计算机检测维修与数据恢复(上册)课件 项目7 文件系统恢复_第1页
计算机检测维修与数据恢复(上册)课件 项目7 文件系统恢复_第2页
计算机检测维修与数据恢复(上册)课件 项目7 文件系统恢复_第3页
计算机检测维修与数据恢复(上册)课件 项目7 文件系统恢复_第4页
计算机检测维修与数据恢复(上册)课件 项目7 文件系统恢复_第5页
已阅读5页,还剩75页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

子任务1利用WinHex读取FAT32文件系统参数任务1FAT32文件系统恢复项目7文件系统恢复01利用Winhex读取FAT表项参数02利用Winhex读取数据区用户文件(夹)目录项主要参数目录contents利用Winhex读取FAT表项参数01任务实施1(一)利用Winhex读取FAT表项参数(共有2个步骤)步骤一:附加虚拟磁盘,运行Winhex并打开它步骤二:读取和记录FAT表项参数一步骤一:附加虚拟磁盘,运行Winhex并打开它在素材文件夹中,双击“7任务1-1-1.vhd”,然后运行Winhex,打开“HD1”,界面显示该硬盘信息,此虚拟磁盘共分有1个主分区(FAT32分区),点开分区1,再点开FAT1。如图7-1所示。利用Winhex读取FAT表项参数图7-1Winhex编辑窗口信息(FAT1表)图一步骤二:读取和记录FAT表项参数读取FAT表项参数,记录到表7-1中,得FAT1表项参数表,如表7-5所示。利用Winhex读取FAT表项参数表7-5FAT1表项的参数表表项偏移长度值项数表项内容00号0X0040X0FFFFFF81FAT表标志表项01号0X0440XFFFFFFFF1系统保留表项02号0X0840X0FFFFFFF1目录表项03号0X0C40X0FFFFFFF1文件只一个表项04号0X1040X0FFFFFFF1文件只一个表项05号0X1440X0FFFFFFF1文件只一个表项06〜20号0X18600X07〜1515文件存储指向7〜20号表项21号0X5440X0FFFFFFF1文件结束项22号0X5840X0FFFFFFF1文件只一个表项23号0X5C40X0FFFFFFF1文件只一个表项24号0X6040X0FFFFFFF1文件只一个表项25号0X6440X0FFFFFFF1文件只一个表项利用Winhex读取数据区用户文件(夹)目录项主要参数02利用Winhex读取数据区用户文件(夹)目录项主要参数二、利用Winhex读取数据区用户文件(夹)目录项主要参数(共有3个步骤)步骤一:附加虚拟磁盘,运行Winhex并打开它步骤二:读取和记录根目录下文件夹“7任务1”目录项的主要参数步骤三:读取用户文件夹“7任务1”这个子目录下目录项的主要参数二步骤一:附加虚拟磁盘,运行Winhex并打开它在素材文件夹中,双击“7任务1-1-1.vhd”,然后运行Winhex,打开“HD1”,点开分区1,发现用户文件夹“7任务1”,进一步点开此文件夹,它有2个文件“7任务1-1-1.txt”和“7任务1-1-1.png”。因此,读取的目录项有:根目录下文件夹“7任务1”的目录项、文件夹“7任务1”目录下的文件“7任务1-1-1.txt”和文件“7任务1-1-1.png”的目录项,共3个目录项。利用Winhex读取数据区用户文件(夹)目录项主要参数二步骤二:读取和记录根目录下文件夹“7任务1”目录项的主要参数单击根目录,偏移0X80〜X09F为根目录下文件夹“7任务1”的目录项。如图7-2所示。利用Winhex读取数据区用户文件(夹)目录项主要参数图7-2Winhex编辑窗口信息(文件夹“7任务1”目录项)图二步骤二:读取和记录根目录下文件夹“7任务1”目录项的主要参数根据表7-2,对应读取该目录项主要参数,制成该目录项主要参数表,如表7-6所示。利用Winhex读取数据区用户文件(夹)目录项主要参数表7-6文件夹“7任务1”目录项的主要参数表偏移长度值短文件目录项内容0X0080X202031F1CEC837主文件(夹)名:7任务10X0830X202020扩展名:空0X0B10X10属性:10(子目录)0X0C10X00子目录名大小写:OO(大写)0X1420X00文件(夹)开始簇号的高16位:0簇0X1A20X05文件(夹)开始簇号的低16位:5簇0X1C40X00文件实际大小,0字节二步骤三:读取用户文件夹“7任务1”这个子目录下目录项的主要参数①读取文件“7任务1-1-1.txt”目录项的主要参数。单击用户文件夹“7任务1”,偏移0X80〜X0BF为文件“7任务1-1-1.txt”的目录项,长文件名占2个目录项。如图7-3所示。利用Winhex读取数据区用户文件(夹)目录项主要参数图7-3Winex编辑窗口信息(文件“7任务1-1-1.txt”目录项)图二步骤三:读取用户文件夹“7任务1”这个子目录下目录项的主要参数根据表7-2和表7-3,对应读取该目录项主要参数,制成该目录项主要参数表,如表7-7、表7-8所示。利用Winhex读取数据区用户文件(夹)目录项主要参数表7-7文件“7任务1-1-1.txt”长文件名目录项参数表偏移长度值长文件名目录项内容0X0010X41长文件名序列号:65。0X01100X002D003152A14EFB0037长文件名的第1〜5个字符:7任务1-。0X0B10X0F长文件名目录项标志:0X0F。0X0C10X00系统保留0X0D10XBE校验值和。0X0E120X00780074002E0031002D0031长文件名的第6〜11个字符:-1-1.tx。0X1A20X0000保留0X1C40X74长文件名的第12〜13个字符:t。二步骤三:读取用户文件夹“7任务1”这个子目录下目录项的主要参数根据表7-2和表7-3,对应读取该目录项主要参数,制成该目录项主要参数表,如表7-7、表7-8所示。利用Winhex读取数据区用户文件(夹)目录项主要参数表7-8文件“7任务1-1-1.txt”短文件名目录项的主要参数表偏移长度值短文件目录项内容0X0080X317E31F1CECEC837主文件(夹)名:7任务1〜10X0830X545854扩展名:TXT0X0B10X20属性:20(文档)0X0C10X00子目录名大小写:OO(大写)0X1420X00文件(夹)开始簇号的高16位:00X1A20X16文件(夹)开始簇号的低16位:22簇0X1C40X21文件实际大小,33字节二步骤三:读取用户文件夹“7任务1”这个子目录下目录项的主要参数②读取文件“7任务1-1-1.png”目录项的主要参数。单击用户文件夹“7任务1”,偏移0X40〜X07F为文件“7任务1-1-1.png”的目录项,长文件名占2个目录项。如图7-4所示。利用Winhex读取数据区用户文件(夹)目录项主要参数图7-4Winex编辑窗口信息(文件“7任务1-1-1.png”目录项)图二步骤三:读取用户文件夹“7任务1”这个子目录下目录项的主要参数根据表7-2、表7-3,对应读取该目录项主要参数,制成该目录项主要参数表,如表7-9、表7-10所示。利用Winhex读取数据区用户文件(夹)目录项主要参数表7-9文件“7任务1-1-1.png”长文件名目录项参数表偏移长度值长文件名目录项内容0X0010X41长文件名序列号:65。0X01100X002D003152A14EFB0037长文件名的第1〜5个字符:7任务1-。0X0B10X0F长文件名目录项标志:0X0F。0X0C10X00系统保留0X0D10XAB校验值和。0X0E120X006E0070002E0031002D0031长文件名的第6〜11个字符:-1-1.pn。0X1A20X0000保留0X1C40X67长文件名的第12〜13个字符:g。二步骤三:读取用户文件夹“7任务1”这个子目录下目录项的主要参数根据表7-2、表7-3,对应读取该目录项主要参数,制成该目录项主要参数表,如表7-9、表7-10所示。利用Winhex读取数据区用户文件(夹)目录项主要参数表7-10文件“7任务1-1-1.png”短文件名目录项参数表偏移长度值短文件目录项内容0X0080X317E31F1CECEC837主文件(夹)名:7任务1〜10X0830X474E50扩展名:PNG0X0B10X20属性:20(文档)0X0C10X00子目录名大小写:OO(大写)0X1420X00文件(夹)开始簇号的高16位:00X1A20X06文件(夹)开始簇号的低16位:6簇0X1C40X1E449文件实际大小,123977字节感谢观看THANKSFORWATCHING子任务2利用WinHex恢复FAT32文件系统任务1FAT32文件系统恢复项目7文件系统恢复01用Winhex恢复受破坏FAT表02用Winhex恢复受破坏FAT32数据区用户目录项目录contents用Winhex恢复受破坏FAT表01任务实施2(一)用Winhex恢复受破坏FAT表(被清零)(共有3个步骤)步骤一:附加虚拟磁盘,运行Winhex并打开它步骤二:确定FAT32文件系统受破坏步骤三:恢复FAT32文件系统一步骤一:附加虚拟磁盘,运行Winhex并打开它在素材文件夹中,双击“7任务1-2-1.vhd”,然后运行Winhex,打开“HD1”,界面显示该硬盘信息,此虚拟磁盘共分有1个主分区(FAT32分区)。用Winhex恢复受破坏FAT表步骤二:确定FAT32文件系统受破坏进入在分区1,分别点开FAT1、FAT2表,发现它俩偏移0X03〜07有数据“0X7FFFFFFF”,其它都有为0,说明FAT表被破坏了。一步骤三:恢复FAT32文件系统1.确定各目录项参数分别读取“根目录”、“systemVolumeInformation”、“7任务1”、“$RECYCLE.BIN”四个文件及其管理的目录项数据,得出各自的起始簇及大小,然后根据DBR的BPB的每簇扇区数为16,就可以计算出起始扇区及大小(扇区数)用Winhex恢复受破坏FAT表2.推算FAT1表项值,并把它填入FAT1表项推算出各文件所占的表项号、簇数及对应的表项值,填入FAT1表项表,如表7-11所示。表7-11FAT1表项表表项值起始簇大小(扇区)表项数表项内容00号0X0FFFFFF800号01FAT表标志表项01号0XFFFFFFFF01号01系统保留表项02号0X0FFFFFFF02号01目录表项03号0X0FFFFFFF03号01文件只一个表项04号0X0FFFFFFF04号01文件只一个表项05号0X0FFFFFFF05号01文件只一个表项06〜20号0X07〜1506〜20号123,97716文件存储指向7〜20号表项21号0X0FFFFFFF21号文件结束项22号0X0FFFFFFF22号331文件只一个表项23号0X0FFFFFFF23号01文件只一个表项24号0X0FFFFFFF24号1291文件只一个表项25号0X0FFFFFFF25号01文件只一个表项

一步骤三:恢复FAT32文件系统根据表7-11,填入FAT1的各个表项,如图7-7所示。用Winhex恢复受破坏FAT表图7-7Winhex编辑窗口信息(FAT1表)图3.把FAT1复制到FAT2表把FAT1表复制到FAT2表,最后进行保存和磁盘快照。恢复受破坏FAT表(被清零)的操作完成。用Winhex恢复受破坏FAT32数据区用户目录项02用Winhex恢复受破坏FAT32数据区用户目录项二、用Winhex恢复受破坏FAT32数据区用户目录项(共有3个步骤)步骤一:附加虚拟磁盘,运行Winhex并打开它步骤二:确定FAT32文件系统受破坏步骤三:恢复FAT32文件系统二步骤二:确定FAT32文件系统受破坏进入在分区1,点击根目录,发现用户目录项为0,用资源管理器打开本分区,根目录下没有文件(夹),说明用户目录项被破坏了。如图7-8所示。用Winhex恢复受破坏FAT32数据区用户目录项图7-8Winhex编辑窗口信息(被“清零”的用户目录项)图二步骤三:恢复FAT32文件系统1.确定非用户文件(夹)占的簇号从DBR的BPB参数表得知“根目录”分配2号表项,“systemVolumeInformation”子目录项中得知其占3-4、25号表项,“$RECYCLE.BIN”子目录项中可知其占23-24号表项。具体读数流程可参考“子任务1”。用Winhex恢复受破坏FAT32数据区用户目录项二步骤三:恢复FAT32文件系统2.推算用户文件目录项参数推算出用户文件(夹)所占的簇号为5-22,跳转至5号簇,发现用户子目录项,且有两个文件,经推算,第1个文件占6-21号簇,第2个文件占22号簇,因此,被破坏的是用户文件夹,不是文件,把数据填入用户文件目录项参数表,如表7-12所示。用Winhex恢复受破坏FAT32数据区用户目录项表7-12用户文件目录项参数表偏移长度值短文件目录项内容0X0080X202031F1CEC837主文件(夹)名:7任务1(重新命名)0X0830X202020扩展名:空0X0B10X10属性:10H(子目录)0X0C10X00子目录名大小写:OOH(大写)0X1420X00文件(夹)开始簇号的高16位:0簇0X1A20X05文件(夹)开始簇号的低16位:5簇0X1C40X00文件实际大小,0字节二步骤三:恢复FAT32文件系统3.把用户文件目录参数填入用户文件目录项根据表7-12,把用户文件目录参数填入根目录下用户文件目录项,如图7-9所示。用Winhex恢复受破坏FAT32数据区用户目录项图7-9Winhex编辑窗口信息(修复后用户文件的目录项)图感谢观看THANKSFORWATCHING子任务1利用WinHex读取FAT32文件系统参数任务2NTFS文件系统恢复项目7文件系统恢复01利用Winhex读取$MFT参数02利用Winhex读取$Root参数目录contents03利用Winhex读取数据区主要参数利用Winhex读取$MFT参数01任务实施1(一)利用Winhex读取$MFT参数(共有2个步骤)步骤一:附加虚拟磁盘,运行Winhex并打开它步骤二:读取和记录$MFT参数一步骤一:附加虚拟磁盘,运行Winhex并打开它在素材文件夹中,双击“7任务2-1-1.vhd”,然后运行Winhex,打开“HD1”,界面显示该硬盘信息,此虚拟磁盘共分有1个主分区点开分区1(NTFS分区)。利用Winhex读取$MFT参数一步骤二:读取和记录$MFT参数点开$MFT元文件,第一个记录(0号记录)就是本身文件记录。如图7-10所示。利用Winhex读取$MFT参数图7-10Winhex编辑窗口信息($MFT的0号文件记录表)图一步骤二:读取和记录$MFT参数1.读取0号文件记录头参数根据表7-13(文件记录头参数表),对应读取0号文件记录头,得其参数,如表7-17所示。利用Winhex读取$MFT参数表7-170号文件记录头参数表偏移长度值记录内容0X0040X454C4946MFT标志,一定为字符串“FILE"0X0420X30更新序列号的偏移0X300X0620X03更新序列号的大小与数组,包括第一个字节0X0880X2004BF2日志文件序列号($LogFileSequenceNumber,LSN)0X1020X01序列号(SequenceNumber)0X1220X01有1个目录指向该文件0X1420X38第一个属性的偏移地址0X380X1620X013H表示记录正在使用0X1840X1A0文件记录的实际长度为416字节0X1C40X400总共分配给记录的长度为1KB0X2080X00基本文件记录中的文件索引号0X2820X04下一属性ID(4号属性)0X2A20X00边界,WindowsXP中为偏移0x30处0X2C40X00WindowsXP中使用,MFT记录编号为0(从0号开始)0X3020X0600更新系列号一步骤二:读取和记录$MFT参数2.读取0号文件记录0X80属性参数根据表7-14(0X80属性参数表),对应读取0号文件记录0X80属性参数,得其参数,如表7-18所示。利用Winhex读取$MFT参数表7-180号文件记录0X80属性参数表偏移长度值0X80非常驻没有属性名属性内容0X10040X800X80属性0X10440X48属性头长度(单位:72字节)0X10810X01常驻与非常驻标志,此处为01,表示非常驻0X10910X00文件名长度(00表示没有属性名),此处为00,表示未命名,即无属性名0X10A20X40名称偏移值(没有属性名),此处为0X400X10C20X00压缩、加密、稀疏标志:0001H表示该属性是被压缩的;4000H表示该属性是被加密的;8000H表示该属性是稀疏的0X10E20X02属性ID标识(2号属性)0X11080X00开始VCN,此处为000X11880X3F结束VCN,此处为630X12020X40数据运行列表偏移地址0X400X12220X00压缩单位大小(2x簇,如果为0表示未压缩)0X12440X00填充0X12880X040000系统分配给文件的空间大小(单位:262,144字节)0X13080X040000数据流的实际大小,即文件的实际大小(单位:262144字节)0X13880X040000数据流已初始化大小,即文件压缩后的大小(单位:262144字节)0X140H+L+10X31/0X40/0X0C0000数据流占本卷的起始簇号786432,数据流占本卷的总簇数为64簇利用Winhex读取$Root参数02利用Winhex读取$Root参数二、利用Winhex读取$Root参数(共有2个步骤)步骤一:跳转到5号文件记录步骤二:读取和记录5号文件记录参数二步骤一:跳转到5号文件记录在0号文件记录,继续向后移10个扇区,就到5号文件记录($Root根目录文件目录)。如图7-11所示。利用Winhex读取$Root参数图7-11Winhex编辑窗口信息($MFT的5号文件记录表)图二步骤二:读取和记录5号文件记录参数1.5号文件记录头参数根据表7-13表(文件记录头参数表),对应读取5号文件记录头,得其参数,如表7-19所示。利用Winhex读取$Root参数表7-195号文件记录头参数表偏移长度值记录内容0X0040X454C4946MFT标志,一定为字符串“FILE"0X0420X30更新序列号的偏移0X300X0620X03更新序列号的大小与数组,包括第一个字节0X0880X050055E1日志文件序列号($LogFileSequenceNumber,LSN)0X1020X05序列号(SequenceNumber)0X1220X01有1个目录指向该文件0X1420X38第一个属性的偏移地址0X380X1620X033H表示记录正在使用0X1840X0290文件记录的实际长度为656字节0X1C40X0400总共分配给记录的长度为1KB0X2080X00基本文件记录中的文件索引号0X2820X08下一属性ID(8号属性)0X2A20X00边界,WindowsXP中为偏移0x30处0X2C40X05WindowsXP中使用,MFT记录编号(从0号开始)0X3020X0900更新系列号二步骤二:读取和记录5号文件记录参数2.5号文件记录属性参数(1)读取5号文件记录0X90属性参数根据表7-17(文件记录0X90属性参数格式表),对应读取5号文件记录0X90属性参数,得其参数,如表7-27所示。利用Winhex读取$Root参数二步骤二:读取和记录5号文件记录参数利用Winhex读取$Root参数表7-275号文件记录0X90属性参数表偏移长度值0X90属性内容结构0X55040X900X90属性属性头0X55440X58属性长度(即属性头+属性体)88字节0X55810X00总为000X55910X04属性名的名称长度4字节0X55A20X18属性名的偏移0X180X55C20X00标志(压缩、加密、稀疏)0X55E20X02属性ID标识(2号属性)0X56040X38属性体长度56字节0X56420X20属性体开始偏移0X200X56610X00索引标志为000X56710X00无意义(填充到8字节的倍数)0X56880X0030003300480024属性名为$I300X57040X30属性类型30,即为索引索引根0X57440X01校对规则0X57840X1000每个索引节点分配大小(4096字节)0X57C10X01每个索引节点所占簇数为10X57D30X00无意义(填充到8字节的倍数)0X58040X10第一个索引项的偏移0X10索引头0X58440X28索引项总的大小,40字节0X58840X28索引项的分配大小,40字节0X58C10X01标志:为大索引,有两个以上的索引节点0X58D30X00无意义(填充到8字节的倍数)0X59080X00未用索引项10X59820X18索引项的大小(相对索引项开始的偏移)0X180X59A20X00文件(夹)名字属性体大小0X59C20X03索引标志,有子节点0X59E20X00未用0X5A080X00未用二步骤二:读取和记录5号文件记录参数(2)读取5号文件记录A0属性参数根据表7-16(文件记录0X80属性参数格式表),对应读取5号文件记录A0属性参数,得其参数,如表7-28所示。利用Winhex读取$Root参数表7-285号文件记录A0属性参数表偏移长度值A0属性内容0X5A840XA0A0属性0X5AC40X50A0属性头长度为80字节0X5B010X01此处为01,即表示非常驻0X5B110X04属性名长度为4个Unicode码0X5B220X40名称偏移地址为0X400X5B420X00没有压缩、加密、稀疏0X5B620X04属性标识ID为(4号属性)0X5B880X00开始VCN为0X000X5C080X00结束VCN为0X000X5C820X48数据运行列表偏移地址为0X480X5CA20X00压缩引擎号为00X5CC40X00填充00X5D080X1000为索引文件分配的大小为4096字节0X5D880X1000实际索引文件的大小为4096字节0X5E080X1000索引文件已初始化的大小为4096字节0X5E88

属性名为$I30,即索引为文件名索引0X5F080X21/0X01/0X40E6起始簇0X40E6(16614簇,132912号扇区),总簇数为0X01(1簇)。有下划线的是高位。利用Winhex读取数据区主要参数03利用Winhex读取数据区主要参数三、利用Winhex读取数据区主要参数(共有2个步骤)步骤一:读取用户目录记录项的0X90属性参数步骤二:读取“7任务2-1-1.png”文件目录项主要参数及其内容步骤三:读取“7任务2-1-1.txt”文件目录项主要参数及其内容三步骤一:读取用户目录记录项的0X90属性参数用户目录“7任务2”在$FMT表的记录项0X90属性结构如图7-17所示。利用Winhex读取数据区主要参数图7-17Winhex编辑窗口信息(目录“7任务2”目录项的0X90属性)图三步骤二:读取“7任务2-1-1.png”文件目录项主要参数及其内容1.读取“7任务2-1-1.png”文件目录项主要参数把光标从当前记录项移到下一个记录项(或跳转至6291542号扇区),即$FMT表43号记录项,显示是43号记录项参数(“7任务2-1-1.png”的文件记录项参数),找到其0X80属性,如图7-18所示。利用Winhex读取数据区主要参数图7-18Winhex编辑窗口信息(7任务2-1-1.png文件目录项的0X80属性)图三步骤二:读取“7任务2-1-1.png”文件目录项主要参数及其内容2.读取“7任务2-1-1.png”文件内容跳转至22216号簇或(177,728扇区),在数据区显示“7任务2-1-1.png”文件的内容,如图7-19所示利用Winhex读取数据区主要参数图7-19Winhex编辑窗口信息(“7任务2-1-1.png”文件内容)图三步骤三:读取“7任务2-1-1.txt”文件目录项主要参数及其内容跳转至6291542号扇区,即$FMT表44号记录项,显示是44号记录项参数(“7任务2-1-1.txt”的文件记录项参数),找到其0X80属性,如图7-20所示。利用Winhex读取数据区主要参数图7-20Winhex编辑窗口信息(0X80属性)图感谢观看THANKSFORWATCHING子任务2利用WinHex恢复NTFS文件系统任务2NTFS文件系统恢复项目7文件系统恢复01利用NTFS自动修改功能恢复NTFS文件系统02利用Winhex手动恢复受破坏NTFS的DBR及其备份目录contents利用NTFS自动修改功能恢复NTFS文件系统01任务实施2(一)利用NTFS自动修改功能恢复NTFS文件系统(共有2个步骤)步骤一:附加虚拟磁盘,运行Winhex并打开它步骤二:确认NTFS文件系统被破坏一步骤一:附加虚拟磁盘,运行Winhex并打开它在素材文件夹中,双击“7任务2-2-1.vhd”,然后运行Winhex,打开“HD1”,界面显示该硬盘信息,此虚拟磁盘共分有1个主分区(NTFS分区)。利用NTFS自动修改功能恢复NTFS文件系统步骤二:确认NTFS文件系统被破坏1.确认DBR被破坏进入在分区1,发现没有用根目录下没有用户目录及文件,通过查找“EB52904E”发现在本卷开头及末尾扇区有DBR,说明此卷已被重新格式化了。2.确定$MFT各记录项损坏进入$MFT,发现其所有文件记录项(43项)都是系统元文件或系统文件,没有用户文件或目录。查找“46494C45”,在$MFT区域外都没找到,说明这个磁盘被同参数格式化了,用户的文件和目录记录项被“清零”,同时,用户常驻文件也被“清零”,已无法恢复,而放在数据区的用户文件只能通过文件类型扫描恢复出来了。一利用NTFS自动修改功能恢复NTFS文件系统步骤二:确认NTFS文件系统被破坏3.通过文件类型扫描分区,恢复用户文件打开Winhex“工具”主菜单,进入下拉菜单“磁盘工具”,选择点击“通过文件类型恢复”程序。弹出“依据文件头标志搜索”窗口,在“选择文件类型”栏的各类型文件前的小方框打“√”,若已知将要恢复的文件的类型了,那就只选择该文件类型,这样可提高扫描速度,“输出文件”栏,选择“/桌面/恢复文件”这个文件夹,其它栏默认,最后点击“确认”,程序进行进入扫描进程。扫描结束后,弹出扫描结果。切换到电脑桌面,打开电脑桌面“恢复文件”文件夹,发现一个已恢复了的图片文件“000002.JPG”,把”000002.JPG”改名为“7任务2-2-1.PNG”4.把桌面的“恢复文件”复制到原被损坏分区的根目录下用资源管理器,把桌面的“恢复文件”复制到原被损坏的卷的根目录下。一利用NTFS自动修改功能恢复NTFS文件系统步骤二:确认NTFS文件系统被破坏5.对原被损坏分区进行磁盘快照切换回Winhex编辑窗口,对原被损坏卷进行磁盘快照,因为,NTFS文件系统有强大的自我修复功能,在此,进行磁盘快照后,系统就会自动把资源管理器复制进来的文件(夹)管理起来。用户可正常使用本分区,原文件也恢复了,只不过,文件(夹)名字与原来不一致,还需用户自已修改为原名就可以了。利用NTFS自动修改功能恢复NTFS文件系统的操作完成。利用Winhex手动恢复受破坏NTFS的DBR及其备份02利用Winhex手动恢复受破坏NTFS的DBR及其备份二、利用Winhex手动恢复受破坏NTFS的DBR及其备份(共有2个步骤)步骤一:附加虚拟磁盘,运行Winhex并打开它步骤二:确认NTFS文件系统被破坏二步骤一:附加虚拟磁盘,运行Winhex并打开它在素材文件夹中,双击“7任务2-2-2.vhd”,然后运行Winhex,打开“HD1”,界面显示该硬盘信息,此虚拟磁盘共分有1个主分区(NTFS分区)。利用Winhex手动恢复受破坏NTFS的DBR及其备份步骤二:确认NTFS文件系统被破坏1.确认DBR是否被破坏进入在分区1,无法浏览根目录下的文件,本卷扇区0及末尾扇区都是乱码,分区的结尾标志55AAH也被修改,没发现DBR,说明DBR及备份参数全被破坏。2.确定$MFT各记录项是否被损坏当DBR的BPB参数全被破坏后,是无法直接打开$MFT和$MFTMirr,只能手工查找它俩了。点击Winhex的“查找”功能,向下查找46494C45H关键值,当查找到第一个46494C45H时,刚好在右边窗口能看到$MFT字样文本时,说明找到0号文件记录,是$MFT自身的记录,当然下一个记录是$MFTMirr自身的记录,且它俩数据正常。说明$MFT、$MFTMirr没被破坏。他俩所在的扇区号,应该是$MFT的备份$MFTMirr的前两个文件记录。二利用Winhex手动恢复受破坏NTFS的DBR及其备份步骤二:确认NTFS文件系统被破坏3.读取$MFT、$MFTMirr记录项中主要参数(1)读取$MFT自身分配到的空间大小$MFT自身分配到的空间大小,是在0X80属性里,偏移是0X128~0X12F,值40000H,大小为262144字节,512扇区(262144÷512=512)。(2)读取$MFT自身分配到的总簇数,并计算本卷设定每簇扇区数$MFT自身分配到的总簇数,是在0X80属性的数据运行表(RunList)里,偏移是0X141,值40H,大小为64簇。计算$MFT自身分配到空间的扇区数和总簇数的比值,这比值就是分区设定每簇扇区数,即:512÷64=8(扇区/簇)。(3)$MFT的起始簇号$MFT自身在分区里的起始簇,是在0X80属性的数据运行表(RunList)里,偏移是0X142~0X144,值0XC0000,大小为786432簇,6291456扇区(786432×8=6291456)。二利用Winhex手动恢复受破坏NTFS的DBR及其备份步骤二:确认NTFS文件系统被破坏3.读取$MFT、$MFTMirr记录项中主要参数(4)$MFTMirr的起始簇号$MFTMirr自身在分区里的起始簇,是在0X80属性的数据运行表(RunList)里,偏移是0X54B,值0X02,大小为2簇,16扇区(2×8=16)。二利用Winhex手动恢复受破坏NTFS的DBR及其备份步骤二:确认NTFS文件系统被破坏4.读取分区前面已用扇区数和分区实际大小跳转0扇区,MBR分区表如图8-21所示。图7-21MBR分区表图本分区的第一扇区为63号扇区(偏移0X1C6~0X1C9,值0X3F,即为63号扇区),因此,分区前面已用的扇区为0~62号扇区,共63扇区。本分区的大小为33543657扇区(偏移0X1CA~0X1CD,值0X1FFD5E9,即为33543657扇区),在DBR的BPB参数中的本分区大小为33543657-1=33543656(扇区)。二利用Winhex手动恢复受破坏NTFS的DBR及其备份步骤二:确认NTFS文件系统被破坏5.确定需DBR的主要参数1.每簇扇区数,偏移0X0D,8扇区/簇。2.分区前面已用的扇区,偏移0X1C~0X1F,63扇区。3.本卷大小,偏移0X18~0X1B,33543656扇区。4.$MFT自身在分区里的起始簇,偏移0X30~0X34,786432簇。5.$MFTMirr自身在分区里的起始簇,偏移0X38~0X3C,2簇。6.复制一个正常的DBR扇区打开一个正常磁盘,跳转到NTFS的DBR位置,选择整个DBR扇区,并复制到被破坏的DBR处。二利用Winhex手动恢复受破坏NTFS的DBR及其备份步骤二:确认NTFS文件系统被破坏7.运用数据解释器修改DBR1.光标移到偏移0X0D,在数据解释器8Bit处输入8,并回车。2.光标移到偏移0X1C~0X1F,在数据解释器32Bit处输入63,并回车。3.光标移到偏移0X28~0X2B,在数据解释器32Bit处输入33543656,并回车。4.光标移到偏移0X30~0X34,在数据解释器32Bit处输入786432,并回车。5.光标移到偏移0X38~0X3C,在数据解释器32Bit处输入2,并回车。8.恢复DBR备份复制DBR,然后跳转本分区最后一个扇区,把DBR粘贴到最后扇区上,得到DBR备份。最后进行保存和磁盘快照,然后将故障硬盘脱机后再加载,本分区得以恢复,丢失的数据得到修复。利用Winhex手动恢复受破坏NTFS的DBR及其备份的操作完成。二步骤二:读取和记录5号文件记录参数1.5号文件记录头参数根据表7-13表(文件记录头参数表),对应读取5号文件记录头,得其参数,如表7-19所示。利用Winhex读取$Root参数表7-195号文件记录头参数表偏移长度值记录内容0X0040X454C4946MFT标志,一定为字符串“FILE"0X0420X30更新序列号的偏移0X300X0620X03更新序列号的大小与数组,包括第一个字节0X0880X050055E1日志文件序列号($LogFileSequenceNumber,LSN)0X1020X05序列号(SequenceNumber)0X1220X01有1个目录指向该文件0X1420X38第一个属性的偏移地址0X380X1620X033H表示记录正在使用0X1840X0290文件记录的实际长度为656字节0X1C40X0400总共分配给记录的长度为1KB0X2080X00基本文件记录中的文件索引号0X2820X08下一属性ID(8号属性)0X2A20X00边界,WindowsXP中为偏移0x30处0X2C40X05WindowsXP中使用,MFT记录编号(从0号开始)0X3020X0900更新系列号二步骤二:读取和记录5号文件记录参数2.5号文件记录属性参数(1)读取5号文件记录0X90属性参数根据表7-17(文件记录0X90属性参数格式表),对应读取5号文件记录0X90属性参数,得其参数,如表7-27所示。利用Winhex读取$Root参数二步骤二:读取和记录5号文件记录参数利用Winhex读取$Root参数表7-275号文件记录0X90属性参数表偏移长度值0X90属性内容结构0X55040X900X90属性属性头0X55440X58属性长度(即属性头+属性体)88字节0X55810X00总为000X55910X04属性名的名称长度4字节0X55A20X18属性名的偏移0X180X55C20X00标志(压缩、加密、稀疏)0X55E20X02属性ID标识(2号属性)0X56040X38属性体长度56字节0X56420X20属性体开始偏移0X200X56610X00索引标志为000X56710X00无意义(填充到8字节的倍数)0X56880X0030003300480024属性名为$I300X57040X30属性类型30,即为索引索引根0X57440X01校对规则0X57840X1000每个索引节点分配大小(4096字节)0X57C10X01每个索引节点所占簇数为10X57D30X00无意义(填充到8字节的倍数)0X58040X10第一个索引项的偏移0X10索引头0X58440X28

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论