计算机检测维修与数据恢复（上册）课件 子任务2 利用WinHex恢复NTFS文件系统

子任务2利用WinHex恢复NTFS文件系统任务2NTFS文件系统恢复项目7文件系统恢复01利用NTFS自动修改功能恢复NTFS文件系统02利用Winhex手动恢复受破坏NTFS的DBR及其备份目录contents利用NTFS自动修改功能恢复NTFS文件系统01任务实施2（一）利用NTFS自动修改功能恢复NTFS文件系统（共有2个步骤）步骤一：附加虚拟磁盘，运行Winhex并打开它步骤二：确认NTFS文件系统被破坏一步骤一：附加虚拟磁盘，运行Winhex并打开它在素材文件夹中，双击“7任务2-2-1.vhd”，然后运行Winhex，打开“HD1”，界面显示该硬盘信息，此虚拟磁盘共分有1个主分区（NTFS分区）。利用NTFS自动修改功能恢复NTFS文件系统步骤二：确认NTFS文件系统被破坏1.确认DBR被破坏进入在分区1，发现没有用根目录下没有用户目录及文件，通过查找“EB52904E”发现在本卷开头及末尾扇区有DBR，说明此卷已被重新格式化了。2.确定$MFT各记录项损坏进入$MFT，发现其所有文件记录项（43项）都是系统元文件或系统文件，没有用户文件或目录。查找“46494C45”，在$MFT区域外都没找到，说明这个磁盘被同参数格式化了，用户的文件和目录记录项被“清零”，同时，用户常驻文件也被“清零”，已无法恢复，而放在数据区的用户文件只能通过文件类型扫描恢复出来了。一利用NTFS自动修改功能恢复NTFS文件系统步骤二：确认NTFS文件系统被破坏3.通过文件类型扫描分区，恢复用户文件打开Winhex“工具”主菜单，进入下拉菜单“磁盘工具”，选择点击“通过文件类型恢复”程序。弹出“依据文件头标志搜索”窗口，在“选择文件类型”栏的各类型文件前的小方框打“√”，若已知将要恢复的文件的类型了，那就只选择该文件类型，这样可提高扫描速度，“输出文件”栏，选择“/桌面/恢复文件”这个文件夹，其它栏默认，最后点击“确认”，程序进行进入扫描进程。扫描结束后，弹出扫描结果。切换到电脑桌面，打开电脑桌面“恢复文件”文件夹，发现一个已恢复了的图片文件“000002.JPG”，把”000002.JPG”改名为“7任务2-2-1.PNG”4.把桌面的“恢复文件”复制到原被损坏分区的根目录下用资源管理器，把桌面的“恢复文件”复制到原被损坏的卷的根目录下。一利用NTFS自动修改功能恢复NTFS文件系统步骤二：确认NTFS文件系统被破坏5.对原被损坏分区进行磁盘快照切换回Winhex编辑窗口，对原被损坏卷进行磁盘快照，因为，NTFS文件系统有强大的自我修复功能，在此，进行磁盘快照后，系统就会自动把资源管理器复制进来的文件（夹）管理起来。用户可正常使用本分区，原文件也恢复了，只不过，文件（夹）名字与原来不一致，还需用户自已修改为原名就可以了。利用NTFS自动修改功能恢复NTFS文件系统的操作完成。利用Winhex手动恢复受破坏NTFS的DBR及其备份02利用Winhex手动恢复受破坏NTFS的DBR及其备份二、利用Winhex手动恢复受破坏NTFS的DBR及其备份（共有2个步骤）步骤一：附加虚拟磁盘，运行Winhex并打开它步骤二：确认NTFS文件系统被破坏二步骤一：附加虚拟磁盘，运行Winhex并打开它在素材文件夹中，双击“7任务2-2-2.vhd”，然后运行Winhex，打开“HD1”，界面显示该硬盘信息，此虚拟磁盘共分有1个主分区（NTFS分区）。利用Winhex手动恢复受破坏NTFS的DBR及其备份步骤二：确认NTFS文件系统被破坏1.确认DBR是否被破坏进入在分区1，无法浏览根目录下的文件，本卷扇区0及末尾扇区都是乱码，分区的结尾标志55AAH也被修改，没发现DBR，说明DBR及备份参数全被破坏。2.确定$MFT各记录项是否被损坏当DBR的BPB参数全被破坏后，是无法直接打开$MFT和$MFTMirr，只能手工查找它俩了。点击Winhex的“查找”功能，向下查找46494C45H关键值，当查找到第一个46494C45H时，刚好在右边窗口能看到$MFT字样文本时，说明找到0号文件记录，是$MFT自身的记录，当然下一个记录是$MFTMirr自身的记录，且它俩数据正常。说明$MFT、$MFTMirr没被破坏。他俩所在的扇区号，应该是$MFT的备份$MFTMirr的前两个文件记录。二利用Winhex手动恢复受破坏NTFS的DBR及其备份步骤二：确认NTFS文件系统被破坏3.读取$MFT、$MFTMirr记录项中主要参数（1）读取$MFT自身分配到的空间大小$MFT自身分配到的空间大小，是在0X80属性里，偏移是0X128～0X12F，值40000H，大小为262144字节，512扇区（262144÷512=512）。（2）读取$MFT自身分配到的总簇数，并计算本卷设定每簇扇区数$MFT自身分配到的总簇数，是在0X80属性的数据运行表（RunList）里，偏移是0X141，值40H，大小为64簇。计算$MFT自身分配到空间的扇区数和总簇数的比值，这比值就是分区设定每簇扇区数，即：512÷64=8(扇区/簇）。（3）$MFT的起始簇号$MFT自身在分区里的起始簇，是在0X80属性的数据运行表（RunList）里，偏移是0X142～0X144，值0XC0000，大小为786432簇，6291456扇区（786432×8=6291456）。二利用Winhex手动恢复受破坏NTFS的DBR及其备份步骤二：确认NTFS文件系统被破坏3.读取$MFT、$MFTMirr记录项中主要参数（4）$MFTMirr的起始簇号$MFTMirr自身在分区里的起始簇，是在0X80属性的数据运行表（RunList）里，偏移是0X54B，值0X02，大小为2簇，16扇区（2×8=16）。二利用Winhex手动恢复受破坏NTFS的DBR及其备份步骤二：确认NTFS文件系统被破坏4.读取分区前面已用扇区数和分区实际大小跳转0扇区，MBR分区表如图8-21所示。图7-21MBR分区表图本分区的第一扇区为63号扇区（偏移0X1C6～0X1C9，值0X3F,即为63号扇区），因此，分区前面已用的扇区为0～62号扇区，共63扇区。本分区的大小为33543657扇区（偏移0X1CA～0X1CD,值0X1FFD5E9，即为33543657扇区）,在DBR的BPB参数中的本分区大小为33543657-1=33543656（扇区）。二利用Winhex手动恢复受破坏NTFS的DBR及其备份步骤二：确认NTFS文件系统被破坏5.确定需DBR的主要参数1.每簇扇区数，偏移0X0D，8扇区/簇。2.分区前面已用的扇区，偏移0X1C～0X1F，63扇区。3.本卷大小，偏移0X18～0X1B，33543656扇区。4.$MFT自身在分区里的起始簇，偏移0X30～0X34，786432簇。5.$MFTMirr自身在分区里的起始簇，偏移0X38～0X3C，2簇。6.复制一个正常的DBR扇区打开一个正常磁盘，跳转到NTFS的DBR位置，选择整个DBR扇区，并复制到被破坏的DBR处。二利用Winhex手动恢复受破坏NTFS的DBR及其备份步骤二：确认NTFS文件系统被破坏7.运用数据解释器修改DBR1.光标移到偏移0X0D，在数据解释器8Bit处输入8，并回车。2.光标移到偏移0X1C～0X1F，在数据解释器32Bit处输入63，并回车。3.光标移到偏移0X28～0X2B，在数据解释器32Bit处输入33543656，并回车。4.光标移到偏移0X30～0X34，在数据解释器32Bit处输入786432，并回车。5.光标移到偏移0X38～0X3C，在数据解释器32Bit处输入2，并回车。8.恢复DBR备份复制DBR,然后跳转本分区最后一个扇区，把DBR粘贴到最后扇区上，得到DBR备份。最后进行保存和磁盘快照，然后将故障硬盘脱机后再加载，本分区得以恢复，丢失的数据得到修复。利用Winhex手动恢复受破坏NTFS的DBR及其备份的操作完成。二步骤二：读取和记录5号文件记录参数1.5号文件记录头参数根据表7-13表（文件记录头参数表），对应读取5号文件记录头，得其参数，如表7-19所示。利用Winhex读取$Root参数表7-195号文件记录头参数表偏移长度值记录内容0X0040X454C4946MFT标志，一定为字符串“FILE"0X0420X30更新序列号的偏移0X300X0620X03更新序列号的大小与数组，包括第一个字节0X0880X050055E1日志文件序列号（$LogFileSequenceNumber,LSN)0X1020X05序列号（SequenceNumber）0X1220X01有1个目录指向该文件0X1420X38第一个属性的偏移地址0X380X1620X033H表示记录正在使用0X1840X0290文件记录的实际长度为656字节0X1C40X0400总共分配给记录的长度为1KB0X2080X00基本文件记录中的文件索引号0X2820X08下一属性ID（8号属性）0X2A20X00边界，WindowsXP中为偏移0x30处0X2C40X05WindowsXP中使用，MFT记录编号（从0号开始）0X3020X0900更新系列号二步骤二：读取和记录5号文件记录参数2.5号文件记录属性参数（1）读取5号文件记录0X90属性参数根据表7-17（文件记录0X90属性参数格式表），对应读取5号文件记录0X90属性参数，得其参数，如表7-27所示。利用Winhex读取$Root参数二步骤二：读取和记录5号文件记录参数利用Winhex读取$Root参数表7-275号文件记录0X90属性参数表偏移长度值0X90属性内容结构0X55040X900X90属性属性头0X55440X58属性长度（即属性头+属性体）88字节0X55810X00总为000X55910X04属性名的名称长度4字节0X55A20X18属性名的偏移0X180X55C20X00标志（压缩、加密、稀疏）0X55E20X02属性ID标识（2号属性）0X56040X38属性体长度56字节0X56420X20属性体开始偏移0X200X56610X00索引标志为000X56710X00无意义（填充到8字节的倍数）0X56880X0030003300480024属性名为$I300X57040X30属性类型30,即为索引索引根0X57440X01校对规则0X57840X1000每个索引节点分配大小（4096字节）0X57C10X01每个索引节点所占簇数为10X57D30X00无意义（填充到8字节的倍数）0X58040X10第一个索引项的偏移0X10索引头0X58440X28索引项总的大小，40字节0X58840X28索引项的分配大小，40字节0X58C10X01标志：为大索引，有两个以上的索引节点0X58D30X00无意义（填充到8字节的倍数）0X59080X00未用索引项10X59820X18索引项的大小（相对索引项开始的偏移）0X180X59A20X00文件（夹）名字属性体大小0X59C20X03索引标志，有子节点0X59E20X00未用0X5A080X00未用二步骤二：读取和记录5号文件记录参数（2）读取5号文件记录A0属性参数根据表7-16（文件记录0X80属性参数格式表），对应读取5号文件记录A0属性参数，得其参数，如表7-28所示。利用Winhex读取$Root参数表7-285号文件记录A0属性参数表偏移长度值A0属性内容0X5A840XA0A0属性0X5AC40X50A0属性头长度为80字节0X5B010X01此处为01,即表示非常驻0X5B110X04属性名长度为4个Unicode码0X5B220X40名称偏移地址为0X400X5B420X00没有压缩、加密、稀疏0X5B620X04属性标识ID为（4号属性）0X5B880X00开始VCN为0X000X5C080X00结束VCN为0X000X5C820X48数据运行列表偏移地址为0X480X5CA20X00压缩引擎号为00X5CC40X00填充00X5D080X1000为索引文件分配的大小为4096字节0X5D880X1000实际索引文件的大小为4096字节0X5E080X1000索引文件已初始化的大小为4096字节0X5E88

属性名为$I30,即索引为文件名索引0X5F080X21/0X01/0X40E6起始簇0X40E6(16614簇，132912号扇区），总簇数为0X01(1簇)。有下划线的是高位。利用Winhex读取数据区主要参数03利用Winhex读取数据区主要参数三、利用Winhex读取数据区主要参数（共有2个步骤）步骤一：读取用户目录记录项的0X90属性参数步骤二：读取“7任务2-1-1.png”文件目录项主要参数及其内容步骤三：读取“7任务2-1-1.txt”文件目录项主要参数及其内容三步骤一：读取用户目录记录项的0X90属性参数用户目录“7任务2”在$FMT表的记录项0X90属性结构如图7-17所示。利用Winhe