2. 程式人生 > >NTFS檔案系統資料恢復----解析MFT表

NTFS檔案系統資料恢復----解析MFT表

阿新 發佈:2019-02-18

http://blog.csdn.net/jha334201553/article/details/9089119

開始先說下DBR, DBR是繼MBR 之後最先訪問的地方,MBR利用int 13h 讀取MBR並將之載入到實體地址0x7c00的地方. 然後將段地址:程式碼地址入棧後retf跳過去執行.
        MBR利用BIOS中斷int 13h讀取資料載入到記憶體指定位置..傳統的int 13h呼叫最多隻能識別1024個磁頭:
前面MBR講解MBR的時候,有結構如下
/*+0x01*/   uchar    StartHead;         // 分割槽起始磁頭號  (1磁頭 = 63 扇區,取值 0~255 之間)  


/*+0x02*/   uint16   StartSector:10;    // 啟始柱面號 10位 (1柱面 = 255 磁頭,取值 0~1023 之間)  
/*+0x02*/   uint16   StartCylinder:6;   // 啟始扇區號 6位 (取值 1 到 63 之間) 
        此結構可容納最大值為FF FF FF (現在這個值基本都寫成FE FF FF, 而廢棄不用), 即最大能定址的就是255柱面, 1023磁頭, 63扇區,計算扇區個數為:
1023*255*63+255*63+63 = 16450623
        再按每扇區 512 位元組算, 那麼它容量為  8 GB  ≈  512*16450623 B = 7.84 GB 

        傳統的int 13h中斷就受限於8G的限制, Microsoft等多家公司制定了int 13h擴充套件標準,讓int 13h讀寫磁碟中斷可以突破8G限制. 現在的計算機BIOS都是按擴充套件int 13h標準編寫的程式碼.(具體詳細內容可參考"擴充套件 int 13h規範").
        按MBR分割槽表裡面的 SectionPrecedingPartition 邏輯扇區偏移(注意,這個邏輯扇區偏移是從0開始算的,讀取出來值為63,而物理扇區是從1開始計算的,邏輯扇區轉換物理扇區的時候必須+1才是正確的) 可以找到DBR的位置.可以看看winhex的顯示


        以下就偷懶不從MBR定址分割槽的DBR了,而是直接開啟碟符讀取 (這樣開啟的第一個扇區就是DBR),這樣做有個缺點,就是你用這個handle值將不能進行記憶體對映,只能一次多讀取幾個扇區來加快分析磁碟的速度(當前用的是一次讀取20M資料然後分析)。

  1. HANDLE  handle = CreateFile ( TEXT("\\\\.\\C:") ,  
  2.                           GENERIC_READ,  
  3.                           FILE_SHARE_READ|FILE_SHARE_WRITE,  
  4.                           NULL,  
  5.                           OPEN_EXISTING,  
  6.                           FILE_ATTRIBUTE_NORMAL,  
  7.                           NULL);  

        DBR結構定義為(對照winhex模板資訊檢視):


  1. ////////////////////////////////////////////////////////////////////////////
  2. //
  3. //  NTFS 的DBR 資料結構
  4. //
  5. ////////////////////////////////////////////////////////////////////////////
  6. typedefstruct _BIOS_PARAMETER_BLOCK {  
  7.  /*+0x0B*/    uint16  BytesPerSector;    // 位元組/扇區一般為0x0200 即512
  8.  /*+0x0D*/    uchar   SectorsPerCluster; // 扇區/簇 
  9.  /*+0x0E*/    uint16  ReservedSectors;   // 保留扇區
  10.  /*+0x0F*/    uchar   Fats;              // 
  11.  /*+0x11*/    uint16  RootEntries;       // 
  12.  /*+0x13*/    uint16  Sectors;           // 
  13.  /*+0x15*/    uchar   Media;             // 媒介描述
  14.  /*+0x16*/    uint16  SectorsPerFat;     // 
  15.  /*+0x18*/    uint16  SectorsPerTrack;   // 扇區/磁軌
  16.  /*+0x1A*/    uint16  Heads;             // 頭
  17.  /*+0x1C*/    uint32  HiddenSectors;     // 隱藏扇區
  18.  /*+0x20*/    uint32  LargeSectors;      // checked when volume is mounted
  19. }BIOS_PARAMETER_BLOCK, *pBIOS_PARAMETER_BLOCK;  
  20. typedefstruct _NTFS_Boot_Sector{  
  21.  /*+0x00*/  uchar    JmpCode[3];        // 跳轉指令
  22.  /*+0x03*/char     OemID[8];          // 檔案系統ID
  23.  /*+0x0B*/  BIOS_PARAMETER_BLOCK PackedBpb;   // BPB
  24.  /*+0x24*/  uchar    Unused[4];           // 未使用,總是為
  25.  /*+0x28*/  uint64   NumberSectors;       // 扇區總數
  26.  /*+0x30*/  lcn      MftStartLcn;        // 開始C# $MFT  (簇) 乘以 BIOS_PARAMETER_BLOCK.SectorsPerCluster 值得到扇區號
  27.  /*+0x38*/  lcn      Mft2StartLcn;       // 開始C# $MFTMirr (簇)
  28.  /*+0x40*/  uchar    ClustersPerFileRecordSegment;  // 檔案記錄大小指示器
  29.  /*+0x41*/  uchar   Reserved0[3];       // 未使用
  30.  /*+0x44*/  uchar DefaultClustersPerIndexAllocationBuffer;     // 簇/索引塊
  31.  /*+0x45*/  uchar   Reserved1[3];       // 未使用
  32.  /*+0x48*/  uint64  SerialNumber;       // 64位序列號
  33.  /*+0x50*/  uint32  Checksum;           // 校驗和
  34.  /*+0x54*/  uchar   BootStrap[426];     // 啟動程式碼
  35.  /*+0x1FE*/ uint16  RecordEndSign;      // 0xAA55 結束標記
  36. }NTFS_Boot_Sector, *pNTFS_Boot_Sector;  
        在讀取DBR的時候,一些資料以後經常會用到,那麼需要根據DBR裡面的資訊儲存以後會用到的資訊,下面定義一個常用的儲存資訊結構:
  1. // 儲存 NTFS 的基本資訊
  2. typedefstruct _NTFS_INFO  
  3. {  
  4.     uint32 BytesPerSector;              // 每扇區的位元組數
  5.     uint32 SectorsPerCluster;           // 每簇的扇區數
  6.     uint32 BytesPerCluster;             // 每簇的位元組數
  7.     uint64 SectorCount;                 // 扇區總數
  8.     uint64 MftStart;                    // MFT表開始簇
  9.     uint64 MftMirrStart;                // MFT備份表開始簇
  10.     uint32 BytesPerFileRecord;          // 每個檔案記錄的位元組數一般為512*2
  11.     uint16 VolumeLabelLength;           //  卷名長度,卷名從MFT第4個項0x60屬性得到(與0x30屬性相似)
  12.     wchar VolumeLabel[MAXIMUM_VOLUME_LABEL_LENGTH];  // 卷名
  13.     uint16 vcnlen;  
  14.     uchar vcn[VCN_LENTH];  
  15. } NTFS_INFO, *PNTFS_INFO;  
其中 MAXIMUM_VOLUE_LABEL_LENGTH定義為
  1. #define MAXIMUM_VOLUME_LABEL_LENGTH (32*sizeof(wchar))
        NTFS_Boot_Sector .MftStartLcn*NTFS_Boot_Sector. PackedBpb .SectorsPerCluster得到MFT所在扇區號,這裡為 786432*8 = 6291456扇區(位元組偏移為 6291456*512= 3221225472 ( 十六進位制0xC0000000))。然後MFT表裡面的內容是根據簇號來讀取資料的,那麼可以定義一個根據簇號,讀取資料的函式,如下形式:
  1. typedefstruct _Partition_Stand_Post  
  2. {  
  3.     HANDLE handle;  // 分割槽控制代碼
  4.     uint64 CluNnum; // 簇號
  5.     uint32 BytesPerCluster; // 每簇位元組
  6.     uint64 CluCount;  // 簇數量
  7.     PNTFS_INFO NtfsInfo; // 指向NTFS_INFO 結構
  8. }Partition_Stand_Post, *pPartition_Stand_Post;  
  9. // 按簇讀取資料,
  10. // 傳入 一個Partition_Stand_Post結構體指標,並指定buf,讀取大小
  11. // 結果返回讀取的資料指標
  12. PBYTE ReadClues(pPartition_Stand_Post post, PBYTE buf, DWORD lenth)  
  13. {  
  14.     DWORD dwbytes = 0;  
  15.     LARGE_INTEGER li = {0};  
  16.     li.QuadPart = post->CluNnum*post->BytesPerCluster;  
  17.     SetFilePointer(post->handle, li.LowPart, &li.HighPart, FILE_BEGIN);  
  18.     ReadFile(post->handle, buf, lenth, &dwbytes, NULL);  
  19.     if (lenth == dwbytes)  
  20.     {  
  21.         return buf;  
  22.     }  
  23.     return NULL;  
  24. }  
下面先說MFT表的結構:

首先,看到的是頭部,標記為"FILE", 結構體如下定義:

  1. // 檔案記錄頭
  2. typedefstruct _FILE_RECORD_HEADER  
  3. {  
  4.  /*+0x00*/  uint32 Type;            // 固定值'FILE'
  5.  /*+0x04*/  uint16 UsaOffset;       // 更新序列號偏移, 與作業系統有關
  6.  /*+0x06*/  uint16 UsaCount;        // 固定列表大小Size in words of Update Sequence Number & Array (S)

  7. 相關推薦

    NTFS檔案系統資料恢復----解析MFT

    http://blog.csdn.net/jha334201553/article/details/9089119 開始先說下DBR, DBR是繼MBR 之後最先訪問的地方,MBR利用int 13h 讀取MBR並將之載入到實體地址0x7c00的地方. 然後將段地址:程式

    NTFS 檔案系統解析

    1. windows 下磁碟檔案讀寫 下面是讀取D:\磁碟上的第0扇區 512 Bytes CreateFile()開啟磁碟,獲取檔案控制代碼; SetFilePointer()設定讀寫的位置; ReadFile()讀取磁碟扇區資料。 HANDLE hFile; char drive[] = "\\\\

    NTFS檔案系統詳解(三)之NTFS檔案解析

    在NTFS中,所有儲存在捲上的資料都包含在檔案中,包括用來定位和獲取檔案的資料結構,載入程式和記錄這個卷的記錄(NTFS元資料)的點陣圖,這體現了NTFS的原則:磁碟上的任何事物都為檔案。在檔案中儲存一切使得檔案系統很容易定位和維護資料,而在NTFS中,卷中所有存放的資料均在一個叫做MFT的檔案記錄陣列中,

    1、比較說明FAT檔案系統NTFS檔案系統的特點

    答:NTFS檔案系統的特性:(1)提供檔案和資料夾安全性   (2)可使用長英文名  (3)支援加密  (4)高可靠性  (5)壞簇對映  (6)支援對分割槽,資料夾和檔案的壓縮  (7)更高效的磁碟空間管理  (8)支援磁碟配額管理 &n

    [Xcode10 實際操作]七、檔案資料-(17)解析JSON文件

    本文將演示如何解析JSON文件。 專案中已新增一份JSON文件:menu.json 1 { 2 "menu": 3 { 4 "id": "file", 5 "value": "File", 6 "menuitem"

    linux支援ntfs檔案系統格式!!!

    由於Linux系統預設是不支援NTFS檔案系統的,因此,我們基本不能在Linux系統中掛載NTFS檔案系統型別的硬碟或行動硬碟。 為此,最主要的問題是如何使Linux系統支援NTFS檔案系統。 一般情況下,在Linux系統中,我們並不需要手動安裝某些驅動,因為,大多數驅動

    檔案資料夾和inode的關係

    檔案資料包括兩部分內容;元資料和資料兩部分,存放分別在元資料空間 和資料空間, 0 每個新檔案都會系統分配一個iNode節點編號 相當於人的×××號 在一個分割槽內具有唯一性,如果inode 編號不一樣 所佔的空間的指標指向的資料也不一樣比如 在 /home 建立大小 一個G的檔案 f1 把 f1檔案複製

    Mac自帶系統讀取NTFS檔案系統

    將OS X系統下面自帶的mouts_ntfs預設載入方式從只讀改為讀寫。 使用root方式進行下面操作(切記明確每一個步驟,知道自己在做什麼,否則很容易摧毀系統)。 1. cd /sbin 2 mv mount_ntfs mount_ntfs_origin 3. vi mount_n

    Linux系統資料恢復實戰案例

    http://sec007.cc/3554.html 程式設計師的誤操作造成資料丟失,忙著一個星期的專案,就這樣付之東流了。老闆的痛斥、經理的訓斥接踵而來。接下來就是沒休息、加班,甚至忙到凌晨都不能離開那該死的電腦,都有種想屎的感覺呢? 為那些不喜歡備份資料的朋友帶來了福音,我們來談談資料恢復,這裡

    【親測】centos7下掛載ntfs檔案系統型別的行動硬碟

    【親測】centos7下掛載ntfs檔案系統型別的行動硬碟 【參考】 【流程】 2.解壓,配置,編譯,安裝 $tar zxvf ntfs-3g_ntfsprogs-2017.3.23.tgz $ cdntfs-3g_ntfsprogs-2017.3.23/

    [原始碼和文件分享]程式設計實現根據NTFS檔案系統定位檔案在磁碟上的偏移地址

    背景 之前在上一篇博文中 “NTFS檔案系統介紹及檔案定位” 介紹過 NTFS 的基礎概念和常用格式介紹,同時還詳細給出了使用 NTFS 定位磁碟檔案的例子。現在,這篇文章講解的就是,程式設計實現 NTFS 檔案定位。也就是把之前手動定位全部改成程式設計實現,輸入一個檔案路徑,就可以得到檔案的大

    [原始碼和文件分享]NTFS檔案系統介紹及檔案定位

    背景 在日常生活中,我們開啟我們的電腦操作各種檔案。我們都知道,檔案資料都儲存在硬碟上,但是,硬碟中儲存的資料都是0、1的二進位制資料,我們的電腦怎麼從這一大堆0、1資料中知道哪個是哪個檔案呢? 這就是檔案系統在起作用,它對硬碟的資料設定格式規則,儲存資料的時候,就按這個儲存規則進行儲存,那

    NTFS檔案系統的安全屬性

    原文作者:darnis 在Windows平臺上如果你使用的是類NT系統,比如Windows NT/2000/XP/2003……,你可以把你的磁碟分割槽的格式設定為NTFS,從而得到NTFS的安全屬性。為什麼我們有必要使用NTFS?怎麼使用NTFS?這是本文要回答的問題。 FA

    NTFS檔案系統詳解(一)之硬碟基本資訊

    本文參考自部落格 一般硬碟正面貼有產品標籤,主要包括廠家資訊和產品資訊,如商標、型號、序列號、生產日期、容量、引數和主從設定方法等。這些資訊是正確使用硬碟的基本依據,下面將逐步介紹它們的含義。 硬碟主要由盤體、控制電路板和介面部件等組成,如圖1-1所示。

    CentOS 7 下掛載NTFS檔案系統磁碟並設定開機自動掛載

    tar -xvf ntfs-3g_ntfsprogs-2014.2.15.tgz 2.編譯並進行安裝 進入ntfs-3g_ntfsprogs-2014.2.15資料夾中 ./configure && make &&

    使用QFileInfo類獲取檔案資訊(在NTFS檔案系統上,出於效能考慮,檔案的所有權和許可權檢查在預設情況下是被禁用的,通過qt_ntfs_permission_lookup開啟和操作。absolutePath()必須查詢檔案系統。而path()函式,可以直接作用於檔名本身,所以,path() 函

    版權宣告:本文為博主原創文章,未經博主允許不得轉載。 https://blog.csdn.net/Amnes1a/article/details/65444966QFileInfo類為我們提供了系統無關的檔案資訊,包括檔案的名字和在檔案系統中位置,檔案的訪問許可權,是否是目錄或符合連結,等等。並且,通過這個類

    Ubuntu無法掛載Windows(ntfs)檔案系統

    原文地址: 原因: 由於新版Windows自帶快速啟動, 所以它在預設的關機下並不會真的關機, 而是進入休眠模式,並且佔用著它的檔案系統。 而Ubuntu開啟ntfs系統的 ntfs-3g

    LinuxMint(Ubuntu)配置fstab,實現開機自動掛載vfat和ntfs檔案系統

    Mint本來已經自帶了自動掛載功能,但是不知道搞什麼東東,失效了。唯有自己實現一個 什麼是fstab 檔案fstab包含了你的電腦上的儲存裝置及其檔案系統的資訊。使用fstab可以實現開機自動掛載各種檔案系統格式的硬碟、分割槽、可移動裝置和遠端裝置等。 在這個檔案裡面配置

    Mysql資料庫修復,Ibdata1檔案刪除資料恢復成功

    Mysql資料庫Ibdata1檔案刪除資料恢復成功 【客戶描述】 一RAID1網站伺服器,存放Mysql資料庫目錄被惡意刪除,計算機重啟後,Mysql服務啟動後自動建立了Ibdata及系統庫,後又被刪除 【恢復過程】 因資料庫有以前的老備份,檢視備份發現數據庫

    Mac 系統如何實現掛載NTFS檔案系統

    問題 使用mac時你會遇到無法寫資料到你到U盤上(NTFS系統),你只能從U盤中讀資料,沒有寫資料許可權;其實可以使用簡單命令就可以實現檔案寫入到U盤中,解決步驟如下: 步驟 明確你的移動裝置裝