计算机数据恢复技术(梁宇恩)第3章解答.ppt

　　2．为已删除的入口定义簇链　　要定义簇链，就需要扫描磁盘，一个接一个地遍历所有属于该文件的文件簇(NTFS)或空闲簇(FAT)，直到选择的簇大小等于文件大小。如果文件是不连续的，则簇链由若干个运行组成(NTFS情形)，或获取的簇跨越了已占用的簇(FAT情形)。 　　簇的位置随文件系统不同而不同。例如，FAT卷已删除的文件在根入口包含首簇号，其它簇号在文件分配表中。在NTFS卷，每个文件用_DATA_属性来描述“数据运行”。数据运行分解成“扩展”，对每个扩展我们有起始簇偏移和扩展中的簇号，从而列举扩展，可以组成文件的簇链。　　可以试着用底层磁盘编辑器手工定义簇链，但是使用类似Active@ UNERASER那样的数据恢复工具要简单得多。 　　1) 在FAT16下定义簇链　　此处继续前一个主题来考察已删除的文件MyFile.txt，如图3-30所示。　　根据根入口结构可以计算已删除的文件的大小。最后4个字节是33 B7 01 00，转换成十进制(先改变字节顺序)，得到112?435字节。向前2个字节(03 00)是被删除文件的首簇号。重复前述转换，得到数字03——这是文件的起始簇。　　此时，可以从已删除文件MyFile.txt的文件分配表得到图3-31。 图3-30 已删除文件MyFile.txt 图3-31 已删除文件MyFile.txt的文件分配表项 　　零，这是我们所期的情形——意味着这些簇未被占用，即我们的文件多半没有被其它文件的数据覆盖。现在我们有了簇链03、04、05、06，可准备恢复文件。　　说明：　　(1) 从偏移6开始查看，因为FAT16每个簇号占用2个字节，此处的文件从第3簇开始，即3×2=6。　　(2) 考虑了4个簇，因为磁盘上簇大小是32?KB，此处的文件大小是112 435字节，即3个簇×32?KB/簇?= 96?KB。 　　(3) 假定这个文件是不碎片化的，即所有簇连续分配。需要4个簇；找到了4个空闲的连续簇，因此这个假定听起来合理，尽管真实的情况下这可能不是事实。　　很多情况下文件数据不能成功恢复，因为簇链不能得到定义。多数情形发生在对被删除文件所在的分区写入了其它的数据(文件、文件夹)。 　　2) 在NTFS下定义簇链　　在NTFS卷上恢复时，称为数据运行的DATA属性的一部分告诉我们关于文件簇的位置。多数情况下DATA属性保存在MFT记录的内部，所以如果从MFT记录找到被删除的文件，就很有可能决定簇链。　　下面的例子中，DATA属性标记为斜体，里面的数据运行标记为粗体，如图3-32所示。 图3-32 DATA属性 　　数据运行需要解密。第1个字节(0x31)表明了运行的长度(该例为0x1)和第1个簇的簇号使用多少字节(该例为0x3)。接着，用1个字节(0x6E)指出运行的长度。然后，选3个字节指示起始簇偏移(EB C4 04)。改变字节顺序后我们得到文件起始簇312 555(等于0x04C4EB)。从这个簇开始，选择110个簇(等于0x6E)。　　从下一字节(0x00)得知没有更多的数据运行存在了。例中文件不是碎片化的，所以只有一个数据运行。　　检查一下是否有关于这个文件数据的足够信息了？簇大小是 512 字节；有110个簇，110×512 = 56?320字节。文件大小定义为56?320字节，因此有足够的信息来恢复该文件的簇。 　　3．为已删除入口恢复簇链　　簇链定义后，自动或手动，剩余唯一的任务是读取并保存定义的簇链的内容到其它地方来验证内容。 　　有了簇链后，可以用标准的公式计算每个簇相对于驱动器的偏移。此后可从计算的偏移位置拷贝相当于簇大小的数据到新建的文件。对于最后一个簇不拷贝整个簇，而是从文件大小减去已拷贝的簇数乘以簇大小得到的余数。计算簇偏移的公式随文件系统而不同。例如，为了计算FAT的簇偏移需要知道引导扇区大小，FAT表的备份数，每一个FAT的大小，主要的根文件夹大小，每簇扇区数和每个扇区字节数。　　在NTFS上有线性空间，所以可以类似簇号乘以簇大小来计算簇偏移。 　　1) ?FAT16分区上的簇链恢复　　继续前一个已被删除的文件MyFile.txt的例子。　　现在有了簇链03、04、05、06，准备恢复。我们使用的簇包括64个扇区，扇区大小为512?B，因此簇大小为64×512 = 32?768?B = 32?KB。第一个数据扇区是535(有1个引导扇区，加上2份FAT表，每份FAT为251扇区，再加根文件夹32个扇区，总共534个扇区为系统数据)。FAT表中簇号不包含0和1，因此第一个数据簇为2。簇号3在第2簇之后，在第一个数据扇区之后64个扇区，即535 + 64 = 599扇区，等于从驱动器起始偏移306?668字节(十六进制0x