手工分析NTFS6文件记录和校验扇区

  作者:许咏利
2009/1/14 0:00:00
本文关键字: 存储 分析

  在笔者前期的文章中,曾经重点介绍过如何恢复RAID5故障后丢失的数据,参考:

  实用技巧:恢复RAID5故障后丢失的数据

  RAID5恢复后记-剔除无效映像及使用工具

  接续上文,本文重点讲解一下文件记录的特征,这样大家就可以轻松分辨,从而很快的计算出 RAID5中最重要的参数:每块扇区数!只有同时符合所有的特征,才是文件记录!

分析文件记录

  一个文件记录由 头部、属性集合、结束标志共计三部分组成。系统给每个文件记录都分配两个扇区,但经常用不尽!

  一:文件记录头部特征,下图是“文件记录头部”的范围

  扇区中每一横行都有16个字节(编号:0~15)。
  特征:偏移 00~03处是“46 49 4C 45”,

  偏移14处是38

  偏移 2C~2F处不能全为零(此处的值是该文件记录的编号),

属性集合的特征

  从偏移 38开始就是“属性集合的地盘了” 属性集合没有固定的范围,主要取决于属性的个数以及每个属性的长度!

  主要看以下几点:每个属性的属性名是否正确,长度是否与实际长度相同并且在书写上符合规范。属性排列的前后次序是否正确。此外属性两两之间还必须是紧密连接,绝无间隔!
属性名(图中红色框中的)可以看成X0 00 00 00 的形式 ,X的取值范围是1~F)。一般我们只见到标准,文件名,数据这三个常见属性。

  标准和文件名这两个属性是必须有的,并且标准属性必须排第一,文件名属性必须排第二。(从第三个属性开始就没有“次序”的要求了!

  在本例中还有个不常见的40属性在数据属性之前。)

  在属性名后面紧跟的是该属性的长度(绿色框中),可以把它看成“XY 00 00 00”的形式,表示该属性总长度是X行零Y个字节,(一行是十六个字节,半行就是八个)Y必须是0或8,不许是其他数字!

分析扇区属性

  下面结合图讲解:第一个属性必须是标准属性(属性名:10 00 00 00,属性名位置必须在38~3B长度是六行),

  第二个属性必须是文件名属性(属性名30 00 00 00,长度是六行半),文件名属性在结尾处会记录着“文件的完整名”在winhex右侧窗格中能看到该文件的扩展名(JPG),如果扩展名这儿是杂乱的字母则可认为这儿不是文件名属性,这个扇区是校验扇区(P扇区)

  第三个属性是 40属性,长两行半

  第四个属性是数据属性(属性名 80 00 00 00,长度是四行半)

  本例中数据属性是最后一个属性。并且属性两两之间是紧密连接,绝无间隔!

  结束标志:“FF FF FF FF”总共是连续的四个FF 。紧接在属性集合后。

  在结束标志以后的任何值都与文件记录无关!

分析NTFS6下的RAID5 

  下面看看NTFS6下的RAID5是如何计算“每块扇区数”
  发现 3.img和1.dsk的3145793扇区都是文件记录扇区
  把它们各自的文件记录编号转化为十进制数。

  例如:在Winhex中的显示为 21 00 00 00 .用鼠标选中这四个字节,并且用左键点选最左边的字符“2”, Winhex 数据解释器中“32位“后的数字就是对应的十进制数。

  两个编号分别是 49、33 ,(49—33)*2=32。则每块扇区数是32

  下面开始用三个例子(下面的三幅图显示的都是校验扇区)演示如何分辨文件记录扇区和校验扇区,有时这两者只有很小的差别,所以我说文件记录的每个特征都要牢记。在图中我会用红色和绿色框标出不符合文件记录特征的地方!

  图一中记录头中偏移14处是F3,属性长度写法不符合规范!

  图二中数据属性的标称长度是B8 00 00 00(十一行半),但是却在第五行的后半行一开始出项了文件记录的结束标志。典型的标称长度与实际长度不符!

  图三中 文件名属性结束后既不是其它属性,也不是结束标志,而是5E,所以肯定是校验!

责编:
vsharing微信扫一扫实时了解行业动态
portalart微信扫一扫分享本文给好友

著作权声明:kaiyun体育官方人口 文章著作权分属kaiyun体育官方人口 、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。
最新专题
流动存储 为大数据而生

伴随信息技术的突飞猛进,更大量级的非结构化数据与结构化数据构成的大数据成为企业级存储所面临的最大挑战:一方..

磁盘阵列及虚拟化存储

利用数组方式来作磁盘组,配合数据分散排列的设计,提升数据的安全性。虚拟化存储,对存储硬件资源进行抽象化表现。

    畅享
    首页
    返回
    顶部
    ×
      信息化规划
      IT总包
      供应商选型
      IT监理
      开发维护外包
      评估维权
    客服电话
    400-698-9918
    Baidu
    map