NTFS分区结构及图片文档结构

NTFS挖数据

需要找到它的主MFT

主MFT的起始扇区=主MFT起始簇*簇大小（找ID为5的扇区MFT）看倒数8个字节

31 01 0E 00 02 根目录起始簇

所占用了一个簇

NTFS文本用了一个簇（wn编码）到文件名后向上扩选6行，查看第一个字节.

如果第一个字节为30，那么就回到MFT中搜索（注：要将十六进制）然后用这个这个数值*2+主MFT开始簇

在80属性中提取文件（NFT起始扇区，次MFT扇区）

大文件看结束8个字节

数据区的簇*没簇扇区数=数据区的置（alt+1）

数据区的簇大小*每簇扇区数=数据大小

（注：在硬盘中都要+2048）

有乱或证明有文件

文本查找】

05表项描述A0

分区中都是从2048开始的也就是要加上隐藏扇区数

主MFT 0A表项大写字符 80属性

记录大写字符的（簇）大小和（簇）位置
大写字符的（簇）大小

大写字符的结束是根目录的开始

二次异或题：先判断在解题先添加在 XOR（一般来说）

一次异或题：一般情况下是X0R左移，右移，反转，反转字节顺序2个字节或4个（一般来说不准）

一次异或：贴加-4（如果说呀它做了4那么我们就要选择-4，也就是说要与它相反）

图片分析：

GIF：文件头：47 49 46 38 39 61

分辨率：位置：偏移：06～09填分辨率

文件尾：00 3B

分辨率不要也可以

考点：20 偏移：20 21偏移 30D

一般来说只破坏一个扇区中的数据

Png图片：

文件头：89 50 4E 47

文件尾：00 00 49 45 4E 44

分辨率位置12~17

一般来说；扫不出来文件的情况是根目录被破坏或被异或了

考中间与前面考分辨率考开头

Tif图片：

文件头：49 49 2A

文件尾：是校验码

分辨率

考偏移量：

搜00 FE将它们的偏移地址填到偏移04～07位置（十进制）

Jpg图片：考分辨率考碎片

实案分析：FF CO FF CI FF C2 (段标记)（一般是FF）

段长度有11个字节 FF C4 FF CO

Bmp图片：文件头：42 4D F6

FF C0 00 11 08

FF 0A 00 0C 03 01 00 02

Rtf文档：

文件头：7B 5C 72 74 66 31

文件尾：7D

文档修复：

异或的情况下要记关键词

Txt文档异或：一般txt文档最后面为00也就是说可能会是xor

Doc修复：Root破坏

搜52 00 6F 00 6F 00 74 (512=0)找Root

Xls文档：

文件头：D0 CF 11 E0 A1 B1 1A E1

考点1：第一个扇区的通用符针对文件所在

考点2：第二个扇区开头

09 08（固定）

Xls的数据区在中间

复合文档：

2C：MSAT表项总数

3CSSAT起始文档扇区（-2不存在）

48：目录流起始扇区

64：SSAT所占扇区数

注意链接关系FF FD 不知道

Rtf文档：它是doc的另存为

文件头：7B 5C 72 74 66 31

文件尾：

Xlsx 考点：50 4B后的24个字节

文件头：50 4B

文件尾：FF 03

可能会给你异或，必须要知道

压缩包

50 4B每一节注意它的后面2~8个字节

50 4B 03 04 14

修复好后如果还不行那么是依靠压缩包软件自行修复

Rar压缩包

考点：偏移：19~1E(1B~1E)

文件头：52 61 72

文件尾：C4 3D 7B 00 40 07 00

偏移：19~1A文件大小

偏移：1C~1E压缩大小

Ptf：

文件头：25 50 44 46

考点：在偏移(19~2C)

也可以直接挖空中间的数据

BMP图片结构：

424D 5A 00 00 00 00 00 0036 00 00 00 28 00

固定文件大小 DIB数据在文件中的偏移量

Jpg图片结构：

FF 每个新段的开始

FF D8 文件头 FF D9文件尾

FF C0 帧开始（标准JPG）

FF C1 同上FF C4定义Huffman表扫描行开始

FF DA 扫描行开始

FF DB 定义量化表

FF DD 定义重新间隔

FF E0 定义交换格式和图像识别信息

FF FE 注释

FF C0 00 01 08 固定

FF DA 00 0C 03 01 00 0C 11 固定

FF D8 00 43 固定

FF D9 在jpg图片中只能有一个，如果有一至两个多余的，那么造成图片只打开直接打不开。

FF D8 FF E0 00 10 4A 46 49 46 00 01 01 00 06

文件头段标记段长度 jfji的Ascll码主次

FF C0 00 11 08

这后面的4个字节是分辨率

如果图片能打开，但无法读取图片中的数据，那么表明图片的分辨率被调小了或被调大了。

（注：是最后一个FF C0是调分辨率的）

PNG图片：

文件头：89 50 4E 47 0D 0A 1A 0A 固定

偏移：08~0B 文件头的数据长度

偏移：0C~0F 数据块类型标志

偏移：10~13 图像的宽度

偏移：14~17图像的高度

偏移：21~24 物理像素尺寸数据块的长度

偏移：25~28 数据块类型标志

偏移：29~2C X轴上每米像素的数量

偏移：2D~30 Y轴上每米像素的数量

偏移：41 固定

偏移：32~35 CRC 值

偏移：36~39 ICCP 数据块长度

偏移：3A~3D据块类型标志

偏移：3E~50 配置文件名，长度1~79个字节，以0作为终止符的字符串

偏移：54 表示deflate压缩

偏移：55~A8E 压缩的配置文件，解码时间

偏移：A8F~A92 gama数据块长度

偏移：A93~A96数据块类型标志

偏移：A97~A9A gamma 校验信息

偏移：A9B~A9E CRC 值

偏移：A9F~AA2 CHRM 数据块的长度

偏移：AA3~AA6 数据块类型标志

偏移：AA7~AAA 白色点X轴坐标

偏移：AAB~AAE 白色点y轴坐标

偏移：AAF~AB2 红X坐标

偏移：AB3~A86 红Y坐标

偏移：AB7~ABA 绿X坐标

偏移：ABB~ABE 绿Y坐标

偏移：ABF~AC2 蓝X坐标

偏移：AC3~AC6 蓝Y坐标

偏移：AC7~ACA CRC值

偏移：ACB~ACEPLTE数据块长度

偏移：ACF~AD2 数据块标志

偏移：DD7~DDA TRNS数据块长度

偏移：DPB~DPE TRNS 数据块标志

偏移：EE3~EE6 IDAT数据块长度

偏移：EE7~EEA 数据块类型标志

偏移：4C42~4C45 IEND数据块长度

偏移：4C46~4C49 IEND数据块标志

EXT文件系统格式

在0号山区中U启盘分区表中偏移1C0~1C5要填超级块：0X38：53EF（搜索53EF=512=56） 2x2=4

0x04：总块数：8638463917 2x3=16

0x18：块大小：描述2n次方x1024

根目录 lost：6C 6F 73 74 接找根目录

根目录：02 00 00 00 0C 00 01 02 偏移：512=6

子目录：0B 00 00 00 0C 0001 02 （偏移：512=6）搜它可以

DBR向下走两个扇区

总块数x8=总容量.然后再搜！00就可以搜索到下一个

分区偏移：04~07是总块数搜目录：搜0102偏移：512=6

搜6c 67 73 44 也可以找

大写字符减8等于根目录（一般来说根目录在大写字符上面）

在找数据的时候注意到判断1到2的数据看一下是不是链接，如果是那么算为一个（xlsx）提取xlsx 搜50 4B

如果要提取

xlsx那么就搜

2、xlsx的起始再向上搜索50 4B文件尾 Alt+2选中尾部至新文件

EXT2结构

超级块：0x38：签名 53 EF

块组0

块组1

块组2

…………

块组N

超级块

块组描述表

i-节点位图

数据块

0—1号扇区存储引导程序或者保留不用

搜索53 EF偏移：512=56

DBR向下两个扇区：

04~07文件系统总块数

188~1B块大小

0x03：i节点总数：43193192

0x04：总块数：863846391

0x14：第一个数据块0

0x18：块大小：描述值2N次方x1024/512

0x20：每块组包含的块数 32768

0x28：每块组包含的i节点数 16384

0x58：i节点大小：128

0x5A：当前超级快所在块组 0

文件系统总块组=863846391/32768+1

一、总块数x块大小+2048=总容量

二、块组描述符：2048+8=4096超级块大小字节，每块8个扇区

0号块：

0x0：该块组的块位图起始块号 1

0x4：该块组的i节点位图起始块号2

0x8：该块组的i节点表起始块号3

0x0c：该块组的空闲块数31219

0x0E：该块组的空闲i节点数8179

0x10：该块组的目录总数2

1号块：

0x20：该块组的块位图起始块号32770

0x24：该块组的i节点表起始块号32772

0x2c：该块组看空闲块数14323

0x2E：该块组的空闲块数i节点数14062

0x30：该块组的目录总数

A481 下面是目录区

三、2号i节点，根目录 lost：6C 6F 73 74（第二步:读取根目录；节点表

根目录：02 00 00 00 0C 00 01 02（512=6）

子目录：0B 00 00 00 0C 00 01 02 (512=6)

1、0x80：文件类型8=正常文件；4=目录

2、0x9A：硬盘链接数21

3、0XA8：直接块指针514

1、0x2068：i节点号 195841

2、2x2070：文件名xx

（195841-1）/16320=12

（读取xx子目录的i节点）

五、子目录的i节点

1、0x2028：直接块指针1#426294

（读取xx文件下的目录）

五、文件的目录项

1、0x2034：i节点号 312100

2、0x11A8：直接块指针#1 633539

RAR

52 61 72 21 1A 27 00 CF 90 73 00 00 0D 00 00 00

校验值头类型位标记文件头大小保留1

00 00 00 00 9D D1 74 20 82 2C 00 19 00 00 00 19

保留2 文件头位标记文件头大小文件压缩大小

20 00 00 00

文件属性

NTFS挖数据

跳到MFT，然后查找文本，再将要查找的文件名输入查找文本里面向搜索。
搜索到后看80属性，看80属性中的起始簇号与数据大小。（注：看起始簇后面三个字节，前面一个是文件大小）（簇大小x文件簇+2048）
找到后提取数据，再搜文件尾，注意判断。（注：如果已经到文件尾部的话，那么下一个扇区全是00；如果还没到，那么下一个扇区还有数据，也就是说在搜文件尾时，必须要搜到数据区尾部的下一个扇区全是0才行。

NTFS找根目录：

1、从下向上找，搜非0（！00）因为在NTFS中根目录可能会在数据区后面

2、从上向下搜，也就是搜非0（！00）（注意判断根目录是否被运算过），不管什么，只要有数据，就一定有根目录，只不过有些被异或或者被偏移，。

NTFS DBR参数：

当系统提示格式化时要注意DBR参数
在计算DBR参数时一定要注意MFT的真假

（注：从0号扇区向下搜!00或46494C45）应为有些MFT可能是迷惑的有是被异或过的所以注意判断，搜!00比较好

NTFS DBR 重建：

一般来说磁盘显示未分配状态，可能是应为真正的DBR被清零，而备份DBR参数被修改或被清零。

将备份DBR复制到真正DBR然后再将计算的DBR参数填入到相应的位置就可以了。（注：一般来说备份DBR在最后一个扇区；针对于一个分区的时候）

NTFS MBR分区表（DBR）

系统提示格式化时，也有可能是DBR被偏移到其他地方了，又或者分区表中表示DBR表示错了。（注意：在NTFS中DBR的位置都在bootMGR上面一个扇区；如果DBR偏移到了其他扇区，那么就将DBR移到BOOTMGR上一个扇区位置就行了；如果DBR就在BOOTMGR上一个扇区中，，那么可能就是分区表中DBR所在扇区表示错，将它填回来就可以了）。先看DBR所在位置再看分区表

FAT32误克隆：

一般来说只要他分过区，那么就是DBR的存在，那么既然有DBR就可以扫出只不过是时间问题。（注意要有耐心）

NTFS误克隆

NTFS挖数据：

在NTFS文件系统中数据区可能就在根目录上面或者下面。
MFT一定会在根目录下面所以向下搜46494C45就好了。
先找根目录再找MFT表，找到MFT表后向下搜文件数据区的MFT

Winhex快捷键：

常用：

F1：帮助 ALT+回车：文件属性

F2:分析文件 ALT+Q：关闭全部 F3：继续搜索

F4：继续全局搜索 ALT+F4:退出

F5常规设置 alt+F5数据解析器

Shift+F5：查看器程序 Ctrl+F5：目录浏览器

F6：编辑模式 F7：仅显示文本 alt+F7仅显示16进制

F8：16进制转换器 alt+F8：计算器 F9：打开磁盘

Alt+F9：打开RAM F10:获取磁盘快照

Alt+F10：同步搜索 F12：备份管理器

Ctrl+A：全选 Ctrl+O：打开 Ctrl+S：保存

Alt+S：制作备份复制 Ctrl+E：执行 Ctrl+P：打印

Alt+F4：退出 Ctrl+Z:撤销 Ctrl+X：剪切 Ctrl+A：全选

Ctrl+R：转换 Ctrl+T：修改数据 Ctrl+L：填充文件

复制：

Ctrl+C：正常； Ctrl+shift+N：位置新文件；

Ctrl+shift+C：十六进制数；alt+shift+C：编辑器显示。

Ctrl+V：粘贴；Ctrl+B：写入

EXFAT:

40~43 DBR位置 EXFAT重要参数

48~4B DBR分区大小

6D 簇大小

一般来说EXFAT文件系统的DBR都在2048扇区开始，如果没有在2048扇区，那么就算将MBR的分区表填好，分区虽然可以在WinHex中打开，但在外部分区是无法打开的需要将被偏移的DBR复制到DBR真正的扇区就好了。

（EXFATDBR比较特殊）

EXFAT挖数据：

看目录项： co偏移：14~17起始簇

偏移：18~1B字节大小

根目录=大写字符开始+每簇扇区数

起始簇减2号簇*每簇扇区数+根目录起始扇区。

Rtf文档：

件基本属性：

{＼rtf1（RTF版本）＼ansi（字符集）＼ansicpg36（简体中文）＼deffo（默认字体0）＼deflang1033（美国英语）＼defangfe2052（中国汉语）

字体表：

{＼fonttbl {fo（字体0）＼fmodern＼fprq6（字体间距为6）＼fcharset134（GB2312国标码）＼‘cb＼’测＼‘cc＼’e5（宋体）；} }

③生成信息：

{＼*＼generator msfted it 5.14.21 2500；}

文档属性：

Viewkind4（正常视图）＼ucl（单字节）＼pard（默认段落属性）＼lang2052（中国汉语）＼f0（字体0）＼fs20（字体大小20磅）

正文文本：

Hell world！＼par（段落标记）

}（文件结束）

扫描：

在扫描的时候，注意启动与结束，也就是说开始与结束
注意判断数据在前面或者是在中间再或者是后面一定要注意这三个间断，以便节省时间
只要有数据就能扫描出来，除非被异或了

Rtf文档或doc转换成rtf：

将doc转换成rtf后用字板的方式打开
（注:这是在打不开文档的情况下

引导块逻辑块位图（i节点）（第7个）一个U盘

超级块 i节点位图数据区

到0扇区向下搜非0（！00）
搜索到第一个节点，（1号i节点主要用来分析下一个节点的）
从超级块的起始位置偏移扇区或字节(十进制的扇区) （块大小X8=分区表起始（超级块）

偏移后找到根目录i节点，

两个0B i节点的中间是子i节点（有个i字符）

（第二个i节点也就是根目录）

0Bi节点左移后：

0Bi节点右移后：

找到子i节点后x8，计算出后再回到2048（也就是DBR所在）转到偏移量将计算的数值转到该扇区中去（十进制）

（不计算也行，搜也行，不过以防万一根目录被异或）

转到后是根目录

EXT挖数据：

在根目录下的文件目录项中从偏移0C~13看0C起始簇(N-1)x256) （目录项上一个到下一个目录项）

回到i节点表跳转

计算后将结果填到转到偏移量（字节十进制）（将起始簇x簇大小）
转到后是数据节点（注：转到的节点，是另一个数据的，我们需要向下数3个看28~2B位置）
将该数据数值复制，再回到超级块的起始位置再进行跳转。（十进制的扇区）

苹果系统DBR: （在做苹果系统要将数据变成big）

计算哈希值 32 bit 必须要选中全部十六进制才能准确计算出哈希值

苹果系统头：48 2B

偏移：28~2B是块大小

块大小/512

偏移：2C~2F 总块数

用块大小/512

0x30：空闲块数

编目录：FF 01 偏移：512=8

索引节点：00 02 偏移：512=8

每五个一个表格

通过卷标找编目录

I节点大小/512等于扇区

I节点大小20~21（仅限当前i节点所在）

也可以直接搜文本

从文件名后面数88个字节是数据大小

Rtf文档的内容可以在尾后直接看内容

JPG图片和苹果系统，在数据解释器需要调成（Big Endian）不然数值是错误的

Ghost：

文件头：4D 5A 90

文件尾：00 00 00

不可能全部完成有可能存在死题

A:病毒破坏有三个分区，根目录有真有假

B：注意USB插口相对应，Bi0S注意要设置，不然可能会装不进去系统

C:目录区 EXT4或EXT 要搞清楚它目录区的结构与i节点

D：jpg图片碎片用后面的尾与头来组合：FF D8

修复卷标搞坏 FF D9

E：误克隆扫描

B：如果U盘分区打不开：

方法1：将U盘的里面的数据备份出来，然后再将U盘格式化.

B：可能全盘偏移：

解决方法：将盘镜像出来，启动扇区填该盘被偏移的扇区到结束.

然后再将镜像镜像到U盘中与0号扇区对齐.

U盘启动：0号扇区结束标志，“55 AA”

80 01

01 00 07 FE FF FF

U启动：偏移：1A填当前所在扇区

1~63号扇区相当于相互备份

偏移：1C6~1C9

(个的数值要加复制的扇区)

U启动：最后两个字节是有规律的

例：在63号扇区复制的，那么就要用偏移：1C6~1C9加63.

Jpg：考点：分辨率;通用字符

Gif：考点：分辨率；碎片

Bmp：考点：文件大小

Tif：考点：偏移量（为考过）可能会考！

Doc的另存为是rtf

Doc；docx；xls；xlsx；rtf；pdf；txt；zip；rar；

txt可以直接按F7看数据

jpg：考点：碎片

文件头：FF D8

文件尾：FF D9

段标记：FF E0

段标记后面紧跟着的是段长度（2个字节）

FF C0；FF C1; FF C2（三个段位）

各别软件做出来是FF C1

FF C0 后面紧跟这的是段长度（两个字节）

第一段：FF E0 （段标记）后面紧跟着段长度（16）

第二段：FF DB （段标记）后面紧跟着段长度（67）

第三段：FF DB （段标记）后面紧跟着段长度（67）

第四段：FF C0；FF C1;FF C2（段标记）后面紧跟着段长度（17）以上都看两个字节

NTFS分区结构及图片文档结构相关推荐

html语言文档结构,HTML的文档结构与语法（一）
一.走进Web开发 Web运行的原理: 二.HTML 1.1什么是html HTML是用来描述网页的一种语言 HTML指的是超文本标记语言(Hyper Text Markup Language) 超文 ...
HTML5文档结构主体结构语义结构,html5组织文档结构.pdf
html5组织文档结构 1 / 10 html5 组织文档结构文档部分,即 body 部分,包含了访问者可以看到的内容.传统的 HTML 文档通常通过 div 元素来组织文档结构,再配上适当的样式 ...
HTML的简介、文档结构及基本标记
HTML的简介 HTML是英文 HyperText Markup Language 的缩写,它的意思是"超文本标记语言",用它编写出文档的文件的扩展名是".html&qu ...
html格式文档结构保存数据库6,freeCAD文档结构
一个freecad文档包含了你场景中的所有物体.它可以包含组及任何工作平台制造的物体.你可以切换工作台,但是它仍然工作在同一个文档上.当您保存您的工作时,该文件就被保存到磁盘上.你可以同时打开多个fr ...
LaTex自用学习笔记(为论文与数学建模排版准备)——涉及字体、符号、文档结构、插入图片、插入表格、图表浮动、数学公式、矩阵等
目录简介字体的设置符号使用情境文档结构插图 1.插图的方法 2.图片的参数插入表格图表的浮动体环境数学公式矩阵自定义命令或环境 1.\newcommand和\renewcomman ...
【Win 10应用开发】Adaptive磁贴模板的XML文档结构
原文:[Win 10应用开发]Adaptive磁贴模板的XML文档结构在若干天之前,老周给大家讲了Adaptive Toast通知的XML模板,所以相应地,今天老周给大家介绍一下Adaptive磁贴 ...
ooXMLAgile Encryption(一)文档结构
经过Agile Encryption加密后的Office07文档不再是一个zip包,而是一个复合文档.其复合文档结构类似这样: 注:图片里绿色的是storage 白色的是stream ...
官网案例文档结构-kera学习笔记三
下载网址:https://github.com/keras-team/keras Keras开发包文件目录 Keras实例文件目录 keras-master 文档结构框架 ├─.github ├─do ...
Win 10 开发中Adaptive磁贴模板的XML文档结构，Win10 应用开发中自适应Toast通知的XML文档结构...
分享两篇Win 10应用开发的XML文档结构:Win 10 开发中Adaptive磁贴模板的XML文档结构,Win10 应用开发中自适应Toast通知的XML文档结构. Win 10 开发中Adapt ...

NTFS分区结构及图片文档结构

NTFS分区结构及图片文档结构相关推荐

最新文章

热门文章