NTFS数据流的变化以及文件文件所产生的碎片分析Word文件下载.docx
- 文档编号:18032233
- 上传时间:2022-12-13
- 格式:DOCX
- 页数:16
- 大小:1.24MB
NTFS数据流的变化以及文件文件所产生的碎片分析Word文件下载.docx
《NTFS数据流的变化以及文件文件所产生的碎片分析Word文件下载.docx》由会员分享,可在线阅读,更多相关《NTFS数据流的变化以及文件文件所产生的碎片分析Word文件下载.docx(16页珍藏版)》请在冰豆网上搜索。
15618210处,当前值为05。
这就是第五个元文件“。
”、也是五号文件记录。
向上一个文件如图:
从图片中可以清楚看到04号文件记录,文件名称$attrdef。
名称的属性记录在30H属性里面、$attrdef元文件定义了卷中可用文件属性的信息,这里不对这个文件进行分析。
仅仅只是想让读者了解MFT目录下的文件记录号、
下载(41.97KB)
03
下载(89.07KB)
图片上可以清楚看到偏移:
156183F0~156183F7H。
这里是NTFS文件的数据流,使用模块查看:
下载(12.58KB)
04
文件的起始簇号为:
262722,文件所占用的簇数为:
02。
每簇扇区数为:
262722*4=1050888+63跳转到1050951号扇区,内容如下:
下载(91.75KB)
05
这里是INDX根索引,或者称为标准索引头。
关于INDX的结构不清楚可以到论坛内收索,这里不再重复。
在根索引下,本次使用一个文本文档作为例子。
文档名称:
CHS163、
下载(84.24KB)
07
找到根目录下的CHS163.txt后,获得MFT文件参考号后,进入$MFT文件。
找到相对应的文件记录号后开始分析、
下载(68.71KB)
08
以上是CHS163的文件记录,通过80H属性可以看到文件的数据流:
3105CBB103、
文件的起始簇号:
242123,文件所占用的簇数:
05。
242123*4+63=968555
当然在这之前还需要获得更多该文件的信息,内容如以下图片。
下载(42.22KB)
09
下载(58.78KB)
下载(54.17KB)
12
下载(19.5KB)
17
下载(36.5KB)
18
80H属性头及属性体。
以上几个模板中的内容,我们知道文件名称为CHS163
文件后缀TXT,文件的创建时间:
2010-09-30,系统分配给CHS163的文件大小:
10240
CHS163的文件的实际大小:
9141。
跳转到968555号扇区,连续的9141个字节就是文档的所有内容。
接下来我们核对下文档的内容是否一致。
【该过程我省略,要不然帖子太长太啰嗦了--。
】
那么再编辑文档,由文档原先大小为10240字节。
现在已经增加至14,336字节、
回到CHS163的文件记录,分析第二个数据流。
下载(45.73KB)
20
实际的文件起始簇号:
242164,文件占用簇数是否还为02?
那么就跳转到968719号扇区看看,内容正确。
接下来的2个簇的数据我一起置入到新文件、通过对比,发现缺少了一些内容。
那么缺少的内容一定在1号数据流内了,重新将1号数据流的内容置入到新文件。
将恢复出来的文档1和文档2进行合并,这里合并可以使用命令也可使用软件。
到网上搜索有很多,也可以到CHS163论坛内搜搜。
合并后的文件内容和大小如下:
下载(76.35KB)
21
下载(109.37KB)
24
那么再进行第二次编辑,保存退出后查看文档属性。
文件的大小已经增加至28547字节,占用空间28672字节。
那么再看看文件的数据流发生了怎样的变化。
25
这是更新后的数据流,这样看来文件已经没有产生碎片了。
说明接下来的连续N个扇区都是可用的并且编辑后会使文件内容连续存放,目前数据流没有修改文件的起始簇号,仅更新了占用的簇数。
所以文件没有产生碎片,只是连续性的记录了文档内容。
那么恢复起来很简单了、我在测试的磁盘上存入更多的文件,使用这个文件编辑后再产生碎片。
下载(57.72KB)
26
下载(73.53KB)
28
下载(33.4KB)
29
文件占用17个簇,文件大小1110。
跳转到该扇区后查看内容、连续的35个字节为3D说明文件头没错了、文件占用了17个簇就是该文档的所有内容,文档恢复出来后将CHS163.txt
和3.txt的结束内容对比,完全一致。
下载(23.38KB)
30
下载(54.21KB)
31
文档前面的内容却确少了,缺少的内容在2号数据流内。
因为之前还有部分扇区内容是空的,可以继续存放。
这次的测试让我了解到如果要恢复数据,文件的碎片越多恢复就越是困难。
下次我会发出WORD和EXCEL还有JPG的文件结构和碎片分析及恢复,该贴的所有内容如果有错误或者不对的地方希望大家积极参与回复交流。
下载(18.92KB)
32
最后我将重新恢复该文档的所有内容,合并后才算是完整结束。
文件恢复出来合并后内容如图,
下载(42.98KB)
34
下载(69.04KB)
35
本主题由CHS天问于2010-10-1120:
56设置高亮
收藏分享
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- NTFS 数据流 变化 以及 文件 产生 碎片 分析