NTFS 删除过程及纯手工恢复(超详细版) 这个是我在w indow s7 操作系统中虚拟的NTFS 格式的G 盘。根目录下有一个文件夹和一个文本文档。现在我们就要把那个叫邓彦辉的文本文档删除,然后恢复。并要分析删除前和删除后磁盘内容的不同,这样使大家对 NTFS 文件系统有更加深入的理解。首先按照我上次发的《NFTS 下文件的建立超详细分析》中的方法把文件名出现过的地方记录下来,如果大家不是很理解可以去看看我在《NFTS 下文件的建立超详细分析》一文中的讲解。好的,下面我们把邓彦辉这个文本文档删除掉。下面我们在文件被删除之后逐一分析文件名出现过的扇区也就是$LOGFILE文件,索引项,以及该文件的MFT项。首先我们找到$LOGFILE看看有什么变化,具体怎么找$LOGFILE 我在《NFTS 下文件的建立超详细分析》一文中已经讲解过了,现在我们转到$LOGFILE 文件的数据流起始扇区。 在320800 号扇区找到了$LOGFILE 文件的数据流起始扇区,看到了吗,重启页的签名标志 52 53 54 52 一个页占用8 个扇区,有两个重启页,所以320816 号扇区就是记录页的起始扇区了,我们转到320816 号扇区。 这个就是记录页的起始扇区了,签名标志 5 2 4 3 5 2 4 4 。我们就要在记录页中找到邓彦辉这个文件的记录。我们搜索文件名。看看能不找到记录。 我们在 3 2 1 0 1 6 号扇区找到了邓彦辉这个文件的记录,而且看到那个签名标志了吗,证明这个记录真的是在$LOGFILE 文件的记录页中的。这个记录是一个索引项,完整的记录下了文件的MFT 号。如果文件的MFT 项没有被改变的话,我们就可以通过这里的MFT 号找到该文件的MFT 项了,进而恢复文件了。这里看到该文件的MFT 号是 23 00 00 00 也就是35 号 MFT 项。我们在找找看记录页里面还有没有记录,我们搜索文件名。 我们又在321059 号扇区找到了一个记录。 看到了吗,这个记录除了时间值和前面的记录不同之外其他的一样,这个记录是在文件删除之后才有的,也就是说$LOGFILE 文件会记录下文件的改变,这也是NTFS 文件系统具有很好的恢复性的原因,它有很多措施确保在文件以外丢失后能找回来。我们再往下找,下一个文件名出现的地方是一个MFT 项。 我们在339350 号扇区找到了该文件的MFT 项,但是这个MFT 项和以前不太一样了,看到那个划红圈的地方了吗,,00 00 说明这是一个删除了的文件的MFT 项。但是该MFT项的其他地方确实没有做改变的。这样我们就可以...
VIP
