數(shù)據(jù)恢復(fù)技術(shù)課件：恢復(fù)NTFS數(shù)據(jù)

恢復(fù)NTFS數(shù)據(jù)任務(wù)3.1恢復(fù)NTFS文件系統(tǒng)的DBR3.1.1NTFS系統(tǒng)的基本結(jié)構(gòu)0號扇區(qū)，即DBR扇區(qū)，包含分區(qū)的引導(dǎo)程序和BPB參數(shù)，如果參數(shù)破壞，則分區(qū)不能正常使用。DBR扇區(qū)后是15個扇區(qū)的NTLDR區(qū)域，DBR與NTLDR構(gòu)成$Boot文件。NTFS文件主文件表中還記錄一些非常重要的系統(tǒng)數(shù)據(jù)，這些數(shù)據(jù)被稱為元數(shù)據(jù)文件，簡稱為“元文件”，包括用于定位和恢復(fù)的數(shù)據(jù)結(jié)構(gòu)、引導(dǎo)程序數(shù)據(jù)及整個卷的分配位圖等信息。NTFS文件系統(tǒng)從0扇區(qū)開始以簇為單位對扇區(qū)進行管理，采用虛擬簇號和邏輯簇號兩種方式來管理分區(qū)。3.1.2NTFS文件系統(tǒng)DBR分析NTFS文件系統(tǒng)的引導(dǎo)扇區(qū)是$Boot的第一個扇區(qū)，稱該扇區(qū)為DBR扇區(qū)。DBR包括跳轉(zhuǎn)指令、OEM代號、BPB參數(shù)、引導(dǎo)程序和結(jié)束標(biāo)志五個部分。BPB參數(shù)是數(shù)據(jù)恢復(fù)中需要著重掌握的部分，BPB是BIOSParameterBlock的縮寫，其含義為BIOS參數(shù)塊。BPB從DBR的OBH偏移處開始，到偏移53H結(jié)束，占用73字節(jié)，記錄了文件系統(tǒng)的重要信息。3.1.2NTFS文件系統(tǒng)DBR分析字節(jié)偏移字段長度（字節(jié)）字段定義字節(jié)偏移字段長度（字節(jié)）字段定義00H~02H3跳轉(zhuǎn)指令20H~23H4NTFS未使用，為003H~0AH8OEM代號24H~27H4NTFS未使用，為800080000BH~0CH2每扇區(qū)字節(jié)數(shù)28H~2FH8扇區(qū)總數(shù)0DH~0DH1每簇扇區(qū)數(shù)30H~37H8$MFT的起始簇號0EH~0FH2保留扇區(qū)（NTFS不用）38H~3FH8$MFTMirr的起始簇號10H~11H3總是040H~40H1文件記錄的大小描述13H~13H2NTFS未使用，為041H~43H3未用15H~17H1介質(zhì)描述符44H~44H1索引緩沖的大小描述16H~19H2總是045H~47H3未用18H~1BH2每磁道扇區(qū)數(shù)48H~4FH8卷序列號1AH~1DH2磁頭數(shù)50H~53H4校驗和1CH~1FH4隱藏扇區(qū)數(shù)

表3-1NTFS文件系統(tǒng)BPB參數(shù)的含義任務(wù)3.2恢復(fù)NTFS文件系統(tǒng)中丟失的文件3.2.1文件記錄結(jié)構(gòu)分析1.NTFS文件系統(tǒng)的元文件序號元文件功能0$MFT主文件表本身，是每個文件的索引1$MFTMirr主文件表的部分鏡像，通常為前4個文件記錄的備份2$LogFile事務(wù)型日志文件3$Volume卷文件，記錄卷標(biāo)等信息4$AttrDef屬性定義列表文件5$Root根目錄文件，管理根目錄6$Bitmap位圖文件，記錄了分區(qū)中簇的使用情況7$Boot引導(dǎo)文件，記錄了用于系統(tǒng)引導(dǎo)的數(shù)據(jù)情況8$BadClus壞簇列表文件9$Secure安全文件10$UpCase大小寫字符轉(zhuǎn)換表文件11$Extendmetadatadiectory擴展元數(shù)據(jù)目錄12$Extend\$Reparse重解析點文件13$Extend\$UsnJrnl加密日志文件14$Extend\$Quota配額管理文件15$Extend\$ObjId對象ID文件在NTFS的文件系統(tǒng)中，磁盤上的所有的內(nèi)容數(shù)據(jù)全都是以文件的形式出現(xiàn)的，即使是文件系統(tǒng)的管理信息也是以一組文件的形式存儲的，統(tǒng)稱為元文件。3.2.1文件記錄結(jié)構(gòu)分析2．文件記錄整體結(jié)構(gòu)MFT以文件記錄來實現(xiàn)對文件的整體管理，每個文件記錄都對應(yīng)著不同的文件，固定是1KB，也就是一個MFT項占用兩個扇區(qū)。文件記錄是連續(xù)的，從0開始依次順序編號。表3-3文件記錄結(jié)構(gòu)表3.2.1文件記錄結(jié)構(gòu)分析2．文件記錄整體結(jié)構(gòu)MFT以文件記錄來實現(xiàn)對文件的整體管理，每個文件記錄都對應(yīng)著不同的文件，固定是1KB，也就是一個MFT項占用兩個扇區(qū)。文件記錄是連續(xù)的，從0開始依次順序編號。字節(jié)偏移字段長度（字節(jié)）字段含義00H~03H4MFT標(biāo)志，一定為字符串“FILE”04H~05H2更新序列號(UpdateSequenceNumber)的偏移06H~07H2更新序列號的大小與數(shù)組，包括第一個字節(jié)08H~0FH8日志文件序列號($LogFileSequenceNumber,LSN)10H~11H2序列號(SequenceNumber)12H~13H2硬連接數(shù)(HardLinkCount)，即有多少目錄指向該文件14H~15H2第一個屬性的偏移地址16H~17H2標(biāo)志(Flag),00H表示文件被刪除，01H表示文件正在使用，02H表示目錄被刪除，03H表示目錄正在使用18H~1BH4文件記錄的實際長度1CH~1FH4文件記錄的分配長度20H~27H8基本文件記錄中的文件索引號28H~29H2下一屬性ID,當(dāng)增加新的屬性時，將該值分配給新屬性，然后該值增加，如果MFT記錄重新使用，則將它置0，第一個實例總是02AH~2BH2邊界2CH~2FH4文件記錄參考號30H~31H2更新序列號32H~35H4更新數(shù)組表3-4NTFS文件記錄頭信息3.2.1文件記錄結(jié)構(gòu)分析2．文件記錄的屬性結(jié)構(gòu)在NTFS系統(tǒng)中所有與文件相關(guān)的信息均被認(rèn)為是屬性，例如文件名、存儲位置、文件總字節(jié)數(shù)等。文件記錄是一個與文件相對應(yīng)的文件屬性列表，它記錄了文件數(shù)據(jù)的所有屬性。圖3-10屬性結(jié)構(gòu)屬性還有常駐與非常駐之分。3.2.2文件記錄的常見屬性在NTFS文件記錄中，經(jīng)常使用的屬性有10H屬性、30H屬性、80H屬性、90H屬性、A0H屬性和B0H屬性。屬性類型含義10H標(biāo)準(zhǔn)信息20H屬性列表30H文件名40H對象ID50H安全描述符60H卷名70H版本號80H數(shù)據(jù)90H索引根A0H索引分配B0H位圖C0H重解析點D0H擴充屬性信息E0H擴展100HEFS加密1．屬性類型3.2.2文件記錄的常見屬性字節(jié)偏移字段長度（字節(jié)）字段含義00H~03H4屬性類型（10H、30H等）04H~07H4包括屬性頭在內(nèi)的本屬性的長度（字節(jié)）08H~08H1是否為常駐屬性（00表示常駐，01H表示非常駐）09H~09H1屬性名長度（0表示沒有屬性名）0AH~0BH2屬性名的開始偏移地址0CH~0DH2壓縮、加密、稀疏標(biāo)志0EH~0FH2屬性ID10H~13H4屬性體的長度（L）14H~15H2屬性體的開始偏移地址16H~16H1索引標(biāo)志17H~17H1無意義18H~L該屬性體的內(nèi)容常駐無屬性名的屬性結(jié)構(gòu)2．屬性結(jié)構(gòu)3.2.2文件記錄的常見屬性字節(jié)偏移字段長度（字節(jié)）字段含義00H~03H4屬性類型（如80H等）04H~07H4包括屬性頭在內(nèi)的本屬性的長度（字節(jié)）08H~08H1是否為常駐屬性（00表示常駐，01H表示非常駐）09H~09H1屬性名長度（0表示沒有屬性名）0AH~0BH2屬性名的開始偏移地址0CH~0DH2壓縮、加密、稀疏標(biāo)志0EH~0FH2屬性ID10H~17H8屬性體起始虛擬簇號（VCN）18H~1FH8屬性體結(jié)束虛擬簇號（VCN）20H~21H2RunList信息的偏移地址22H~23H2壓縮單位大小24H~27H4無意義28H~2FH8屬性體的分配大小30H~37H8屬性體的實際大小38H~3FH8屬性體的初始大小40H屬性的RunList信息，記錄屬性體開始的簇號、簇數(shù)等信息非常駐無屬性名的屬性結(jié)構(gòu)2．屬性結(jié)構(gòu)3.2.2文件記錄的常見屬性3．常見屬性10H屬性10H屬性是所有文件記錄或文件夾記錄都具有的屬性，它包含了文件或文件夾的基本信息。屬于常駐無屬性名的屬性。常駐屬性由屬性頭和屬性體組成。字節(jié)偏移字段長度（字節(jié)）字段含義00H~07H8文件創(chuàng)建時間08H~0FH8文件最后修改時間10H~17H8MFT修改時間18H~1FH8文件最后訪問時間20H~23H4傳統(tǒng)文件屬性24H~27H4最大版本數(shù)28H~2BH4版本數(shù)2CH~2FH4分類ID30H~33H4所有者ID34H~37H4安全ID38H~3FH8配額管理40H~47H8更新序列號常駐10H屬性體結(jié)構(gòu)3.2.2文件記錄的常見屬性3．常見屬性30H屬性30H屬性（即文件名屬性）屬于常駐無屬性名的屬性，用于存儲文件名，一般緊跟在10H屬性（標(biāo)準(zhǔn)屬性）之后。字節(jié)偏移字段長度（字節(jié)）字段含義00H~07H8父目錄的文件參考號08H~0FH8文件創(chuàng)建時間10H~17H8文件修改時間18H~1FH8MFT修改時間20H~27H8文件最后訪問時間28H~2FH8文件分配大小30H~37H8文件實際大小38H~3BH4文件標(biāo)志3CH~3FH4擴展屬性和重解析點使用40H~40H1文件名長度（字符數(shù)L）41H~41H1文件名命名空間42H2LUnicode文件名常駐30H屬性體結(jié)構(gòu)3.2.2文件記錄的常見屬性3．常見屬性80H屬性（即數(shù)據(jù)屬性），用于存儲文件的內(nèi)容。80H屬性有常駐和非常駐之分。字節(jié)偏移字段長度（字節(jié)）字段含義00H文件內(nèi)容80H屬性常駐80H屬性體結(jié)構(gòu)非常駐80H

RunList結(jié)構(gòu)3.2.3常見元文件分析1．$MFT元文件MFT以文件記錄來實現(xiàn)對文件的整體管理，每個文件記錄都對應(yīng)著不同的文件，固定是1KB，也就是一個MFT項占用兩個扇區(qū)。文件記錄是連續(xù)的，從0開始依次順序編號。2．$MFTMirr3．$Bitmap4．$Boot元文件$MFTMirr是系統(tǒng)以恢復(fù)為目的而創(chuàng)建的文件。備份文件記錄的數(shù)量則取決于NTFS卷中簇的大小。當(dāng)NTFS文件系統(tǒng)的簇小于或等于4KB時，$MFTMirr則備份前4個文件記錄。通常NTFS文件系統(tǒng)中，默認(rèn)簇的大小為4KB，所以$MFTMirr通常備份$MFT前4個文件