• WAP手机版 RSS订阅 加入收藏  设为首页
当前位置:首页 > 服务器数据恢复

NTFS格式化后的手工恢复及详解

时间:2016-12-14 17:01:09  作者:  来源:  浏览:0  评论:0
内容摘要:首先说明本教程的操作环境是在windows XP中进行的,在windows7中和在windows server2003中会有不同,特别是在windows7中NTFS格式化后产生的情况会有很大的不同。具体的不同会在以后具体详细说明。我的宿主机是windows7,下面在虚拟机中操作。这个是我虚拟机中的XP系统中虚拟出的E盘...

首先说明本教程的操作环境是在windows XP中进行的,在windows7中和在windows server2003中会有不同,特别是在windows7中NTFS格式化后产生的情况会有很大的不同。

具体的不同会在以后具体详细说明。我的宿主机是windows7,下面在虚拟机中操作。
NTFS格式化后的手工恢复及详解

这个是我虚拟机中的XP系统中虚拟出的E盘,我只在E盘中放了一个名为dyh.txt文本文档,这样方便分析。我们可以先按以前的方法记录下该文件的文件名出现过的扇区,具体的就是$LOGFILE文件中出现过的,根目录分配属性中出现过的,以及它的MFT项。这里我就不再赘述了。这里我就给出虚拟磁盘的一些参数,方便分析

1 、 MFT起始扇区 203469号扇区

2 、$LOGFILE文件的起始扇区 197341号扇区,大小是6112个扇区。这里说明一下,$LOGFILE文件的大小和分区的大小有关系,在windows XP系统中$LOGFILE文件一般出现在分区靠前的地方。

3 、 根目录索引分配属性的起始扇区 305282号扇区,大小是8个扇区。在windows XP系统和windows server 2003系统中根目录索引分配属性一般出现在分区的中部,当然这个也只是一般情况,NTFS的元文件可以出现在分区的任意位置。

4 、dyh.txt这个文件的文件名在 197441号扇区出现,这个是属于$LOGFILE的范围。

5 、第二个出现的地方是它的MFT项在203527号扇区;

6 、第三个出现的地方是它的目录索引项,在305284号扇区;

具体的情况就是这样的了,下面我们格式化E盘。

NTFS格式化后的手工恢复及详解

windows XP中采用不改变分区参数的条件下格式化分区,我们看到格式化分区后分区的$MFT元文件的起始扇区仍然是203469号扇区,分区结构没有改变。如果改变了分区参数,那么分区元文件的位置将会改变,可能会覆盖掉我们数据文件的一些MFT项,这种情况就先不在这里讨论了。下面我们在恢复dyh.txt这个文件的过程中详细了解一下NTFS格式化后都做了哪些改变。首先,我们试着按前面找到文件名的扇区去找找看文件名还在不在。以及文件的MFT项还在不在。现在,我们按顺序,先跳转到197441号扇区。

NTFS格式化后的手工恢复及详解

看到了吗,197441号扇区已经变成了位图文件的数据区域了,我们要找的文件名已经不见了。我们再按书序找它的MFT项,跳转到203527号扇区。


相关评论
不良信息举报中心成都网警网警110报警服务AAA级互联网行业信用360网站安全检测

数据恢复QQ交流群:378664983    站长QQ:958754010

蜀ICP备14015947号-2