金泽 发表于 2008-9-22 20:05:50

感谢逆水寒同志的无私奉献,更感谢tclrz100e的不同解说。通过对两种对比,我跟能理解了。谢谢两位。

flying88 发表于 2008-9-23 13:26:19

不知LZ什么时候发表一篇NTFS格式化的变化和如何手工恢复一些文件呢?

逆水寒 发表于 2008-9-23 13:54:31

回复 39# 的帖子

NTFS分区格式化后用WINHEX手工提取数据一例
原文地址:http://bbs.intohard.com/viewthread.php?tid=46244

279519573 发表于 2008-10-27 15:05:03

看来这都是高手。。    俺学学了

balldn 发表于 2008-10-28 15:25:42

非常好!。。非常感谢楼主的分享!!顶起!!!

风般的男人 发表于 2008-11-17 21:52:04

的确挺雷同的~
不过我代表涂彦晖不追究~

风般的男人 发表于 2008-11-17 21:53:04

原帖由 tclrz100e 于 2008-8-15 13:11 发表 http://bbs.intohard.com/images/common/back.gif
16479
的确是有这个错误,谢谢这位朋友!

wsdong_2005 发表于 2008-12-8 11:31:23

我试啦一下,删除啦一个文件,看MFT好像没什么变化,在16H那里还是01啊

江东海 发表于 2008-12-16 11:06:49

或许是看了涂彦晖PPT了,我见过" 在NTFS系统中删除一个文件时,系统至少在三个地方做了改变。一是该文件MFT的头偏移16H处的一个字节,该字节为0表示文件被删除,为1表示该文件是正被使用的文件,为2表示其是一个目录;二是其父目录文件夹的INDEX-ROOT属性(90H属性)或者INDEX-ALLOCATION(A0属性);三是在位图($Bitmap)元数据文件中把该文件占用的簇对应的位置清0,以便给其他文件留出空间。

lhs6531 发表于 2008-12-17 15:05:27

回复 43# 的帖子

涂老师真是风般的男人   神龙显首不见影呀
页: 1 2 3 [4] 5 6 7 8 9 10
查看完整版本: NTFS文件系统下文件的删除