|
手工分析NTFS6文件记录和校验扇区在笔者前期的文章中,曾经重点介绍过如何恢复RAID5故障后丢失的数据,参考: 实用技巧:恢复RAID5故障后丢失的数据 接续上文,本文重点讲解一下文件记录的特征,这样大家就可以轻松分辨,从而很快的计算出 RAID5中最重要的参数:每块扇区数!只有同时符合所有的特征,才是文件记录! 分析文件记录 一个文件记录由 头部、属性集合、结束标志共计三部分组成。系统给每个文件记录都分配两个扇区,但经常用不尽! 一:文件记录头部特征,下图是“文件记录头部”的范围 扇区中每一横行都有16个字节(编号:0~15)。
偏移14处是38
偏移 2C~2F处不能全为零(此处的值是该文件记录的编号), 属性集合的特征 从偏移 38开始就是“属性集合的地盘了” 属性集合没有固定的范围,主要取决于属性的个数以及每个属性的长度! 主要看以下几点:每个属性的属性名是否正确,长度是否与实际长度相同并且在书写上符合规范。属性排列的前后次序是否正确。此外属性两两之间还必须是紧密连接,绝无间隔! 标准和文件名这两个属性是必须有的,并且标准属性必须排第一,文件名属性必须排第二。(从第三个属性开始就没有“次序”的要求了! 在本例中还有个不常见的40属性在数据属性之前。) 在属性名后面紧跟的是该属性的长度(绿色框中),可以把它看成“XY 00 00 00”的形式,表示该属性总长度是X行零Y个字节,(一行是十六个字节,半行就是八个)Y必须是0或8,不许是其他数字! 分析扇区属性 下面结合图讲解:第一个属性必须是标准属性(属性名:10 00 00 00,属性名位置必须在38~3B长度是六行), 第二个属性必须是文件名属性(属性名30 00 00 00,长度是六行半),文件名属性在结尾处会记录着“文件的完整名”在winhex右侧窗格中能看到该文件的扩展名(JPG),如果扩展名这儿是杂乱的字母则可认为这儿不是文件名属性,这个扇区是校验扇区(P扇区) 第三个属性是 40属性,长两行半 第四个属性是数据属性(属性名 80 00 00 00,长度是四行半) 本例中数据属性是最后一个属性。并且属性两两之间是紧密连接,绝无间隔! 结束标志:“FF FF FF FF”总共是连续的四个FF 。紧接在属性集合后。 在结束标志以后的任何值都与文件记录无关! 分析NTFS6下的RAID5 下面看看NTFS6下的RAID5是如何计算“每块扇区数” 例如:在Winhex中的显示为 21 00 00 00 .用鼠标选中这四个字节,并且用左键点选最左边的字符“2”, Winhex 数据解释器中“32位“后的数字就是对应的十进制数。 两个编号分别是 49、33 ,(49—33)*2=32。则每块扇区数是32 下面开始用三个例子(下面的三幅图显示的都是校验扇区)演示如何分辨文件记录扇区和校验扇区,有时这两者只有很小的差别,所以我说文件记录的每个特征都要牢记。在图中我会用红色和绿色框标出不符合文件记录特征的地方! 图一中记录头中偏移14处是F3,属性长度写法不符合规范! 图二中数据属性的标称长度是B8 00 00 00(十一行半),但是却在第五行的后半行一开始出项了文件记录的结束标志。典型的标称长度与实际长度不符! 图三中 文件名属性结束后既不是其它属性,也不是结束标志,而是5E,所以肯定是校验!
责编:
微信扫一扫实时了解行业动态
微信扫一扫分享本文给好友
著作权声明:kaiyun体育官方人口 文章著作权分属kaiyun体育官方人口 、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。
|
最新专题
|
|