第4章 数据恢复--手动恢复系统.ppt

《第4章 数据恢复--手动恢复系统.ppt》由会员分享，可在线阅读，更多相关《第4章 数据恢复--手动恢复系统.ppt（103页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、Neusoft Institute of Information2005年4月20日IT Education&Training计算机网络教研室计算机网络教研室 王王 宏宏 2008年年10月月08日日Neusoft Institute of Information2005年4月20日IT Education&Training手动恢复文件系统手动恢复FAT16手动恢复FAT32手动恢复NTFSNeusoft Institute of Information2005年4月20日IT Education&Training1 手动恢复FAT16FAT16的原理FAT16下如何查找文件利用WinHex手

2、动恢复FAT16删除的文件 WinHex手动恢复FAT16的DBR Neusoft Institute of Information2005年4月20日IT Education&Training1.1 FAT16分区的原理分区的原理-各个区域的相互关系(1)FAT16(1)FAT16分区下的分区下的DBR:DBR:文件系统的参数都记录在文件系统的参数都记录在DBRDBR的的BPBBPB中中,系统依靠它来确定系统依靠它来确定FAT,FDTFAT,FDT和和DATADATA的位置的位置,如下图如下图:Neusoft Institute of Information2005年4月20日IT Educ

3、ation&Training Neusoft Institute of Information2005年4月20日IT Education&Training Neusoft Institute of Information2005年4月20日IT Education&Training1.1 FAT16分区的原理分区的原理-各个区域的相互关系(2)FAT16分区下的FAT文件分配表 FAT占用的扇区数量:(格式化时确定)Neusoft Institute of Information2005年4月20日IT Education&Training FAT占用的扇区数量的计算公式:(格式化时确定)N

4、eusoft Institute of Information2005年4月20日IT Education&Training1.2 FAT16下如何查找文件Neusoft Institute of Information2005年4月20日IT Education&Training1.2.1 FAT16根目录下文件的管理文件目录表的起始位置Neusoft Institute of Information2005年4月20日IT Education&TrainingFAT16下FDT项的含义 Neusoft Institute of Information2005年4月20日IT Educati

5、on&Training Neusoft Institute of Information2005年4月20日IT Education&Training1.2.1 FAT16根目录下文件的管理例子:在FAT16下 根目录下建立一个文件file.txt,来分析FAT16的FDT.参考 教材Neusoft Institute of Information2005年4月20日IT Education&Training Neusoft Institute of Information2005年4月20日IT Education&Training Neusoft Institute of Informat

6、ion2005年4月20日IT Education&Training Neusoft Institute of Information2005年4月20日IT Education&Training Neusoft Institute of Information2005年4月20日IT Education&Training Neusoft Institute of Information2005年4月20日IT Education&Training Neusoft Institute of Information2005年4月20日IT Education&Training1.3 利用WinH

7、ex手动恢复FAT16删除的文件实验Neusoft Institute of Information2005年4月20日IT Education&Training1.4 WinHex手动恢复FAT16的DBRNeusoft Institute of Information2005年4月20日IT Education&Training1.4 修改FAT16的DBR引导扇区中的参数FAT32分区被格式化后，在其第一个扇区（DBR中存储有FAT32分区的系统参数，如果这些参数被破坏，则FAT32分区仍然无法正常打开。在不同的FAT32分区中，DBR中的程序代码是不变的，只时参数不同而已。因此，如果要

8、修复DBR，只需要拷贝其他的FAT32的DBR覆盖，并修改关键参数即可。Neusoft Institute of Information2005年4月20日IT Education&Training 在菜单“视图”-“模版”中选择“启动扇区FAT32”列举了这些参数，其中我们需要修改的有：扇区数/簇：保留扇区数：隐藏扇区数：分区扇区数目 扇区数/FAT：根目录的第一个簇：Neusoft Institute of Information2005年4月20日IT Education&Training2.1 FAT32原理FAT32的组织结构数据空间的管理方式FAT与FDT的关系FDTNeusoft

9、 Institute of Information2005年4月20日IT Education&Training2.2 FAT32下如何查找文件Neusoft Institute of Information2005年4月20日IT Education&Training2.3 FAT32下恢复删除的文件文件删除的实质恢复被删除的文件Neusoft Institute of Information2005年4月20日IT Education&Training2.4 恢复FAT32的DBRNeusoft Institute of Information2005年4月20日IT Education&

10、Training2.3 修改FAT32的DBR引导扇区中的参数（续）（1）保留扇区数和 扇区数目/FAT：从分区开始到 FAT的扇区都属于保留扇区，而FAT是以F8 FF FF 0F 开始的 因此从分区开始往后可以搜索到两个 F8 FF FF 0F，这两位置相减即为 FAT的大小Neusoft Institute of Information2005年4月20日IT Education&Training3.3 修改FAT32的DBR引导扇区中的参数（续）（2）根据FAT的大小和分区的大小 计算 扇区数/簇：首先确定这个分区的大小，由于FAT32没有明确的结束标志，可以认为下一个分区的开始之前为

11、结束；因为FAT中的每四个字节对应管理一个簇，因此 FAT可以对应的簇的个数=FAT扇区数目*512/4 FAT对应管理的空间分区大小（单位：扇区）=簇的个数*N N=分区大小/簇的个数 且N为2的n次方 所以N就是需要计算的扇区数/簇 Neusoft Institute of Information2005年4月20日IT Education&Training3.3 修改FAT32的DBR引导扇区中的参数（续）（3）保留扇区数：一般表示虚拟MBR占用的扇区数，一般为63（4）根目录的第一个簇 一般为2，即根目录的第一个簇也是分区的第一个簇Neusoft Institute of Inform

12、ation2005年4月20日IT Education&Training2.1 修改FAT32的DBR引导扇区中的参数FAT32分区被格式化后，在其第一个扇区（DBR中存储有FAT32分区的系统参数，如果这些参数被破坏，则FAT32分区仍然无法正常打开。在不同的FAT32分区中，DBR中的程序代码是不变的，只时参数不同而已。因此，如果要修复DBR，只需要拷贝其他的FAT32的DBR覆盖，并修改关键参数即可。Neusoft Institute of Information2005年4月20日IT Education&Training 在菜单“视图”-“模版”中选择“启动扇区FAT32”列举了这些

13、参数，其中我们需要修改的有：扇区数/簇：保留扇区数：隐藏扇区数：分区扇区数目 扇区数/FAT：根目录的第一个簇：Neusoft Institute of Information2005年4月20日IT Education&Training2.2 修改FAT32的DBR引导扇区中的参数（续）（1）保留扇区数和 扇区数目/FAT：从分区开始到 FAT的扇区都属于保留扇区，而FAT是以F8 FF FF 0F 开始的 因此从分区开始往后可以搜索到两个 F8 FF FF 0F，这两位置相减即为 FAT的大小Neusoft Institute of Information2005年4月20日IT Educ

14、ation&Training2.3 修改FAT32的DBR引导扇区中的参数（续）（2）根据FAT的大小和分区的大小 计算 扇区数/簇：首先确定这个分区的大小，由于FAT32没有明确的结束标志，可以认为下一个分区的开始之前为结束；因为FAT中的每四个字节对应管理一个簇，因此 FAT可以对应的簇的个数=FAT扇区数目*512/4 FAT对应管理的空间分区大小（单位：扇区）=簇的个数*N N=分区大小/簇的个数 且N为2的n次方 所以N就是需要计算的扇区数/簇 Neusoft Institute of Information2005年4月20日IT Education&Training2.3 修改F

15、AT32的DBR引导扇区中的参数（续）（3）保留扇区数：一般表示虚拟MBR占用的扇区数，一般为63（4）根目录的第一个簇 一般为2，即根目录的第一个簇也是分区的第一个簇Neusoft Institute of Information2005年4月20日IT Education&Training3 手动恢复NTFSNTFS的原理NTFS下如何查找文件利用WinHex手动恢复NTFS删除的文件 WinHex手动恢复NTFS的DBR Neusoft Institute of Information2005年4月20日IT Education&Training3.1 NTFS的原理NTFS的组织结构元

16、文件$MFT$BOOTNeusoft Institute of Information2005年4月20日IT Education&Training3.1 NTFS 文件系统结构分析NTFS是 新技术文件系统(NEW TECHNOLOGY FILE SYSTEM)的缩写NTFS卷在文件系统层面同NTFS系统是一致的Neusoft Institute of Information2005年4月20日IT Education&Training3.1 NTFS 的DBR对于基本分区和简单卷,NTFS的引导扇区与FAT32的引导扇区作用是相同的.Neusoft Institute of Informa

17、tion2005年4月20日IT Education&Training NTFS的引导扇区Neusoft Institute of Information2005年4月20日IT Education&Training NTFS的DBRNeusoft Institute of Information2005年4月20日IT Education&Training NTFS的DBR参数Neusoft Institute of Information2005年4月20日IT Education&Training3.1 NTFS 的元文件NTFS仍然是按簇来划分和管理磁盘空间的NTFS文件系统分区的区域

18、划分NTFS是由一系列的元文件来组织磁盘空间的Neusoft Institute of Information2005年4月20日IT Education&Training按簇来划分和管理磁盘空间 Neusoft Institute of Information2005年4月20日IT Education&TrainingNTFS文件系统分区的区域划分 Neusoft Institute of Information2005年4月20日IT Education&TrainingNTFS是由一系列的元文件来组织磁盘空间的 Neusoft Institute of Information2005年

19、4月20日IT Education&Training Neusoft Institute of Information2005年4月20日IT Education&Training Neusoft Institute of Information2005年4月20日IT Education&Training Neusoft Institute of Information2005年4月20日IT Education&Training Neusoft Institute of Information2005年4月20日IT Education&Training Neusoft Institute

20、 of Information2005年4月20日IT Education&Training3.1 NTFS 的元文件与DBR参数的关系$MFT元文件的起始簇号-DBR$MFTMirr元文件的起始簇号$boot沿文件占用0-15扇区DBR$boot$MFT15扇区0扇区$MFT元文件的起始簇号Neusoft Institute of Information2005年4月20日IT Education&Training3.1 MFT中的文件和文件夹记录 Neusoft Institute of Information2005年4月20日IT Education&Training将文件作为属性/属

21、性值的集合 Neusoft Institute of Information2005年4月20日IT Education&Training 将文件夹作为文件名和文件索引的集合 Neusoft Institute of Information2005年4月20日IT Education&Training Neusoft Institute of Information2005年4月20日IT Education&TrainingNTFS的常用属性 Neusoft Institute of Information2005年4月20日IT Education&Training3.1 常驻属性与非常驻

22、属性 Neusoft Institute of Information2005年4月20日IT Education&Training例:建立一个小文件,使其能数据属性存放在MFT中 Neusoft Institute of Information2005年4月20日IT Education&Training Neusoft Institute of Information2005年4月20日IT Education&Training目录属性 Neusoft Institute of Information2005年4月20日IT Education&Training大的文件属性 Neusoft

23、 Institute of Information2005年4月20日IT Education&Training大的目录属性 Neusoft Institute of Information2005年4月20日IT Education&Training Neusoft Institute of Information2005年4月20日IT Education&Training Neusoft Institute of Information2005年4月20日IT Education&Training3.1$MFT 文件分析 Neusoft Institute of Information2

24、005年4月20日IT Education&Training$MFT的首扇区 Neusoft Institute of Information2005年4月20日IT Education&Training Neusoft Institute of Information2005年4月20日IT Education&Training Neusoft Institute of Information2005年4月20日IT Education&Training3.1$MFT 文件分析文件记录头分析 Neusoft Institute of Information2005年4月20日IT Educa

25、tion&Training Neusoft Institute of Information2005年4月20日IT Education&Training Neusoft Institute of Information2005年4月20日IT Education&Training3.1$MFT 文件分析标准属性分析标准属性的属性头结构:标准属性的属性结构:Neusoft Institute of Information2005年4月20日IT Education&Training3.1$MFT 文件分析文件名属性分析文件名属性的属性头结构文件名属性的属性结构Neusoft Institute

26、 of Information2005年4月20日IT Education&Training3.1$MFT 文件分析数据流属性分析数据流属性的属性头结构数据流属性的属性结构举例说明$MFT和$SECURE元文件的数据流属性Neusoft Institute of Information2005年4月20日IT Education&Training3.1$MFT 文件分析位图属性分析位图属性的属性头结构Neusoft Institute of Information2005年4月20日IT Education&Training3.1 NTFS的其他元文件分析$MFTMirr$LOGFile$Vo

27、lume$AttrDel根目录$Bitmap$BootNeusoft Institute of Information2005年4月20日IT Education&Training$BadClus$Secure$UpCase$Extend$Objid$Quota$Reparse$UsnJmlNeusoft Institute of Information2005年4月20日IT Education&Training3.1 NTFS的其他元文件分析-根目录根目录属性类型描述名称0 x10标准信息标准属性0 x30文件名.0 x50安全描述符描述安全信息0 x80数据$MountMgrDataba

28、se0 x90索引根$I300 xA0索引分配$I300 xB0位图$I30Neusoft Institute of Information2005年4月20日IT Education&Training3.1 NTFS的其他元文件分析-$Bitmap属性结构类型描述名称0 x10标准信息标准属性0 x30文件名$Bitmap0 x80数据Neusoft Institute of Information2005年4月20日IT Education&Training3.1 NTFS的其他元文件分析-根目录根目录属性类型描述名称0 x10标准信息标准属性0 x30文件名.0 x50安全描述符描述安全

29、信息0 x80数据$MountMgrDatabase0 x90索引根$I300 xA0索引分配$I300 xB0位图$I30Neusoft Institute of Information2005年4月20日IT Education&Training3.1 NTFS的其他元文件分析-$Bitmap属性结构类型描述名称0 x10标准信息标准属性0 x30文件名$Bitmap0 x80数据Neusoft Institute of Information2005年4月20日IT Education&Training3.1 NTFS属性分析属性类型名称适合的操作系统0X10标准属性0X20属性列表0X

30、30文件名0X40卷版本WINDOWS NT0X40对象IDWINDOWS 20000X50安全描述符0X60卷名0X70卷信息0X80数据常用属性列表常用属性列表Neusoft Institute of Information2005年4月20日IT Education&Training 属性类型名称适合的操作系统0X90索引根0XA0索引分配0XB0位图0XC0符号连接WINDOWS NT0XC0重解析点WINDOWS 20000XD0扩展信息0XE0扩展0XF0特权设置WINDOWS NT0X100日志流WINDOWS 2000常用属性列表常用属性列表Neusoft Institute

31、of Information2005年4月20日IT Education&Training3.1 NTFS属性分析标准属性头Neusoft Institute of Information2005年4月20日IT Education&Training3.1 NTFS属性分析标准属性$STANDARD_INFORMATION(0X10)Neusoft Institute of Information2005年4月20日IT Education&Training3.1 NTFS的索引记录与目录根目录的文件索引结构Neusoft Institute of Information2005年4月20日I

32、T Education&Training 根目录在$MFT中的文件记录结构,分别分析 0X100X300X500X900XA00XB0Neusoft Institute of Information2005年4月20日IT Education&Training 索引记录的结构标准索引头索引项索引项索引项Neusoft Institute of Information2005年4月20日IT Education&Training索引项的添加与删除Neusoft Institute of Information2005年4月20日IT Education&Training3.1 可恢复损坏文件的实

33、现日志文件服务日志记录类型:更新记录和检查点记录可恢复性实现:分析扫描 重做扫描 撤消扫描日志文件$LOGFILENeusoft Institute of Information2005年4月20日IT Education&Training3.1 数据压缩 Neusoft Institute of Information2005年4月20日IT Education&Training3.1 NTFS坏簇恢复支持 Neusoft Institute of Information2005年4月20日IT Education&Training3.1 NTFS 安全性支持 Neusoft Institu

34、te of Information2005年4月20日IT Education&Training3.1 LDM管理(略)Neusoft Institute of Information2005年4月20日IT Education&Training3.2 NTFS下如何查找文件Neusoft Institute of Information2005年4月20日IT Education&Training3.3 利用WinHex手动恢复NTFS删除的文件Neusoft Institute of Information2005年4月20日IT Education&Training3.4 修改NTFS的

35、DBR引导扇区中的参数NTFS分区被格式化后，在其第一个扇区（DBR中存储有NTFS分区的系统参数，如果这些参数被破坏，则NTFS分区仍然无法正常打开。在不同的NTFS分区中，DBR中的程序代码也是基本不变的，只时参数不同而已。因此，如果要修复DBR，只需要拷贝其他的NTFS的DBR覆盖，并修改关键参数即可。Neusoft Institute of Information2005年4月20日IT Education&Training 在菜单“视图”-“模版”中选择“启动扇区NTFS”列举了这些参数，其中我们需要修改的有：扇区数/簇$MFT第一个簇$MFTMirr第一个簇分区大小（扇区数目）簇数

36、目/索引块Neusoft Institute of Information2005年4月20日IT Education&Training3.4 修改NTFS的DBR引导扇区中的参数（续）（1）计算$MFT第一个簇、簇大小 因为$MFT中存储的是文件记录，是以FILE0开始的，且第一记录就是$MFT自身的文件记录。所以从分区开始搜索 FILE0，找到$MFT的自身的文件记录Neusoft Institute of Information2005年4月20日IT Education&Training 1、文件记录头标志2、$MFT的文件名4、$MFT的第一个簇就是6AAA，大小60个簇。注意顺序，

37、而且是十六进制 3、$MFT的文件的大小，单位是字节Neusoft Institute of Information2005年4月20日IT Education&Training3.4 修改NTFS的DBR引导扇区中的参数（续）从上图中的1、2中，我们可以确定$MFT的文件记录头从上图中的4中，可以计算处$MFT的第一个簇从上图中的3、4中，可以计算簇的大小，因为3、4中给处了$MFT的字节数和簇的个数。Neusoft Institute of Information2005年4月20日IT Education&Training3.4 修改NTFS的DBR引导扇区中的参数（续）（2）确定$MFTMirr第一个簇 采用类似确定$MFT 第一个簇的方法（3）确定NTFS分区的大小 NTFS分区的结束扇区同DBR一样，可以通过搜索确定（4）簇数目/索引块 一般为2的n次方，n=1-3$MFT中的5号记录,即$Root元文件的文件记录中的90属性记录了索引块的大小(第3行的倒数第4个字节)