NTFS文件系统文件删除后的底层分析
作者:admin 发布时间:2020-08-20 13:11 浏览次数 :
首先从文件系统底层了解一下NTFS文件系统中文件各部分结构的管理。
现在以NTFS分区中的两个文件“jpg图片文件”和“TXT文本文档文件”为例,讲解文件的各部分结构。
图片文件:
该文件在NTFS文件系统中由文件记录进行管理,文件记录占用两个扇区。该文件的文件名在30H属性中,文件的数据是由80H属性管理的。
从80H属性中可以看出图片文件的属性体是非常驻的,文件大小为05E2ADH字节;其中Run list 中只有一个数据流,所以文件是连续的,可以看到数据的开始簇号和大小,跳转到文件的开始簇号就能查看到这个文件的所有数据。
现在以NTFS分区中的另一个文本文档文件为例,讲解文件的各部分结构。该文件在NTFS文件系统中由文件记录进行管理,文件记录占用两个扇区。该文件的文件名在30H属性中,文件的数据也是由80H属性管理的,
从80H属性中可以看出文本文档文件的属性体是常驻的,属性体开始于该属性的18H偏移处,属性体大小为4AH字节,80H属性为数据属性,所以其属性体就是这个文件的数据。
文件删除后的底层分析
为了了解文件删除后恢复的方法,先从文件系统级别了解一下文件删除时在NTFS文件系统中发生的变化。查看了图片文件和文本文档文件的各部分结构后,现在把此文件彻底删除,然后在对其各部分结构进行分析,并讲解恢复的思路。
首先讲解图片文件,将图片文件删除,删除后其文件记录改变,可以看出图片文件记录的状态字节已经由01(文件在使用中)变为00(文件被删除),而30H属性中的文件名、80H属性中的文件大小、Run List等重要信息都没有任何改变。
根据Run List 中的信息,跳转到图片文件的开始簇号位置,查看数据去内容,数据内容没有改变。
在讲解文本文档文件的删除过程,首先将文本文档文件删除。删除后其文件记录改变了,可以看出来文本文档的文件记录状态字节已经由01(文件在使用中)变为00(文件被删除),而30H属性中的文件名、80H属性中的属性头、属性体等重要信息都没有任何改变。
根据80H属性中的属性头信息,找到属性体部分,属性体(文件的内容)没有改变。
文件删除后的恢复
将被删除的图片文件的数据区的内容全部选中,用Winhex软件另存为一个新文件,将该文件的数据区中的这些十六进制保存到其他的目录下,并命名。就能预览。
80H属性为常驻的文件删除后更容易,前面讲到的,文件内容就在80H中,所以只要把80H的属性体选中另存就可以了。
