计算机数据恢复技术(梁宇恩)第3章.ppt

　　2．为已删除的入口定义簇链　　要定义簇链，就需要扫描磁盘，一个接一个地遍历所有属于该文件的文件簇(NTFS)或空闲簇(FAT)，直到选择的簇大小等于文件大小。如果文件是不连续的，则簇链由若干个运行组成(NTFS情形)，或获取的簇跨越了已占用的簇(FAT情形)。 　　簇的位置随文件系统不同而不同。例如，FAT卷已删除的文件在根入口包含首簇号，其它簇号在文件分配表中。在NTFS卷，每个文件用_DATA_属性来描述“数据运行”。数据运行分解成“扩展”，对每个扩展我们有起始簇偏移和扩展中的簇号，从而列举扩展，可以组成文件的簇链。　　可以试着用底层磁盘编辑器手工定义簇链，但是使用类似Active@ UNERASER那样的数据恢复工具要简单得多。 　　1) 在FAT16下定义簇链　　此处继续前一个主题来考察已删除的文件MyFile.txt，如图3-30所示。　　根据根入口结构可以计算已删除的文件的大小。最后4个字节是33 B7 01 00，转换成十进制(先改变字节顺序)，得到112?435字节。向前2个字节(03 00)是被删除文件的首簇号。重复前述转换，得到数字03——这是文件的起始簇。　　此时，可以从已删除文件MyFile.txt的文件分配表得到图3-31。 图3-30 已删除文件MyFile.txt 图3-31 已删除文件MyFile.txt的文件分配表项 　　零，这是