数据备份与恢复 课后：思考与训练 NTFS文件系统的DBR分析(PPT).pptxVIP

课程名称：数据备份与恢复知识点：NTFS文件系统的DBR分析四川邮电职业技术学院 成友才NTFS文件系统的DBR分析 NTFS文件系统的引导扇区是$Boot的第一个扇区，它的结构与FAT文件系统的DBR类似，所以习惯上也称该扇区为DBR扇区。DBR扇区在操作系统的引导过程中起着非常重要的作用，如果这个扇区遭到破坏，系统将无法正常启动。 NTFS文件系统的DBR扇区和FAT文件系统的结构一样，也是包括跳转指令、OEM代号 、BPB（BIOS Parameter Block）参数、引导程序和结束标志。NTFS文件系统的DBR分析NTFS文件系统的DBR分析跳转指令跳转指令本身占用2字节，它将程序执行流程跳转到引导程序处。EB 52 90，前两个字节代表引导代码从54H开始。第三字节表示空操作指令“NOP” 。OEM代号这部分占8个字节，其内容由创建该文件系统的OEM厂商具体安排。例如：微软的Windows系统将此处直接设置为“NTFS ”文件，在NTFS文件系统中也称为“文件系统ID”。NTFS文件系统的DBR分析偏移量字段长字段意义　　　　　　　　　　　　偏移量字段长字段意义0X0B2B每个扇区字节数目0X244BNTFS?未使用0x0D1B每个簇所拥有扇区数0x288B扇区总数0X0E2B保留扇区（在NTFS中无用）0x308B$MFT文件起始簇号0x103B无意义0x388B$MFTMirr文件起始簇号0X132BNTFS未使用0x401B文件记录大小描述。0X151B介质描述，F8代表硬盘，0x413B未用0x162B总为00X441B索引缓冲区的大小描述。0x182B每个磁道扇区数0X453B未用0X1A2B磁头数。0X488B卷序列号0X1C4B隐藏扇区数。0X504B校验和0X204BNTFS未使用　　　BPBBPB是BIOS Parameter Block的缩写，其含义为BIOS参数块。BPB从DBR的第12(0BH偏移处)个字节开始，到偏移53H结束，占用73字节，记录了有关该文件系统的重要信息。NTFS文件系统的DBR中BPB的分析 0B-0C:每扇区字节数 表示每个逻辑扇区的大小。本例中为02 00H，即512字节。0D:每簇扇区数 表示由多少个扇区组成一个簇。在本例中为08H，表示每簇为8扇区，即4kB，是格式化时选择的簇的大小或分配单元大小。 在NTFS中，从分区的第一个扇区开始编簇，从0开始依次编号，直到分区所有扇区结束。NTFS文件系统的DBR中BPB的分析 15:介质描述符 介质描述，F8?代表硬盘。18-19:每个磁道扇区数 表示每个磁道的扇区数量。00 3F，即每磁道63个扇区。 1A-1B:每柱面磁头数 表示每个柱面的磁头数，是逻辑C/H/S中的一个参数，NTFS中已经不使用了。00 FF：每柱面255个磁头。NTFS文件系统的DBR中BPB的分析 1C-1F:隐藏扇区数 隐藏扇区数，可从分区表计算，表示从MBR或EBR到DBR之间的扇区数。本例：00 00 08 00，隐藏扇区数为2048，表明这是第一个主分区或者是逻辑分区。28-2F:扇区总数 表示本分区的扇区总数，不含备份DBR扇区，与分区表中的扇区长度要小1个扇区。本例：00 00 00 00 14 B8 37 FF，347,617,279个扇区。NTFS文件系统的DBR中BPB的分析 30-37:$MFT起始簇号 本例为00000000000C0000，即786,432簇，第6291456扇区。38-3F:$MFTMirr文件起始簇号 本例为00 00 00 00 00 00 00 02，即:$MFTMirr文件的起始簇号为2。 需要注意：$MFT文件和$MFTMirr文件都是用簇号记录，而不是扇区。同时，这两个文件的前后顺序是可变的，且位置并不是固定位置。NTFS文件系统的DBR中BPB的分析40:每个文件记录的簇数 代表MFT中记录的大小，该字节为有符号数，当其为负数时，说明每个文件记录的大小要小于每个簇的扇区数，在这种情况下，文件记录的大小用字节表示 ，计算方法为：2-1X每个文件记录的簇数。本例为F6，换算成十进制就是-10，表示记录大小为2-1X-10=210=1024字节，即每个MFT记录占用2扇区。44:索引缓冲区的大小描述NTFS文件系统的DBR分析引导程序（IPL 初始程序装入程序）NTFS的DBR引导程序占用426字节(54H~1FDH),其负责完成将系统文件NTLDR装入。对于一个没有安装操作系统的分区来讲，这段程序没有用处。结束标志DBR的结束标志和MBR、EBR的结束标志都相同，为“55 AA”。以上5个部分共占用512个字节，正好是1个扇区，这个扇区属于$BOOT文件的组成部分。该部