数据恢复基础和进阶教程（四）---NTFS文件系统的特点及几种常用的数据恢复方法

数据恢复基础和进阶教程（四）—NTFS文件系统的特点及几种常用的数据恢复方法

*在每逢年底必加班的大环境下，这两天单位比较忙，就连中午和晚上基本都不能按时休息，所以没及时更新最新的课程，抱歉。今天工作上遇到很多问题，突然觉得，有些看起来很水的概念性的东西，如果不加反复了解和记忆，会遇到很多问题无从下手，所以思前想后，觉得还是把一些概念性的东西分享给大家，对以后的实际操作肯定会有一定帮助，话不多说，开始分享。

一、NTFS文件系统的特点*
NTFS文件系统以其安全性得到广泛应用， NTFS分区主要由引导扇区、主文件表(Master File Table，MFT)、系统文件和文件存储区域等4个部分组成。NTFS自身具有很多新的特征，比如安全性、容错性、文件压缩和磁盘配额等，都是相对其他系统特殊的地方。下面分别下几个方面具体介绍一下。
1、NTFS数据存储结构，在NTFS文件系统中，对文件进行存取都是按照簇分配的，而每个簇都是物理扇区的整数倍。
2、分区引导扇区在操作系统引导的过程中，分区引导扇区起着很重要的作用，其中存储着和卷文件相关的结构信息和启动引导程序等。
3、**主文件表MFT，**主文件表MFT在NTFS文件系统中处于最核心、最重要的地位，通过MFT可以确定所有文件在磁盘上的详细存储位置。MFT文件记录数组中的文件记录在物理上是连续的，并且都是从0开始编号。MFT仅供系统自身构架、组织文件系统使用，被称作元数据，元文件是格式化成为NTFS文件系统时候，对这个分区写入的文件就是元文件，通过这些元文件，管理这个分区的用户文件。所有的元文件名字都是以“$”开始，其都是隐藏文件。MFT表中的前16个元数据是最重要的。为了防止数据的丢失，在卷存储区中，NTFS系统对它们进行了备份。打开winhex，我们便可看到多个元文件，其中就有MFT如下图，

4、NTFS文件属性
NTFS的文件记录属性一般可以分为两种：**即常驻属性和非常驻属性。**如果属性值是存储在文件记录中，这些属性即称作常驻属性；反之，如果属性值存储在文件记录之外，这些属性即称作非常驻属性。属性头的前4个字节是属性类型，其中包含着描述文件基本信息的属性（如文件的读写特性、文件的创建时间以及修改时间等）、文件名属性（如文件名及其长度、分配空间的大小、文件实际占用空间的大小和文件的最后访问时间等）和用于描述文件内容的数据属性等内容。
二、NTFS文件系统下几种常用的数据恢复方法
大概介绍完NTFS文件系统的特点后，我们可以根据其特点，根据不同的删除原理进行数据的恢复，主要涉及到以下三种（或者有更多，希望多交流~~~）
1、文件删除后的恢复
NTFS文件系统中，在文件被彻底删除之后，系统会将此文件记录中的状态字节由文件使用标志“01”变为文件删除标志“00”，而其文件名称、文件的大小以及Run List等重要属性都不会发生变化，而且数据区中的内容也不会发生变化，因此可以将文件数据恢复。**但是，如果该文件不是使用连续的簇号来存储文件数据，或者文件的数据区已被新的数据所占用，即原数据区被覆盖，那么，文件就很难被恢复出来。**如果数据是使用连续的簇号存储，且数据区中的数据没有被新数据覆盖，那么，就可以使用WinHex等常用恢复软件进行恢复。只需要选择数据区的全部内容并进行复制，然后将该文件的数据区中所有十六进制值保存为一个新文件，即可实现文件的恢复。
2、文件格式化后的恢复
文件的格式化其实是给分区重新建立文件系统，格式化后，分析分区的MFT文件可发现，文件的记录和内容也是完好存在的，其数据区也没有改变。所以，通过RunList就可以找到这些数据，并有可能将其恢复。但是，如果文件记录也被破坏，文件就很难再被恢复出来。
3、文件系统损坏的恢复
当某个分区的文件系统被破坏后，我们是无法打开此分区的，同时系统会提示我们分区没有格式化，需要重新格式化。此时，可以通过WinHex打开分区的DBR扇区（扇区中的数据被全部清零），只要能够找到DBR备份就可以将数据恢复出来。跳转到硬盘的最后一个分区后，找到数据结束标志“55AA”，DBR的备份就存储在分区的最后一个扇区中，将此备份复制到DBR扇区后就可以打开分区了。
因为在日常工作中，绝大部分的数据恢复环境都是在NTFS文件系统进行的，所以，今天主要为突出NTFS的实用性和安全性和应用的广泛性，大概介绍了它的特点和优点，都是一些概念性的东西，没有什么实际操作性，下次课，我们着重介绍NTFS系统中的王者，主文件表MFT的结构，同时逐步引入实际操作供大家交流和学习。下次见！

数据恢复基础和进阶教程（四）---NTFS文件系统的特点及几种常用的数据恢复方法相关推荐

数据恢复基础和进阶教程（三）
数据恢复基础和进阶教程(三) 在上节课中,我们简单介绍了下winhex下,按数据类型恢复的一个简单的例子,希望大家能有个简单的认识.今天我们学习的内容分两个部分,一是补充完善上节课留下的一个小知识点, ...
Android高手进阶教程(四)之----Android 中自定义属性(attr.xml,TypedArray)的使用!
今天我们的教程是根据前面一节扩展进行的,如果你没有看,请点击 Android高手进阶教程(三) 查看第三课,这样跟容易方便你的理解! 在xml 文件里定义控件的属性,我们已经习惯了android:at ...
autojs入门视频教程,Auto.js Pro安卓全分辨率免ROOT引流脚本开发零基础到进阶教程,飞云脚本学院2019年全力打造高清品质,不容错过的年度大作
课程大纲(更新中-) 基础课程 [已完成]01安装Visual Studio Code(时长9分33秒)在线观看 [已完成]02安装Auto.js Pro(时长5分48秒)在线观看 [已完成]03解读 ...
C语言基础及进阶教程(视频教程地址)
嵌入式高级C语言进阶 C语言概述-01C语言概念.发展历史.特点 http://you.video.sina.com.cn/pg/topicdetail/topicPlay.php?tid=34635 ...
威纶通屏幕（HMI）开发进阶教程四：通过PLC控制，使宏指令跳转到不同的窗口
平时用威纶通屏幕的时候,大家是否想过,如何通过一个操作,根据参数的不同跳转到不同的窗口.有时候我们根据业务或者功能需要这么做. 这种功能的实现可以有好几种的方式来实现它,下面介绍根据PLC控制,通过宏 ...
Windows取证——数据恢复（Fat32文件系统和NTFS文件系统）
目录一.磁盘存储结构 (一)分区表 1.MBR 分区表(主引导记录Master Boot Record , mbr)
c语言教程二维数组,C语言二维数组几种常用的表示方法
名称:二维数组的几种表示方法说明:常用的有以下几种二维数组的表示方法: (1).第一种是普通的二维数组的表示方法. (2).第二种是用一维数组来表示二维数组,从显示的元素地址可以看出,二维数组和一维 ...
区块链教程(四)：搭建私链、web3.js基础
注:本教程为技术教程,不谈论且不涉及炒作任何数字货币区块连教程(一):前置知识-linux补充区块链教程(二):基础概念介绍区块链教程(三):Solidity编程基础区块链教程(四):搭建私链 ...
NSIS进阶教程(一)～(五)
这问是在学NSIS的时候发现的,一篇绝顶好文,当时没转过来,现在美化完程序了,想着不美化安装包也太不厚道了点...所以... NSIS进阶教程(一) 来自: http://www.pylife.net ...

数据恢复基础和进阶教程（四）---NTFS文件系统的特点及几种常用的数据恢复方法

数据恢复基础和进阶教程（四）—NTFS文件系统的特点及几种常用的数据恢复方法

数据恢复基础和进阶教程（四）---NTFS文件系统的特点及几种常用的数据恢复方法相关推荐

最新文章

热门文章