《NTFS文件系统下txt的删除与恢复分析》.doc

NTFS文件系统中txt文档的恢复浅析 杨吉伟 中央司法警官学院 信息管理系10级三班 实验意义：在现在的日常生活中大部分用户的磁盘分区是NTFS文件系统，以此为实验环境更具有实际意义。本次试验以NTFS文件系统中TXT文档的误删除恢复为例，浅析TXT文档恢复原理。 模拟创造实验环境 创建虚拟硬盘：打开DiskCreator.exe 点击Browse，选择选件虚拟硬盘文件存放路径，暂且选择C盘根目录，填写文件名rosyboy.hdd 填写虚拟磁盘的大小（size）为2000M，点击Creat创建磁盘。关闭DiskCreator.exe。 加载已创建磁盘，打开DiskLoader.exe。 点击Browse，选择以创建的虚拟磁盘文件rosyboy.hdd。 点击Load InsDisk进行装载。关闭装在工具。 点击我的电脑右键，选择“管理”. 选择“磁盘管理”，会有磁盘初始化和转换向导提示. 点击下一步，选择“磁盘2”进行转换。 对磁盘2进行新建卷向导操作：不要更改任何选项，单击下一步（过程中观察：文件系统是不是NTFS，卷标可以改名为：rosyboy），完成格式化。关闭磁盘管理工具，回到桌面。 打开我的电脑，发现新增了磁盘：rosyboy（I：） 文件的恢复操作： 用winhex进行数据恢复操作分析。 装载文件所在磁盘。 首先显示出来的是磁盘的MBR（主引导记录）位于磁盘0号扇区。图中（07）为磁盘分区标志，分区起始位置为63。 跳转至63号扇区。 5.显示出的DBR扇区：重点关注图中0x0D位置，即：（04）表示每簇扇区数；0x30-0x37位置，即：（00 00 00 00 00 05 35 80）表示MFT的相对起始簇号。 6.那么MFT的相对扇区数为：341376*4 1365504.MFT的绝对扇区数为：1365504+63 1365567. 7.跳转至1365567，在MFT文件中找到文件属性。其中80属性为文件的数据区。 8.数据区如下图所示。 9.现在进行数据区的数据复制。选中数据区起始位置，具体操作如图所示。 选中数据区结束位置，具体操作如图所示。 10.对数据区数据块进行复制，置入新文件。 11.保存文件，命名为“恢复文本.txt”，然后关闭WinHex，回到桌面。 12.在桌面上新生成了一个文档。 打开文档，发现数据完全恢复。 说明：本次实验在第一部分是模拟一个磁盘环境，一般用户是不需要的，因为电脑硬盘就是天然的环境。进行数据恢复，只需要看第二部分的操作步骤。 原理浅析： txt文档的删除前后，其30属性中的文件名、80属性中的属性头，属性体等重要信息都没有任何变化。80属性为常驻属性的文件就更容易会了（本文即是如此）。