这个是DBR没有被破坏前NTFS的分区里面的内容。我们用特殊软件打开看看这个分区的DBR。
我们看到每簇扇区数为 1个,扇区总数是305171,$MFT起始于101724号扇区,$MFTMirr起始于152585号扇区。我们重建DBR的时候也就是去找这四个参数。我们都知道NTFS格式下,分区的最后一个扇区都是DBR的备份。我们这里的情况是那个备份也被破坏掉了。
我们可以把一个正常的NTFS分区的正常DBR拷贝到0号扇区,然后在对其中的参数进行修改。我们需要修改的参数也就是每簇扇区数、扇区总数、$MFT起始簇号、$MFTMirr起始簇号。现在我们分别来找这几个参数。
搜索$MFTMirr的起始扇区。很快在152648号扇区找到了$MFTMirr。我们都知道$MFTMirr是$MFT的前几个记录项的备份。第一个备份当然就是备份的$MFT本身了。要重构DBR我们需要在$MFT中找到一个非常驻属性。$MFT本身的80属性就是非常驻的。我们看到它的起始VCN是00 00 00 00 00 00 00 00 ,结束VCN是 5F 00 00 00 00 00 00 00 那么所占的簇数为96个簇。我们有看到分配给它的空间是 00 C0 00 00 00 00 00 00 也就是49152个字节。它的运行处也表明了它占用96个簇。那么现在分给它96个簇,分给它49152个字节。所以一个簇就是512个字节,也就是1个扇区。这里我们的一个参数已经出来了。还有$MFTMirr起始簇号在152650号扇区的80属性的运行中找到。同理$MFT的起始簇号也能在80属性的运行中找到。下面的工作就是把这些参数填回去了。
加入收藏
设为首页
