关于NTFS文件修复一些见解

最新推荐文章于 2024-09-20 11:12:26 发布
最新推荐文章于 2024-09-20 11:12:26 发布
阅读量862 收藏
点赞数 1
文章标签: ntfs
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xdayong/article/details/106684343
版权

       最近公司想做一款Windows文件恢复软件,通过此软件,把一些用户误删除或误格式化的文件恢复回来。让我先做下这方面的预判(由于我对NTFS有些了解,上个项目就是跟NTFS相关)。

       想做文件恢复,那就涉及到文件系统,目前windows端,最常用的就是NTFS文件系统。其次是FAT文件系统。FAT文件系统又可以细分为FAT16、FA32、exFAT等。这里先说下对于NTFS文件系统内,文件恢复的大概的思路(目前FAT还没详细了解,后续查了相关资料再说)。

       NTFS文件系统里,NTFS分区主要由引导扇区、主文件表(Master File Table,MFT)、系统文件和文件存储区域等4个部分组成。而文件的读写是以簇为单位。

       新建一个文件或文件夹时,会在MFT里增加一条记录,用以记录文件的相关信息(文件的大小、访问时间、修改时间、存储位置、父目录、文件属性等),并在一个BitMap的系统文件里,改变文件所占簇的使用情况。

       删除一个文件时,MFT表有如下改动:

         1.把MFT表里,这个文件的标志位改为未使用状态

         2.把这个文件,在BitMap里所占用的簇,标记未0(未使用)

         3.从MFT里,文件所在目录里,移除此文件

       通过上面的描述,可以看出,NFTS文件系统里,文件删除实际上只是一个标记的删除,真正的内容还是存在的,只要MFT表里相应的文件记录没有被覆盖,并且文件内容所在的簇,没有被重写,文件是完全有可能被恢复的。(这也是很多文件恢复软件,反复提及、恢复文件时,要对硬盘少操作。因为一旦硬盘发生了写操作,文件的MFT记录或者是文件所占用的簇,就有可能被新文件覆盖)

      文件恢复操作的实际过程:

         1.遍历MFT表,找出标记为删除的文件记录

         2.从文件记录里,获取文件所占用的簇

         3.分析BitMap,判断文件所占用的这些簇,是否是未使用状态(*注:如果恢复前对这些簇进行了读写操作,此判断会不准确)

        4.对数据进行读取及恢复

xdayong
关注
【转】对MFT偏移的修正 ---记硬盘数据修复
weixin_30703911的博客
05-10 1148
先把问题描述一下吧:(这个问题之前在一些电脑类论坛发过,可没有高手给出一个比较好的答案,只好自己动手) 一开始开机,正常使用,突 然就死机,试过只能强制重启。重启后,无法进入xP系统,于是用PE进去,发现C盘和E盘都提示“文件或目录损坏且无法读取”,于是重建mbr,仍进不了 系统。于是重启又进入PE,发现250G的5个分区硬盘中,E盘反而好了,其他分区都又上面那个提示。用PTDD重建分区表,没...
windows NTFS文件系统手动数据恢复
bqnagus
09-26 2058
windows NTFS文件系统数据恢复
NTFS文件系统的可恢复
06-26 80
      NTFS是随着Windows NT操作系统而产生的,全称为“NT File System”,中文意为NT文件系统,如今已是windows类操作系统中的主力分区格式了。它的优点是安全性和稳定性极其出色,在使用中不易产生文件碎片,NTFS分区对用户权限作出了非常严格的限制,每个用户都只能按着系统赋予的权限进行操作,任何试图越权的操作都将被系统禁止,同时它还提供了容错结构日志,可以将用...
usboot-U盘修复工具:数据恢复与性能优化
最新发布
weixin_42153793的博客
09-20 963
本文还有配套的精品资源,点击获取 简介:usboot是一个专为U盘设计的修复工具,它能够解决因各种原因导致的U盘问题,包括扇区损坏和格式化错误。该工具提供初始化、低级格式化修复功能,旨在恢复U盘到出厂状态,消除坏道,修复文件系统错误,确保U盘的正常读写功能。usboot对于保障U盘数据安全和性能优化至关重要,尤其在面对便携性和大容量存储需求日益增长的今天。用户在使用时应备...
NTFS文件系统下文件恢复
一期一会的博客
07-09 2885
一. 非常驻80H属性 1.将111.docx放置在E盘随后将其删除 2.搜索-查找十六进制数值 23 00 00 00 ,新文件会从编号23开始放置,我们可以通过00 00了解到该文件被删除,说明是我们刚刚删除的文件。 3.文件信息通常储存在80H属性,我们观察到该文件属于非常驻(01),也可以了解到文件大小,起始簇号等等,我们就可以通过以下的信息去进行恢复: 由上图可知: (1)起始簇号 03...
linux修复ntfs分区,如何修复损坏/损坏的NTFS文件系统/分区而不丢失数据?
weixin_29577885的博客
05-04 696
我打算在Acer Apire One D255E上与Windows 7 Starter一起安装Fedora 15,并且在调整NTFS分区大小(带有Windows的分区)的过程中的某个时刻安装失败。现在,我无法从任何操作系统访问此分区。当我尝试从在USB闪存驱动器上运行的Fedora安装访问它时,出现此错误:Error mounting: mount exited with exit code 12...
行业分类-设备装置-媒体文件的数据存储方法及移动终端.zip
09-09
文件系统如FAT32、NTFS、exFAT或Android的EXT4等,每种都有其特性和适用场景。例如,对于大文件支持和权限管理,可能需要选择更高级别的文件系统。 此外,媒体文件的索引和元数据管理也是重要一环。移动终端会创建...
数据重现文件系统原理精解与数据恢复最佳实践
07-14
在深入了解《数据重现文件系统原理精解与数据恢复最佳实践》这本书之前,我们首先需要了解一些基本的概念。文件系统是操作系统用于明确存储设备(常见的是磁盘,也有基于NAND Flash的固态硬盘)或分区上的文件的方法...
linux在windows下用wubi安装的某些见解
06-24
Wubi安装实质上是在Windows的NTFS文件系统中创建一个大文件,该文件模拟了一个磁盘分区,用于存储Linux系统的所有内容。这种方式与使用虚拟机相似,但与虚拟机不同的是,Wubi安装的Linux可以直接像本地系统一样运行...
"TxFS:崩溃一致性ACID事务的文件系统
ACM Transactions on Storage,Vol....德克萨斯大学奥斯汀分校我们介绍TxFS,一个事务文件系统,建立在文件系统的原子更新机制,虽然之前的工作已经探索了许多事务文件系统,但TxFS具有一组独特的属性:简单的AP
ACM Transactions on Storage,第9条:TxFS文件系统的ACID事务实现
ACM Transactions on Storage,Vol....德克萨斯大学奥斯汀分校我们介绍TxFS,一个事务文件系统,建立在文件系统的原子更新机制,虽然之前的工作已经探索了许多事务文件系统,但TxFS具有一组独特的属性:简单的AP
TestDisk数据修复工具
12-01
数据修复工具TestDisk能够修复启动分区,恢复一个分区或者删除数据,从无法访问的部分复制文件,还能轻松修复分区表。这款工具可用于诸如FAT、exFAT、NTFS和ext2等不同文件格式
手工修复MFT
01-11
如何利用MTF手工定位一个文件,并利用MFT恢复丢失的文件
Linux下NTFS分区的修复恢复
weixin_34290096的博客
05-02 1722
我们时不时需要帮助我们的朋友、家人、熟人、商业伙伴或者其他杂七杂八的人摆脱使用Windows的时候遇到的困境。尽管我们不像他们一样日常遇到各种问题,却经常是在他们有难的时候会求助的人。此外,甚至我们自己的Windows分区/驱动器也会出现问题(毕竟,有时候我们还是需要玩儿会儿游戏,而且,尽管Steam在努力,但Linux还不是游戏玩家的梦想之地),但愿不...
在FAT32和NTFS文件系统中,如何擦除文件内容,让恢复软件无法恢复,C实现
bbxionglei的专栏
09-02 758
一,FAT32很简单,一个文件对应一个文件描述,先把这个文件从头到尾写入0x00,再把文件名改成一个乱七八糟的名字,再删除。这样文件内容和文件名就都不存在了。 二,NTFS,很复杂,每当生成一个文件时,会在4个地方生成文件名,1到3个地方存储文件内容。改名,移动,复制又会在很多
【服务器数据恢复NTFS分区被格式化如何恢复数据?
beiya123的博客
04-10 708
误操作格式化服务器RAID5磁盘阵列下的分区(NTFS文件系统)。
Windows 取证之$MFT
m0_59598029的博客
08-09 1593
MFT,全称,即主文件表,它是NTFS文件系统的核心。它是包含了NTFS卷中所有文件信息的数据库,在$MFT中每个文件(包括MFT本身)至少有一个MFT,记录着该文件的各种信息。这些信息被称为属性。NTFS使用MFT条目定义它们对应的文件,有关文件的所有信息,比如大小、时间、权限等都存在MFT条目中,或者由MFT条目描述存储在MFT外部的空间中。MFT由一个个MFT项(也称为文件记录())组成,每个MFT项占用1024字节的空间。这个概念相当于Linux中的inode在$MFT文件中物理上是连续的,且从0。
深度解析MFT损坏:原因、恢复策略与预防措施
Uhfbn的博客
09-02 1184
MFT损坏作为NTFS文件系统中的一个严重问题,其发生往往伴随着数据丢失的风险。通过了解MFT损坏的原因、掌握数据恢复策略以及采取有效的预防措施,我们可以最大程度地减少其带来的损失。然而,更重要的是,我们应该意识到数据备份的重要性,并将其纳入日常的数据管理计划中。只有这样,我们才能在面对数据丢失的危机时,保持冷静和从容,确保重要资料的安全无忧。
数据恢复软件设计与实现(九)
不 ' 二
11-09 2894
7  NTFS文件系统文件恢复 7.1 NTFS文件系统文件删除的分析 在NTFS文件系统下删除文件,有三个地方改变,首先是把这个文件文件记录中的状态标志改变,文件把01改为00,目录把03改为02,如图7-1 所示;然后把索引项删掉,调整B-树;第三个改变的地方就是$Bitmap中对应簇的位由1改为0释放掉簇。数据区并不会改变,所以这才有可能恢复数据。 图7-1 NTFS删除
NTFS文件系统崩溃后的数据恢复技术解析
此外,NTFS还能自动修复文件系统错误,如通过修复日志文件。 4. **主文件表(MFT)**:MFTNTFS的核心组件,存储了文件系统的所有元数据。当MFT受损时,NTFS有能力将其移动到新的位置以保持系统的正常运行。 在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值