国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

主要NTFS文件系統(tǒng)小講第一課，學(xué)會(huì)了你也可以使用WINHEX進(jìn)行底層數(shù)據(jù)分析，誤刪，誤格式化，分區(qū)出錯(cuò)等一些故障在數(shù)據(jù)恢復(fù)軟件處理不了時(shí)，你也可以通過(guò)這些知識(shí)來(lái)提高恢復(fù)幾率。

由于篇幅有限不太可能一次講解完畢，后續(xù)會(huì)不斷更新，讓我們一起來(lái)提高我們的數(shù)據(jù)恢復(fù)水平吧！

NTFS文件系統(tǒng)結(jié)構(gòu)

分析NTFS文件系統(tǒng)的結(jié)構(gòu)

當(dāng)用戶將硬盤的一個(gè)分區(qū)格式化為NTFS分區(qū)時(shí)，就建立了一個(gè)NTFS文件系統(tǒng)。NTFS文件系統(tǒng)同F(xiàn)AT32文件系統(tǒng)一樣，也是用“簇”為存儲(chǔ)單位，一個(gè)文件總是占用一個(gè)或多個(gè)簇。

NTFS文件系統(tǒng)使用邏輯簇號(hào)（LCN）和虛擬簇號(hào)（VCN）對(duì)分區(qū)進(jìn)行管理。

邏輯簇號(hào)：既對(duì)分區(qū)內(nèi)的第一個(gè)簇到最后一個(gè)簇進(jìn)行編號(hào)，NTFS使用邏輯簇號(hào)對(duì)簇進(jìn)行定位。

虛擬簇號(hào)：即將文件所占用的簇從開(kāi)頭到尾進(jìn)行編號(hào)的，虛擬簇號(hào)不要求在物理上是連續(xù)的。

NTFS文件系統(tǒng)一共由16個(gè)元文件構(gòu)成，它們是在分區(qū)格式化時(shí)寫入到硬盤的隱藏文件以$開(kāi)頭，也是NTFS文件系統(tǒng)的系統(tǒng)文件。

NTFS的16個(gè)元文件介紹如下

下面就分析一下元文件（只介紹部分常用的元文件）

$Boot元文件

$Boot元文件由分區(qū)的第一個(gè)扇區(qū)（DBR）和后面的15個(gè)扇區(qū)（NTLDR區(qū)域）組成，其中DBR由“跳轉(zhuǎn)指令”、“OEM代號(hào)”、“BPB”、“引導(dǎo)程序”和“結(jié)束標(biāo)志”組成，下圖是NTFS文件系統(tǒng)完整的DBR。

$MFT元文件

文件記錄由兩部分構(gòu)成，一部分是文件記錄頭，另一部分是屬性列表，最后結(jié)尾是“FFFFFFFF”,如下是一個(gè)完整的文件記錄：

在NTFS文件系統(tǒng)中所有與文件相關(guān)的數(shù)據(jù)結(jié)構(gòu)被認(rèn)為屬性，包括文件的內(nèi)容，它記錄了文件的所有屬性。每個(gè)文件記錄中都有多個(gè)屬性，他們相對(duì)獨(dú)立，有各自的類型和名稱。每個(gè)屬性都由兩部分組成，既屬性頭和屬性體。屬性頭的前四個(gè)字節(jié)為屬性的類型。從文件記錄頭可以看到第一個(gè)屬性流的偏移地址00C0000038下圖是以10H為例的屬性結(jié)構(gòu)