计算机检测维修与数据恢复（上册）课件 子任务1 利用WinHex读取NTFS文件系统参数.pptx

子任务1利用WinHex读取FAT32文件系统参数任务2NTFS文件系统恢复项目7文件系统恢复

01利用Winhex读取$MFT参数02利用Winhex读取$Root参数目录contents03利用Winhex读取数据区主要参数

利用Winhex读取$MFT参数01

任务实施1（一）利用Winhex读取$MFT参数（共有2个步骤）步骤一：附加虚拟磁盘，运行Winhex并打开它步骤二：读取和记录$MFT参数

一步骤一：附加虚拟磁盘，运行Winhex并打开它在素材文件夹中，双击“7任务2-1-1.vhd”，然后运行Winhex，打开“HD1”，界面显示该硬盘信息，此虚拟磁盘共分有1个主分区点开分区1（NTFS分区）。利用Winhex读取$MFT参数

一步骤二：读取和记录$MFT参数点开$MFT元文件，第一个记录（0号记录）就是本身文件记录。如图7-10所示。利用Winhex读取$MFT参数图7-10Winhex编辑窗口信息（$MFT的0号文件记录表）图

一步骤二：读取和记录$MFT参数1.读取0号文件记录头参数根据表7-13（文件记录头参数表），对应读取0号文件记录头，得其参数，如表7-17所示。利用Winhex读取$MFT参数表7-170号文件记录头参数表偏移长度值记录内容0X0040X454C4946MFT标志，一定为字符串“FILE0X0420X30更新序列号的偏移0X300X0620X03更新序列号的大小与数组，包括第一个字节0X0880X2004BF2日志文件序列号（$LogFileSequenceNumber,LSN)0X1020X01序列号（SequenceNumber）0X1220X01有1个目录指向该文件0X1420X38第一个属性的偏移地址0X380X1620X013H表示记录正在使用0X1840X1A0文件记录的实际长度为416字节0X1C40X400总共分配给记录的长度为1KB0X2080X00基本文件记录中的文件索引号0X2820X04下一属性ID（4号属性）0X2A20X00边界，WindowsXP中为偏移0x30处0X2C40X00WindowsXP中使用，MFT记录编号为0（从0号开始）0X3020X0600更新系列号

一步骤二：读取和记录$MFT参数2.读取0号文件记录0X80属性参数根据表7-14（0X80属性参数表），对应读取0号文件记录0X80属性参数，得其参数，如表7-18所示。利用Winhex读取$MFT参数表7-180号文件记录0X80属性参数表偏移长度值0X80非常驻没有属性名属性内容0X10040X800X80属性0X10440X48属性头长度（单位：72字节）0X10810X01常驻与非常驻标志，此处为01,表示非常驻0X10910X00文件名长度（00表示没有属性名），此处为00,表示未命名，即无属性名0X10A20X40名称偏移值（没有属性名），此处为0X400X10C20X00压缩、加密、稀疏标志：0001H表示该属性是被压缩的；4000H表示该属性是被加密的；8000H表示该属性是稀疏的0X10E20X02属性ID标识(2号属性）0X11080X00开始VCN，此处为000X11880X3F结束VCN，此处为630X12020X40数据运行列表偏移地址0X400X12220X00压缩单位大小（2x簇，如果为0表示未压缩）0X12440X00填充0X12880X040000系统分配给文件的空间大小（单位：262,144字节）0X13080X040000数据流的实际大小，即文件的实际大小（单位：262144字节）0X13880X040000数据流已初始化大小，即文件压缩后的大小（单位：262144字节）0X140H+L+10X31/0X40/0X0C0000数据流占本卷的起始簇号786432，数据流占本卷的总簇数为64簇

利用Winhex读取$Root参数02

利用Winhex读取$Root参数二、利用Winhex读取$Root参数（共有2个步骤）步骤一：跳转到5号文件记录步骤二：读取和记录5号文件记录参数

二步骤一：跳转到5号文件记录在0号文件记录，继续向后移10个扇区，就到5号文件记录（$Root根目录文件目录）。如图7-11所示。利用Winhex读取$Root参数图7-11Winhex编辑窗口信息（$MFT的5号文件记录表）图

二步骤二：读取和记录5号文件记录参数1.5号文件记录头参数根据表7-13表（文件记录头参数表），对应读取5号文件记录头，得其参数，如表7-19所示。利用Winhex读取$Root参数表7-195号文件记录头参数表偏移长度值记录内容0X0040X454C4946MFT标志，一定为字符串“FILE0X0420X30更新序列号的偏移0