NTFS删除过程及纯手工恢复(超详细版).doc

NTFS删除过程及纯手工恢复（超详细版）这个是我在windows7操作系统中虚拟的NTFS格式的G盘。根目录下有一个文件夹和一个文本文档。现在我们就要把那个叫邓彦辉的文本文档删除，然后恢复。并要分析删除前和删除后磁盘内容的不同，这样使大家对NTFS文件系统有更加深入的理解。首先按照我上次发的NFTS下文件的建立超详细分析中的方法把文件名出现过的地方记录下来，如果大家不是很理解可以去看看我在NFTS下文件的建立超详细分析一文中的讲解。好的，下面我们把邓彦辉这个文本文档删除掉。下面我们在文件被删除之后逐一分析文件名出现过的扇区也就是$LOGFILE文件，索引项，以及该文件的MFT项。首先我们找到$LOGFILE看看有什么变化，具体怎么找$LOGFILE我在NFTS下文件的建立超详细分析一文中已经讲解过了，现在我们转到$LOGFILE文件的数据流起始扇区。在320800号扇区找到了$LOGFILE文件的数据流起始扇区，看到了吗，重启页的签名标志52 53 54 52一个页占用8个扇区，有两个重启页，所以320816号扇区就是记录页的起始扇区了，我们转到320816号扇区。这个就是记录页的起始扇区了，签名标志 52 43 52 44。我们就要在记录页中找到邓彦辉这个文件的记录。我们搜索文件名。看看能不找到记录。我们在321016号扇区找到了邓彦辉这个文件的记录，而且看到那个签名标志了吗，证明这个记录真的是在$LOGFILE文件的记录页中的。这个记录是一个索引项，完整的记录下了文件的MFT号。如果文件的MFT项没有被改变的话，我们就可以通过这里的MFT号找到该文件的MFT项了，进而恢复文件了。这里看到该文件的MFT号是 23 00 00 00 也就是35号MFT项。我们在找找看记录页里面还有没有记录，我们搜索文件名。我们又在321059号扇区找到了一个记录。看到了吗，这个记录除了时间值和前面的记录不同之外其他的一样，这个记录是在文件删除之后才有的，也就是说$LOGFILE文件会记录下文件的改变，这也是NTFS文件系统具有很好的恢复性的原因，它有很多措施确保在文件以外丢失后能找回来。我们再往下找，下一个文件名出现的地方是一个MFT项。我们在339350号扇区找到了该文件的MFT项，但是这个MFT项和以前不太一样了，看到那个划红圈的地方了吗，00 00 说明这是一个删除了的文件的MFT项。但是该MFT项的其他地方确实没有做改变的。这样我们就可以通过他的数据属性手工恢复文件内容了。这里给大家讲一讲怎样通过MFT号找到该MFT项所在的扇区，这个就是用$MFT元文件所在的扇区号加上要确定文件的MFT号的二倍就是要找的扇区了。以我们这里出现的MFT号来讲，索引项中出现的MFT号是0x 23 00 00 00也就是35号MFT，而我们这里$MFT元文件的起始扇区号是339280那么35号MFT项所在的扇区就是339280+（35*2）=339350号扇区。这和我们通过搜索文件名找到的扇区是一样的。呵呵。我们再往下找找看还有没有跟文件名有关的东西，搜索过后发现没有了。这里就有一个问题了。我在NFTS下文件的建立超详细分析一文中说，每个文件或者目录都有一个索引，但是这里却不见了。所以说，文件删除之后，系统把分配给它的索引项收回。我们就找不到了。好的，我们分析就分析到这里了，下面我们就通过找到的文件的MFT项来手工恢复文件了。找到数据属性。找到数据流记录，这里是 11 05 24具体怎么分析数据流，我在以前的教程中都有详细的讲解，大家可以在基地上找找看。这里文件的起始簇号是36号簇，占用5个簇。我们就把从36号簇开始到40号簇结束的区域提取出来就是我们要恢复的文件了。怎么提取就不用我说了吧。呵呵。恢复完成。下面总结一下在NTFS中文件删除后的情况;1 . 文件删除后文件的MFT项是没有丢失的，只是做了小小的改变，但是重要的数据属性却是没有改变的。2 . 文件在$LOGFILE文件中的记录还在，而且还多了一个。其中的记录是以索引项的结构存在的，该索引项中记录了文件的MFT参考号，这就给我们进行数据的恢复提供了很大的方便。多出来的记录是$LOGFILE文件记录的文件的改变。它的时间值和原纪录不同，但是记录的MFT参考号和原纪录一样，这就给我们又提供了一个寻找MFT项的地方。3