不是上面的标号,第二个簇号是相对于第一个簇号来说,第二个簇号=第一个簇号+标号)
  3. 提取出两个选块后,“工具”→“文件工具”→“文件合并”。
  4. 先保存一个后缀名和原文件相同的文件,然后按照顺序进行附加。双击即可。

常驻80h属性

直接创建文件的时候文件内容少点就行,属性体中可以放的下就行。
选中其属性体,右键→“编辑”→“复制选块”→“至新文件”,即可复制文件。

B0属性体的数据结构

B0属性为位图属性,描述索引或MFT的分配情况。
比如:$MFT文件的MFT项中位图存储位置
B0属性体的数据结构
“31 01 FF FF 03”其中
03 FF FF:为“262143”。代表此簇流起始于262143簇
01:代表大小一个簇。

木天楠森
关注
  • 5
    点赞
  • 31
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
NTFS文件系统详解
enjoy5512的博客
03-20 3万+
注:本文参考博客地址 NTFS (New Technology File System),是 WindowsNT 环境的文件系统。新技术文件系统是Windows NT家族(如,Windows 2000、Windows XP、Windows Vista、Windows 7和 windows 8.1)等的限制级专用的文件系统(操作系统所在的盘符的文件系统必须格式化为NTFS文件系统,4096簇环境下
NTFS文件系统
qq_53318766的博客
11-09 1107
一、NTFS文件系统基本介绍NTFS文件系统与FAT文件系统一样,也是以簇为基本单位对磁盘空间和文件存储进行管理的。一个文件总是占有若干个簇,即使在最后一个簇没有放满的情况下,也是占用了整个簇的空间,这也是造成磁盘空间浪费的主要原因。&BOOT文件某元文件&MFT文件某元文件某元文件&MFTMirr文件&BOOT第一个扇区(即DBR)备份二、NTFSDBR分析跳转指令占用两个字节,它将程序执行流程跳转到引导程序处OEM代号占8个字节,由厂商具体安排字节偏移字段长度字段名字节偏移字段长度字段名0X0B2每扇区
NTFS文件系统属性分析
m0_63910725的博客
12-31 1434
NTFS文件系统的简要分析
mft文件记录属性头包括_NTFS文件系统-MFT的属性
weixin_39987926的博客
12-20 737
前面说过MFT是有一个个属性组成,那么每个属性的具体结构又是如何呢?MFT属性的类型很多,但它们都有个共同的特点,那就是每个属性都有属性头和属性体。属性头又分为常驻属性和非常驻属性。常驻属性和非常驻数据最大的区别是常驻属性的只是在MFT内部记录,非常驻数据由于MFT记录不下(一个MFT项只有1024)所以需要在其它数据区记录。不管是常驻属性还是非常驻属性,它的属性头的前面16个字节是一样的。MFT...
数据恢复软件设计与实现(七)
不 ' 二
11-09 3264
6  NTFS文件系统介绍 NTFS文件系统是随着Windows NT操作系统诞生的,名字都有相似之处。NTFS有很多的特点:安全性、可恢复性、文件压缩、磁盘配额、B-树文件管理。这些特点是文件系统具有极高的安全性和稳定性,在使用不易产生碎片。 微软未公布NTFS细节及实现,只有一些开源文档揭秘,这些资料目前看来是正确的,但其正确性有待验证,所以深入的研究是不得而知的,这对解析NTFS文件
计算机原理80H是什么意思,计算机原理作业习题及答案-1209学生(74页)-原创力文档...
weixin_42351102的博客
07-15 2080
第 1 章 微 型 计 算 机 基 础 知 识一、选择题3.若用 MB 作为 PC 机主存容量的计量单位,1MB 等于( )字节。A 、210 个字节 B 、220 个字节 C 、230 个字节 D 、240 个字节4.运算器在执行两个用补码表示的整数加...
山东大学2021~2022江湖救急笔记——计算机系统原理
01-01
以下是根据山东大学2021~2022江湖救急笔记——计算机系统原理的内容,总结的计算机系统原理知识点: 编译系统与过程 * 预处理阶段:将源代码转换为编译器能够理解的格式 * 编译阶段:将预处理后的代码转换为汇编...
C语言笔记——文件指针.docx
11-29
普通文件包括源代码、目标代码、可执行文件以及数据文件,其数据文件主要用于存储程序运行时读写的非程序数据。设备文件则简化了用户对输入输出设备的管理,将每个设备视为一个文件,便于操作。 文件根据内容的...
dubbo笔记——项目实战
02-24
存在2个系统,A系统和B系统,A系统调用B系统的接口获取数据,用于查询用户列表。安装zookeeper,解压(zookeeper-3.4.8.tar.gz)得到如下:然后进入conf将zoo_sample.cfg改名成zoo.cfg。并相关如下内容:该目录为...
万事开头易—— 信号与系统学习笔记
01-06
消息(Message):在通信系统,一般将语音、文字、图像、数据统称为消息。 信号(Signal):指消息的表现形式与传送载体。 信号是消息的表现形式与传送载体,消息是信号的传送内容。 信息(Information):信号+...
MFT的簇流数据结构详解
weixin_34355881的博客
07-09 1037
上节课我们已经知道非常驻属性属性体是一个簇流信息。那么簇流信息具体是什么呢。簇流其实是用来描述数据内容的存放地址。簇流信息可以是一组簇流或者多组,一组簇流信息表示这个数据内容只有一个片段是连续的。如果是多组簇流信息,那么就说明这个数据内容是有多个片段组成是,是不连续的。每一组簇流信息是由3部分组成。第一部分描述后面两组成簇流信息所需要的字节数。第二部分描述这个簇流所占用的簇...
NTFS文件系统详解(三)之NTFS文件解析
enjoy5512的博客
03-23 2万+
NTFS,所有存储在卷上的数据都包含在文件,包括用来定位和获取文件的数据结构,引导程序和记录这个卷的记录(NTFS元数据)的位图,这体现了NTFS的原则:磁盘上的任何事物都为文件。在文件存储一切使得文件系统很容易定位和维护数据,而在NTFS,卷所有存放的数据均在一个叫做MFT的文件记录数组,称为主文件表(Master File Table),MFT是由高级格式化产生的。而MFT则由文件
NTFS文件系统结构解析
来啊,相互伤害啊
07-30 5779
NTFS是一个比FAT复杂的多的文件系统,我们一起努力来把它完整的解读出来。        NTFS 的引导扇区也是完成引导和定义分区参数,和FAT分区不同,FAT分区的BOOT记录正常,就显示分区没有错误,即使文件不正确,而NTFS分区的 BOOT不是分区的充分条件,它要求必须MFT的系统记录如$MFT等正常该分区才能正常访问。其BPB参数如下表所示。         字节偏移 长度 常用值 意义        0x0B 字 0x0002 每扇区字节数        0x0D 字节 0x08 每簇扇区
mft文件记录属性头包括_4-ntfs属性分析.ppt
weixin_36323601的博客
01-12 978
《4-ntfs属性分析.ppt》由会员分享,可在线阅读,更多相关《4-ntfs属性分析.ppt(24页珍藏版)》在微传网上搜索。1、NTFS属性分析,,MFT文件记录结构,主文件表的文件记录由记录头和属性列表组成,大小为1KB或一个簇大小。属性列表长度可变,以“FF FF FF FF”结束。对于1KB长度的MFT记录,属性列表的起始偏移为0x30文件通过MFT来确定存储位置。MFT是一个对应的数...
MFT的0x10标准属性数据结构
weixin_33748818的博客
07-10 1009
MFT的标准属性也就是0x10属性,它是一个常驻属性。因为标准属性的类型值是0x10,所以标准属性总是文件或目录的第一个属性。这个标准属性包含时间日期属性,分为创建时间、修改时间、MFT改变时间和文件最后访问时间。这个标准属性还可以表示文件是否只读,是否为系统文件、压缩或加密等属性。下表是标准属性体的数据结构偏移字节(16进制)描述00-07创建时间08-0F最后修改时间10...
NTFS文件系统结构--从零开始追踪一个文件的位置
热门推荐
刘洋_heaven的博客
04-14 2万+
前言:最近由于项目需要,研究了一下NTFS文件系统NTFS文件系统是windows使用的文件系统,包括NT,2000,xp系列。无奈万恶资本主义的windows将自家的东西全部藏在阴暗的角落,NTFS理所当然地也不开源,尽管没有源代码,还是有足够丰富的资料将NTFS文件系统曝光在自由的阳光下。下面通过从NTFS文件系统的根源出发,展示如何通过一层层的解析,最终读取到其的某个文件。 环境:LI
解读NTFS
xqd2006的专栏
07-13 1889
        NTFS是一个比FAT复杂的多的文件系统,我们一起努力来把它完整的解读出来。        NTFS的引导扇区也是完成引导和定义分区参数,和FAT分区不同,FAT分区的BOOT记录正常,就显示分区没有错误,即使文件不正确,而NTFS分区的BOOT不是分区的充分条件,它要求必须MFT的系统记录如$MFT等正常该分区才能正常访问。其BPB参数如下表所示。        字节偏移
java 上传文件_JAVA学习笔记——fileUpload文件上传
最新发布
05-17
文件上传是Web开发常见的功能之一,Java也提供了多种方式来实现文件上传。其,一种常用的方式是通过Apache的commons-fileupload组件来实现文件上传。 以下是实现文件上传的步骤: 1.在pom.xml文件添加以下...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值