windows NTFS文件系统手动数据恢复

 winhex：链接：https://pan.baidu.com/s/1PERs1m0pnARBG9Yxi96zFg 
                提取码：j38f

6.3.1 NTFS(常驻80与非常驻)文件和目录文件恢复

创建8G NTFS磁盘 如图60

                                                图60    创建8G磁盘

复制文件ssss.doc，angs.txt，666目录文件 如图60，61，62

                                        图60    ssss.doc hash 值

                                        图61    hash 值

                                                图62  hash值

分析ntfs文件系统

元文件	功能
$MFT	主文件表本身，是每个文件的索引
$MFTMIirr	主文件表的部分镜像
$LogFile	事务型日志文件
$Volume	卷文件，记录卷标等信息
$AttrDef	属性定义列表文件
$Root	根目录文件，管理根目录
$Bitmap	位图文件，记录了分区中簇的使用情况
$Boot	引导文件，记录用于系统引导的数据情况
$BadClus	坏簇列表
$Quota (NTFS4)	在早期的Windows NT系统中此文件为磁盘配额信息
$Secure	安全文件
$UpCase	大小写字符转换表文件
$Extend metadata directory	扩展元数据目录
$Extend$Reparse	重解析点文件
$Extend\$UsnJml	加密日志文件
$Extend$Quota	配额管理文件
$Extend$ObjId	对象ID文件

                                               ntfs文件系统

非常驻80属性，完全删除ssss.doc文件 如图63

 

                                图63    查看$MFT  文件索引

在NTFS文件系统中，磁盘上的所有数据都是以文件的形式存储，包括元文件。每个文件都有一个或多个文件记录，每个文件记录占用两个扇区，$MFT 元文件就是专门记录每个文件的文件记录。由于NTFS文件系统是通过$MFT来确定文件在磁盘上的位置以及文件的属性，$MFT的起始位置在DBR中有描述。$MFT的文件记录在物理上是连续的，并且从0开始编号。$MFT的前16个文件记录总是元文件的，并且顺序是固定不变的。

80H属性是文件数据属性，该属性容纳着文件的内容，文件的大小一般指的就是未命名数据流的大小。该属性没有最大最小限制，最小情况是该属性为常驻属性。

Run List：当属性不能存放完数据，系统就会在NTFS数据区域开辟一个空间存放，这个区域是以簇为单位的。Run List就是记录这个数据区域的起始簇号和大小。

例如：Run List的值为“32 CC 26 00 00 0C”，因为后面是00H。如何解析这个Run List呢？ 第一个字节是压缩字节，高位和低位相加，3 + 2 = 5，表示这个Data Run信息占用五个字节，其中高位表示起始簇号占用多少个字节，低位表示大小占用的字节数。在这里，起始簇号占用3个字节，值为0C 00 00，大小占用2个字节，值为26 CC。解析后，得到这个数据流起始簇号为C0000，大小为9932簇。如图64

                                                图64  数据流

由图可知：

38 00 00 00中38 00 01 00 表示未删除，00表示完全删除

80属性01表示非常驻属性

文件大小：00 CA 02 00  182784字节 占用扇区=182784/512=357

数据流: 31 2D 1E EA 0B 

起始簇号： 780830 占用三个字节：1E EA 0B

大小占用：2D 转化45簇

起始扇区：780830*8=6246640 扇区

结束扇区：624660+357=6246997扇区

复制起始扇区到结束扇区的十六进制数值，导出成文件如图65

                                                图65   导出s.doc

对比查看hash值如图66

                                                图66  对比hash值

80 常驻属性 angs.txt 如图67

由图可知这是常驻的80属性，非常驻的80H属性与常驻80H属性不一样，在标准属性头后面是该文件的内容文件的内容存储在另-个地方,占用MFT以外的空间。80H属性的第一个数据流也就是文件真正的数据由DATA Run来记录其属性体即文件数据的具体地址

  

                                                图67    常驻80 文件

常驻80属性

80H属性的第一个数据流也就是文件真正的数据

复制文件的数据流导出文件，查看hash值，如图68

                                        图68 对比hash值

目录下文件恢复

查看$MFT文件 如图69

                                        图69  目录文件夹

查看目录下文件 如图70

                                                图70    gg.jpg文件

文件大小：B6 14 00 00  5203字节 占用扇区=5203/512=10数据流: 31 02 4B EA 0B

起始簇号： 780875 占用三个字节4B EA 0B

大小占用：02 转化2簇

起始扇区：780875*8=6247000 扇区

结束扇区：6247000+10=6247010扇区

复制起始扇区到结束扇区的十六进制，导出文件如图71

                                                        图71 导出文件

对比hash值 如图72

                                        图 72 对比hash值

6.3.2  NTFS视频大文件恢复

复制科技.mp4文件到E盘，查看hash值 如图73

                                        图73     科技.mp4  hash值

完全删除文件科技.mp4 如图74

      

                                                        图74 删除视频

查看$MFT文件，如图75

    

                                        图75    科技.mp4 相关信息

文件大小：37 98 C6 0D 231118903字节

占用扇区=231118903/512≈452405

数据流: 13 6A DC 00 2D

起始簇号： 45 占用一个字节2D

大小占用：6A DC 00  转化56426簇

起始扇区：45*8=360 扇区

结束扇区：360+452405=451764扇区

复制起始扇区到结束扇区的十六进制，导出文件如图76

                                        图76 导出恢复视频文件

查询kj.mp4文件hash值 如图77

                                                图77 对比hash值