中国硬盘基地

标题: 用Winhex手工定位NTFS文件系统下的文件 [打印本页]

作者: wnving    时间: 2009-1-13 15:28
标题: 用Winhex手工定位NTFS文件系统下的文件
用Winhex手工定位NTFS文件系统下的文件
相信很多朋友在认真看完数据恢复书籍中,关于NTFS文件系统中讲述的一系列属性以后,或多或少还是有些范迷糊。确实,NTFS文件系统结构比较复杂,且书中也没有讲到如何利用这些属性来定位文件,这对于初学者来说,无疑是一个缺憾.为弥补这一缺憾,我根据我个人对NTFS文件系统的理解,制作了本分析过程。申明,这只是本人的理解,难免会有错误的地方。仅供大家参考。
现在我就以我电脑里的一个叫“MFT结构分析”的图片文件,其存储路径为E:\教程\数据恢复。
接下来我们一层一层的去定位文件.以对所学的属性做一个融会贯通.或许有的朋友会说:在实际操作中,可以通过在MFT中搜索文件名的方式来做出定位,这样也是可以的。我制作本分析过程的初衷也就是给初学者对NTFS的理解提供一个思路。
    学过FAT文件系统的,一定知道如何定位分区以及DBR,那好,我们就直接从DBR开始
详情 见附件
作者: xulemeng    时间: 2009-1-13 16:24
好东西。楼主辛苦了!!!!喜欢这样的东西!!!!
作者: wnving    时间: 2009-1-13 17:30
标题: 回复 2# 的帖子
为人民服务· 嘎嘎·
作者: 玉树临风    时间: 2009-1-13 18:04
好东西。楼主辛苦了!!!!喜欢这样的东西!
作者: 玉树临风    时间: 2009-1-13 18:14
我下载看了一下,确实应该称得上是精品文章。这正是我学习过程中迷茫的东西。谢谢了。
作者: mahuafeng    时间: 2009-1-13 19:01
学习型下谢谢谢谢下谢谢嘻嘻嘻嘻嘻嘻嘻嘻嘻嘻
作者: whzl999    时间: 2009-1-19 21:02
听说是学习型的。。赶快下。。好好消化。。。
作者: chenkiki    时间: 2009-1-23 09:19
好好学习,天天向上
作者: flyinger1    时间: 2009-1-23 13:03
里面有好多知识点,自己要好好研究一下了
作者: laomaog    时间: 2009-1-24 11:23
顶顶顶!!!
作者: liangguiqwerty    时间: 2009-1-24 14:42
顶顶顶!!!
作者: wudaping22    时间: 2009-1-24 16:10
好好学习学习
作者: flyinger1    时间: 2009-1-26 12:04
楼主的文章不错,学习了!!!!
作者: dfgd    时间: 2009-1-27 01:13
好东西。楼主辛苦了
作者: 新天地    时间: 2009-2-1 15:54
要好好学习,谢谢那
作者: 守护众生    时间: 2009-2-7 00:25
谢谢!!!!!!!!!!
作者: stevencyk    时间: 2009-2-7 00:47
好东西         ~~~~~~~~~
作者: jihuijin    时间: 2009-2-16 11:48
好东西,谢谢分享
作者: lwb_hao    时间: 2009-2-17 13:48
讲得有点.......
作者: lvmenbo    时间: 2009-2-17 14:14
研究一下楼主的成果
作者: qqf    时间: 2009-2-18 11:01
很想学学,但是没钱
作者: xsxtang    时间: 2009-2-20 12:29
对这个文件系统真是不明白,感谢楼主!!
作者: dgtan    时间: 2009-2-20 18:36
看了那么多资料,只是没有完全消化呀,来个指路灯,不错!
作者: aijun24    时间: 2009-2-20 21:01
学习中


作者: mahuafeng    时间: 2009-2-20 21:34
里面有好多知识点,自己要好好研究一下了
转自中国硬盘基地技术社区 http://bbs.intohard.com ,原文地址:http://bbs.intohard.com/viewthread.php?tid=55539
作者: houshunfeng    时间: 2009-2-21 00:30
里面有好多知识点,自己要好好研究一下
转自中国硬盘基地技术社区 http://bbs.intohard.com ,原文地址:http://bbs.intohard.com/viewthread.php?tid=55539




作者: 29213080    时间: 2009-2-21 14:02
好东西一定要学习,楼主辛苦
作者: 1981zhaoyun    时间: 2009-2-21 15:20
好东西 楼主幸苦了 谢谢
作者: hijackthis    时间: 2009-2-21 15:46
非常感谢楼主的无私奉贤,
作者: rrdata    时间: 2009-2-21 17:20
好好学习一下
作者: wnving    时间: 2009-2-22 14:51
标题: 回复 22# 的帖子
到我的群里下免费的吧 11391767
作者: 黑涩的眼泪    时间: 2009-2-23 14:41
haojiaochengwoxihuan
作者: lajarainman    时间: 2009-2-23 15:40
谢谢,学习一下吧
作者: w_y_b    时间: 2009-2-24 16:42
呵呵,谢谢分享
作者: tywjh    时间: 2009-2-24 17:07
东西不错,慢慢研究,谢谢!!!
作者: wudaping22    时间: 2009-2-26 17:20
下载下来,学习学习老!!!!!!!
作者: hatesky    时间: 2009-3-5 02:49
好东西。楼主辛苦了
作者: 博睿    时间: 2009-3-5 09:13
谢谢楼主的提供,你的精神太值得学习了
作者: zxl1321    时间: 2009-3-10 18:19
我下载看了一下,确实应该称得上是精品文章。这正是我学习过程中迷茫的东西。谢谢了。
转自中国硬盘基地技术社区 http://bbs.intohard.com ,原文地址:http://bbs.intohard.com/viewthread.php?tid=55539
作者: 断清秋    时间: 2009-3-13 14:45
我觉得这个论坛很好,很多东西很实用
作者: blong    时间: 2009-3-15 00:43
太好了,哎没钱,下不了
作者: mikeeding    时间: 2009-3-15 23:41
谢谢楼主~~~~有空找你谈谈心得~~~~
作者: haiou327    时间: 2009-3-16 18:15
THANKS..................
作者: 施三石    时间: 2009-3-17 10:29
听说是学习型的。。赶快下。。好好消化。。。
作者: zxl1321    时间: 2009-3-20 16:18
学习了
学习了
学习了
学习了
学习了
作者: zhczf    时间: 2009-3-20 22:24
下载看一看,学习一下,多谢了
作者: qring    时间: 2009-3-22 21:31
谢谢分享!
作者: xuyimin    时间: 2009-3-23 20:04
就喜欢,大家一起学习,共同进步
1
1
1
作者: mahuafeng    时间: 2009-3-23 20:10
休息休息休息休息休息休息谢谢想学习下
作者: yuxy_w    时间: 2009-3-24 09:16
谢谢 奥  
我是初学者
需要积累经验
作者: yuxy_w    时间: 2009-3-24 10:29
计算转换更详细一些就更好了   
还是谢谢
作者: wq168111    时间: 2009-3-25 09:21
买下了,希望教程有用
作者: wq168111    时间: 2009-3-26 13:36
不错,正缺这方面的教程
作者: hjhlog    时间: 2009-3-26 14:25
好,正需要学习这个。。。
作者: shanshi    时间: 2009-3-27 09:12
好东西。楼主辛苦了!!!!喜欢这样的东西!!!!
作者: alcatel_535    时间: 2009-4-1 00:21
非常不错收藏了![s:14] [s:14]
作者: frank99    时间: 2009-4-4 12:49
谢谢,好好学习一下!
作者: cocainy    时间: 2009-4-4 16:00
标题: 楼主好样的。
这几天刚刚开始学习 winhex,希望楼主继续发表好作品。
作者: wdn    时间: 2009-4-7 10:16
高材生, 不错,不错,学习中。。。。
作者: lyly851123    时间: 2009-4-17 11:19
好东西。楼主辛苦了!!!!
作者: lyly851123    时间: 2009-4-17 12:30
好东西。楼主辛苦了,楼主是个好人!!
作者: 风往北吹    时间: 2009-4-17 15:27
这个一定要支持的。。。
      新手报道。灌水无罪!
作者: 风往北吹    时间: 2009-4-17 15:36
文中最后倒数第二行少了一个字...嘿嘿//!
作者: 22627100    时间: 2009-5-1 14:00
谢谢楼主!!!!!!!!
作者: gxblcsy    时间: 2009-5-1 14:17
好东西就要下来看看了
作者: mahuafeng    时间: 2009-5-1 14:39
先休息休息休息休息休息休息休息休息休息休息
作者: hijackthis    时间: 2009-5-2 08:30
是非常棒的东西,值得研究一下
作者: dl123100    时间: 2009-5-2 14:51
谢谢分享教程 初学这块
作者: 黑涩的眼泪    时间: 2009-5-2 18:59
xiaxialaikanyixia
作者: hpdts    时间: 2009-5-4 15:43
楼主辛苦了!!!!喜欢这样的东西!!!!
作者: wqgtcn    时间: 2009-5-4 22:38
好吧 .. 别让我失望
作者: syuan    时间: 2009-5-5 20:47
正在学习中!!!!
作者: bdst34    时间: 2009-5-8 15:28
希望有用,下个试试。
作者: jhaaron    时间: 2009-5-16 00:55
好东西,楼主辛苦了!~!~!
作者: wshudong    时间: 2009-5-17 23:42
很不错的资料。
作者: rebeva    时间: 2009-5-17 23:46
楼主你太伟大了,谢谢
作者: xunjiejimao    时间: 2009-5-18 17:28
谢谢楼主,我正在学习NTFS,谢谢
作者: xunjiejimao    时间: 2009-5-18 18:42
非常好,不知“教程”用什么工具转成16进制
作者: dengxiaolong    时间: 2009-5-18 18:51
谢谢楼主哦!
我现在还只看到FAT那一章!
先下载以后结合你的资料一起看!
作者: kunanzhang    时间: 2009-5-18 22:00
1# wnving


正需要,下来看看,谢谢
作者: 戈壁春天    时间: 2009-5-19 23:10
不错!NT是比较麻烦!
作者: neilmenis    时间: 2009-5-22 14:37
好东西。楼主辛苦了!!!!喜欢这样的东西!!!!
作者: fodao    时间: 2009-5-22 16:36
谢谢分享,学习中。。。
作者: juinee    时间: 2009-5-23 12:52
Money呀,I love U
作者: zheng890211    时间: 2009-5-26 14:20
好好学习,天天向上
作者: shiyiyuec    时间: 2009-6-2 10:19
这些东西对新手是非常实用的
作者: shiyiyuec    时间: 2009-6-2 10:26
这些东西对新手是非常实用的
作者: hjklg    时间: 2009-6-12 17:12
下下来看看。我要学习
作者: lu_yunkui    时间: 2009-6-14 21:10
谢谢楼主了。正要这东东!
作者: wnving    时间: 2009-6-16 21:54
[quote]还是不大明白,MFT弟一、二.......条记录怎样分的?
又比如"接下来我们跳转到MFT的关于根目录的记录,也就是第5号记录。" 那个是第5号记录? 怎样定位的?
你直接在$mft里面搜索05000000H ,偏移调制512=44
作者: brono168    时间: 2009-6-17 23:41
thank you sharing
作者: lyld8341    时间: 2009-6-22 23:52
下来用用看,谢谢
作者: jonson_qf    时间: 2009-6-22 23:56
这个不错,我下载了
作者: qiqin2736    时间: 2009-7-1 14:17
新手刚来报到
作者: lyld8341    时间: 2009-7-16 23:37
里面有好多知识点,自己要好好研究一下了
作者: 22168060    时间: 2009-7-17 03:03
顶起来。太好了。书上都没有这些东西。
作者: 2434243    时间: 2009-8-4 09:06
看看楼主怎么做的 学习中
作者: 2434243    时间: 2009-8-4 09:06
看看楼主怎么做的 学习中
作者: 2434243    时间: 2009-8-4 09:06
看看楼主怎么做的 学习中
作者: 2434243    时间: 2009-8-4 09:06
看看楼主怎么做的 学习中




欢迎光临 中国硬盘基地 (http://bbs.intohard.com/) Powered by Discuz! X3.2