数据恢复笔记——NTFS文件系统

pipe

Winhex数据恢复（NTFS文件系统）
        DBR的数据结构
        NTFS文件系统的元文件
        主文件表MFT
        MFT属性类型
        10h属性体数据结构
        30h属性体的数据结构
        60h属性体的数据结构
        70h属性体的数据结构
        80h属性体的数据结构
            MFT属性中的属性头数据结构
            MFT的簇流运行数据结构
            手工提取文件数据
            手工提取片段文件数据
            常驻80h属性
        B0属性体的数据结构        
        
        
DBR的数据结构偏移           描述
00-02         跳转指令
0D-0D        每簇扇区数
28-2F         文件系统扇区总数
30-37       （MFT）主文件表起使簇号

        
跳转指令对应数据可以找到NTFS的DBR。
NTFS文件系统的元文件
在格式化为NTFS文件后，系统对分区写入的文件就是元文件。

NTFS 文件系统

其中根据起使簇号，先跳转到MFT。其中2C-2F位置为对应序号，文件名也可以看出来。用鼠标向下滚过一个扇区可以看到2C-2F位置对应序号1的$MFTMirr文件名。

主文件表MFT
以明文“FILE”开头。实验中对应46 49 4C 45。
每个MFT项都占用1024个字节，即两个扇区。
每个MFT项占用的两个扇区，最后两个字节为一个修正值，这个修正值和MFT项中的更新序列号相同。如果系统发现不同，就会认为此MFT项错误，会把开头明文改为“BAAD”。

NTFS 文件系统

https://blog.csdn.net/weixin_461 ... tm_relevant_index=2