计算机检测维修与数据恢复（上册）课件 项目7 文件系统恢复

子任务1利用WinHex读取FAT32文件系统参数任务1FAT32文件系统恢复项目7文件系统恢复01利用Winhex读取FAT表项参数02利用Winhex读取数据区用户文件（夹）目录项主要参数目录contents利用Winhex读取FAT表项参数01任务实施1（一）利用Winhex读取FAT表项参数（共有2个步骤）步骤一：附加虚拟磁盘，运行Winhex并打开它步骤二：读取和记录FAT表项参数一步骤一：附加虚拟磁盘，运行Winhex并打开它在素材文件夹中，双击“7任务1-1-1.vhd”，然后运行Winhex，打开“HD1”，界面显示该硬盘信息，此虚拟磁盘共分有1个主分区（FAT32分区），点开分区1，再点开FAT1。如图7-1所示。利用Winhex读取FAT表项参数图7-1Winhex编辑窗口信息（FAT1表）图一步骤二：读取和记录FAT表项参数读取FAT表项参数，记录到表7-1中，得FAT1表项参数表，如表7-5所示。利用Winhex读取FAT表项参数表7-5FAT1表项的参数表表项偏移长度值项数表项内容00号0X0040X0FFFFFF81FAT表标志表项01号0X0440XFFFFFFFF1系统保留表项02号0X0840X0FFFFFFF1目录表项03号0X0C40X0FFFFFFF1文件只一个表项04号0X1040X0FFFFFFF1文件只一个表项05号0X1440X0FFFFFFF1文件只一个表项06〜20号0X18600X07〜1515文件存储指向7〜20号表项21号0X5440X0FFFFFFF1文件结束项22号0X5840X0FFFFFFF1文件只一个表项23号0X5C40X0FFFFFFF1文件只一个表项24号0X6040X0FFFFFFF1文件只一个表项25号0X6440X0FFFFFFF1文件只一个表项利用Winhex读取数据区用户文件（夹）目录项主要参数02利用Winhex读取数据区用户文件（夹）目录项主要参数二、利用Winhex读取数据区用户文件（夹）目录项主要参数（共有3个步骤）步骤一：附加虚拟磁盘，运行Winhex并打开它步骤二：读取和记录根目录下文件夹“7任务1”目录项的主要参数步骤三：读取用户文件夹“7任务1”这个子目录下目录项的主要参数二步骤一：附加虚拟磁盘，运行Winhex并打开它在素材文件夹中，双击“7任务1-1-1.vhd”，然后运行Winhex，打开“HD1”，点开分区1，发现用户文件夹“7任务1”，进一步点开此文件夹，它有2个文件“7任务1-1-1.txt”和“7任务1-1-1.png”。因此，读取的目录项有：根目录下文件夹“7任务1”的目录项、文件夹“7任务1”目录下的文件“7任务1-1-1.txt”和文件“7任务1-1-1.png”的目录项，共3个目录项。利用Winhex读取数据区用户文件（夹）目录项主要参数二步骤二：读取和记录根目录下文件夹“7任务1”目录项的主要参数单击根目录，偏移0X80〜X09F为根目录下文件夹“7任务1”的目录项。如图7-2所示。利用Winhex读取数据区用户文件（夹）目录项主要参数图7-2Winhex编辑窗口信息（文件夹“7任务1”目录项）图二步骤二：读取和记录根目录下文件夹“7任务1”目录项的主要参数根据表7-2，对应读取该目录项主要参数，制成该目录项主要参数表，如表7-6所示。利用Winhex读取数据区用户文件（夹）目录项主要参数表7-6文件夹“7任务1”目录项的主要参数表偏移长度值短文件目录项内容0X0080X202031F1CEC837主文件（夹）名:7任务10X0830X202020扩展名：空0X0B10X10属性：10(子目录)0X0C10X00子目录名大小写：OO（大写）0X1420X00文件（夹）开始簇号的高16位:0簇0X1A20X05文件（夹）开始簇号的低16位:5簇0X1C40X00文件实际大小，0字节二步骤三：读取用户文件夹“7任务1”这个子目录下目录项的主要参数①读取文件“7任务1-1-1.txt”目录项的主要参数。单击用户文件夹“7任务1”，偏移0X80〜X0BF为文件“7任务1-1-1.txt”的目录项，长文件名占2个目录项。如图7-3所示。利用Winhex读取数据区用户文件（夹）目录项主要参数图7-3Winex编辑窗口信息（文件“7任务1-1-1.txt”目录项）图二步骤三：读取用户文件夹“7任务1”这个子目录下目录项的主要参数根据表7-2和表7-3，对应读取该目录项主要参数，制成该目录项主要参数表，如表7-7、表7-8所示。利用Winhex读取数据区用户文件（夹）目录项主要参数表7-7文件“7任务1-1-1.txt”长文件名目录项参数表偏移长度值长文件名目录项内容0X0010X41长文件名序列号：65。0X01100X002D003152A14EFB0037长文件名的第1〜5个字符：7任务1-。0X0B10X0F长文件名目录项标志：0X0F。0X0C10X00系统保留0X0D10XBE校验值和。0X0E120X00780074002E0031002D0031长文件名的第6〜11个字符：-1-1.tx。0X1A20X0000保留0X1C40X74长文件名的第12〜13个字符：t。二步骤三：读取用户文件夹“7任务1”这个子目录下目录项的主要参数根据表7-2和表7-3，对应读取该目录项主要参数，制成该目录项主要参数表，如表7-7、表7-8所示。利用Winhex读取数据区用户文件（夹）目录项主要参数表7-8文件“7任务1-1-1.txt”短文件名目录项的主要参数表偏移长度值短文件目录项内容0X0080X317E31F1CECEC837主文件（夹）名:7任务1〜10X0830X545854扩展名：TXT0X0B10X20属性：20(文档)0X0C10X00子目录名大小写：OO（大写）0X1420X00文件（夹）开始簇号的高16位:00X1A20X16文件（夹）开始簇号的低16位:22簇0X1C40X21文件实际大小，33字节二步骤三：读取用户文件夹“7任务1”这个子目录下目录项的主要参数②读取文件“7任务1-1-1.png”目录项的主要参数。单击用户文件夹“7任务1”，偏移0X40〜X07F为文件“7任务1-1-1.png”的目录项，长文件名占2个目录项。如图7-4所示。利用Winhex读取数据区用户文件（夹）目录项主要参数图7-4Winex编辑窗口信息（文件“7任务1-1-1.png”目录项）图二步骤三：读取用户文件夹“7任务1”这个子目录下目录项的主要参数根据表7-2、表7-3，对应读取该目录项主要参数，制成该目录项主要参数表，如表7-9、表7-10所示。利用Winhex读取数据区用户文件（夹）目录项主要参数表7-9文件“7任务1-1-1.png”长文件名目录项参数表偏移长度值长文件名目录项内容0X0010X41长文件名序列号：65。0X01100X002D003152A14EFB0037长文件名的第1〜5个字符：7任务1-。0X0B10X0F长文件名目录项标志：0X0F。0X0C10X00系统保留0X0D10XAB校验值和。0X0E120X006E0070002E0031002D0031长文件名的第6〜11个字符：-1-1.pn。0X1A20X0000保留0X1C40X67长文件名的第12〜13个字符：g。二步骤三：读取用户文件夹“7任务1”这个子目录下目录项的主要参数根据表7-2、表7-3，对应读取该目录项主要参数，制成该目录项主要参数表，如表7-9、表7-10所示。利用Winhex读取数据区用户文件（夹）目录项主要参数表7-10文件“7任务1-1-1.png”短文件名目录项参数表偏移长度值短文件目录项内容0X0080X317E31F1CECEC837主文件（夹）名:7任务1〜10X0830X474E50扩展名：PNG0X0B10X20属性：20(文档)0X0C10X00子目录名大小写：OO（大写）0X1420X00文件（夹）开始簇号的高16位:00X1A20X06文件（夹）开始簇号的低16位:6簇0X1C40X1E449文件实际大小，123977字节感谢观看THANKSFORWATCHING子任务2利用WinHex恢复FAT32文件系统任务1FAT32文件系统恢复项目7文件系统恢复01用Winhex恢复受破坏FAT表02用Winhex恢复受破坏FAT32数据区用户目录项目录contents用Winhex恢复受破坏FAT表01任务实施2（一）用Winhex恢复受破坏FAT表（被清零）（共有3个步骤）步骤一：附加虚拟磁盘，运行Winhex并打开它步骤二：确定FAT32文件系统受破坏步骤三：恢复FAT32文件系统一步骤一：附加虚拟磁盘，运行Winhex并打开它在素材文件夹中，双击“7任务1-2-1.vhd”，然后运行Winhex，打开“HD1”，界面显示该硬盘信息，此虚拟磁盘共分有1个主分区（FAT32分区）。用Winhex恢复受破坏FAT表步骤二：确定FAT32文件系统受破坏进入在分区1，分别点开FAT1、FAT2表，发现它俩偏移0X03〜07有数据“0X7FFFFFFF”，其它都有为0，说明FAT表被破坏了。一步骤三：恢复FAT32文件系统1.确定各目录项参数分别读取“根目录”、“systemVolumeInformation”、“7任务1”、“$RECYCLE.BIN”四个文件及其管理的目录项数据，得出各自的起始簇及大小，然后根据DBR的BPB的每簇扇区数为16，就可以计算出起始扇区及大小（扇区数）用Winhex恢复受破坏FAT表2.推算FAT1表项值，并把它填入FAT1表项推算出各文件所占的表项号、簇数及对应的表项值，填入FAT1表项表，如表7-11所示。表7-11FAT1表项表表项值起始簇大小（扇区）表项数表项内容00号0X0FFFFFF800号01FAT表标志表项01号0XFFFFFFFF01号01系统保留表项02号0X0FFFFFFF02号01目录表项03号0X0FFFFFFF03号01文件只一个表项04号0X0FFFFFFF04号01文件只一个表项05号0X0FFFFFFF05号01文件只一个表项06〜20号0X07〜1506〜20号123,97716文件存储指向7〜20号表项21号0X0FFFFFFF21号文件结束项22号0X0FFFFFFF22号331文件只一个表项23号0X0FFFFFFF23号01文件只一个表项24号0X0FFFFFFF24号1291文件只一个表项25号0X0FFFFFFF25号01文件只一个表项

一步骤三：恢复FAT32文件系统根据表7-11，填入FAT1的各个表项，如图7-7所示。用Winhex恢复受破坏FAT表图7-7Winhex编辑窗口信息（FAT1表）图3.把FAT1复制到FAT2表把FAT1表复制到FAT2表,最后进行保存和磁盘快照。恢复受破坏FAT表（被清零）的操作完成。用Winhex恢复受破坏FAT32数据区用户目录项02用Winhex恢复受破坏FAT32数据区用户目录项二、用Winhex恢复受破坏FAT32数据区用户目录项（共有3个步骤）步骤一：附加虚拟磁盘，运行Winhex并打开它步骤二：确定FAT32文件系统受破坏步骤三：恢复FAT32文件系统二步骤二：确定FAT32文件系统受破坏进入在分区1，点击根目录，发现用户目录项为0，用资源管理器打开本分区，根目录下没有文件（夹），说明用户目录项被破坏了。如图7-8所示。用Winhex恢复受破坏FAT32数据区用户目录项图7-8Winhex编辑窗口信息（被“清零”的用户目录项）图二步骤三：恢复FAT32文件系统1.确定非用户文件（夹）占的簇号从DBR的BPB参数表得知“根目录”分配2号表项，“systemVolumeInformation”子目录项中得知其占3-4、25号表项，“$RECYCLE.BIN”子目录项中可知其占23-24号表项。具体读数流程可参考“子任务1”。用Winhex恢复受破坏FAT32数据区用户目录项二步骤三：恢复FAT32文件系统2.推算用户文件目录项参数推算出用户文件（夹）所占的簇号为5-22，跳转至5号簇，发现用户子目录项，且有两个文件，经推算，第1个文件占6-21号簇，第2个文件占22号簇，因此，被破坏的是用户文件夹，不是文件，把数据填入用户文件目录项参数表，如表7-12所示。用Winhex恢复受破坏FAT32数据区用户目录项表7-12用户文件目录项参数表偏移长度值短文件目录项内容0X0080X202031F1CEC837主文件（夹）名:7任务1（重新命名）0X0830X202020扩展名：空0X0B10X10属性：10H(子目录)0X0C10X00子目录名大小写：OOH（大写）0X1420X00文件（夹）开始簇号的高16位:0簇0X1A20X05文件（夹）开始簇号的低16位:5簇0X1C40X00文件实际大小，0字节二步骤三：恢复FAT32文件系统3.把用户文件目录参数填入用户文件目录项根据表7-12，把用户文件目录参数填入根目录下用户文件目录项，如图7-9所示。用Winhex恢复受破坏FAT32数据区用户目录项图7-9Winhex编辑窗口信息（修复后用户文件的目录项）图感谢观看THANKSFORWATCHING子任务1利用WinHex读取FAT32文件系统参数任务2NTFS文件系统恢复项目7文件系统恢复01利用Winhex读取$MFT参数02利用Winhex读取$Root参数目录contents03利用Winhex读取数据区主要参数利用Winhex读取$MFT参数01任务实施1（一）利用Winhex读取$MFT参数（共有2个步骤）步骤一：附加虚拟磁盘，运行Winhex并打开它步骤二：读取和记录$MFT参数一步骤一：附加虚拟磁盘，运行Winhex并打开它在素材文件夹中，双击“7任务2-1-1.vhd”，然后运行Winhex，打开“HD1”，界面显示该硬盘信息，此虚拟磁盘共分有1个主分区点开分区1（NTFS分区）。利用Winhex读取$MFT参数一步骤二：读取和记录$MFT参数点开$MFT元文件，第一个记录（0号记录）就是本身文件记录。如图7-10所示。利用Winhex读取$MFT参数图7-10Winhex编辑窗口信息（$MFT的0号文件记录表）图一步骤二：读取和记录$MFT参数1.读取0号文件记录头参数根据表7-13（文件记录头参数表），对应读取0号文件记录头，得其参数，如表7-17所示。利用Winhex读取$MFT参数表7-170号文件记录头参数表偏移长度值记录内容0X0040X454C4946MFT标志，一定为字符串“FILE"0X0420X30更新序列号的偏移0X300X0620X03更新序列号的大小与数组，包括第一个字节0X0880X2004BF2日志文件序列号（$LogFileSequenceNumber,LSN)0X1020X01序列号（SequenceNumber）0X1220X01有1个目录指向该文件0X1420X38第一个属性的偏移地址0X380X1620X013H表示记录正在使用0X1840X1A0文件记录的实际长度为416字节0X1C40X400总共分配给记录的长度为1KB0X2080X00基本文件记录中的文件索引号0X2820X04下一属性ID（4号属性）0X2A20X00边界，WindowsXP中为偏移0x30处0X2C40X00WindowsXP中使用，MFT记录编号为0（从0号开始）0X3020X0600更新系列号一步骤二：读取和记录$MFT参数2.读取0号文件记录0X80属性参数根据表7-14（0X80属性参数表），对应读取0号文件记录0X80属性参数，得其参数，如表7-18所示。利用Winhex读取$MFT参数表7-180号文件记录0X80属性参数表偏移长度值0X80非常驻没有属性名属性内容0X10040X800X80属性0X10440X48属性头长度（单位：72字节）0X10810X01常驻与非常驻标志，此处为01,表示非常驻0X10910X00文件名长度（00表示没有属性名），此处为00,表示未命名，即无属性名0X10A20X40名称偏移值（没有属性名），此处为0X400X10C20X00压缩、加密、稀疏标志：0001H表示该属性是被压缩的；4000H表示该属性是被加密的；8000H表示该属性是稀疏的0X10E20X02属性ID标识(2号属性）0X11080X00开始VCN，此处为000X11880X3F结束VCN，此处为630X12020X40数据运行列表偏移地址0X400X12220X00压缩单位大小（2x簇，如果为0表示未压缩）0X12440X00填充0X12880X040000系统分配给文件的空间大小（单位：262,144字节）0X13080X040000数据流的实际大小，即文件的实际大小（单位：262144字节）0X13880X040000数据流已初始化大小，即文件压缩后的大小（单位：262144字节）0X140H+L+10X31/0X40/0X0C0000数据流占本卷的起始簇号786432，数据流占本卷的总簇数为64簇利用Winhex读取$Root参数02利用Winhex读取$Root参数二、利用Winhex读取$Root参数（共有2个步骤）步骤一：跳转到5号文件记录步骤二：读取和记录5号文件记录参数二步骤一：跳转到5号文件记录在0号文件记录，继续向后移10个扇区，就到5号文件记录（$Root根目录文件目录）。如图7-11所示。利用Winhex读取$Root参数图7-11Winhex编辑窗口信息（$MFT的5号文件记录表）图二步骤二：读取和记录5号文件记录参数1.5号文件记录头参数根据表7-13表（文件记录头参数表），对应读取5号文件记录头，得其参数，如表7-19所示。利用Winhex读取$Root参数表7-195号文件记录头参数表偏移长度值记录内容0X0040X454C4946MFT标志，一定为字符串“FILE"0X0420X30更新序列号的偏移0X300X0620X03更新序列号的大小与数组，包括第一个字节0X0880X050055E1日志文件序列号（$LogFileSequenceNumber,LSN)0X1020X05序列号（SequenceNumber）0X1220X01有1个目录指向该文件0X1420X38第一个属性的偏移地址0X380X1620X033H表示记录正在使用0X1840X0290文件记录的实际长度为656字节0X1C40X0400总共分配给记录的长度为1KB0X2080X00基本文件记录中的文件索引号0X2820X08下一属性ID（8号属性）0X2A20X00边界，WindowsXP中为偏移0x30处0X2C40X05WindowsXP中使用，MFT记录编号（从0号开始）0X3020X0900更新系列号二步骤二：读取和记录5号文件记录参数2.5号文件记录属性参数（1）读取5号文件记录0X90属性参数根据表7-17（文件记录0X90属性参数格式表），对应读取5号文件记录0X90属性参数，得其参数，如表7-27所示。利用Winhex读取$Root参数二步骤二：读取和记录5号文件记录参数利用Winhex读取$Root参数表7-275号文件记录0X90属性参数表偏移长度值0X90属性内容结构0X55040X900X90属性属性头0X55440X58属性长度（即属性头+属性体）88字节0X55810X00总为000X55910X04属性名的名称长度4字节0X55A20X18属性名的偏移0X180X55C20X00标志（压缩、加密、稀疏）0X55E20X02属性ID标识（2号属性）0X56040X38属性体长度56字节0X56420X20属性体开始偏移0X200X56610X00索引标志为000X56710X00无意义（填充到8字节的倍数）0X56880X0030003300480024属性名为$I300X57040X30属性类型30,即为索引索引根0X57440X01校对规则0X57840X1000每个索引节点分配大小（4096字节）0X57C10X01每个索引节点所占簇数为10X57D30X00无意义（填充到8字节的倍数）0X58040X10第一个索引项的偏移0X10索引头0X58440X28索引项总的大小，40字节0X58840X28索引项的分配大小，40字节0X58C10X01标志：为大索引，有两个以上的索引节点0X58D30X00无意义（填充到8字节的倍数）0X59080X00未用索引项10X59820X18索引项的大小（相对索引项开始的偏移）0X180X59A20X00文件（夹）名字属性体大小0X59C20X03索引标志，有子节点0X59E20X00未用0X5A080X00未用二步骤二：读取和记录5号文件记录参数（2）读取5号文件记录A0属性参数根据表7-16（文件记录0X80属性参数格式表），对应读取5号文件记录A0属性参数，得其参数，如表7-28所示。利用Winhex读取$Root参数表7-285号文件记录A0属性参数表偏移长度值A0属性内容0X5A840XA0A0属性0X5AC40X50A0属性头长度为80字节0X5B010X01此处为01,即表示非常驻0X5B110X04属性名长度为4个Unicode码0X5B220X40名称偏移地址为0X400X5B420X00没有压缩、加密、稀疏0X5B620X04属性标识ID为（4号属性）0X5B880X00开始VCN为0X000X5C080X00结束VCN为0X000X5C820X48数据运行列表偏移地址为0X480X5CA20X00压缩引擎号为00X5CC40X00填充00X5D080X1000为索引文件分配的大小为4096字节0X5D880X1000实际索引文件的大小为4096字节0X5E080X1000索引文件已初始化的大小为4096字节0X5E88

属性名为$I30,即索引为文件名索引0X5F080X21/0X01/0X40E6起始簇0X40E6(16614簇，132912号扇区），总簇数为0X01(1簇)。有下划线的是高位。利用Winhex读取数据区主要参数03利用Winhex读取数据区主要参数三、利用Winhex读取数据区主要参数（共有2个步骤）步骤一：读取用户目录记录项的0X90属性参数步骤二：读取“7任务2-1-1.png”文件目录项主要参数及其内容步骤三：读取“7任务2-1-1.txt”文件目录项主要参数及其内容三步骤一：读取用户目录记录项的0X90属性参数用户目录“7任务2”在$FMT表的记录项0X90属性结构如图7-17所示。利用Winhex读取数据区主要参数图7-17Winhex编辑窗口信息（目录“7任务2”目录项的0X90属性）图三步骤二：读取“7任务2-1-1.png”文件目录项主要参数及其内容1.读取“7任务2-1-1.png”文件目录项主要参数把光标从当前记录项移到下一个记录项（或跳转至6291542号扇区），即$FMT表43号记录项，显示是43号记录项参数（“7任务2-1-1.png”的文件记录项参数），找到其0X80属性，如图7-18所示。利用Winhex读取数据区主要参数图7-18Winhex编辑窗口信息（7任务2-1-1.png文件目录项的0X80属性）图三步骤二：读取“7任务2-1-1.png”文件目录项主要参数及其内容2.读取“7任务2-1-1.png”文件内容跳转至22216号簇或（177,728扇区），在数据区显示“7任务2-1-1.png”文件的内容，如图7-19所示利用Winhex读取数据区主要参数图7-19Winhex编辑窗口信息（“7任务2-1-1.png”文件内容）图三步骤三：读取“7任务2-1-1.txt”文件目录项主要参数及其内容跳转至6291542号扇区，即$FMT表44号记录项，显示是44号记录项参数（“7任务2-1-1.txt”的文件记录项参数），找到其0X80属性，如图7-20所示。利用Winhex读取数据区主要参数图7-20Winhex编辑窗口信息（0X80属性）图感谢观看THANKSFORWATCHING子任务2利用WinHex恢复NTFS文件系统任务2NTFS文件系统恢复项目7文件系统恢复01利用NTFS自动修改功能恢复NTFS文件系统02利用Winhex手动恢复受破坏NTFS的DBR及其备份目录contents利用NTFS自动修改功能恢复NTFS文件系统01任务实施2（一）利用NTFS自动修改功能恢复NTFS文件系统（共有2个步骤）步骤一：附加虚拟磁盘，运行Winhex并打开它步骤二：确认NTFS文件系统被破坏一步骤一：附加虚拟磁盘，运行Winhex并打开它在素材文件夹中，双击“7任务2-2-1.vhd”，然后运行Winhex，打开“HD1”，界面显示该硬盘信息，此虚拟磁盘共分有1个主分区（NTFS分区）。利用NTFS自动修改功能恢复NTFS文件系统步骤二：确认NTFS文件系统被破坏1.确认DBR被破坏进入在分区1，发现没有用根目录下没有用户目录及文件，通过查找“EB52904E”发现在本卷开头及末尾扇区有DBR，说明此卷已被重新格式化了。2.确定$MFT各记录项损坏进入$MFT，发现其所有文件记录项（43项）都是系统元文件或系统文件，没有用户文件或目录。查找“46494C45”，在$MFT区域外都没找到，说明这个磁盘被同参数格式化了，用户的文件和目录记录项被“清零”，同时，用户常驻文件也被“清零”，已无法恢复，而放在数据区的用户文件只能通过文件类型扫描恢复出来了。一利用NTFS自动修改功能恢复NTFS文件系统步骤二：确认NTFS文件系统被破坏3.通过文件类型扫描分区，恢复用户文件打开Winhex“工具”主菜单，进入下拉菜单“磁盘工具”，选择点击“通过文件类型恢复”程序。弹出“依据文件头标志搜索”窗口，在“选择文件类型”栏的各类型文件前的小方框打“√”，若已知将要恢复的文件的类型了，那就只选择该文件类型，这样可提高扫描速度，“输出文件”栏，选择“/桌面/恢复文件”这个文件夹，其它栏默认，最后点击“确认”，程序进行进入扫描进程。扫描结束后，弹出扫描结果。切换到电脑桌面，打开电脑桌面“恢复文件”文件夹，发现一个已恢复了的图片文件“000002.JPG”，把”000002.JPG”改名为“7任务2-2-1.PNG”4.把桌面的“恢复文件”复制到原被损坏分区的根目录下用资源管理器，把桌面的“恢复文件”复制到原被损坏的卷的根目录下。一利用NTFS自动修改功能恢复NTFS文件系统步骤二：确认NTFS文件系统被破坏5.对原被损坏分区进行磁盘快照切换回Winhex编辑窗口，对原被损坏卷进行磁盘快照，因为，NTFS文件系统有强大的自我修复功能，在此，进行磁盘快照后，系统就会自动把资源管理器复制进来的文件（夹）管理起来。用户可正常使用本分区，原文件也恢复了，只不过，文件（夹）名字与原来不一致，还需用户自已修改为原名就可以了。利用NTFS自动修改功能恢复NTFS文件系统的操作完成。利用Winhex手动恢复受破坏NTFS的DBR及其备份02利用Winhex手动恢复受破坏NTFS的DBR及其备份二、利用Winhex手动恢复受破坏NTFS的DBR及其备份（共有2个步骤）步骤一：附加虚拟磁盘，运行Winhex并打开它步骤二：确认NTFS文件系统被破坏二步骤一：附加虚拟磁盘，运行Winhex并打开它在素材文件夹中，双击“7任务2-2-2.vhd”，然后运行Winhex，打开“HD1”，界面显示该硬盘信息，此虚拟磁盘共分有1个主分区（NTFS分区）。利用Winhex手动恢复受破坏NTFS的DBR及其备份步骤二：确认NTFS文件系统被破坏1.确认DBR是否被破坏进入在分区1，无法浏览根目录下的文件，本卷扇区0及末尾扇区都是乱码，分区的结尾标志55AAH也被修改，没发现DBR，说明DBR及备份参数全被破坏。2.确定$MFT各记录项是否被损坏当DBR的BPB参数全被破坏后，是无法直接打开$MFT和$MFTMirr，只能手工查找它俩了。点击Winhex的“查找”功能，向下查找46494C45H关键值，当查找到第一个46494C45H时，刚好在右边窗口能看到$MFT字样文本时，说明找到0号文件记录，是$MFT自身的记录，当然下一个记录是$MFTMirr自身的记录，且它俩数据正常。说明$MFT、$MFTMirr没被破坏。他俩所在的扇区号，应该是$MFT的备份$MFTMirr的前两个文件记录。二利用Winhex手动恢复受破坏NTFS的DBR及其备份步骤二：确认NTFS文件系统被破坏3.读取$MFT、$MFTMirr记录项中主要参数（1）读取$MFT自身分配到的空间大小$MFT自身分配到的空间大小，是在0X80属性里，偏移是0X128～0X12F，值40000H，大小为262144字节，512扇区（262144÷512=512）。（2）读取$MFT自身分配到的总簇数，并计算本卷设定每簇扇区数$MFT自身分配到的总簇数，是在0X80属性的数据运行表（RunList）里，偏移是0X141，值40H，大小为64簇。计算$MFT自身分配到空间的扇区数和总簇数的比值，这比值就是分区设定每簇扇区数，即：512÷64=8(扇区/簇）。（3）$MFT的起始簇号$MFT自身在分区里的起始簇，是在0X80属性的数据运行表（RunList）里，偏移是0X142～0X144，值0XC0000，大小为786432簇，6291456扇区（786432×8=6291456）。二利用Winhex手动恢复受破坏NTFS的DBR及其备份步骤二：确认NTFS文件系统被破坏3.读取$MFT、$MFTMirr记录项中主要参数（4）$MFTMirr的起始簇号$MFTMirr自身在分区里的起始簇，是在0X80属性的数据运行表（RunList）里，偏移是0X54B，值0X02，大小为2簇，16扇区（2×8=16）。二利用Winhex手动恢复受破坏NTFS的DBR及其备份步骤二：确认NTFS文件系统被破坏4.读取分区前面已用扇区数和分区实际大小跳转0扇区，MBR分区表如图8-21所示。图7-21MBR分区表图本分区的第一扇区为63号扇区（偏移0X1C6～0X1C9，值0X3F,即为63号扇区），因此，分区前面已用的扇区为0～62号扇区，共63扇区。本分区的大小为33543657扇区（偏移0X1CA～0X1CD,值0X1FFD5E9，即为33543657扇区）,在DBR的BPB参数中的本分区大小为33543657-1=33543656（扇区）。二利用Winhex手动恢复受破坏NTFS的DBR及其备份步骤二：确认NTFS文件系统被破坏5.确定需DBR的主要参数1.每簇扇区数，偏移0X0D，8扇区/簇。2.分区前面已用的扇区，偏移0X1C～0X1F，63扇区。3.本卷大小，偏移0X18～0X1B，33543656扇区。4.$MFT自身在分区里的起始簇，偏移0X30～0X34，786432簇。5.$MFTMirr自身在分区里的起始簇，偏移0X38～0X3C，2簇。6.复制一个正常的DBR扇区打开一个正常磁盘，跳转到NTFS的DBR位置，选择整个DBR扇区，并复制到被破坏的DBR处。二利用Winhex手动恢复受破坏NTFS的DBR及其备份步骤二：确认NTFS文件系统被破坏7.运用数据解释器修改DBR1.光标移到偏移0X0D，在数据解释器8Bit处输入8，并回车。2.光标移到偏移0X1C～0X1F，在数据解释器32Bit处输入63，并回车。3.光标移到偏移0X28～0X2B，在数据解释器32Bit处输入33543656，并回车。4.光标移到偏移0X30～0X34，在数据解释器32Bit处输入786432，并回车。5.光标移到偏移0X38～0X3C，在数据解释器32Bit处输入2，并回车。8.恢复DBR备份复制DBR,然后跳转本分区最后一个扇区，把DBR粘贴到最后扇区上，得到DBR备份。最后进行保存和磁盘快照，然后将故障硬盘脱机后再加载，本分区得以恢复，丢失的数据得到修复。利用Winhex手动恢复受破坏NTFS的DBR及其备份的操作完成。二步骤二：读取和记录5号文件记录参数1.5号文件记录头参数根据表7-13表（文件记录头参数表），对应读取5号文件记录头，得其参数，如表7-19所示。利用Winhex读取$Root参数表7-195号文件记录头参数表偏移长度值记录内容0X0040X454C4946MFT标志，一定为字符串“FILE"0X0420X30更新序列号的偏移0X300X0620X03更新序列号的大小与数组，包括第一个字节0X0880X050055E1日志文件序列号（$LogFileSequenceNumber,LSN)0X1020X05序列号（SequenceNumber）0X1220X01有1个目录指向该文件0X1420X38第一个属性的偏移地址0X380X1620X033H表示记录正在使用0X1840X0290文件记录的实际长度为656字节0X1C40X0400总共分配给记录的长度为1KB0X2080X00基本文件记录中的文件索引号0X2820X08下一属性ID（8号属性）0X2A20X00边界，WindowsXP中为偏移0x30处0X2C40X05WindowsXP中使用，MFT记录编号（从0号开始）0X3020X0900更新系列号二步骤二：读取和记录5号文件记录参数2.5号文件记录属性参数（1）读取5号文件记录0X90属性参数根据表7-17（文件记录0X90属性参数格式表），对应读取5号文件记录0X90属性参数，得其参数，如表7-27所示。利用Winhex读取$Root参数二步骤二：读取和记录5号文件记录参数利用Winhex读取$Root参数表7-275号文件记录0X90属性参数表偏移长度值0X90属性内容结构0X55040X900X90属性属性头0X55440X58属性长度（即属性头+属性体）88字节0X55810X00总为000X55910X04属性名的名称长度4字节0X55A20X18属性名的偏移0X180X55C20X00标志（压缩、加密、稀疏）0X55E20X02属性ID标识（2号属性）0X56040X38属性体长度56字节0X56420X20属性体开始偏移0X200X56610X00索引标志为000X56710X00无意义（填充到8字节的倍数）0X56880X0030003300480024属性名为$I300X57040X30属性类型30,即为索引索引根0X57440X01校对规则0X57840X1000每个索引节点分配大小（4096字节）0X57C10X01每个索引节点所占簇数为10X57D30X00无意义（填充到8字节的倍数）0X58040X10第一个索引项的偏移0X10索引头0X58440X28