数据恢复技术分析NTFS分区结构课件

,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,分析NTFS,分区结构,M,6-1,本单元主要内容,NTFS,分区结构,一,主控文件表与元文件,二,引导扇区结构,三,四,修复引导扇区,四,M,6-1,本单元重难点,重点,NTFS,分区概述,NTFS,引导扇区分析,恢复,NTFS,引导扇区的方法,NTFS,元文件介绍,难点,NTFS,引导扇区,BPB,参数,NTFS,元文件的概念和作用,一、,NTFS,分区结构,微软公司自推出,Windows NT,服务器操作系统以来，就开发了一种与之对应的，可靠性和安全性都很强的，可用于服务器操作系统的文件系统，即,NTFS,。,它与,FAT,文件系统相比有许多优点：可恢复性、安全性、保密性、数据容错、文件压缩、磁盘配额管理等。,一、,NTFS,分区结构,在,NTFS,分区中，引入了卷概念。卷可以看成是分区的升级版，是为了解决某些分区限制而提出的概念，卷的操作和使用和分区是一样的。,卷分为简单卷和动态卷两种，简单卷就是一个普通分区，而动态卷则可以实现一些高级功能，比如可以将多个分区或者磁盘组织成一个卷，能够动态增长容量等，使其可以支持服务器存储所需的海量存储空间。,一、,NTFS,分区结构,NTFS,仍然使用簇来分配文件存储，簇又叫卷因子，在分区中通常每个簇包含,8,个扇区，从,0,开始编号，这个簇号叫做逻辑簇号（,LCN,）。,在存储文件的时候，,NTFS,采用了索引存储方式：即把文件按照逻辑簇大小划分为多个区块，称为虚拟簇（,VCN,），在主控文件表中有一张索引表，记录了,VCN,和,LCN,的对应关系，因此可以快速地访问文件任意一个部分的内容，而且簇到扇区的转换也非常简单。,VCN,1,2,3,4,5,6,LCN,101,102,106,107,108,221,一、,NTFS,分区结构,NTFS,分区不再设管理控制区域，分区的,0,扇区便是,0,簇，全部空间都是数据区域。分区中承担管理控制信息的数据块被组织成文件，灵活地存放在任意一个位置。只有,BOOT,区域比较特殊，由于,0,扇区仍是引导扇区，因此,BOOT,区域始终位于分区前端。,二、,主控,文件表与元文件,在,NTFS,分区中，最重要的就是主控文件表（,MFT,），它记载了所有文件的属性信息，甚至包括数据，有点类似于,FAT,分区的文件目录表。,为了防止遭到破坏，,NTFS,分区将,MFT,的位置移到了分区的中间，并在引导扇区中给出了它的簇号。我们在恢复数据的时候，就是依靠,MFT,来完成的。,二、,主控,文件表与元文件,在,NTFS,中承担管理控制信息的数据称为元数据，用于记载文件属性信息、簇分配信息、以及加密、配额、日志等。这些元数据分别被组织成文件，称为元文件。,前面所提到的,BOOT,区域和,MFT,区域，也分别被组织为两个重要的元文件：,$Boot,和,$MFT,。,NTFS,中有,16,个元文件，每个元文件都以美元符号起头，以标示其特殊身份。这些元文件记录了分区底层的结构信息，因此非常特殊而重要，被系统保护起来，用户和应用程序不能访问它们。,二、,主控,文件表与元文件,编号,元数据文件,功能或内容,0,$MFT,主控文件表本身,1,$MFTMirr,主控文件表的部分备份（通常为前,4,项）,2,$LogFile,日志文件，实现了,NTFS,的可恢复性和安全性,3,$Volume,卷文件，标识卷名，是否格式化，是否需要修复等信息,4,$AttrDef,属性定义列表文件,5,$Root,根目录，存放目录和文件的索引，表示文件的逻辑层次关系,6,$Bitmap,位图元文件，记录了卷中簇的分配情况,7,$Boot,引导元文件，恒为,0,簇起始,8,$BadClus,坏簇列表元文件,9,$Secure,安全元文件，存储访问控制表（在,NTFS4,及以前为磁盘配额信息）,10,$UpCase,大小写字符转换表元文件,11,$ExtMD,扩展元数据目录（,Extended metadata directory,）,1215,$Extended,扩展元数据，分别为重解析点、加密日志、配额管理、对象,ID,1623,为以后扩展而保留,24?,用户文件和目录的记录编号,三、,引导,扇区结构,NTFS,分区的,0,扇区是引导扇区，也叫,DBR,扇区，它和后面的,15,个扇区（,NTLDR,区域）合起来构成,BOOT,区域，也就是,$Boot,元文件。,$Boot,元文件恒定从,0,簇起始，占,16,个扇区。,NTFS,分区的引导扇区同,FAT,分区的引导扇区在结构上非常相似，同样包含,BPB,，,DBR,和结束标志三个部分，只是在,BPB,参数上有部分不同。由于所有的结构信息都以元文件方式组织，因此在,BPB,中只包含几个重要的参数。,三、,引导,扇区结构,NTFS,的,BPB,NTFS,的,DBR,三、,引导,扇区结构,偏移,长度,描 述,00H,3B,跳转指令（,EBH 52H 90H,），跳至,54H,处,DBR,部分,03H,8B,文件系统和版本的,OEM,标志（,NTFS,）,0BH,2B,每扇区字节数（通常为,200H,）,0DH,1B,每簇扇区数（值为,2,的,N,次方，通常为,8,）,15H,1B,介质描述，恒为,F8,18H,2B,每磁道扇区数（通常为,3FH,，,63,）,1AH,2B,磁头数（通常为,FFH,，,255,）,1CH,4B,隐含扇区数（本分区前的扇区总数，也就是本分区的起始逻辑扇区号）,24H,4B,NTFS,未使用，总为,80H 00H 80H 00H,28H,8B,扇区总数,30H,8B,$MFT,的起始逻辑簇号,38H,8B,$MFTMirr,的起始逻辑簇号,40H,4B,每,MFT,记录簇数,44H,4B,每索引簇数,48H,8B,分区的逻辑序列号，格式化的时候随机产生,50H,4B,校验和,三、,引导,扇区结构,演示对,NTFS,分区引导扇区的,BPB,的分析过程。,准备好,NTFS,分区的演示环境，如虚拟机、,Winhex,等。,分析引导扇区,BPB,参数。,指出重要的参数信息如,$MFT,簇号。,四、修复引导扇区,NTFS,的引导扇区如果遭到破坏，同样可以使用备份的引导扇区记录来恢复，只是,NTFS,的备份引导扇区存于分区末尾处，这样对于普通的破坏攻击有较好的保护作用。,它存放的形式很巧妙：假设在分区表中标识了该分区大小为,N,，则在格式化为,NTFS,分区的时候，在引导扇区的,BPB,里面给出本分区占用扇区数为,N-1,，这样在分区表容量和分区内标注的容量间就有,1,个扇区的空隙，这个扇区既不会被本分区操作访问到，也不会被分区工具破坏。,四、修复引导扇区,演示使用备份的引导扇区实现对,NTFS,分区的引导扇区的恢复。,在,NTFS,分区中定位某个,NTFS,分区的备份引导扇区。,修复引导扇区。,检查修复工作是否正常。,总结,1.,NTFS,分区结构与特点。,2.,MFT,和元文件的概念。,3.,使用备份扇区修复引导扇区。,作业,请在自己的计算机（或虚拟机）上选择一个,NTFS,分区，找到它的备份引导扇区位置，然后将其复制到引导扇区位置。,