下载文档原格式
基于NTFS文件系统的文件手动定位方法摘要:数据恢复在电子数据取证中起着关键性的作用,案件存储介质在取证过程中可能因为客观或者主观因素导致数据丢失,造成关键线索或者证据无法访问,此时需要对介质进行数据恢复操作,可通过数据恢复工具,进行全盘扫描,如果效果不佳,在考虑使用关键字搜索,最后可以尝试使用手动恢复,即使根据文件系统的目录信息定位所需文件。
本文主要是针对NTFS文件系统结构进行分析以及如何快速定位目标文件。
关键词:数据恢复、取证、文件系统、NTFS1.NTFS文件系统简介NTFS(New Technology File System)是微软1993年推出的用于Windows系统的文件系统,用于代替原来的FAT文件系统,从而提高性能。
NTFS自推出以来经历了多个版本的更新,更新历史如下:表1 NTFS版本信息1)安全性:NTFS的安全性很高,提供许多安全性能方面的选项,可以在本机也可以通过远程的方法保护文件、目录。
2)可恢复性:NTFS文件系统数据存储的可靠性强,比较适合做服务器文件系统,可以保证即使系统失败也不影响数据库的正确和完整。
3)文件压缩:NTFS文件系统带来的另一个好处是支持文件压缩功能,用户可以选择单个或者多个文件使用NTFS自带的压缩功能来节省磁盘空间。
2.NTFS文件系统结构当用户将磁盘的一个分区格式化成NTFS分区时,就建立了一个NTFS文件系统结构,NTFS文件系统与FAT文件系统一样[1],也是簇为基本单位对磁盘空间和文件存储进行管理。
一个文件总是占若干个簇,即使在最后一个簇没有完全放满的情况下,也是占整个簇空间,这也是造成磁盘空间浪费的主要原因。
文件系统通过簇来管理磁盘,并不需要知道磁盘空间大小,这样就使NTFS保持了与磁盘扇区大小独立性,从而使不同大小的磁盘选择合适的簇,故NTFS文件系统的结构大致可以用以下图1进行说明:图1 NTFS文件系统结构2.1NTFS文件系统引导扇区NTFS文件系统的引导扇区是$Boot的第一个扇区,它的结构与FAT文件系统的DBR类似,所以习惯上也称该扇区为DBR扇区。
实验报告(四)分析MRB表中的主分析区
一、实验目的:
1)掌握利用WinHEX软件查看硬盘的MRB表
2)认识MRB在计算机启动过程中的作用并熟悉MRB的结构。
3)分析MRB中每一个分区表项的意义。
二、实验环境(硬件或软件):
WinHEX软件,虚拟机WinXP系统环境
三、实验要求(或实验原理):
分析自己的硬盘,使用下表所示的方式描述当前分区的情况
四、实验内容(实验步骤或者程序编写):
1.搜索第一个文件记录的位置
分析图中的80属性,可看出它的数据所在的簇流为32 40 01 00 00 0C,即簇流从00 00 0C (786432)簇开始,共40 01(320)簇
2.分析第二个文件记录
、
五、实验结果及分析:
做实验时要注意:CHS地址需要先将十六进制数值换算为二进制,再进行拆分和换算。
不同的操作系统可能会使用不同的分区类型,有时可利用分区类型值来隐藏某些分区。
LBA地址换算时要先高低换位后再换为十进制,这个地方的高位、低位是以字节为单位的。
NTFS被快速格式化成NTFS后数据恢复的研究陈培德;王丽清;吴建平【摘要】快速格式化是高级格式化中的一种特殊形式.逻辑盘被快速格式化后数据能否恢复取决于快速格式化操作对原来文件系统中所存储数据的破坏程度.以Windows 7为平台,WinHex 15.08为分析工具,对NTFS文件系统结构进行分析,将逻辑盘由NTFS文件系统快速格式化成NTFS文件系统,通过快速格式化后与快速格式化前对元文件$MFT变化的对比,提出了恢复快速格式化前NTFS文件系统数据的基本思路、方法与步骤.实验结果表明,将逻辑盘由NTFS文件系统快速格式化成NTFS文件系统后,只要恢复格式化前的元文件$MFT的80H属性值,通过CHKDSK命令,便可以恢复被快速格式化破坏的NTFS文件系统结构,除部分数据被覆盖无法恢复外,其他未覆盖的数据均可全部恢复.【期刊名称】《计算机技术与发展》【年(卷),期】2018(028)008【总页数】5页(P191-195)【关键词】格式化;FAT32文件系统;NTFS文件系统;数据恢复【作者】陈培德;王丽清;吴建平【作者单位】云南大学信息学院,云南昆明 650223;云南省高校数字媒体技术重点实验室,云南昆明 650223;云南大学信息学院,云南昆明 650223;云南省高校数字媒体技术重点实验室,云南昆明 650223;云南大学信息学院,云南昆明 650223;云南省高校数字媒体技术重点实验室,云南昆明 650223【正文语种】中文【中图分类】TP311.120 引言格式化是指对磁盘或磁盘中的分区进行初始化的一种操作,这种操作通常会导致现有的磁盘或分区中所有的文件被清除。
格式化通常分为低级格式化和高级格式化[1]。
如果没有特别指明,对硬盘的格式化通常是指高级格式化。
外存储器在生产出来后,一般要经过低级格式化、分区和高级格式操作后,才能用来存储数据[1]。
低级格式化针对的是整个硬盘,一般由外存储器生产厂商来完成;而对外存储器的分区和高级格式化一般由销售商或者用户来完成,高级格式化针对的是某个分区。
说明:需要大家注意的是故障磁盘分区以前必须是NTFS格式的(fat 和fat32格式的还没试过不敢误人子弟)病状:一块移动硬盘有了3个ntfs分区,连接到电脑以后,其中一个区不管是点击左键还是右键打开,都是显示"磁盘未被格式化,是否格式化",其他区能正常打开。
而以前都一直正常分析:这通常是由于该分区的引导程序出了问题导致的。
先来了解一下基础知识:mbr(硬盘主引导记录)和dbr(硬盘分区引导记录)硬盘MBR就是我们经常说的“硬盘主引导记录,它由主引导程序、硬盘分区表及扇区结束标志字(55AA)这3个部分组成硬盘MBR负责总管硬盘分区,只有分区工具才能对它进行读写(如FDISK);而DB R则负责管理某个具体的分区,它是用操作系统的高级格式化命令(如FORMAT)来写入硬盘的。
在系统启动时,最先读取的硬盘信息是MBR,然后由MBR内的主引导程序读出D BR,最后才由DBR内的DOS引导代码读取操作系统的引导程序,其中任何一个环节出了问题,操作系统都无法正常启动成功,如果是MBR部分出了问题,,通常都会出现“无效分区表“、逻辑盘丢失、启动死机等现象;而如果是DBR部分出了问题,通常会出现“未格式化的分区”的错误提示。
通俗来说(以我个人的理解)分区表就好比是一张记录了分区信息的纸,mbr记录了将这张纸划分为了多少大小不同的块,而dbr记录就是这些块各自在这张纸上的位置。
好了。
现在我们用winhex来回复分区中的数据。
1.打开winhex,然后点击“工具”----“打开磁盘”,选择“物理磁盘”中的故障盘。
打开之后我们就可以可能到分区中的信息了。
2.点击右上方的黑色小箭头出现下拉菜单,可以看到有故障的分区和其他正常分区显示是不一样的。
故障分区显示“分区X XXGB ?"为什么会出现“?”呢,就是由于该分区引启动扇区出错导致winhex无法正常识别。
3,每个分区都有自己的备份启动扇区,所以我们就用备份来恢复。
这是我们这里的一同行转到我这里来的一个数据,据客户描述故障为:盘分了三个区在一次意外死机后重启电脑后客户继续死机前的工作打开最后一个区(前两个区是正常的)提示未格式化(其实大多数朋友知道这时的问题简单得多也许重建DBR后整个盘里面的数据都在,这里暂且就不谈这种问题的解决方法了),要命的是这时客户鬼使神差地点击了格式化了,结果大家当然就知道了,数据肯定是没有了。
据转到我这里的那同行说他用各种搜索软件对整个区搜了好几遍(这也是大多数所谓专业的数据恢复商所用的恢复方法了),当然也搜到了很多数据,尽管很乱但还能正常打开。
最后客户确认搜出来数据大部份正常,但客户最重要的的一个压缩文件损坏了,(据客户说那压缩文件是他多年搞设计购买的素材库的精华)。
大家知道压缩文件损坏了是很难很难修复的了。
首先我用WINHEX把他搜出来的那个压缩文件打开分析了下,文件头乱了,中间的数据也不正常。
无法修复,只好从原盘着手了。
竟然搜索软件搜出来的是损坏的,那就只有用手工来做了,当然用手工做这种格式化了的数据很费时,且计算量也很大,只能针对像这样的个别特重要的数据。
对原盘的那个格式化掉的分区做完镜像后,用WINHEX打开镜像,设置镜像文件为磁盘。
如下图所示:1.jpg分区是NTFS格式的,整个分区大小为25.4G。
对NTFS分区格式研究过的朋友会知道,在NTFS文件系统中,文件亦是按簇进行分配的,文件通过主文件表MFT(Master File Table)来确定其在磁盘上的存储位置、大小、属性等信息。
相当于FAT系统下的FAT+FDT 的功能。
每文件都有一个文件记录。
其中第一个记录就是MFT自己本身。
我们转到第一个文件记录也就是MFT了直接点可以看到如下图所示:2.jpg通过第一个文件记录往下观察发现格式化了后对文件记录没有产生破坏。
那么这时我们就可以有一个恢复的思路了:找客户所说的那个压缩文件的在MFT中的记录,再通过对文件记录的分析来确定文件在磁盘中的位置及大小,就可以直接从中提出文件了。
用WinHex实现NTFS文件系统的数据恢复
齐钦
【期刊名称】《中国教育技术装备》
【年(卷),期】2009(000)024
【摘要】概括介绍NTFS文件系统结构、主文件表、文件记录,文件记录的相关属性,以及数据文件在磁盘文件数据区的定位.对NTFS文件系统的数据恢复做了分析研究,介绍使用磁盘编辑工具WinHex还原被彻底删除的文件数据.
【总页数】3页(P98-99,102)
【作者】齐钦
【作者单位】徐州工程学院教育科学与技术学院,江苏徐州,221008
【正文语种】中文
【中图分类】TP319
【相关文献】
1.NTFS文件系统数据恢复教学研究 [J], 权建军
2.基于WinHex的磁盘分区数据恢复技术分析与实现 [J], 袁海峰
3.NTFS文件系统的数据恢复 [J], 唐文昊;李孟轩;唐文艳;胡昱旻
4.NTFS文件系统中DBR故障数据恢复研究 [J], 庄文学;马昊
5.NTFS文件系统中用WinHex手动恢复文件的研究 [J], 史春水;刘思磊
因版权原因,仅展示原文概要,查看原文内容请购买。
探讨基于Winhex的NTFS文件提取方法苏神保;刘丹【摘要】在日常生活中,人们经常会遇到因硬盘误操作或者误格式化造成的数据丢失现象,给工作和学习带来诸多不便.本文以NTFS文件系统为例借助十六进制底层数据编辑软件Winhex,详细分析NTFS文件系统文件存储的基本原理,并在此基础上通过实验的方法来提取研究所需要的文件.【期刊名称】《智能计算机与应用》【年(卷),期】2018(008)006【总页数】3页(P214-216)【关键词】Winhex;NTFS;数据恢复;实验【作者】苏神保;刘丹【作者单位】湖南商务职业技术学院,长沙410205;湖南商务职业技术学院,长沙410205【正文语种】中文【中图分类】TP311.521 Winhex软件简述Winhex是X-Ways公司开发的一款以通用的十六进制编辑器为核心,专门用来应对计算机取证、数据恢复、低级数据处理、以及IT安全性、各种日常紧急情况的高端工具,多是针对检查和修复各种文件、恢复删除文件、硬盘损坏、数码相机卡损坏造成的数据丢失等情况,在数据恢复领域具有广泛应用。
其常用功能包括查看、编辑和修复磁盘分区,支持的磁盘分区类型有MBR、GPT、APM等,支持的文件系统有FAT16、FAT32、NTFS、exFAT、HFS+、EXT3、EXT4等。
不同的文件系统,其数据存储结构也各有不同。
本文即以NTFS文件系统为例,分析其文件存储原理并通过实验的方法识数寻踪,在数以亿计的十六进制数中找到研究所需要的文件并准确提取。
2 NTFS文件系统结构分析NTFS (New Technology File System)是Windows NT环境的文件系统。
新技术文件系统是Windows NT家族(如Windows 2000、Windows XP、Windows Vista、Windows 7和Windows 8.1)等的限制级专用的文件系统(操作系统所在盘符的文件系统必须格式化为NTFS的文件系统)。
NTFS文件系统中用WinHex手动恢复文件的研究【摘要】本文探讨了在NTFS文件系统中使用WinHex手动恢复文件的研究。
在介绍了研究背景、研究意义和研究目的。
接着在分别介绍了NTFS文件系统的概述、WinHex工具的介绍、文件删除与恢复原理、以及WinHex手动恢复文件的具体步骤。
在实验结果分析中,对实验数据进行了详细讨论。
结论部分总结了在NTFS文件系统中使用WinHex手动恢复文件的重要性,并展望了未来的研究方向。
本文的研究对于数据恢复领域具有一定的参考价值,有助于提高文件恢复的效率和准确性。
【关键词】NTFS文件系统、WinHex、文件恢复、手动恢复、实验结果分析、重要性、研究展望、结论总结。
1. 引言1.1 研究背景NTFS文件系统是Windows操作系统中常用的文件系统,它具有高效的磁盘空间管理和数据安全性保护等特点。
由于各种原因,用户在使用电脑时难免会误删文件或者遭遇文件丢失的情况。
在这种情况下,恢复被删除文件就显得尤为重要。
WinHex是一款功能强大的磁盘编辑工具,它支持NTFS文件系统的文件恢复操作。
通过使用WinHex,用户可以手动恢复被删除的文件,即使这些文件已经被删除或者文件表已经被覆盖。
研究如何在NTFS文件系统中利用WinHex手动恢复文件具有重要的实际意义。
本研究旨在探讨NTFS文件系统中使用WinHex手动恢复文件的方法和步骤,通过实验验证恢复效果,并对实验结果进行分析和总结。
通过这一研究,可以更好地了解NTFS文件系统中文件恢复的原理和方法,为用户提供更可靠的文件恢复解决方案,进一步提升数据的安全性和可靠性。
1.2 研究意义在当今数字化信息时代,文件丢失或损坏对个人和组织都可能造成严重的影响。
而NTFS文件系统作为Windows操作系统中常用的文件系统之一,其对文件的管理和存储有着独特的特点。
探究在NTFS文件系统中采用WinHex工具手动恢复文件的方法和技巧,对于提高文件恢复的效率和成功率具有重要的意义。
NTFS文件系统中用WinHex手动恢复文件的研究引言在日常使用电脑过程中,由于各种原因,我们经常会遇到文件被意外删除、格式化或者损坏的情况。
通常情况下,我们会通过一些数据恢复软件来尝试恢复丢失的文件。
但是有时候这些软件并不能完全满足我们的需求,特别是在某些复杂的情况下。
我们需要一种更加专业的手段来进行文件恢复。
本文将讨论在NTFS(新技术文件系统)文件系统中使用WinHex手动恢复文件的研究。
NTFS文件系统简介NTFS(New Technology File System,新技术文件系统)是Windows操作系统中的一种文件系统,被广泛应用于Windows NT及其后续版本。
NTFS在安全性、可靠性和性能方面都有很好的表现,因此得到了广泛的应用。
在NTFS文件系统中,文件的元数据(metadata)被存储在称为MFT(Master File Table)的地方。
MFT记录了文件的属性、索引以及文件数据的位置等信息。
当文件被删除或者发生损坏时,文件数据本身可能并没有真正的被删除,而是MFT中的一些标记被修改,使得文件“看起来”被删除。
这就为我们提供了一种可能,通过手动操作MFT来恢复被删除的文件。
WinHex介绍WinHex是一款功能强大的16进制编辑器,它可以用于查看和编辑任何文件、磁盘和内存。
除了16进制编辑器的功能外,WinHex还具备了文件恢复、数据恢复、数据分析等功能,因此非常适合我们在NTFS文件系统中进行文件恢复的需求。
使用WinHex手动恢复文件的步骤1. 打开被删除文件所在的分区我们需要在WinHex中打开文件所在的分区。
在打开分区之后,可以通过MFT条目列表来查看所有的文件和目录。
2. 找到被删除文件的MFT条目在MFT条目列表中,我们可以通过文件名或者其他属性来寻找被删除文件的MFT条目。
一旦找到了被删除文件的MFT条目,我们就可以开始操作它来恢复文件。
3. 恢复MFT条目在找到了被删除文件的MFT条目之后,我们需要将其恢复到正常状态。
NTFS文件系统中用WinHex手动恢复文件的研究
作者:史春水刘思磊
来源:《电脑知识与技术》2020年第09期
摘要:通过数据恢复软件扫描出来的文件的文件名很多都已经改变,现在的硬盘已经容量很大,通常用户在硬盘里存的文件也非常多,再通过这种扫描的方法恢复丢失文档必然造成再次寻找文件的麻烦,通过手动恢复某个具体的文件就变得有价值。
关键词:计算机;数据;恢复
中图分类号:TP311 文献标识码:A
文章编号:1009-3044(2020)09-0036-03
现今数据恢复的软件较多,大多数数据恢复软件可以扫描出丢失的文件,不过多数扫描出来的文件的文件名都已经改变如下图1所示,如果硬盘里的文件数目比较少这种文件名改变的情况引起的问题还不大但是现在的硬盘已经容量很大,通常用户在硬盘里存的文件也非常多,再通过这种扫描的方法恢复丢失文档必然造成再次寻找文件的麻烦,通过手动恢复某个具体的文件就变得有价值。
下面我们探讨一下针对个别文件进行恢复的方法。
当用户把硬盘分区格式化为NTFS文件系统就建立了一个NTFS的结构,将整个磁盘分区上的任何一件事物都看作一个文件,而文件的相关事物又看作一个属性。
“Master File Table”(MFT主文件表)就是NTFS文件系统中一个特殊的文件,它详细地记录了各个文件的属性。
每个文件记录在主文件表中占据的磁盘空间一般为两个扇区,大小1KB,因为MFT的重要性在NTFS文件系统的原文件中还有MFT的备份“MFTMirr”,不过MFTMirr只备份了MFT 的前8个扇区。
文件放人回收站不小心清空了,按Shift+Del键永久删除之后又想找回这个文档,格式化,重装系统等通常是导致文件丢失的几种常见方式。
下面我们来分别看看清空回收站、按Shift+Del键永久删除文件丢失后对$MFT文件的分析。
1 清空回收站
我们在VHDI硬盘的NTFS分区内放人一个文件名为“大家好”的word文档,我们先用winhex打开这个盘然后找到$MFT元文件,然后我们新建一个txt文本文件在里面输入大家好
另存为的时候选择Unicode如图2所示,这样我们就可以知道文件名在$MFT中的30H属性中的编码如图3所示。
我们再用Winhex软件把这个硬盘分区打开并单击$MFT,由于NTFS文件系统中所有事物都是以文件的形式管理并在$MFT中记录并占用2个扇区,因此我们通过搜索文件名的方式找到这个文件在$MFT中的记录如图4所示。
从图中可以看出该文件的文件名在30H属性中,另外可以看到80H属性中该文件的RunList为21048927。
我们先把这个盘备份,然后再用清空回收站的方式删除这个分区里的“大家好.doc”文件,再通过查找文件名的方式可以发现30H属性中文件名已经发生变化如图5所示。
重新根据变化的文件名找到$MFT中的记录如图6所示,通过80H属性知道这个文件的Runlist为21048927,通过跟没删除前进行对比可以发现虽然文件被删除并在回收站清空了但是文件在分区里的簇流并没有发生变化。
2 Shift+Del键永久删除
下面我们再来看看Shift+Del键永久删除文件方式对文件在分区中Runlist有没有影响。
我们把刚刚备份的盘重新加载并根据之前的方法搜索文件名,因为是备份盘,所以80H属性中该文件的RunList仍然为21048927,然后用Shift+Del键永久删除这个文件,再通过搜索文件名的方式找到文件在$MFT中的记录如图七所示,这次我们可以发现不但文件名没有变化,而且文件的Runlist仍然为21048927,因此可以知道文件在分区中的位置没有发生变化,也就是说Shift+Del键永久删除文件方式对文件在分区中Runlist没有影响。
从上面的分析可以看出,只要MFT中还保留着文件记录数据恢复就有迹可循,但是一旦文件记录被破坏掉文件的恢复就比较困难。
我们可以找出一条快速找到文件的思路,就是通过查找文件在MFT中的记录并利用80H属性中的Runlist就可以对数据进行恢复。
在数据恢复中经常会遇到分区信息丢失的现象如图8所示。
根据之前的思路我们首先要找到MFT,分区如果没有丢失那么我们可以直接看到$MFT,而这种情况我们可以根据MFT的特性来找,通过搜索十六进制数46494C45(明文FILE)可以快速找到$MFT如图9所示。
在NTFS文件系统中$MFT元文件中存在大量的46494C45。
首先我们要区分开是MFT还是MFTMirr,区分的方法是MFTMirr只备份了MFT的前8个扇区,如果找到以46494C45开头的扇区并向后跳转8个扇区发现扇区的开头不是46494C45,可以判断找到的是MFTMirr。
下面我们来研究怎么通过查找MFT和MFTMirr来找到需要的文件。
NTFS文件系统结构如下表所示,如果是第一种我们可以很快搜索到$MFT。
如果是第二種结构通过分析文件系统结构我们可以得出如下等式,并且经过观察现在以表二这种结构居多。
MFT的起始扇区=MFTMirr的起始扇区+(MFT起始簇一MFTMirr起始簇)*每簇的扇区数
把之前备份的盘分区信息删除,通过搜索46494C45,在2064扇区找到一个MFT记录并在30H属性中看到这是文件名为$MFT的元文件如图10所示,之前分析过这并不能判断一定是MFT,从2064扇区往后跳转8个扇区在2072扇区的00偏移可以判断之前找到的是MFTMirr如图11所示。
因为MFTMirr前8个扇区是完全备份MFT的,可以从MFT的80H属性中找到MFT的Runlist并通过数据解释器看出MFT的起始簇是786432如图12所示,接着通过MFTMirr的80H属性找出MFTMirr的起始簇是2如图13所示。
根据上面的分析,已经找到了MFTMirr的起始扇区为2064,MFT的起始簇为786432簇,MFTMirr的起始簇为2簇,那么只要找出每簇的扇区数就可以计算出MFT的起始扇区。
一般来讲每簇扇区数在DBR信息里可以直接看到,但是DBR损坏的话那就必须通过其他方式来找,比如可以通过80H属性找出这个文件所占的总簇数以及总字节数,那么每簇扇区数=总字节数/512/总簇数,因为每个扇区为512字节,文件总字节数/512=文件总扇区数,再除总簇数就可以得出每簇所占的扇区数,下面我们举例说明一下。
通过数据解释器可以知道这个文件占的总字节数为67108864字节如图14所示,然后通过这个文件的Runlist可以知道总簇数为16384簇如图15所示,计算后得知每簇扇区数为8,也符合现在NTFS文件系统常见每簇所占扇区数。
现在我们把数据代入,MFT的起始扇区=2064+(786432-2)*8,计算后为6293504扇区,我们根据计算的结果直接跳转到该扇区来验证一下可以发现这个办法是可行的如图16所示。
找到$MFT元文件后,再来找某个具体的文件就变得容易了。
通过搜索文件记录找到80H 属性然后再根据文件的Run-list来提取该文件即可。
参考文献:
[1]赵振洲.数据恢复技术案例教程[Ml.机械工业出版社,2018.
[2]刘伟.数据恢复技术深度揭秘[M].电子工业出版社,2010.
[3]张京生,汪中夏,刘伟.数据恢复方法及案例分析[M].电子工业出版社,2008.
[4]高志鹏,张志伟,孙云峰.识数寻踪[M].人民邮电出版社,2013.
【通联编辑:代影】
作者简介:史春水(1975-),男,湖南邵阳人,中学高级教师,本科,主要研究方向为计算机。
