计算机检测维修与数据恢复（上册）课件 子任务1 利用WinHex读取NTFS文件系统参数

子任务1利用WinHex读取FAT32文件系统参数任务2NTFS文件系统恢复项目7文件系统恢复01利用Winhex读取$MFT参数02利用Winhex读取$Root参数目录contents03利用Winhex读取数据区主要参数利用Winhex读取$MFT参数01任务实施1（一）利用Winhex读取$MFT参数（共有2个步骤）步骤一：附加虚拟磁盘，运行Winhex并打开它步骤二：读取和记录$MFT参数一步骤一：附加虚拟磁盘，运行Winhex并打开它在素材文件夹中，双击“7任务2-1-1.vhd”，然后运行Winhex，打开“HD1”，界面显示该硬盘信息，此虚拟磁盘共分有1个主分区点开分区1（NTFS分区）。利用Winhex读取$MFT参数一步骤二：读取和记录$MFT参数点开$MFT元文件，第一个记录（0号记录）就是本身文件记录。如图7-10所示。利用Winhex读取$MFT参数图7-10Winhex编辑窗口信息（$MFT的0号文件记录表）图一步骤二：读取和记录$MFT参数1.读取0号文件记录头参数根据表7-13（文件记录头参数表），对应读取0号文件记录头，得其参数，如表7-17所示。利用Winhex读取$MFT参数表7-170号文件记录头参数表偏移长度值记录内容0X0040X454C4946MFT标志，一定为字符串“FILE"0X0420X30更新序列号的偏移0X300X0620X03更新序列号的大小与数组，包括第一个字节0X0880X2004BF2日志文件序列号（$LogFileSequenceNumber,LSN)0X1020X01序列号（SequenceNumber）0X1220X01有1个目录指向该文件0X1420X38第一个属性的偏移地址0X380X1620X013H表示记录正在使用0X1840X1A0文件记录的实际长度为416字节0X1C40X400总共分配给记录的长度为1KB0X2080X00基本文件记录中的文件索引号0X2820X04下一属性ID（4号属性）0X2A20X00边界，WindowsXP中为偏移0x30处0X2C40X00WindowsXP中使用，MFT记录编号为0（从0号开始）0X3020X0600更新系列号一步骤二：读取和记录$MFT参数2.读取0号文件记录0X80属性参数根据表7-14（0X80属性参数表），对应读取0号文件记录0X80属性参数，得其参数，如表7-18所示。利用Winhex读取$MFT参数表7-180号文件记录0X80属性参数表偏移长度值0X80非常驻没有属性名属性内容0X10040X800X80属性0X10440X48属性头长度（单位：72字节）0X10810X01常驻与非常驻标志，此处为01,表示非常驻0X10910X00文件名长度（00表示没有属性名），此处为00,表示未命名，即无属性名0X10A20X40名称偏移值（没有属性名），此处为0X400X10C20X00压缩、加密、稀疏标志：0001H表示该属性是被压缩的；4000H表示该属性是被加密的；8000H表示该属性是稀疏的0X10E20X02属性ID标识(2号属性）0X11080X00开始VCN，此处为000X11880X3F结束VCN，此处为630X12020X40数据运行列表偏移地址0X400X12220X00压缩单位大小（2x簇，如果为0表示未压缩）0X12440X00填充0X12880X040000系统分配给文件的空间大小（单位：262,144字节）0X13080X040000数据流的实际大小，即文件的实际大小（单位：262144字节）0X13880X040000数据流已初始化大小，即文件压缩后的大小（单位：262144字节）0X140H+L+10X31/0X40/0X0C0000数据流占本卷的起始簇号786432，数据流占本卷的总簇数为64簇利用Winhex读取$Root参数02利用Winhex读取$Root参数二、利用Winhex读取$Root参数（共有2个步骤）步骤一：跳转到5号文件记录步骤二：读取和记录5号文件记录参数二步骤一：跳转到5号文件记录在0号文件记录，继续向后移10个扇区，就到5号文件记录（$Root根目录文件目录）。如图7-11所示。利用Winhex读取$Root参数图7-11Winhex编辑窗口信息（$MFT的5号文件记录表）图二步骤二：读取和记录5号文件记录参数1.5号文件记录头参数根据表7-13表（文件记录头参数表），对应读取5号文件记录头，得其参数，如表7-19所示。利用Winhex读取$Root参数表7-195号文件记录头参数表偏移长度值记录内容0X0040X454C4946MFT标志，一定为字符串“FILE"0X0420X30更新序列号的偏移0X300X0620X03更新序列号的大小与数组，包括第一个字节0X0880X050055E1日志文件序列号（$LogFileSequenceNumber,LSN)0X1020X05序列号（SequenceNumber）0X1220X01有1个目录指向该文件0X1420X38第一个属性的偏移地址0X380X1620X033H表示记录正在使用0X1840X0290文件记录的实际长度为656字节0X1C40X0400总共分配给记录的长度为1KB0X2080X00基本文件记录中的文件索引号0X2820X08下一属性ID（8号属性）0X2A20X00边界，WindowsXP中为偏移0x30处0X2C40X05WindowsXP中使用，MFT记录编号（从0号开始）0X3020X0900更新系列号二步骤二：读取和记录5号文件记录参数2.5号文件记录属性参数（1）读取5号文件记录0X90属性参数根据表7-17（文件记录0X90属性参数格式表），对应读取5号文件记录0X90属性参数，得其参数，如表7-27所示。利用Winhex读取$Root参数二步骤二：读取和记录5号文件记录参数利用Winhex读取$Root参数表7-275号文件记录0X90属性参数表偏移长度值0X90属性内容结构0X55040X900X90属性属性头0X55440X58属性长度（即属性头+属性体）88字节0X55810X00总为000X55910X04属性名的名称长度4字节0X55A20X18属性名的偏移0X180X55C20X00标志（压缩、加密、稀疏）0X55E20X02属性ID标识（2号属性）0X56040X38属性体长度56字节0X56420X20属性体开始偏移0X200X56610X00索引标志为000X56710X00无意义（填充到8字节的倍数）0X56880X0030003300480024属性名为$I300X57040X30属性类型30,即为索引索引根0X57440X01校对规则0X57840X1000每个索引节点分配大小（4096字节）0X57C10X01每个索引节点所占簇数为10X57D30X00无意义（填充到8字节的倍数）0X58040X10第一个索引项的偏移0X10索引头0X58440X28索引项总的大小，40字节0X58840X28索引项的分配大小，40字节0X58C10X01标志：为大索引，有两个以上的索引节点0X58D30X00无意义（填充到8字节的倍数）0X59080X00未用索引项10X59820X18索引项的大小（相对索引项开始的偏移）0X180X59A20X00文件（夹）名字属性体大小0X59C20X03索引标志，有子节点0X59E20X00未用0X5A080X00未用二步骤二：读取和记录5号文件记录参数（2）读取5号文件记录A0属性参数根据表7-16（文件记录0X80属性参数格式表），对应读取5号文件记录A0属性参数，得其参数，如表7-28所示。利用Winhex读取$Root参数表7-285号文件记录A0属性参数表偏移长度值A0属性内容0X5A840XA0A0属性0X5AC40X50A0属性头长度为80字节0X5B010X01此处为01,即表示非常驻0X5B110X04属性名长度为4个Unicode码0X5B220X40名称偏移地址为0X400X5B420X00没有压缩、加密、稀疏0X5B620X04属性标识ID为（4号属性）0X5B880X00开始VCN为0X000X5C080X00结束VCN为0X000X5C820X48数据运行列表偏移地址为0X480X5CA20X00压缩引擎号为00X5CC40X00填充00X5D080X1000为索引文件分配的大小为4096字节0X5D880X1000实际索引文件的大小为4096字节0X5E080X1000索引文件已初始化的大小为4096字节0X5E88

属性名为$I30,即索引为文件名索引0X5F080X21/0X01/0X40E6起始簇0X40E6(16614簇，132912号扇区），总簇数为0X01(1簇)。有下划线的是高位。利用Winhex读取数据区主要参数03利用Winhex读取数据区主要参数三、利用Winhex读取数据区主要参数（共有2个步骤）步骤一：读取用户目录记录项的0X90属性参数步骤二：读取“7任务2-1-1.png”文件目录项主要参数及其内容步骤三：读取“7任务2-1-1.txt”文件目录项主要参数及其内容三步骤一：读取用户目录记录项的0X90属性参数用户目录“7任务2”在$FMT表的记录项0X90属性结构如图7-17所示。利用Winhex读取数据区主要参数图7-17Winhex编辑窗口信息（目录“7任务2”目录项的0X90属性）图三步骤二：读取“7任务2-1-1.png”文件目录项主要参数及其内容1.读取“7任务2-1-1.png”文件目录项主要参数把光标从当前记录项移到下一个记录项（或跳转至6291542号扇区），即$FMT表43号记录项，显示是43号记录项参数（“7任务2-1-1.png”的文件记录项参数），找到其0X80属性，如图7-18所示。利用Winhex读取数据区主要参数图7-18Winhex编辑窗口信息（7任务2-1-1.png文件目录项的0X80属性）图三步骤二：读取“7任务2-1-1.png”文件目录项主要参数及其内容2.读取“7任务2-1-1.png”文件内容跳转至22216号簇或（177,728扇区），在数据区显示“7任务2-1-1.png”文件的内容，如图