数据恢复技术课件：恢复NTFS数据

恢复NTFS数据任务3.1恢复NTFS文件系统的DBR3.1.1NTFS系统的基本结构0号扇区，即DBR扇区，包含分区的引导程序和BPB参数，如果参数破坏，则分区不能正常使用。DBR扇区后是15个扇区的NTLDR区域，DBR与NTLDR构成$Boot文件。NTFS文件主文件表中还记录一些非常重要的系统数据，这些数据被称为元数据文件，简称为“元文件”，包括用于定位和恢复的数据结构、引导程序数据及整个卷的分配位图等信息。NTFS文件系统从0扇区开始以簇为单位对扇区进行管理，采用虚拟簇号和逻辑簇号两种方式来管理分区。3.1.2NTFS文件系统DBR分析NTFS文件系统的引导扇区是$Boot的第一个扇区，称该扇区为DBR扇区。DBR包括跳转指令、OEM代号、BPB参数、引导程序和结束标志五个部分。BPB参数是数据恢复中需要着重掌握的部分，BPB是BIOSParameterBlock的缩写，其含义为BIOS参数块。BPB从DBR的OBH偏移处开始，到偏移53H结束，占用73字节，记录了文件系统的重要信息。3.1.2NTFS文件系统DBR分析字节偏移字段长度（字节）字段定义字节偏移字段长度（字节）字段定义00H~02H3跳转指令20H~23H4NTFS未使用，为003H~0AH8OEM代号24H~27H4NTFS未使用，为800080000BH~0CH2每扇区字节数28H~2FH8扇区总数0DH~0DH1每簇扇区数30H~37H8$MFT的起始簇号0EH~0FH2保留扇区（NTFS不用）38H~3FH8$MFTMirr的起始簇号10H~11H3总是040H~40H1文件记录的大小描述13H~13H2NTFS未使用，为041H~43H3未用15H~17H1介质描述符44H~44H1索引缓冲的大小描述16H~19H2总是045H~47H3未用18H~1BH2每磁道扇区数48H~4FH8卷序列号1AH~1DH2磁头数50H~53H4校验和1CH~1FH4隐藏扇区数

表3-1NTFS文件系统BPB参数的含义任务3.2恢复NTFS文件系统中丢失的文件3.2.1文件记录结构分析1.NTFS文件系统的元文件序号元文件功能0$MFT主文件表本身，是每个文件的索引1$MFTMirr主文件表的部分镜像，通常为前4个文件记录的备份2$LogFile事务型日志文件3$Volume卷文件，记录卷标等信息4$AttrDef属性定义列表文件5$Root根目录文件，管理根目录6$Bitmap位图文件，记录了分区中簇的使用情况7$Boot引导文件，记录了用于系统引导的数据情况8$BadClus坏簇列表文件9$Secure安全文件10$UpCase大小写字符转换表文件11$Extendmetadatadiectory扩展元数据目录12$Extend\$Reparse重解析点文件13$Extend\$UsnJrnl加密日志文件14$Extend\$Quota配额管理文件15$Extend\$ObjId对象ID文件在NTFS的文件系统中，磁盘上的所有的内容数据全都是以文件的形式出现的，即使是文件系统的管理信息也是以一组文件的形式存储的，统称为元文件。3.2.1文件记录结构分析2．文件记录整体结构MFT以文件记录来实现对文件的整体管理，每个文件记录都对应着不同的文件，固定是1KB，也就是一个MFT项占用两个扇区。文件记录是连续的，从0开始依次顺序编号。表3-3文件记录结构表3.2.1文件记录结构分析2．文件记录整体结构MFT以文件记录来实现对文件的整体管理，每个文件记录都对应着不同的文件，固定是1KB，也就是一个MFT项占用两个扇区。文件记录是连续的，从0开始依次顺序编号。字节偏移字段长度（字节）字段含义00H~03H4MFT标志，一定为字符串“FILE”04H~05H2更新序列号(UpdateSequenceNumber)的偏移06H~07H2更新序列号的大小与数组，包括第一个字节08H~0FH8日志文件序列号($LogFileSequenceNumber,LSN)10H~11H2序列号(SequenceNumber)12H~13H2硬连接数(HardLinkCount)，即有多少目录指向该文件14H~15H2第一个属性的偏移地址16H~17H2标志(Flag),00H表示文件被删除，01H表示文件正在使用，02H表示目录被删除，03H表示目录正在使用18H~1BH4文件记录的实际长度1CH~1FH4文件记录的分配长度20H~27H8基本文件记录中的文件索引号28H~29H2下一属性ID,当增加新的属性时，将该值分配给新属性，然后该值增加，如果MFT记录重新使用，则将它置0，第一个实例总是02AH~2BH2边界2CH~2FH4文件记录参考号30H~31H2更新序列号32H~35H4更新数组表3-4NTFS文件记录头信息3.2.1文件记录结构分析2．文件记录的属性结构在NTFS系统中所有与文件相关的信息均被认为是属性，例如文件名、存储位置、文件总字节数等。文件记录是一个与文件相对应的文件属性列表，它记录了文件数据的所有属性。图3-10属性结构属性还有常驻与非常驻之分。3.2.2文件记录的常见属性在NTFS文件记录中，经常使用的属性有10H属性、30H属性、80H属性、90H属性、A0H属性和B0H属性。属性类型含义10H标准信息20H属性列表30H文件名40H对象ID50H安全描述符60H卷名70H版本号80H数据90H索引根A0H索引分配B0H位图C0H重解析点D0H扩充属性信息E0H扩展100HEFS加密1．属性类型3.2.2文件记录的常见属性字节偏移字段长度（字节）字段含义00H~03H4属性类型（10H、30H等）04H~07H4包括属性头在内的本属性的长度（字节）08H~08H1是否为常驻属性（00表示常驻，01H表示非常驻）09H~09H1属性名长度（0表示没有属性名）0AH~0BH2属性名的开始偏移地址0CH~0DH2压缩、加密、稀疏标志0EH~0FH2属性ID10H~13H4属性体的长度（L）14H~15H2属性体的开始偏移地址16H~16H1索引标志17H~17H1无意义18H~L该属性体的内容常驻无属性名的属性结构2．属性结构3.2.2文件记录的常见属性字节偏移字段长度（字节）字段含义00H~03H4属性类型（如80H等）04H~07H4包括属性头在内的本属性的长度（字节）08H~08H1是否为常驻属性（00表示常驻，01H表示非常驻）09H~09H1属性名长度（0表示没有属性名）0AH~0BH2属性名的开始偏移地址0CH~0DH2压缩、加密、稀疏标志0EH~0FH2属性ID10H~17H8属性体起始虚拟簇号（VCN）18H~1FH8属性体结束虚拟簇号（VCN）20H~21H2RunList信息的偏移地址22H~23H2压缩单位大小24H~27H4无意义28H~2FH8属性体的分配大小30H~37H8属性体的实际大小38H~3FH8属性体的初始大小40H属性的RunList信息，记录属性体开始的簇号、簇数等信息非常驻无属性名的属性结构2．属性结构3.2.2文件记录的常见属性3．常见属性10H属性10H属性是所有文件记录或文件夹记录都具有的属性，它包含了文件或文件夹的基本信息。属于常驻无属性名的属性。常驻属性由属性头和属性体组成。字节偏移字段长度（字节）字段含义00H~07H8文件创建时间08H~0FH8文件最后修改时间10H~17H8MFT修改时间18H~1FH8文件最后访问时间20H~23H4传统文件属性24H~27H4最大版本数28H~2BH4版本数2CH~2FH4分类ID30H~33H4所有者ID34H~37H4安全ID38H~3FH8配额管理40H~47H8更新序列号常驻10H属性体结构3.2.2文件记录的常见属性3．常见属性30H属性30H属性（即文件名属性）属于常驻无属性名的属性，用于存储文件名，一般紧跟在10H属性（标准属性）之后。字节偏移字段长度（字节）字段含义00H~07H8父目录的文件参考号08H~0FH8文件创建时间10H~17H8文件修改时间18H~1FH8MFT修改时间20H~27H8文件最后访问时间28H~2FH8文件分配大小30H~37H8文件实际大小38H~3BH4文件标志3CH~3FH4扩展属性和重解析点使用40H~40H1文件名长度（字符数L）41H~41H1文件名命名空间42H2LUnicode文件名常驻30H属性体结构3.2.2文件记录的常见属性3．常见属性80H属性（即数据属性），用于存储文件的内容。80H属性有常驻和非常驻之分。字节偏移字段长度（字节）字段含义00H文件内容80H属性常驻80H属性体结构非常驻80H

RunList结构3.2.3常见元文件分析1．$MFT元文件MFT以文件记录来实现对文件的整体管理，每个文件记录都对应着不同的文件，固定是1KB，也就是一个MFT项占用两个扇区。文件记录是连续的，从0开始依次顺序编号。2．$MFTMirr3．$Bitmap4．$Boot元文件$MFTMirr是系统以恢复为目的而创建的文件。备份文件记录的数量则取决于NTFS卷中簇的大小。当NTFS文件系统的簇小于或等于4KB时，$MFTMirr则备份前4个文件记录。通常NTFS文件系统中，默认簇的大小为4KB，所以$MFTMirr通常备份$MFT前4个文件