NTFS 数据恢复实验的实验原理
来源:西普信息安全实验教学系统
摘 要:本文介绍了 NTFS 恢复误删除的文件,恢复格式化分区内的文件的原理
关键词:FAT32;N TFS 数据恢复;NTFS 文件结构
1 实验原理
文件系统结构
在 文件系统中,文件也按簇进行分配,一个簇必须是物理扇区的整数倍,而且总是 的整数次方。
文件系统的簇大小在使用格式化程序时,由格式化程序根据卷的大小自动进行分配。
在 中,所有存储在卷上的数据都包含在文件中,包括用来定位和获取文件的数据结构、引导程
序以及记录卷自身大小和使用情况的位图文件。这体现了 的原则:磁盘上的任何事物都为文件。在
文件中存储一切使得文件系统很容易定位和维护数据。文件通过主文件表,来确定其
在磁盘上的存储位置。主文件表是一个与文件相对应的数据库,由系列的文件记录组成——卷
中每一个文件都有一个文件记录对于大型文件还可能有多个记录与之相对应。主文件表自身也有它自己
的文件记录。 分区的区域关系如下所示。
分区引导扇区
主文件表
系统文件
文件区域
中的文件记录大小一般是固定的,不管簇的大小是多少均为 。文件记录在 文件记录数组
中物理上是连续的,且从 开始编号, 仅供系统本身组织、架构文件系统使用,这在 中称为元数
据,是存储在卷上支持文件系统格式管理的数据。它不能被应用程序访问,只能为系统提供服
务。其中最基本的前 个记录是操作系统使用的非常重要的元数据文件。这些元数据文件的名字都以
“!"开始,是隐藏文件,在 #$%%& 中不能使用 命令像普通文件一样列出。
这些元数据文件是系统驱动程序管理卷所必需的,#$%%& 给每个分区赋予一个盘符并不
表示该分区包含有 #$%%& 可以识别的文件系统格式。如果主文件表损坏,那么该分区在
#$%%& 下是无法读取的。为了使该分区能够在 #$%%& 下能被识别,就必须首
先建立 #$%%& 可以识别的文件系统格式即主文件表,这个过程可通过高级格式化该分区来完
成。#$ 以簇号来定位文件在磁盘上的存储位置,在 ' 格式的文件系统中,有关簇号的指针包含在
' 表中,在 中,有关簇号的指针则包含在! 及! 文件中。
1%5
数据恢复实验的实验原理