实验名称:NTFS删除及恢复分析
一、 实验目的
通过对NTFS文件系统的学习,掌握NTFS的组成,能对其文件记录结构进行分析,知道在WinHex中怎样寻找文件记录MFT,分析MFT的10,30,80H等的属性,学会在根目录寻找硬盘中纯如文件对应的文件记录。并且能够通过掌握的知识能够成功的对已经彻底删除的文件进行恢复。
二、 实验内容
1、在winhex中对虚拟硬盘中的数据进行分析,找出文件“SWK.jpg”的MFT、数据区等信息;
2、将文件“SWK.jpg”删除,观察磁盘中的数据会出现什么变化;
3、利用NTFS数据恢复的原理,将删除的文件“SWK.jpg”恢复到其他的磁盘当中;
三、 实验操作步骤及截图
1、 在电脑上虚拟一个硬盘并对其进行分区,分区为NTFS文件系统,创建一个图片命名为SWK.jpg保存到虚拟硬盘的系统分区。

2、 用WinHex打开虚拟的硬盘,找到对应的分区并打开。

也可以发现在打开的分区1中的文件名里,SWK.jpg文件在其中

3、 转到5号MFT项,5号MFT项中对应的是Root文件目录项,Root文件目录项,Root文件目录项,Root文件是根目录文件。所以可以通过5号MFT查找根目录所在位置(我们是通过根目录才能查找到分区中所有文件所对应的文件记录)。

分析图表所在位置的数据(Run List结构)

31 01 11 AF 00 00 00 00
前面的31压缩字节,及后面3个字节为Data Run的起始簇号,1为对应31后面的1个字节01,表示该数据占用一个簇。11 AF 00即00 AF 11转为10进制为44817,即起始簇号为44817号簇,转到44817号簇。为根目录所在簇。
4、 在根目录中找到存储文件对应的信息,可找到文件所对应的文件记录号。23H即35号文件记录

5、转到35号文件记录,因为这是个短目录文件,故全部存储在80H中•

6、 分析80H可以找到文件数据所在位置(80H表示数据属性)

31 10 53 A8 00 00 00 00
A853H即43091为SWK文件的起始簇号,F7 AD表示文件大小
如下图为文件数据

7、 彻底删除文件更新快照,会发现根目录的头变为了00即MFT编号清空

文件对应的文件记录,数据区位置没有变化(没有被清空)

8、转到数据位置,选块开始,选块结束,转到的偏移地址为F7AD

9、 右键编辑复制选快置入新文件

10、放入到系统盘中,命名为hf.jpg

11、查看软件盘可发现图片文件恢复成功

NTFS删除及恢复分析相关推荐

  1. 090621 NTFS删除的恢复

    今天早上趁家人没做好饭,我没意思打开winhex又开始着么ntfs,着么一下ntfs删除在原盘还原,然后成功了,顺便又做了一个批量修改的winhex脚本!不说了吃饭去! 转载于:https://blo ...

  2. 行车记录仪数据删除如何恢复?

    10月,公安部交通管理局权威发布,截至2018年9月,全国机动车保有量达3.22亿辆:机动车驾驶人达4.03亿人.随着机动车和驾驶人数量的增加,交通事故和机动车交通事故责任纠纷案件也在逐年上涨. 部分 ...

  3. 技术揭秘之详解回收站删除文件恢复

    |=------------------------------------------------------------------------=| |=--------------=[技术揭秘之 ...

  4. 为什么NTFS删除超过4G大文件或数据库文件后FILE RECORD大小表现为0

    为什么NTFS删除超过4G大文件或数据库文件后FILE RECORD大小表现为0? 答:NTFS删除一个文件,必须要完成如下几个流程,才算完结: 1.更改文件系统$bitmap,释放空间 2.更改$m ...

  5. FAT32文件删除与恢复

    实验名称:FAT32文件删除与恢复 一. 实验目的 掌握文件的删除与恢复操作,并分析FAT.FDT.DATA的变化. 二. 实验内容 根目录下新建一图片文件(以自己名字首字母命名),shift + D ...

  6. sql数据删除后恢复

    sql数据删除后恢复 不小心把客户那边的数据库中删了一千多条数据,之前又没有备份,很郁闷,后来在网上找到一工具(Log Explorer),让我躲过一劫. 首先看一下界面:输入服务器地址,用户名及密码 ...

  7. 安卓微信本地数据库解密与删除聊天记录恢复完全教程

    安卓微信本地数据库解密与删除聊天记录恢复完全教程 前言 正文 经验回顾 新的问题 解决华为旧备份数据导出问题 解密索引数据库 先要解密微信消息库 解密索引库 从索引库恢复被删除的消息 总结 [原创内容 ...

  8. SDII服务器恢复系统,SDII 9000超级鹰眼服务器视频恢复分析系统

    SDII 9000超级鹰眼服务器视频恢复分析系统主要功能: 采用一体工控机设计,带独立15寸显示屏及键盘输入设备 全中文界面,模块化智能输入操作设计 内置I7四核处理器,DDR8G内存,1T硬盘存储 ...

  9. Linux意外之rpm的删除与恢复

    背景:在我们刚学习Linux时,总会有各种各样的意外操作,当出现意外时我们该如何应对?本文介绍下,当误删除rpm后如何恢复正常. rpm命令在Linux相当重要,没有它你也就只能使用源码包安装方法安装 ...

最新文章

  1. php while 存钱,php趣味编程 -php存钱的问题
  2. 百度发的208亿春晚红包,靠这样的技术送到了你手上 | 解读
  3. 软件测试中排错的基本方法
  4. SpringSecurity 案例之创建资源服务器准备工作
  5. SAP Spartacus Customizing CMS Components
  6. java学习笔记 --- 多线程(多线程的控制)
  7. java 认证和授权_SpringSecurity一:认证和授权
  8. 泡沫下的破浪者,智能语音产品到底落地何处?
  9. pyqt5 界面切换
  10. C#三层架构详细解剖
  11. GO语言开发天天生鲜项目第四天 商品后台管理
  12. ios 音高测试软件,‎App Store 上的“固定音高训练”
  13. Disturbed People CodeForces - 1077B
  14. Django 学习小组:博客开发实战第二周教程 —— 实现博客详情页面和分类页面
  15. Python学习笔记第二十九天(N维数组(ndarray))
  16. 最简单的http文件服务器
  17. 单片机是指把组成微型计算机的各功能部件即,单片机结题报告.doc
  18. Android实战简易教程-第六十枪(分享一个城市选择功能模块)
  19. mysql 全局权限_mysql的大局权限GLOBAL PRIVILEGES
  20. 华为实验13-SMart Link和Monitor link

热门文章

  1. JAVAWEB常用测试浏览器
  2. 在高德地图中获取鼠标点击的经纬度
  3. 华硕笔记本升级固态SSD过程
  4. 42张动图带你走进神奇的物理世界,超震撼!
  5. [JAVA]百度官方IP查询定位
  6. android studio一个好看的字体设置
  7. FC总线基础知识(2)——光纤交换机
  8. android 删除一个工程,Android Studio该怎样删除项目?
  9. 华为怎么显示返回按键_华为怎么把返回那三个键调出来
  10. 计算机视觉论文-2021-07-12