<?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" /> 
NTFS文件系统下的删除<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
1.文件删除
G盘用的NTFS文件系统,
在G盘下有一个文件夹typ,
typ文件夹内有一个文件夹ntfsdel和两个图片文件tupian1和tupian2. 
用WINHEX查看$MFT本身的位图属性,根据数据流属性,可转到该簇:
用WINHEX打开该盘,并转到TYP文件夹的MFT表项,如下图:
从该MFT中的属性头中的偏移0x16-17两字节中可以看到该值为0x03表示该文件为正在使用的目录,
可以从该文件名属性中偏移0X18-1F可以看出该文件的父目录参考号0x05 00 00 00 00 00 05 00,其中前4个字节表示父目录参考号,此处为0x05表示该目录为根目录,后两个字节为保留,最后两个字节为父目录更新序列号。
该MFT项中还包括索引根0x90属性:
从该0x 90属性中可以看到有3个索引项分别是:ntfsdel文件夹 , tupian1.jpg , tupian2.jpg文件.从索引项中可以看出文件夹ntfsdel的父目录参考号为0x 50 00 00 00, 该文件所在MFT的文件参考号为0x 51 00 00 00 ,tupian1.jpg 的父目录参考号为0x 50 00 00 00该文件所在MFT的文件参考号为0x 76 00 00 00, tupian2.jpg的父目录参考号为0x 50 00 00 00该文件所在MFT的文件参考号为0x 77 00 00 00.
转到MFT文件参考号tupian1  0x 76 00 00 00转十进制为118.即转到118号文件记录:
 
可以看到该MFT文件记录描述的就是tupian1.jpg文件.从属性头偏移0x16-17值为0x 01 00.表示该文件为正常的文件,该MFT包括0x10 00 00 00标准信息属性,0x30 00 00 00文件名属性,0x80 00 00 00数据流属性,从相对数据流属性偏移0x08值为0x01 表示非常驻属性,数据流运行起始偏移0x20-21值为0x40 00,所以可以看出数据流运行只有一个,簇流项内容为31 2B 47 F3 01,表示簇流起始位置为127815  (0x47 f3 01转十进制)号簇,簇流长度为43个簇.转到该文件内容起始簇号,文件起始扇区部分内容如下:
再转到0x 77 00 00 00号文件,同样的方法可以分析tupian2.jpg文件. 就不再分析,MFT项如下图,:
现在我们将文件tupian1.jpg彻底删除看各个属性的变化.
先看tupian2.jpg对应的MFT表:
可以看出偏移0x16-17字节被改为0x00 00表示删除的文件。其它无变化。再转到MFT对应的位图文件所在簇号:
0xBF转二进制为10111111,可以看出位图中的118号MFT表项由原来的使用状态变化为空闲状态,如果这时有文件写入马上就会占用该MFT表项,从而破坏原来的MFT。
删除后数据区也不会有任何变化:
2.文件夹删除
在ntfsdel文件夹下有winhex15.3文件夹,winhex15.3文件夹下有如下图文件:
先转到ntfsdel对应的MFT表项,如下图,可从0x90索引根属性中看到有一个索引项对应winhex15.3,从winhex15.3对应的索引项中可以看到winhex15.3所在的MFT的文件参考号为0x52 00 00 00.
再转到MFT的文件参考号0x52 00 00 00:

转载于:https://blog.51cto.com/taoyanping/203836

NTFS文件系统下的删除相关推荐

  1. 用Winhex手工定位NTFS文件系统下的文件

    用Winhex手工定位NTFS文件系统下的文件<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:off ...

  2. NTFS文件系统若干技术研究

    NTFS文件系统若干技术研究 作者:         Beiyu 主页:         http://beiyu.bokee.com 电子邮箱:    beiyuly@gmail.com 日期:   ...

  3. 数据恢复基础和进阶教程(四)---NTFS文件系统的特点及几种常用的数据恢复方法

    数据恢复基础和进阶教程(四)-NTFS文件系统的特点及几种常用的数据恢复方法 *在每逢年底必加班的大环境下,这两天单位比较忙,就连中午和晚上基本都不能按时休息,所以没及时更新最新的课程,抱歉.今天工作 ...

  4. 浅析NTFS 文件系统数据流安全问题

    从一个古老的漏洞谈起 人们应该还记得1998年中期发现的IIS低版本那臭名昭著的$DATA漏洞,若你对www.hackart.org站点的sheepxxy.asp文件的源代码感兴趣 只需要在浏览器中输 ...

  5. 什么是NTFS文件系统

    什么NTFS文件系统?简单的说电脑都是有文件系统的,即在存储设备上组织文件的方法.操作系统中负责管理和存储文件信息的软件机构称为文件管理系统,简称文件系统.也就是我们所说的分区.NTFS文件系统就是其 ...

  6. CentOS 7 下挂载NTFS文件系统并实行开机自动挂载

    CentOS 7 下想要挂载NTFS的文件系统该怎么办呢? 我们需要一个NTFS-3G工具,并编译它之后在mount就可以了,就这么简单. 首先要进入官网下载NTFS-3G工具 http://www. ...

  7. FAT32下和NTFS下永久性删除文件的恢复

    FAT32下和NTFS下永久性删除文件的恢复 查看文件系统类型 FAT32下永久性删除文件的恢复 NTFS下永久性删除文件的恢复 注意事项 总结 查看文件系统类型 右键磁盘点击属性,就可以看到文件系统 ...

  8. 如何编码实现NTFS格式下删除文件的恢复

    主要内容 一.NTFS系统结构原理 二.编码实现NTFS磁盘删除文件扫描 三.编码实现NTFS磁盘删除文件恢复 (编码实现的磁盘文件恢复小工具下载地址) 工具截图 第一部分 NTFS系统结构原理 NT ...

  9. redhat和ubuntu系统下挂载ntfs文件系统的方法(转载)

    1.首先确定你的linux kernel版本是什么(Redhat9.0默认的kernel版本是2.4.20-8 )  #> rpm -qa|grep kernel  会显示类式的如下信息:  k ...

  10. UNIX文件系统下误删除的数据恢复经典案例--UFS删除恢复

    •事件描述  Sun阵列柜中的一个272GB的LUN和一个1TB的LUN,在Solaris 8下格式化成UFS文件系统,由于用户的误操作,导致数据丢失,用户具体操作如下:  用oracle用户运行sh ...

最新文章

  1. 计算机二年级考试word,计算机二年级MSOffice真题.docx
  2. php jq ajax 4个下拉框联动案列,Ajax与Jquery结合数据库做出实现下拉框的二级联动...
  3. 线程安全与锁优化(思维导图)
  4. 中国LED产业园区现状模式及投资策略分析报告2022-2028年版
  5. 返回index.html页面
  6. 【渝粤教育】国家开放大学2018年春季 3780-21T燃气设备操作与维护 参考试题
  7. MySql数据库常用命令宝典
  8. mysql 自动关闭订单_php如何实现自动关闭订单
  9. mysql关联表id_mysql join联表 + id自增
  10. hadoop合并日志_Hadoop深入学习:HDFS主要流程——SNN合并fsimage和编辑日志
  11. Hadoop完全分布式集群——Hadoop 配置
  12. Day 35 年会抽奖 + 抄送列表
  13. php模拟QQ登录获得skey码,PHP模拟QQ网页版授权登陆
  14. JavaScript实现在HTML中的粒子文字特效
  15. 计算机黑屏死机,电脑死机后开机黑屏怎么办
  16. Atmel_Arduino系列引脚图大全
  17. 对标美国Lifelock公司,真我要做个人和企业身份信息保护的防火墙
  18. 名门正派的设计,与歪门邪道的产品
  19. 20岁后长高增高秘诀
  20. 解密!看蚂蚁金服智能调度技术如何优化客服中心资源调配

热门文章

  1. JPSE问题诊断指导四——hprof
  2. 在线制作ico图标 ico图标转换工具和图标网站
  3. Scala二十四点游戏
  4. python图片转换成文字_在python中将图像转换为字节文字 - python
  5. 毕业设计-基于SpringBoot体育运动场馆管理系统+开题报告-任务书等
  6. Go 依赖管理工具 Dep 的安装及配置
  7. linux系统挂载光盘镜像ISO的方法
  8. 视频会议十大开源项目排行
  9. 电风扇计算机控制系统,电脑控制型电风扇电路原理与检修
  10. ubuntu20 yarn报错