数据恢复笔记——NTFS文件系统

最新推荐文章于 2022-04-15 18:20:10 发布
最新推荐文章于 2022-04-15 18:20:10 发布
阅读量5k 收藏 31
点赞数 5
分类专栏: 数据恢复
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46146678/article/details/116975428
版权

Winhex数据恢复(NTFS文件系统)

DBR的数据结构

偏移 描述
00-02 跳转指令
0D-0D 每簇扇区数
28-2F 文件系统扇区总数
30-37 (MFT)主文件表起使簇号

跳转指令对应数据可以找到NTFS的DBR。

NTFS文件系统的元文件

在格式化为NTFS文件后,系统对分区写入的文件就是元文件。元文件序号对应表
其中根据起使簇号,先跳转到MFT。其中2C-2F位置为对应序号,文件名也可以看出来。用鼠标向下滚过一个扇区可以看到2C-2F位置对应序号1的$MFTMirr文件名。

主文件表MFT

  • 以明文“FILE”开头。实验中对应46 49 4C 45。
  • 每个MFT项都占用1024个字节,即两个扇区。
  • 每个MFT项占用的两个扇区,最后两个字节为一个修正值,这个修正值和MFT项中的更新序列号相同。如果系统发现不同,就会认为此MFT项错误,会把开头明文改为“BAAD”。
    主文件表修正值

MFT属性类型

属性类型值(16进制) 描述
10 标准信息
20 属性列表
30 文件名属性
40 对象ID<
最低0.47元/天 解锁文章
木天楠森
关注
专栏目录
NTFS文件系统
qq_53318766的博客
11-09 1131
一、NTFS文件系统基本介绍NTFS文件系统与FAT文件系统一样,也是以簇为基本单位对磁盘空间和文件存储进行管理的。一个文件总是占有若干个簇,即使在最后一个簇没有放满的情况下,也是占用了整个簇的空间,这也是造成磁盘空间浪费的主要原因。&BOOT文件某元文件&MFT文件某元文件某元文件&MFTMirr文件&BOOT第一个扇区(即DBR)备份二、NTFSDBR分析跳转指令占用两个字节,它将程序执行流程跳转到引导程序处OEM代号占8个字节,由厂商具体安排字节偏移字段长度字段名字节偏移字段长度字段名0X0B2每扇区
计算机原理80H是什么意思,计算机原理作业习题及答案-1209学生(74页)-原创力文档...
weixin_42351102的博客
07-15 2126
第 1 章 微 型 计 算 机 基 础 知 识一、选择题3.若用 MB 作为 PC 机主存容量的计量单位,1MB 等于( )字节。A 、210 个字节 B 、220 个字节 C 、230 个字节 D 、240 个字节4.运算器在执行两个用补码表示的整数加...
NTFS文件系统属性分析
m0_63910725的博客
12-31 1461
NTFS文件系统的简要分析
mft文件记录属性头包括_NTFS文件系统-MFT的属性
weixin_39987926的博客
12-20 746
前面说过MFT是有一个个属性组成,那么每个属性的具体结构又是如何呢?MFT属性的类型很多,但它们都有个共同的特点,那就是每个属性都有属性头和属性体。属性头又分为常驻属性和非常驻属性。常驻属性和非常驻数据最大的区别是常驻属性的只是在MFT内部记录,非常驻数据由于MFT记录不下(一个MFT项只有1024)所以需要在其它数据区记录。不管是常驻属性还是非常驻属性,它的属性头的前面16个字节是一样的。MFT...
数据恢复软件设计与实现(七)
不 ' 二
11-09 3286
6  NTFS文件系统介绍 NTFS文件系统是随着Windows NT操作系统诞生的,名字都有相似之处。NTFS有很多的特点:安全性、可恢复性、文件压缩、磁盘配额、B-树文件管理。这些特点是文件系统具有极高的安全性和稳定性,在使用不易产生碎片。 微软未公布NTFS细节及实现,只有一些开源文档揭秘,这些资料目前看来是正确的,但其正确性有待验证,所以深入的研究是不得而知的,这对解析NTFS文件
MFT的簇流数据结构详解
weixin_34355881的博客
07-09 1069
上节课我们已经知道非常驻属性属性体是一个簇流信息。那么簇流信息具体是什么呢。簇流其实是用来描述数据内容的存放地址。簇流信息可以是一组簇流或者多组,一组簇流信息表示这个数据内容只有一个片段是连续的。如果是多组簇流信息,那么就说明这个数据内容是有多个片段组成是,是不连续的。每一组簇流信息是由3部分组成。第一部分描述后面两组成簇流信息所需要的字节数。第二部分描述这个簇流所占用的簇...
操作系统 第5章 文件系统 (学习笔记)
qq_35985357的博客
06-18 1978
第5章 文件系统 文件管理功能的概述: 1.计算机存放的,处理的,流动的都是消息: 1)表现形态:数据项,记录,文件,文件的集合等 2)存储方式:连续存放或分开存放 3)存储位置:主存储器上或辅助存储器上或停留在某些设备上 2.信息(文件)管理要做的事情: 对这些文件进行分类, 如何保障不同信息之间的安全, 如何将各种信息与用户进行联系, 如何使信息不同的逻辑结构...
易我数据恢复向导V2[1].1.0 含注册码.rar
04-23
《易我数据恢复向导V2.1.0——高效的数据恢复解决方案》 在数字化信息时代,数据安全显得尤为重要。而面对意外丢失的数据,我们如何迅速有效地找回呢?易我数据恢复向导V2.1.0正是这样一个强大的工具,它专为普通...
【学习笔记】程序员学操作系统
Charte的博客
04-15 6014
现代计算机系统由一个或多个处理器、主存、打印机、键盘、鼠标、显示器、网络接口以及各种输入输出设备构成。然而,程序员不会直接和这些硬件打交道,在硬件的基础之上,计算机安装了一层软件,这层软件能够通过响应用户输入的指令达到控制硬件的效果,从而满足用户需求,这种软件称之为**操作系统**,它的任务就是为用户程序提供一个更好、更简单、更清晰的计算机模型。
计算机操作系统笔记
BlackCarDriver的博客
12-28 1246
计算机操作系统总笔记 文章目录计算机操作系统总笔记引论语录操作系统的目标和作用操作系统的发展过程操作系统的基本特征操作系统的主要功能进程的描述与控制前趋图和程序执行进程的描述进程控制进程同步经典进程的同步问题进程通信线程的基本概念线程的实现处理机的调度和死锁处理机调度的层次和调度算法的目标作业和作业调度进程调度实时调度死锁概述预防死锁避免死锁死锁的检查与解除存储器管理存储器的层次结构程序的装入和链...
NTFS文件系统详解(三)之NTFS文件解析
enjoy5512的博客
03-23 2万+
NTFS,所有存储在卷上的数据都包含在文件,包括用来定位和获取文件的数据结构,引导程序和记录这个卷的记录(NTFS元数据)的位图,这体现了NTFS的原则:磁盘上的任何事物都为文件。在文件存储一切使得文件系统很容易定位和维护数据,而在NTFS,卷所有存放的数据均在一个叫做MFT的文件记录数组,称为主文件表(Master File Table),MFT是由高级格式化产生的。而MFT则由文件
NTFS文件系统详解
热门推荐
enjoy5512的博客
03-20 3万+
注:本文参考博客地址 NTFS (New Technology File System),是 WindowsNT 环境的文件系统。新技术文件系统是Windows NT家族(如,Windows 2000、Windows XP、Windows Vista、Windows 7和 windows 8.1)等的限制级专用的文件系统(操作系统所在的盘符的文件系统必须格式化为NTFS文件系统,4096簇环境下
NTFS文件系统结构解析
来啊,相互伤害啊
07-30 5819
NTFS是一个比FAT复杂的多的文件系统,我们一起努力来把它完整的解读出来。        NTFS 的引导扇区也是完成引导和定义分区参数,和FAT分区不同,FAT分区的BOOT记录正常,就显示分区没有错误,即使文件不正确,而NTFS分区的 BOOT不是分区的充分条件,它要求必须MFT的系统记录如$MFT等正常该分区才能正常访问。其BPB参数如下表所示。         字节偏移 长度 常用值 意义        0x0B 字 0x0002 每扇区字节数        0x0D 字节 0x08 每簇扇区
mft文件记录属性头包括_4-ntfs属性分析.ppt
weixin_36323601的博客
01-12 989
《4-ntfs属性分析.ppt》由会员分享,可在线阅读,更多相关《4-ntfs属性分析.ppt(24页珍藏版)》在微传网上搜索。1、NTFS属性分析,,MFT文件记录结构,主文件表的文件记录由记录头和属性列表组成,大小为1KB或一个簇大小。属性列表长度可变,以“FF FF FF FF”结束。对于1KB长度的MFT记录,属性列表的起始偏移为0x30文件通过MFT来确定存储位置。MFT是一个对应的数...
MFT的0x10标准属性数据结构
weixin_33748818的博客
07-10 1024
MFT的标准属性也就是0x10属性,它是一个常驻属性。因为标准属性的类型值是0x10,所以标准属性总是文件或目录的第一个属性。这个标准属性包含时间日期属性,分为创建时间、修改时间、MFT改变时间和文件最后访问时间。这个标准属性还可以表示文件是否只读,是否为系统文件、压缩或加密等属性。下表是标准属性体的数据结构偏移字节(16进制)描述00-07创建时间08-0F最后修改时间10...
NTFS文件系统结构--从零开始追踪一个文件的位置
刘洋_heaven的博客
04-14 2万+
前言:最近由于项目需要,研究了一下NTFS文件系统NTFS文件系统是windows使用的文件系统,包括NT,2000,xp系列。无奈万恶资本主义的windows将自家的东西全部藏在阴暗的角落,NTFS理所当然地也不开源,尽管没有源代码,还是有足够丰富的资料将NTFS文件系统曝光在自由的阳光下。下面通过从NTFS文件系统的根源出发,展示如何通过一层层的解析,最终读取到其的某个文件。 环境:LI
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值