第20讲-NTFS分区结构分析

任务3NTFS文件系统结构分析---4.3.1NTFS文件系统结构分析一、教学分析任务名称任务4.3.1NTFS文件系统结构分析课程名称数据备份与恢复课程性质专业核心课专业名称信息安全管理课程类型理实一体先修课程信息安全技术与实施后续课程计算机取证技术与应用授课方式线上线下混合、工单任务、虚拟仿真、小组合作授课学时2学时授课时间2022.5.9、2022.5.10授课地点理实一体化教室4103、4405、15-201授课班级信安2002、信安2003、信安2004、信安2005授课教师高灵霞、廖艳授课教材国家“十二五”规划教材《数据恢复技术》、1+X证书制度试点教学用书《数据备份与恢复》内容分析本次课的内容为项目四任务3，NTFS文件系统结构分析、子任务4.3.1NTFS文件系统结构分析。学情分析知识技能基础1.通过子任务4.1.2NTFS文件系统结构分析的学习，学生已经掌握了主引导结构知识，了解元文件的概念和功能，对NTFS文件系统结构分析提供了一定的理论基础2.通过学情调研测试，发现有5名学生对元文件相关问题回答错误，说明对元文件的知识学习有待进一步提高认知实践能力1.通过子任务4.1.2NTFS文件系统结构分析训练，学生能够识别不同系统的主引导记录，会使用虚拟机工作平台安装不同类型的操作系统模拟实训环境2.通过课前调研了解了NTFS文件系统结构。但是测试显示，学生对NTFS文件系统结构中元文件的学习有待提高学习特点1.学生喜欢借助手机APP、微课、动画、仿真软件等信息化手段学习2.学生实操欲望较强，具有一定的自主学习能力，喜欢挑战任务，通过完成任务来获得成就感教学目标素质目标良好的职业道德教育注重工作流程和操作规范学生能立足专业，遵守数据恢复工程师职业操守和注意事项知识目标理解NTFS分区结构，簇和卷的概念引导扇区结构和引导扇区修复方法元文件的概念及重要元文件的介绍能力目标学生能分析NTFS引导扇区，找出分区总数和$MFT所在的位置学生能使用备份扇区修复引导扇区能掌握NTFS分区结构，熟悉$MTF、$Boot、$Root元文件编号及存放内容。教学重点及解决措施教学重点：NTFS分区结构，熟悉$MTF、$Boot、$Root元文件编号及存放内容解决措施：1.课前布置任务，学生查阅资料，了解NTFS文件系统结构课中教师引导，构建虚拟仿真环境，小组合作，指定解决方案，进行仿真验证课后要求学生仿真故障，强化技能，并安排学生到数据恢复与计算机取证研究中心进行实战，拓展能力教学难点及解决方案教学难点：理解NTFS元文件的概念和作用解决措施：课前将元文件资料，发放到学生电脑，学生能提前熟悉知识点在仿真实验中，课中通过仿真实验分析强调理解NTFS元文件的概念和作用课后要求学生仿真故障，来强化对NTFS文件系统结构中元文件的理解二、教学策略教学资源中国大学MOOC学习网址：/learn/preview/cqcet-1002526030?tid=1463444550课程资源（微课、PPT、动画、作业、测试、讨论）自主学习，个性化学习中国大学慕课堂慕课堂二维码：全程教学管理、实时采集数据，记录学生的学习行为，学生成绩评定和调整教学策略。动画课件辅助学习，帮助理解，攻克教学难点。企业案例工学结合，以任务工单，引出本次课的任务，提高学习兴趣。虚拟仿真通过虚拟故障磁盘验证数据恢复的效果，降低实训成本,优化设计方案。企业级实训基地通过数据恢复与计算机取证研究中心，推动产教融合，提供技术交流服务。技术论坛技术论坛“硬盘基地”：/；学习数据备份与恢复的新技术,新应用，拓展视野。QQ群师生交流，答疑解惑，企业导师分享案例与经验。教学策略课程以“德技并修”为逻辑起点，秉承“学生为主体、教师为主导”的育人理念，以项目为驱动，实施“德育”与“专业”双线育人模式，“博学、审问、慎思、明辨、笃行”为学生学习的阶梯线，“模-诊-练-验-战”为课堂实施的教学线，双线并举，以传统文化之魂，探数据备份与恢复之魄，涵养学生新时代精神，实现知识目标和价值目标的协调统一，尽职履责捍卫国家数据安全，护航国家迈入数字经济蓝海。三、教学整体设计项目四：析结构、找文件任务3：NTFS文件系统数据恢复项目四：析结构、找文件任务3：NTFS文件系统数据恢复任务4.3.1NTFS文件系统结构分析四、教学实施.课前准备环节（用时）内容教师活动学生活动设计意图测学情模场境【检测学情】查阅资料，了解NTFS分区结构课程教学平台，自主探究NTFS文件系统结构在慕课堂完成课前测、在线讨论【模拟场境】通过虚拟磁盘技术模拟NTFS文件系统结构分析训练场境1.查资料：慕课堂推送学习资料，布置资料查询任务。2.答疑惑：慕课堂平台讨论区答疑，聚焦学生疑点。3.课前测：慕课堂平台推送课前检测题单。4.模场景：依据教学内容，学情分析，通过虚拟磁盘技术模拟训练场环境。1.析任务：登录慕课堂，下载学习资料，查看课前和课中任务。2.互合作：小组协作，完成课前查询资料，上传慕课堂。3.勤自学：在中国大学MOOC平台，自主分析NTFS文件系统结构。4.先预习：完成课前测题单，在讨论区师生、生生交流。1.教师以“模”为策略，引出课堂任务。2.学生通过查阅资料，线上自主探究NTFS文件系统结构，分析方法，结合课前测，完成专业知识考核，引导学生“博学”。3.教师通过课前测过程性评价结果。依据教学目标、结合学情，模拟训练场境，确定教学重难点给出解决方案课中探究环节（用时）内容教师活动学生活动设计意图析任务（10分钟）【分析任务】展示NTFS文件系统结构引出任务工单1.引任务：2.发素材：发放损坏的虚拟磁盘3.提要求：要求1：查看任务工单中任务需求要求2：阅读知识链接要求3：思考FAT文件系统与NTFS文件系统的区别？1.忆知识：学生接收任务工单，查看任务需求，回顾FAT32分区结构组成。2.收素材：学生打开虚拟磁盘，查看磁盘是否损坏。3.阅知识：阅读任务工单中的知识链接。4.思区别：思考FAT文件系统与NTFS文件系统的区别？1.通过故障展示，理解NTFS文件系统结构2.“诊”知识要点，体会数据恢复的重要性，明确任务需求。探真知（20分钟）【探索真知】讲解文件系统的引入详细讲解NTFS文件系统结构1.讲知识：（1）NTFS分区概述解决了FAT文件系统中的许多限制（如不支持长文件名和超过4GB的文件容量）在NTFS分区中，引入了卷概念。整个NTFS分区的结构大致如图1所示。图1NTFS分区结构图示NTFS仍然使用簇来分配文件存储，簇又叫卷因子，一般情况下每个簇包含8个扇区，从0开始编号，这个簇号叫做逻辑簇号（LCN）。在存储文件的时候，NTFS采用了索引存储方式教师提问：DBR扇区在几号簇？（引导学生学会知识分析和归纳）（2）元文件在NTFS分区中，将所有分区管理控制信息都以文件形式组织管理，包括引导区域和主控文件表等关键区域。这些记录着分区信息的数据块被封装成多个文件，称为元数据文件。其中：$Boot存放了引导程序块；$MFT存放了文件记录项，这是最主要的一个元文件；$Root存放了根目录索引；$Bitmap存放了NTFS分区的簇位图，记录簇的分配情况。这些元文件记录了分区底层的结构信息，因此非常特殊而重要，被系统保护起来，用户和普通程序不能访问它们，只能通过特殊的工具才能看到。教师提问：两个重要的元文件？教师提问：恢复数据的时候，就是依靠MFT来完成的？（学会分析，抓住重点，通过现象找本质）（3）引导扇区结构分区的0扇区是引导扇区，它和后面的15个扇区（NTLDR区域）合起来构成BOOT区域，也就是$Boot元文件。NTFS分区的引导扇区同FAT分区的引导扇区在结构上非常相似，同样包含BPB，DBR和结束标志三个部分，只是在BPB参数上有部分不同。由于所有的结构信息都以元文件方式组织，因此在BPB中只包含几个重要的参数。偏移0DH：每簇扇区数（通常为8）偏移28H：本分区占用扇区数偏移30H：$MFT起始簇号教师提问：如何计算$MFT所在的扇区号？提问提：如何恢复DBR扇区？操作技能：（师生互动，教师演练，学生操作）分析DBR扇区记录$MFT所在簇号和扇区号。搜索NTFS分区的DBR备份扇区的方法。通过打开物理盘地位分区的起始位置，根据DBR扇区记录的分区总数相加计算而来。勤思考：若DBR破坏，如何通过备份DBR恢复？1.记重点（1）记录NTFS分区中引入卷的概念，传统分区就是简单卷。也是采用簇为文件分配的基本单位。整个分区都是数据区。文件存储采用索引存储结构。回答问题：DBR在0号簇。（2）元文件：重要的两个元文件是$MFT和$Boot.掌握常见元文件的编号。$MFT的文件编号是0，$Root的编号为5.答问题：两个重要的元文件，恢复数据主要依赖$MFT文件。（3）记录DBR扇区由BPB、DBR、结尾标志组成。偏移0DH：每簇扇区数（通常为8）偏移28H：本分区占用扇区数偏移30H：$MFT起始簇号答问题：如何计算$MFT所在的扇区号？通过它的簇号*簇的大小计算而得。如何恢复DBR扇区？思精神：学习践行工匠精神，立足专业奋发有为。学技能：通过DBR扇区模板，记录$MFT的簇号，定位$MFT所在的扇区。记录偏移30H-37H位置，$MFT起始簇号掌握通过打开物理盘，根据分区起始位置和DBR参数中分区总数，定位分区的最后1个扇区验证DBR的备份。与老师一起讨论DBR扇区的恢复方法，哪里查看分区的容量，若DBR扇区不存在了，在哪看？分区表1.引导学生“审问”，理解重难点知识。2.小组活动，教师引导共同探究分析NTFS文件系统结构。3.掌握数据恢复技术及注意事项，便于优化方案，合理设计实施计划。练技术（40分钟）【演练技术】NTFS文件系统结构分析仿真实践做指导：任务一：分析NTFS引导扇区指导学生打开物理盘中的NTFS分区，截图DBR扇区中的BPB参数部分，通过数据解释器定位偏移0DH：每簇扇区数（通常为8）偏移28H：本分区占用扇区数偏移30H：$MFT起始簇号完成BPB参数的填写，定位$MFT文件对应的扇区号。查看$MFT,$Boot,$Root元文件目录项的文件编号。检查并提问学生知识技能掌握情况。2.做检查：检查学生查找NTFS的DBR备份扇区。观察，逻辑分区左下角显示的最大扇区数，是否与BPB参数不一致？引导学生掌握：通过物理盘定位分区起始位置，根据DBR参数中分区容量相加，定位到该分区的DBR备份扇区。3.检过程：检查完成过程，学生是否理解任务三解决方案的解决方法，对学生的解决过程进行检查。a.任务三损坏磁盘的分析，分区类型NTFS，DBR破坏。b.解决方案制定，若存在DBR备份，如何找到恢复。c.检查学生是否恢复DBR扇区。提醒学生在恢复前不要保存，造成磁盘的损坏。4.观过程：查看学生任务过程情况，必要时给与总体技能传授1.做分析：学生完成NTFS引导扇区的分析，填写BPB参数表，定位到$MFT文件，能够找到重要元文件的文件目录项，通知老师检查2.观过程：学生使用winhex工具，打开逻辑驱动器观察DBR中分区总数与打开显示分区总数的区别。同时能够使用物理盘打开实现DBR备份扇区的搜索，配合老师检查完成过程。3．查结果：小组配合老师一起查看解决方案是否可以实现损坏磁盘DBR扇区的恢复，在实施过程配合老师检查实验结果。a.任务三损坏磁盘的分析，分区类型NTFS，DBR破坏。b.解决方案制定，若存在DBR备份，如何找到恢复。c.DBR扇区是否恢复d.磁盘数据是否显示4.论疑问：在任务实施中，存在疑问小组讨论或与教师一起讨论。5.记数据严格按照讲解知识一步步操作。根据引导完成任务工单，记录实验数据，并上传至平台。【育人案例】1993年,NTFS文件系统最早出现WindowsNT操作系统中，它的出现大幅度地提高了微软原来的FAT文件系统的性能。1.教师加强指导，学生“慎思”，寻找问题解决方法。2.课中“练”，通过仿真实践，锻炼学生通过NTFS文件系统结构分析系统使用的技能。3.教师过程性评价学生完成情况，在实践中引导学生耐心专注，逐步养成热爱劳动的良好习惯，达自立。验成效（20分钟）【检验成果】检验学生成效，总结经验划重点：（1）NTFS整个分区都是数据区，元文件的概念？（2）NTFS分区两个重要的文件是$Boot和$MFT，文件编号是多少，$Root的文件编号呢？（3）NTFS分区DBR扇区由哪些组成的？BPB参数中重要的参数是哪两个？（4）NTFS分区与FAT32分区的区别？（5）DBR扇区的备份恢复的方法？采用的分区表，找到分区的起始位置和分区容量，进行计算找到DBR扇区的备份，进行恢复。做总结:（1）NTFS整个分区都是数据区，元文件存放的是分区管理信息。（2）NTFS分区两个重要的文件是$Boot和$MFT，文件编号7和0，$Root的文件编号是5.（3）NTFS分区DBR扇区由BPB、DBR和结束标志组成，BPB参数中重要的参数是分区总数和$MFT所在的簇号。（4）NTFS分区与FAT32分区的区别？NTFS分区也存在引导扇区，也使用簇管理空间，但它和FAT分区有很大区别，第一，它加入了许多文件管理功能；第二，它将所有的管理控制区域组织成文件形式进行管理；另外，在存储结构上，它采用索引结构，真个分区结构要复杂些。1.师生共“验”，展示成果，分享经验，促进小组之间相互学习，取长补短，达成共同进步。2.提高学生表达能力，增加自信，通过“明辨”，拓展思路，学习其他同学好的想法。3.教师引导学生梳理知识点，巩固知识和技能，提高学生总结概括能力。3.课后拓展环节（用时）内容教师活动学生活动设计意图仿故障【模仿故障】做仿真，模拟磁盘故障，进行恢复1.布任务：协助学生模拟磁盘故障仿真。2.做改进：学生任务工单，分析学情完善教学策略1.小组活动，通过虚拟磁盘技术模拟磁盘故障，进行仿真恢复。2.完善任务工单，上传学习通1.教师和学生遵守“耐心专注”的职业素养。2.通过仿真，模拟磁盘故障，拓展技能，“笃行”。3.通过数据恢复与计算机取证研究中心进行数据恢复训练提升能力，强化实“战”。4.形成终结性评价考核结果，以小组互评，教师评价的方式，达成课程培养目标。强实战【强化实战】到数据恢复与计算机取证研究中心进行数据恢复实战组织学生到数据恢复与计算机取证研究中心，观摩学习或参与磁盘恢复实战协同数据恢复大赛指导教练对学生进行现场指导。学生小组活动，认真观摩学习磁盘恢复技术、积极参与实战。积极参加数据恢复大赛学生团队，争取通过选拔。五、考核评价评价方式采用专业教师、小组互评、自评、平台考核等多元评价方式，学生成绩客观、公正、透明、真实。课程评价标准与方式：（1）课前测：根据中国大学慕课堂平台记录的学习数据成绩。（2）模块测：依据学生完成效果，授课教师评阅，学习通平台记录测试成绩。（3）工单任务：由考勤记录（30%分）、课堂表现（20%）、实施成效（50%）三方面平时考勤：迟到早退各扣1分，旷课扣2分，提前10分钟激励1分。以平均分达到满分，按比例打分。（扣分超过10，总评0）课堂表现：课程中的案例、思考、练习，鼓励学生主动参与讨论、分享思路、帮助同学，表现突出的，当场记录加1~2分，若有影响课堂学习的（如：睡觉、玩手机）当场记录扣2分。总评以最高分达到满分，按比例打分。实施成效：依据完成工单任务成效每次得分1-2分，总评以最高分达到满分，按比例打分（4）实战拓展：以提交学习通中工单任务报告，采用教师评价，学生互评方式，学习通平台记录成绩。（5）期终考评：线上采用中国大学MOOC成绩，线下由教学团队统一规划出题考试教学效果1.学生通过课前查阅资料，了解NTFS文件系统结构分析。2.通过师生共同探究，掌握分析NTFS文件系统结构方法。3.通过课中仿真实验与恢复成效展示，学会了使用磁盘编辑工具Winhex、虚拟磁盘工具。特色创新1.利用磁盘编辑工具分析NTFS文件系统结构，培养学生“立足专业”分析文件系统结构，能“自立”完成任务。2.采用虚拟磁盘技术，仿真实验环境，节约成本3.采用任务工单，工学结合，模拟职场情境，提高学生综合职业技能。反思改进1.通过课前测，有90%学生掌握知识技能，10%左右学生知识不牢固，提出预警差异指导对应学生。2.通过课堂师生交流，知识讲授与技能培养掌握情况良好，要加强操作技能检查，改进教学策略。3.通过任务工单完成情况以及学生自我评价，改进任务工单内容。工单任务任务名称分析NTFS结构学时2班级学生姓名小组成员小组成绩个人成绩使用工具Winhex,磁盘管理工具学习场地实训机房日期任务需求：工程师小王在对FAT分区做了分析之后，对NTFS分区也产生了兴趣，NTFS分区的引导扇区是怎样的呢？是不是也存在文件目录表和文件分配表呢？于是打开了一个NTFS分区，进行学习分析。任务目的：学生能分析NTFS引导扇区学生能使用备份扇区修复引导扇区学生能掌握NTFS分区结构学生能够全面提升分析、计划、实施和监控数据备份与恢复任务的能力计划与决策根据任务需求，提供采用提供可行的解决方案。学生能够创建虚拟磁盘划分分区，模拟实验环境，检验是否与真实相符学生根据FAT32结构信息，具有手工恢复分区数据的能力。任务实施知识链接（1）NTFS分区概述在NTFS分区中，引入了卷概念。卷可以看成是分区的升级版，分区就是一个简单卷，而一个动态卷则可以实现一些高级功能，比如组织跨分区甚至跨磁盘的空间，动态增长容量等，使其可以支持服务器存储所需的海量存储空间。整个NTFS分区的结构大致如图1所示。图1NTFS分区结构图示NTFS仍然使用簇来分配文件存储，簇又叫卷因子，一般情况下每个簇包含8个扇区，从0开始编号，这个簇号叫做逻辑簇号（LCN）。（2）元文件在NTFS分区中，将所有分区管理控制信息都以文件形式组织管理，包括引导区域和主控文件表等关键区域。这些记录着分区信息的数据块被封装成多个文件，称为元数据文件。其中：$Boot存放了引导程序块；$MFT存放了文件记录项，这是最主要的一个元文件；$Root存放了根目录索引；$Bitmap存放了NTFS分区的簇位图，记录簇的分配情况。这些元文件记录了分区底层的结构信息，因此非常特殊而重要，被系统保护起来，用户和普通程序不能访问它们，只能通过特殊的工具才能看到。（3）引导扇区结构分区的0扇区是引导扇区，它和后面的15个扇区（NTLDR区域）合起来构成BOOT区域，也就是$Boot元文件。NTFS分区的引导扇区同FAT分区的引导扇区在结构上非常相似，同样包含BPB，DBR和结束标志三个部分，只是在BPB参数上有部分不同。由于所有的结构信息都以元文件方式组织，因此在BPB中只包含几个重要的参数。偏移0DH：每簇扇区数（通常为8）偏移28H：本分区占用扇区数偏移30H：$MFT起始簇号2．任务实施步骤任务一：分析NTFS引导扇区（1）在物理机中选择一个NTFS分区，本例假设D盘。用Winhex打开它，观察引导扇区BPB内容，如图2所示。图2NTFS分区引导扇区图示（2）指出重要的BPB参数：偏移字段十六进制值备注0B-0CH每扇区字节数硬盘恒定个字节0DH每簇扇区数每簇扇区28-2FH本分区扇区总数个扇区30-37H$MFT起始簇号号簇38-3FH$MFTMirr起始簇号号簇根据$MFT起始簇号，及每簇扇区数，计算$MFT的起始扇区任务二：查找NTFS的DBR备份扇区在物理机上，选择一个NTFS分区，如D盘（如果没有，可以格式化一个分区）。运行Winhex，选择“工具—打开磁盘”，在列表框中的“逻辑驱动器”中选择该NTFS分区，如图3所示。图3打开NTFS分区（1）分析BPB参数信息，读取本分区占用扇区数。（2）观察，逻辑分区左下角显示的最大扇区数，是否与BPB参数不一致？原因：Winhex在打开分区时