计算机检测维修与数据恢复（上册）课件 子任务2 利用WinHex恢复NTFS文件系统.pptx

子任务2利用WinHex恢复NTFS文件系统任务2NTFS文件系统恢复项目7文件系统恢复

01利用NTFS自动修改功能恢复NTFS文件系统02利用Winhex手动恢复受破坏NTFS的DBR及其备份目录contents

利用NTFS自动修改功能恢复NTFS文件系统01

任务实施2（一）利用NTFS自动修改功能恢复NTFS文件系统（共有2个步骤）步骤一：附加虚拟磁盘，运行Winhex并打开它步骤二：确认NTFS文件系统被破坏

一步骤一：附加虚拟磁盘，运行Winhex并打开它在素材文件夹中，双击“7任务2-2-1.vhd”，然后运行Winhex，打开“HD1”，界面显示该硬盘信息，此虚拟磁盘共分有1个主分区（NTFS分区）。利用NTFS自动修改功能恢复NTFS文件系统步骤二：确认NTFS文件系统被破坏1.确认DBR被破坏进入在分区1，发现没有用根目录下没有用户目录及文件，通过查找“EB52904E”发现在本卷开头及末尾扇区有DBR，说明此卷已被重新格式化了。2.确定$MFT各记录项损坏进入$MFT，发现其所有文件记录项（43项）都是系统元文件或系统文件，没有用户文件或目录。查找“46494C45”，在$MFT区域外都没找到，说明这个磁盘被同参数格式化了，用户的文件和目录记录项被“清零”，同时，用户常驻文件也被“清零”，已无法恢复，而放在数据区的用户文件只能通过文件类型扫描恢复出来了。

一利用NTFS自动修改功能恢复NTFS文件系统步骤二：确认NTFS文件系统被破坏3.通过文件类型扫描分区，恢复用户文件打开Winhex“工具”主菜单，进入下拉菜单“磁盘工具”，选择点击“通过文件类型恢复”程序。弹出“依据文件头标志搜索”窗口，在“选择文件类型”栏的各类型文件前的小方框打“√”，若已知将要恢复的文件的类型了，那就只选择该文件类型，这样可提高扫描速度，“输出文件”栏，选择“/桌面/恢复文件”这个文件夹，其它栏默认，最后点击“确认”，程序进行进入扫描进程。扫描结束后，弹出扫描结果。切换到电脑桌面，打开电脑桌面“恢复文件”文件夹，发现一个已恢复了的图片文件“000002.JPG”，把”000002.JPG”改名为“7任务2-2-1.PNG”4.把桌面的“恢复文件”复制到原被损坏分区的根目录下用资源管理器，把桌面的“恢复文件”复制到原被损坏的卷的根目录下。

一利用NTFS自动修改功能恢复NTFS文件系统步骤二：确认NTFS文件系统被破坏5.对原被损坏分区进行磁盘快照切换回Winhex编辑窗口，对原被损坏卷进行磁盘快照，因为，NTFS文件系统有强大的自我修复功能，在此，进行磁盘快照后，系统就会自动把资源管理器复制进来的文件（夹）管理起来。用户可正常使用本分区，原文件也恢复了，只不过，文件（夹）名字与原来不一致，还需用户自已修改为原名就可以了。利用NTFS自动修改功能恢复NTFS文件系统的操作完成。

利用Winhex手动恢复受破坏NTFS的DBR及其备份02

利用Winhex手动恢复受破坏NTFS的DBR及其备份二、利用Winhex手动恢复受破坏NTFS的DBR及其备份（共有2个步骤）步骤一：附加虚拟磁盘，运行Winhex并打开它步骤二：确认NTFS文件系统被破坏

二步骤一：附加虚拟磁盘，运行Winhex并打开它在素材文件夹中，双击“7任务2-2-2.vhd”，然后运行Winhex，打开“HD1”，界面显示该硬盘信息，此虚拟磁盘共分有1个主分区（NTFS分区）。利用Winhex手动恢复受破坏NTFS的DBR及其备份步骤二：确认NTFS文件系统被破坏1.确认DBR是否被破坏进入在分区1，无法浏览根目录下的文件，本卷扇区0及末尾扇区都是乱码，分区的结尾标志55AAH也被修改，没发现DBR，说明DBR及备份参数全被破坏。2.确定$MFT各记录项是否被损坏当DBR的BPB参数全被破坏后，是无法直接打开$MFT和$MFTMirr，只能手工查找它俩了。点击Winhex的“查找”功能，向下查找46494C45H关键值，当查找到第一个46494C45H时，刚好在右边窗口能看到$MFT字样文本时，说明找到0号文件记录，是$MFT自身的记录，当然下一个记录是$MFTMirr自身的记录，且它俩数据正常。说明$MFT、$MFTMirr没被破坏。他俩所在的扇区号，应该是$MFT的备份$MFTMirr的前两个文件记录。

二利用Winhex手动恢复受破坏NTFS的DBR及其备份步骤二：确认NTFS文件系统被破坏3.读取$MFT、$MFTMirr记录项中主要参数（1）读取$MFT自身分配到的空间大小$MFT自身分配到的空间大小，是在0X80属性里，偏移是0X128～0X12F，值40000H，大小为262144字节，512扇区（262144÷512=512）。（2）读取$