NTFS下文件索引Word格式文档下载.docx
《NTFS下文件索引Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《NTFS下文件索引Word格式文档下载.docx(13页珍藏版)》请在冰豆网上搜索。
3、初始化硬盘(如图3)。
图3初始化硬盘
4、新建一个200M的NTFS主磁盘分区,并执行快速格式化。
(如图4)
图4新建分区并加载
5、在新加卷M盘根目录下创建文件(如图5)。
图5在根目录下创建文件
二、用WinHex软件查找shang123.txt文档
1、用winhex打开虚拟硬盘并打开MBR模板(如图6),得到隐藏扇区为63,即DBR所在位置
图6MBR模板
2、跳到63号扇区(如图7).
图7跳转至DBR
3、进入DBR,打开模板(如图8),得到每簇扇区数为1,每扇区字节数为512,MFT开始簇号为273084
图8DBR模板
NTFS文件系统使用了逻辑簇号LCN和虚拟簇号VCN对卷进行管理。
其中LCN是对卷的第一个簇到最后一个簇进行编号,只要知道LCN号和簇的大小及NTFS卷在物理磁盘中的起始扇区(绝对扇区)就可以对簇进行定位,而这些信息在NTFS卷的引导扇区中可以找到(BPB参数(附表2)),在系统底层也是用这种方法对文件的簇进行定位,找到簇在磁盘中的物理位置的计算公式是:
MFT扇区号=每簇扇区数*MFT开始簇号数+隐藏扇区数
4、进入0号MFT(如图10),即$MFT=1*273084+63=273147(如图9)
图9跳转MFT
图10MFT表
5、进入4号MFT表,即根目录MFT,打开模板(如图11)
图11MFT模板
找到90号属性,A0号属性,B0号属性(附表6),(如图12)
由runlist(附表7)31086840062108F9BB得到1号索引(附表3附表4)数据区位置为409704号簇,2号索引数据区位置为392290号簇(由F9BB为有符号数,计算得4406H,加上一号索引数据区位置即可)
图1290、AO、BO属性
6、跳到409704号簇(如图13)
图131号索引数据区
发现名为shang123.txt文件索引表(如图14)
图14shang123.txt文件索引表
分析其表内容,得到其MFT表号为5C,即92(如图15)
图15文件索引表内容
7、跳到第92号MFT表项(如图16),找到的80属性为常驻属性,文件内容为Imissyou.
图16第92号MFT表
8、打开shang123.txt文档,检查其内容(如图17)。
图17shang123.txt文档内容
经检验,WinHex中数据和shang123.txt文档中数据相同,实验成功。
附表1
附表2BPB参数
附表3
附表4
附表5
偏移
大小(字节)
描述
~
标准属性头
0x00
VCN使用情况表
(低位代表前面的VCN)
位(2进制)
VCN
0000001
0000010
1
0000100
2
……
附表6BOH属性描述表
长度(字节)
第一个DataRun的含义描述
高4位为DataRun的起始簇号在这个压缩数据中所占的字节数(N)
低四位为DataRun的所占用簇数在这个压缩数据中所占的字节数(L)
0x01
L
DataRun所占用簇数
L+1
N
DataRun的起始簇号
第二个DataRun的含义描述
L+N+1
L+N+2
L1
L+N+3
N1
DataRun的起始簇号的相对簇数,将此值加上第一个DataRun位置描述中的起始簇号,就是DataRun的起始簇号(注意该值是有符号值)
附表7RUNLIST
升级会员 