1、NTFS 删除过程及纯手工恢复(超详细版)这个是我在 windows7 操作系统中虚拟的 NTFS 格式的 G 盘。根目录下有一个文件夹和一个文本文档。现在我们就要把那个叫邓彦辉的文本文档删除,然后恢复。并要分析删除前和删除后磁盘内容的不同,这样使大家对 NTFS 文件系统有更加深入的理解。首先按照我上次发的NFTS 下文件的建立超详细分析中的方法把文件名出现过的地方记录下来,如果大家不是很理解可以去看看我在NFTS 下文件的建立超详细分析一文中的讲解。好的,下面我们把邓彦辉这个文本文档删除掉。下面我们在文件被删除之后逐一分析文件名出现过的扇区也就是$LOGFILE 文件,索引项,以及该文件的
2、 MFT 项。首先我们找到$LOGFILE 看看有什么变化,具体怎么找$LOGFILE 我在NFTS 下文件的建立超详细分析一文中已经讲解过了,现在我们转到$LOGFILE 文件的数据流起始扇区。在 320800 号扇区找到了$LOGFILE 文件的数据流起始扇区,看到了吗,重启页的签名标志52 53 54 52 一个页占用 8 个扇区,有两个重启页,所以 320816 号扇区就是记录页的起始扇区了,我们转到 320816 号扇区。这个就是记录页的起始扇区了,签名标志 52 43 52 44。我们就要在记录页中找到邓彦辉这个文件的记录。我们搜索文件名。看看能不找到记录。我们在 321016 号
3、扇区找到了邓彦辉这个文件的记录,而且看到那个签名标志了吗,证明这个记录真的是在$LOGFILE 文件的记录页中的。这个记录是一个索引项,完整的记录下了文件的 MFT 号。如果文件的 MFT 项没有被改变的话,我们就可以通过这里的 MFT 号找到该文件的 MFT 项了,进而恢复文件了。这里看到该文件的 MFT 号是 23 00 00 00 也就是 35 号 MFT 项。我们在找找看记录页里面还有没有记录,我们搜索文件名。我们又在 321059 号扇区找到了一个记录。看到了吗,这个记录除了时间值和前面的记录不同之外其他的一样,这个记录是在文件删除之后才有的,也就是说$LOGFILE 文件会记录下文
4、件的改变,这也是 NTFS 文件系统具有很好的恢复性的原因,它有很多措施确保在文件以外丢失后能找回来。我们再往下找,下一个文件名出现的地方是一个 MFT 项。我们在 339350 号扇区找到了该文件的 MFT 项,但是这个 MFT 项和以前不太一样了,看到那个划红圈的地方了吗, ,00 00 说明这是一个删除了的文件的 MFT 项。但是该 MFT项的其他地方确实没有做改变的。这样我们就可以通过他的数据属性手工恢复文件内容了。这里给大家讲一讲怎样通过 MFT 号找到该 MFT 项所在的扇区,这个就是用$MFT 元文件所在的扇区号加上要确定文件的 MFT 号的二倍就是要找的扇区了。以我们这里出现的
5、MFT 号来讲,索引项中出现的 MFT 号是 0x 23 00 00 00 也就是 35 号 MFT,而我们这里$MFT 元文件的起始扇区号是 339280 那么 35 号 MFT 项所在的扇区就是 339280+(35*2)=339350 号扇区。这和我们通过搜索文件名找到的扇区是一样的。呵呵。 。 。 。 。 。我们再往下找找看还有没有跟文件名有关的东西, ,搜索过后发现没有了。 。这里就有一个问题了。 。我在NFTS 下文件的建立超详细分析一文中说,每个文件或者目录都有一个索引,但是这里却不见了。所以说,文件删除之后,系统把分配给它的索引项收回。我们就找不到了。好的,我们分析就分析到这里
6、了,下面我们就通过找到的文件的 MFT 项来手工恢复文件了。找到数据属性。找到数据流记录,这里是 11 05 24 具体怎么分析数据流,我在以前的教程中都有详细的讲解,大家可以在基地上找找看。这里文件的起始簇号是 36 号簇,占用 5 个簇。我们就把从36 号簇开始到 40 号簇结束的区域提取出来就是我们要恢复的文件了。怎么提取就不用我说了吧。呵呵。恢复完成。下面总结一下在 NTFS 中文件删除后的情况;1 . 文件删除后文件的 MFT 项是没有丢失的,只是做了小小的改变,但是重要的数据属性却是没有改变的。2 . 文件在$LOGFILE 文件中的记录还在,而且还多了一个。其中的记录是以索引项的结构存在的,该索引项中记录了文件的 MFT 参考号,这就给我们进行数据的恢复提供了很大的方便。多出来的记录是$LOGFILE 文件记录的文件的改变。它的时间值和原纪录不同,但是记录的 MFT 参考号和原纪录一样,这就给我们又提供了一个寻找 MFT 项的地方。3 . 文件在根目录中的索引项没有了,被系统收回了,其中记录的文件的索引项被改写了。我们也就不能通过在目录中找索引项的方法找到文件的 MFT 参考号了。就写到这里了吧,我的 QQ 415090719.
