数据恢复技术实习报告..docVIP

数据恢复技术实习报告 指导老师： 姓名： 班级： 学号： 目录 NTFS数据存储分析 1.基本原理········································3 2.分析方法········································4 2.1 文件的创建···································4 2.2 文件的删除···································6 2.3 文件的移动···································6 2.4 磁盘格式化···································8 2.5 word残留的目录项·····························10 结论············································10 NTFS数据存储分析 1.基本原理 磁盘在存储数据之前首先要对磁盘进行分区，然后对分区进行格式化建立相应的文件系统，各分区经格式化操作后才能存贮数据。根据使用操作系统的不同，分区的类型也不同，常用的有D0S分区、Apple分区、BSD分区、Sun Sol撕8分区、GPT分区及其他特珠的移动介质分区。分区是由磁盘上的连续扇区组成的，window8下使用的是D0S分区。 在一台微型计算机上安装操作系统时，首先在物理磁盘上创建分区，同时在磁盘的第一个扇区产生主引导区，主引导区包含主引导程序和分区表。主引导区中的分区表最多能定义四个分区。把磁盘分为一个主分区(通常是C盘)和一个扩展分区,扩展分区再分成多个逻辑盘(如D、E、F盘等)。windows xP在格式化逻盘过程中就要选择文件系统，目前个人计算机上使用较多的是FAT32和NTFS文件系统。 在 NTFS分区中，最开始的16个扇区是分区引导扇区，其中保存着分区引导代码，接着就是主文件表文件MFT(Master File Table)。MFT文件由许多MFT项组成，每一个文件对应MFT文件中的一个MFT项，每个MFT项大小固定为lK。NTFS文件系统将文件内容分为常驻属性和非常驻属性。小于lK的文件其目录项和数据都作为常驻属性保存在MFT项中。大于lK的文件或文件夹其目录项作为常驻属性保存在MFT项中，而数据作为非常驻属性保存在MFT文件外分配的一个运行区中，如果以后非常驻属性值又增加，那么将会再分配一个运行。 MFT文件中前16个MFT项是操作系统使用的非常重要的元数据文件。这些元数据文件的名字都以“MYM”开始，所以是隐藏文件，在windw8 xP中不能像普通文件一样显示。只能使用一些工具软件，如winHex才可以显示这些文件。其后的7个MFT项系统保留作为以后升级使用。用户文件从第24个MFT项开始使用。 2分析方法 以下是在Windows xP操作系统中，使用winHex工具软件，分析NTFS文件系统中文件的存储规律。所用样本文件均由word2003及记事本产生。 2.1文件的创建 在根目录创建文件夹aaaaaa，用记事本生成文件111111.txt和222222.txt，大小分别为1K和2K。用WinHex工具软件查看主文件MFT发现aaaaaa文件夹中常驻属性（目录项等），其中111111.txt小于1k，其数据作为常驻属性驻留在MFT项中（99簇），根据MFT项中记录的首地址发现数据作为非常驻属性存在27簇的运行区，如图2所示： 2.2文件的删除 通常文件删除时会确认是否将文件放入回收站。选择放入回收站时文件并没有真正删除，而是把文件对应的MFT项划归回收站名下，其实质上常驻属性（MFT项）和非常驻项属性还是保留在原地址（100簇），但是文件名有所变化，如图3所示。同样，清空回收站后，相关文件的常驻属性（MFT项）和非常驻属性（数据）仍保留在原地址，知识做了删除标记。 如果在删除文件时选择直接删除（不放入回收站，如按SHIFT键删除文件），则文件的MFT项（目录等属性）不再有划归