第3章Windows系統的數據恢復技術3.1FAT32文件系統下的數據恢復3.1.1FAT32文件系統的結構與分析1．FAT32文件系統的結構FAT32文件系統是從Windows95系統的OSR2版本開始使用的。它能夠支持容量大于32

MB且小于32

GB的分區。雖然第三方的格式化程序可以把容量超過32

GB的分區格式化為FAT32文件系統，但微軟系統不允許將容量大于32

GB的分區格式化為FAT32文件系統。圖3-1FAT32文件系統的結構

FAT32文件系統由DBR及其保留扇區、FAT1、FAT2、DATA區4個部分組成，如圖3-1所示。3.1FAT32文件系統下的數據恢復3.1.1FAT32文件系統的結構與分析1．FAT32文件系統的結構

FAT32文件系統這4部分是在分區被格式化時創建出來的。它們的含義如下。DBR及其保留扇區：DOS引導記錄（DosBootRecord，DBR）又稱操作系統引導記錄，而在DBR之后往往有一些保留扇區。

FAT1：FAT32文件系統一般有兩個文件分配表（FileAllocationTable，FAT），FAT1是FAT32文件系統的第一個文件分配表，也是主FAT。FAT2：FAT2是FAT32文件系統的第二個文件分配表，也就是FAT1的備份，又稱備份FAT。DATA區：也就是數據區，是FAT32文件系統的主要區域，其中也包含目錄區。3.1FAT32文件系統下的數據恢復3.1.1FAT32文件系統的結構與分析

2．FAT32文件系統的DBR分析

FAT32文件系統的DBR與FAT16文件系統的DBR很類似，也由5部分組成，分別為跳轉指令、OEM代號、BPB（BIOSParameterBlock）、引導程序和結束標志。如圖3-2所示即為一個完整的FAT32文件系統的DBR。圖3-2一個完整的FAT32文件系統的DBR3.1FAT32文件系統下的數據恢復3.1.1FAT32文件系統的結構與分析1）跳轉指令

跳轉指令占用2個字節。它將程序執行流程跳轉到引導程序處，比如當前DBR中的“EB58”，就代表了匯編語言的“JMP58”。因為計算跳轉目標地址是以該指令的下一個字節為基準，所以實際執行的下一條指令應該位于5A。跳轉指令的下一條指令是一條空指令NOP(90H)。

2）OEM代號OEM代號占用8個字節。OEM代號由創建該文件系統的OEM廠商設定。當前DBR中的OEM代號為“MSDOS5.0”，說明此FAT32文件系統是由Windows2000以上的操作系統格式化創建的。3.1FAT32文件系統下的數據恢復3.1.1FAT32文件系統的結構與分析3）BPBFAT32文件系統的BPB從DBR的第12個字節（0BH）開始，占用79個字節，記錄了有關該文件系統的重要信息。FAT32文件系統的BPB各字段的含義如表3-1所示。偏移地址字段長度/個字節含

義偏移地址字段長度/個字節含

義0BH2每扇區字節數28H2擴展標志0DH1每簇扇區數2AH2版本0EH2DBR保留扇區數2CH4根目錄首簇號10H1FAT個數30H2文件系統信息扇區號11H2未用32H2DBR備份扇區號13H2未用34H12保留不用15H1介質描述符40H1BIOS驅動器號16H2未用41H1保留不用18H2每磁道扇區數42H1擴展啟動標志1AH2磁頭數43H4卷序列號1CH4隱含扇區數47H11卷標20H4分區的扇區總數52H8文件系統類型24H4FAT扇區數

表3-1FAT32文件系統的BPB各字段的含義3.1FAT32文件系統下的數據恢復3.1.1FAT32文件系統的結構與分析3）BPB

BPB也可以使用WinHex中的DBR模板來查看。WinHex的模板管理器提供了FAT32文件系統的DBR模板。打開WinHex的“模板管理器”對話框，選擇FAT32文件系統的DBR模板即可，如圖3-3所示。圖3-3“模板管理器”對話框3.1FAT32文件系統下的數據恢復3.1.1FAT32文件系統的結構與分析3）BPB

單擊“應用”按鈕后，就可以查看FAT32文件系統的DBR模板信息，如圖3-4所示。圖3-4FAT32文件系統的DBR模板3.1FAT32文件系統下的數據恢復3.1.1FAT32文件系統的結構與分析3）BPB

（1）0BH～0CH：每扇區字節數，以記錄每個邏輯扇區的大小。在一般情況下，每個扇區有512個字節。但每個扇區字節數并不是固定值，可以由程序定義，其合法值包括512、1024、2048和4096等。

（2）0DH～0DH：每簇扇區數，以記錄FAT32文件系統的簇的大小，即記錄每個簇中有多少個扇區。

FAT32文件系統最高能支持128個扇區的簇。在FAT32文件系統中，所有的簇均從2開始進行編號，每個簇擁有一個自己的地址編號，且所有的簇都位于數據區內，在數據區之前是沒有簇的。3.1FAT32文件系統下的數據恢復3.1.1FAT32文件系統的結構與分析3）BPB

（3）0EH～0FH：DBR保留扇區數。DBR保留扇區數是指DBR本身占用的扇區數及其后保留扇區數的總和，也就是DBR到FATl之間的扇區總數，或者說是FATl的開始扇區號。

對于FAT32文件系統來說，DBR保留扇區數的取值范圍是32～38。

（4）10H：FAT個數。FAT個數描述了在FAT文件系統中存在著幾個FAT，一般在FAT文件系統中都有兩個FAT。

（5）11H～12H：未用。這兩個字節在FAT16文件系統中用來表示FDT最大能容納的目錄項數。因FAT32文件系統沒有固定的FDT，所以不使用這個參數。3.1FAT32文件系統下的數據恢復3.1.1FAT32文件系統的結構與分析3）BPB

（6）13H～14H：未用。這兩個字節在FAT16文件系統中用來表示小于32

MB分區的扇區總數。因FAT32文件系統的分區總是大于32

MB，所以不使用這個參數。

（7）15H：介質描述符。介質描述符是描述磁盤介質的參數，一般會根據磁盤性質的不同取不同的值。

（8）16H～17H：未用。這兩個字節在FAT16文件系統中用來表示每個FAT包含的扇區數，但在FAT32文件系統不使用這個參數。

（9）18H～19H：每磁道扇區數。這是邏輯C/H/S中的一個參數，其值一般為63。

（10）1AH～1BH：磁頭數。這是邏輯C/H/S中的一個參數，其值一般為255。3.1FAT32文件系統下的數據恢復3.1.1FAT32文件系統的結構與分析3）BPB

（11）1CH～1FH：隱含扇區數。隱含扇區數是指在本分區之前使用的扇區數，與分區表中所描述的該分區的起始扇區號一致。對于主磁盤分區來講，隱含扇區數是MBR到該分區DBR間的扇區數；對于擴展分區中的邏輯驅動器來講，隱含扇區數是EBR到該分區DBR間的扇區數。

（12）20H～23H：分區的扇區總數。分區的總扇區數也就是FAT32文件系統分區的大小。

（13）24H～27H：FAT扇區數。這4個字節用來記錄FAT32文件系統分區中每個FAT占用的扇區數。

（14）28H～29H：擴展標志。這兩個字節用于表示FAT2是否可用，當將其二進制數最高位置1時，表示只有FAT1可用，否則FAT2也可用。3.1FAT32文件系統下的數據恢復3.1.1FAT32文件系統的結構與分析3）BPB

（15）2AH～2BH：版本。這兩個字節通常都為0。

（16）2CH～2FH：根目錄首簇號。分區在被格式化為FAT32文件系統時，格式化程序會在數據區中指派一個簇作為FAT32文件系統的根目錄區的起始點，并把該簇號記錄在BPB中。在通常情況下，數據區的第1簇（也就是2號簇）被分配給根目錄使用。

（17）30H～31H：文件系統信息扇區號。

（18）32H～33H：DBR備份扇區號。FAT32文件系統在DBR的保留扇區中設定了一個DBR的備份，一般在6號扇區，也就是分區的第7個扇區。該備份扇區與原DBR的內容完全一樣，如果原DBR遭到破壞，可以使用備份扇區進行修復。3.1FAT32文件系統下的數據恢復3.1.1FAT32文件系統的結構與分析3）BPB

（19）34H～3FH：保留不用。這12個字節一般保留不用。

（20）40H：BIOS驅動器號。這是BIOS的INT13H所描述的設備號碼，一般把硬盤定義為8×H。

（21）41H：保留不用。這個字節保留不用，為0。

（22）42H：擴展啟動標志。擴展啟動標志可以用來確認后面的3個參數是否有效，一般值為29H。

（23）43H～46H：卷序列號。卷序列號是格式化程序在創建文件系統時生成的一組4個字節的隨機數值。3.1FAT32文件系統下的數據恢復3.1.1FAT32文件系統的結構與分析3）BPB

（24）47H～51H：卷標。卷標是用戶在創建文件系統時指定的一個卷的名稱。Windows98之前的系統把卷標記錄在這個地址處，Windows2000之后的系統已經不再使用這個地址記錄卷標，而是由一個目錄項來管理卷標。

（25）52H～59H：文件系統類型，是BPB的最后一個參數，直接用ASCII記錄當前分區的文件系統類型。3.1FAT32文件系統下的數據恢復3.1.1FAT32文件系統的結構與分析4）引導程序FAT32文件系統的DBR引導程序占用420個字節（5AH～1FDH）。在Windows98之前的系統中，引導程序負責完成DOS3個系統文件的裝入；在Windows2000之后的系統中，其負責將系統文件NTIDR裝入。對于沒有安裝操作系統的分區來說，引導程序沒有用處。5）結束標志DBR的結束標志與MBR、EBR的結束標志相同，為“55AA”。3.1FAT32文件系統下的數據恢復3.1.1FAT32文件系統的結構與分析3．FAT32文件系統的FAT分析1）FAT的作用及結構特點

（1）FAT32文件系統的FAT也是由FAT項構成的。每個FAT項的大小為32位（相當于4個字節）。

（2）雖然FAT32文件系統的FAT項為32位，但是Windows系統只能用到26位。26位的FAT項最多可管理67108863個簇。

（3）Windows2000之后的系統能管理的簇的大小可以達到128個扇區（64

KB）。

（4）在FAT32文件系統的FAT中，未使用的簇對應的FAT項用“00000000”這4個字節表示；一個已分配的簇號對應的FAT項的取值范圍是十六進制“00000002～0FFFFFFE”；在十六進制“0FFFFFF0～0FFFFFF6”范圍間的取值是保留的；壞簇對應的FAT項用“0FFFFFF7”這4個字節的十六進制數表示；文件結束簇對應的FAT項的取值范圍是十六進制“0FFFFFF8～0FFFFFFF”，一般取“0FFFFFFF”，按照Little-Endian的字節序來寫就是“FFFFFF0F”。3.1FAT32文件系統下的數據恢復3.1.1FAT32文件系統的結構與分析2）FAT的實際應用

下面模擬操作系統定位FAT32文件系統FAT的方法。操作系統定位FAT1的方法如下。

（1）系統通過該分區的分區表信息，定位到其DBR扇區。

（2）讀取0EH—0FH偏移地址處的“DBR保留扇區數”參數，當前值為38。

（3）讀取到“DBR保留扇區數”參數的值后，跳轉到該分區的38號扇區，這里就是FAT1的開始。3.1FAT32文件系統下的數據恢復3.1.1FAT32文件系統的結構與分析

下面就具體分析38號扇區的數據結構。

該分區是剛格式化的一個分區。當把分區格式化為FAT32文件系統時，格式化程序會把分配給FAT的所有扇區都清零，然后寫入0號FAT項和1號FAT項。FAT1的內容如圖3-5所示。圖3-5FAT1的內容3.1FAT32文件系統下的數據恢復3.1.1FAT32文件系統的結構與分析

從圖3-5中可以看出，每個FAT項占用4個字節，其中0號FAT項描述介質類型，其首字節為“F8”，表示介質類型為硬盤；1號FAT項為骯臟標志；2號FAT項為結束標志，從DBR的BPB中可以看到根目錄的首簇號是2，而2號簇對應的2號FAT項是一個結束標志，說明目前根目錄只占一個簇；從5號FAT項開始之后都是空FAT項，表示它們對應的簇為可用簇。圖3-5FAT1的內容3.1FAT32文件系統下的數據恢復3.1.1FAT32文件系統的結構與分析

操作系統定位FAT2的方法如下。

操作系統通過該分區的分區表信息，定位到其DBR扇區。

讀取DBR的0EH—0FH偏移地址，得到“DBR保留扇區數”的值為38。

讀取DBR的24H—27H偏移地址，得到“每個FAT扇區數”的值為561。

用“DBR保留扇區數”的值加上“每個FAT扇區數”的值，結果等于599，跳轉到該分區的599號扇區，這里就是FAT2的開始。FAT2跟FAT1的內容完全一樣。FAT2的內容如圖3-6所示。圖3-6FAT2的內容3.1FAT32文件系統下的數據恢復3.1.1FAT32文件系統的結構與分析

除了0號FAT項和1號FAT項以外，如果一個FAT項為非零值，那么可能有以下3種情況。

（1）該FAT項映射的簇是一個不可用的壞簇，在該FAT項中有壞簇標志（對于FAT32來說為“0FFFFFF7”）。

（2）該FAT項映射的簇是某個文件的最后一個簇，在該FAT項中有結束標志（對于FAT32來說為“0FFFFFFF”）。

（3）該FAT項映射的簇被某個文件占用，但并不是文件的最后一個簇，在該FAT項中有文件下一個簇的簇號。3.1FAT32文件系統下的數據恢復3.1.1FAT32文件系統的結構與分析

舉例來說，假設某個文件被分配到數據區的3、4、5這3個簇中存放，3號簇會在該文件的目錄項中被記錄，4號簇和5號簇則在FAT表中被記錄，而記錄的方法是在3號簇所映射的3號FAT項中記錄簇號“4”，在4號簇所映射的4號FAT項中記錄簇號“5”，在5號簇所映射的5號FAT項中記錄結束標志“0FFFFFFF”。FAT項實例如圖3-7所示。圖3-7FAT項實例3.1FAT32文件系統下的數據恢復3.1.1FAT32文件系統的結構與分析

此處的數值字節序為“Little-Endian”，比如3號FAT項中的值從高位往低位讀取應該是“00000004”，也就是十進制數“3”。

那么如何定位每個FAT項在FAT中的偏移地址呢？這個很簡單，在FAT32文件系統中，每個FAT項占用4個字節，所以只要把FAT項號乘以4，得到的結果就是該FAT項在FAT中的起始偏移地址。例如，要想知道100號FAT項在FAT中的偏移地址，就用100乘以4得到結果400，從FAT的起始位置算起的400號偏移地址就是100號FAT項在FAT中的起始偏移地址。

另外，也可以用WinHex方便地找到每個FAT項的起始地址，在菜單欄中，選擇“位置”→“轉至FAT記錄”命令就可以實現這個功能。3.1FAT32文件系統下的數據恢復3.1.1FAT32文件系統的結構與分析4．FAT32文件系統的數據區分析

1）數據區的位置FAT32文件系統的數據區是緊跟在FAT2之后的。下面模擬操作系統定位數據區的方法。這里以圖3-2中的DBR所在分區為例，介紹操作系統定位數據區的方法如下。

（1）系統通過該分區的分區表信息，定位到其DBR扇區。

（2）讀取DBR的0EH—0FH偏移地址，得到“DBR保留扇區數”的值為32。

（3）讀取DBR的24H—27H偏移地址，得到“每個FAT扇區數”的值為16376。

（4）用“DBR保留扇區數”的值加上2倍的“每個FAT扇區數”的值，結果等于32784，跳轉到該分區的32784號扇區，這里就是數據區的起始位置。3.1FAT32文件系統下的數據恢復3.1.1FAT32文件系統的結構與分析2）數據區的內容FAT32文件系統數據區的內容主要由3部分組成：根目錄、子目錄和文件內容。在數據區中，操作系統是以“簇”為單位來管理這段空間的，第一個簇的編號為“2”。根據該例子中DBR的BPB記錄的“根目錄首簇號”為2，可以確定2號簇被分配給了根目錄。

通過模擬操作系統定位數據區的方法，可以確定數據區開始于分區的1160號扇區。1160號扇區的內容如圖3-8所示。圖3-81160號扇區的內容3.1FAT32文件系統下的數據恢復3.1.1FAT32文件系統的結構與分析

在分區的根目錄項中存入文件，數據區就有數據了?，F在在該分區下存入一個文件，再查看數據區的2號簇，如圖3-9所示。圖3-9存入數據后的2號簇3.1FAT32文件系統下的數據恢復3.1.1FAT32文件系統的結構與分析5．FAT32文件系統的目錄項分析

在FAT32文件系統中，分區根目錄下的文件及文件夾的目錄項存放在根目錄區中；分區子目錄下的文件及文件夾的目錄項存放在子目錄區中；根目錄區和子目錄區都在數據區中。FAT32文件系統的目錄項與FAT16文件系統的目錄項一樣，都可以分為短文件名目錄項、長文件名目錄項、“.”目錄項和“..”目錄項、卷標目錄項4類。

在FAT32文件系統的4類目錄項中，只有文件名目錄項的結構跟FAT16文件系統的稍有區別，其他3類都完全一樣，所以本節就不再重復講解文件名目錄項、目錄項和錄項及卷標目錄項的具體結構了3.1FAT32文件系統下的數據恢復3.1.1FAT32文件系統的結構與分析FAT32文件系統的短文件名目錄項各字段的含義如表3-2所示。偏移地址字段長度/個字節含

義00H8主文件名08H3文件擴展名0BH1文件屬性00000000（讀/寫）00000001（只讀）00000010（隱含）00000100（系統）00001000（卷標）00010000（子目錄）00100000（存檔）表3-2FAT32文件系統的短文件名目錄項各字段的含義3.1FAT32文件系統下的數據恢復3.1.1FAT32文件系統的結構與分析FAT32文件系統的短文件名目錄項各字段的含義如表3-2所示。表3-2FAT32文件系統的短文件名目錄項各字段的含義（續表）偏移地址字段長度/個字節含

義0CH1未用0DH1文件創建時間精確到10ms0EH2文件創建時間，包括時、分、秒10H2文件創建日期，包括年、月、日12H2文件最近訪問日期，包括年、月、日14H2文件起始簇號的高位16H2文件修改時間，包括時、分、秒18H2文件修改日期，包括年、月、日1AH2文件起始簇號的低位1CH4文件大?。ㄒ宰止潪閱挝唬?.1FAT32文件系統下的數據恢復3.1.1FAT32文件系統的結構與分析

將光標放在目錄項的第一個字節上，然后打開WinHex中FAT32文件系統的短文件名目錄項的模板，如圖3-10所示。圖3-10短文件名目錄項的模板3.1FAT32文件系統下的數據恢復3.1.1FAT32文件系統的結構與分析

（1）00H～07H：文件名。文件名共占8個字節。如果文件名用不完8個字節，后面用空格（十六進制數為20H）填充。在當前例子中文件名為“SYSLOG”

（2）08H～0AH：擴展名。擴展名共占3個字節，對于文件夾來說，如果沒有擴展名，則這3個字節用空格填充。在當前例子中擴展名為“TXT”。

（3）0BH：屬性。屬性占1個字節，可以表示文件的各種屬性，表示的方法是按二進制位定義，最高兩位保留未用，0～5位分別是只讀位、隱含位、系統位、卷標位、子目錄位和存檔位。

（4）0CH：保留未用。

（5）0DH：創建時間精確到10

ms。文件被創建的時間精確到10

ms的值一般用該字節進行表示。在當前例子中該值為“01H”，換算成十進制數即為1，所以文件的創建時間為10ms，也就是0.01s。3.1FAT32文件系統下的數據恢復3.1.1FAT32文件系統的結構與分析

（6）0EH～0FH：創建時間。這是文件創建的時、分、秒的數值，一般用16位二進制數記錄文件創建時間。時、分、秒3部分的表達方法如下。

①0～4位：這5位記錄“秒”值，將此值乘以2即是文件創建時間實際的“秒”值，其取值范圍是0～29。

②5～10位：這6位記錄“分”值，其取值范圍是0～59。

③11～15位：這5位記錄“時”值，其取值范圍是0～23。

（7）10H～11H：創建日期。這是文件創建的年、月、日的數值，用16位二進制數記錄文件創建日期，年、月、日3部分的表達方法如下。①0～4位：這5位記錄“日”值，其取值范圍是1～31。②5～8位：這4位記錄“月”值，其取值范圍是1～12。③9～15位：這7位記錄“年”值，因為其值是從1980年開始計數的，所以必須加1980才能得到正確的年份，其取值范圍是0～127。3.1FAT32文件系統下的數據恢復3.1.1FAT32文件系統的結構與分析

（8）12H～13H：訪問日期。這是文件最后訪問的年、月、日的數值，表達方法與創建日期一致。

（9）14H～15H：起始簇號（高位，Hex）。這兩個字節作為文件起始簇號的高位使用。當前例子中該值為“0002H”。

（10）16H～17H：更新時間。這是文件最后修改的時、分、秒的數值，用16位二進制數記錄文件最后修改時間。其表達方法與創建時間一致。

（12）1AH～1BH：起始簇號（低位，Hex）。這兩個字節作為文件起始簇號的低位使用。當前例子中該值為“1003H”。

（13）1CH～1FH：文件大小。文件大小占用4個字節，記錄著文件的總字節數。當前值為“0AHE1H”，換算成十進制數即為2785，說明文件大小為2785個字節。

3.1FAT32文件系統下的數據恢復3.1.1FAT32文件系統的結構與分析6．FAT32文件系統根目錄與子目錄的管理

1）根目錄的管理FAT32文件系統統一在數據區的根目錄中為文件創建目錄項，并由FAT為文件的內容分配簇來存放數據。而根目錄的首簇由格式化程序進行指派，并把指派的簇號記錄在DBR的BPB中。如果根目錄下的文件數目過多，這些文件的目錄項在根目錄的首簇存放不下，FAT就會為根目錄分配新的簇來存放根目錄下文件及文件夾的目錄項。2）子目錄的管理FAT32文件系統的根目錄、子目錄及數據都是存放在數據區的3.1FAT32文件系統下的數據恢復3.1.2從FAT32文件系統中提取數據

要想從FAT32文件系統中提取數據，就要先找到根目錄。下面就以“I”盤中的“WinHex快捷鍵”文件為例來了解從FAT32文件系統中提取數據的步驟。“I”盤如圖3-11所示?！癢inHex快捷鍵”文件如圖3-12所示。圖3-11“I”盤圖3-12“WinHex快捷鍵”文檔3.1FAT32文件系統下的數據恢復3.1.2從FAT32文件系統中提取數據

首先，用WinHex打開“I”盤，如圖3-13所示。圖3-13打開“I”盤3.1FAT32文件系統下的數據恢復3.1.2從FAT32文件系統中提取數據

分區表圖如3-15所示，可以看到DBR是在2048號扇區中。圖3-15分區表3.1FAT32文件系統下的數據恢復3.1.2從FAT32文件系統中提取數據

打開“I”盤后，“I”盤中的MBR扇區如圖3-14所示。圖3-14“I”盤中的MBR扇區3.1FAT32文件系統下的數據恢復3.1.2從FAT32文件系統中提取數據

跳轉到2048扇區，如圖3-16所示。圖3-16跳轉到2048扇區3.1FAT32文件系統下的數據恢復3.1.2從FAT32文件系統中提取數據

找到“I”盤的DBR扇區（FAT32DBR跳轉指令EB5890），如圖3-17所示。圖3-17“I”盤的DBR扇區3.1FAT32文件系統下的數據恢復3.1.2從FAT32文件系統中提取數據

0EH～0FH這兩個字節如圖3-18所示。圖3-180EH～0FH這兩個字節內容3.1FAT32文件系統下的數據恢復3.1.2從FAT32文件系統中提取數據

FAT如圖3-19所示。圖3-19FAT3.1FAT32文件系統下的數據恢復3.1.2從FAT32文件系統中提取數據

FAT32文件系統有兩個FAT。我們只找到了第1個，接下來找第2個。FAT32文件系統的FAT2是FAT1的備份，所以FAT2和FAT1是一模一樣的。根據這點，我們可以用“查找十六進制數值”功能來搜索FAT2，搜索FAT1的頭4個字節內容“F8FFFF0F”，如圖3-20所示。圖3-20搜索FAT1的頭4個字節內容“F8FFFF0F”3.1FAT32文件系統下的數據恢復3.1.2從FAT32文件系統中提取數據

搜索到FAT2在18456扇區，如圖3-21所示。圖3-21FAT2在18456扇區3.1FAT32文件系統下的數據恢復3.1.2從FAT32文件系統中提取數據

知道了FA1和FAT2的起始位置，就可以開始查找FAT32文件系統的根目錄了，具體步驟如下。

（1）先算出一個FAT的大小，即用FAT2的起始位置減去FAT1的起始位置就等于FAT的大小，18456-2080=16376，FAT的大小是16376。

（2）再用FAT2的起始位置加FAT的大小就得到了根目錄的起始位置，18

456+16

376=34

832，即根目錄的起始位置在34832扇區。3.1FAT32文件系統下的數據恢復3.1.2從FAT32文件系統中提取數據

如圖3-22所示。圖3-22根目錄的起始位置3.1FAT32文件系統下的數據恢復3.1.2從FAT32文件系統中提取數據

找到根目錄后，就可以分析根目錄并提取數據了。要提取一個文件數據，需要先找到這個文件的目錄項。例如，要提取“WinHex快捷鍵”文件，需要先找到記錄它的目錄項，如圖3-23所示。圖3-23“WinHex快捷鍵”文件的目錄項3.1FAT32文件系統下的數據恢復3.1.2從FAT32文件系統中提取數據

目錄項中文件的起始簇號如圖3-24所示?！癢inHex快捷鍵”文件是一個DOC格式的文檔。在提取數據時，我們除了要知道自己需要的文件之外，還需要分析目錄項中的文件的起始簇號和文件的大小。圖3-24目錄項起始簇號3.1FAT32文件系統下的數據恢復3.1.2從FAT32文件系統中提取數據

從圖3-24中可以看到，目錄項中文件的起始簇號高位是“0000”、低位是“0600”。在用計算器將高位、低位上的二進制數轉換成十進制數時需要保持高位在前、低位在后。例如，高位是“0000”，低位是“0600”，則應寫成“00000600”，再把高位和低位的兩個字節反轉成為“00000006”并寫入計算器進行數制轉換。圖3-24目錄項起始簇號3.1FAT32文件系統下的數據恢復3.1.2從FAT32文件系統中提取數據

在一般情況下，如果高位是“0000”則可直接忽略高位，只看低位，如圖3-25所示。圖3-25“WinHex快捷鍵”文件的起始簇號3.1FAT32文件系統下的數據恢復3.1.2從FAT32文件系統中提取數據

因為根目錄在34

832扇區，所以可以算出“WinHex快捷鍵”文件的起始位置在3

496

034

832+128=34

960扇區。接下來，我們跳轉到“WinHex快捷鍵”文件頭處，如圖3-26所示。圖3-26“WinHex快捷鍵”文件頭3.1FAT32文件系統下的數據恢復3.1.2從FAT32文件系統中提取數據

找到了“WinHex快捷鍵”文件頭之后，就要開始找它的尾了?！癢inHex快捷鍵”文件尾可以用文件的大小進行查找。從圖3-27可以看到，“WinHex快捷鍵”文件的大小是2

305

024個字節。圖3-27“WinHex快捷鍵”文件尾3.1FAT32文件系統下的數據恢復3.1.2從FAT32文件系統中提取數據

現在，“WinHex快捷鍵”文件頭和文件尾都知道了，就可以提取數據了。先跳轉到“WinHex快捷鍵”文件的起始扇區處，右擊第一個字節，在右鍵快捷菜單中選擇“選塊起始位置”選項，如圖3-28所示。圖3-28右擊第一個字節3.1FAT32文件系統下的數據恢復3.1.2從FAT32文件系統中提取數據

跳轉到“WinHex快捷鍵”文件尾處（39462扇區），在“WinHex快捷鍵”文件尾后的空白處右擊，在右鍵快捷菜單中選擇“選塊尾部”選項，如圖3-29所示。圖3-29選擇“選塊尾部”選項3.1FAT32文件系統下的數據恢復3.1.2從FAT32文件系統中提取數據

這樣就選中了“WinHex快捷鍵”文件的所有數據，然后右擊，選擇“編輯”選項，如圖3-30所示，再選擇“復制選塊”→“至新文件”選項，如圖3-31所示。圖3-30選擇“編輯”選項

圖3-31選擇“復制選塊”→“至新文件”選項3.1FAT32文件系統下的數據恢復3.1.2從FAT32文件系統中提取數據

在“另存為”對話框中，單擊“保存”按鈕，如圖3-32所示。圖3-32“另存為”對話框3.1FAT32文件系統下的數據恢復3.1.2從FAT32文件系統中提取數據

最后，在本地磁盤（I:）中會出現一個新文件。圖3-33提取出來的數據3.1FAT32文件系統下的數據恢復3.1.3FAT32文件系統DBR遭破壞后的恢復

如果雙擊FAT32分區“I”盤時出現如圖3-34所示的提示信息，則要判斷“I”盤是否存在物理故障，若無物理故障，則說明FAT32文件系統遭到了破壞。這時，千萬不要單擊“格式化磁盤”按鈕，否則磁盤中的數據會被清空。圖3-34雙擊FAT32分區“I”盤時出現的提示信息3.1FAT32文件系統下的數據恢復3.1.3FAT32文件系統DBR遭破壞后的恢復

用WinHex打開“I”盤，檢查發現“I”盤的DBR已經被破壞，如圖3-35所示。圖3-35“I”盤的DBR3.1FAT32文件系統下的數據恢復3.1.3FAT32文件系統DBR遭破壞后的恢復

手工修復的步驟。第1步，自建一個FAT32文件系統格式的磁盤，然后把自建盤的DBR扇區復制到故障盤DBR處，如圖3-36、圖3-37所示。圖3-36復制自建盤DBR3.1FAT32文件系統下的數據恢復3.1.3FAT32文件系統DBR遭破壞后的恢復

手工修復的步驟。第1步，自建一個FAT32文件系統格式的磁盤，然后把自建盤的DBR扇區復制到故障盤DBR處，如圖3-36、圖3-37所示。圖3-37把自建盤DBR粘貼到故障盤DBR處3.1FAT32文件系統下的數據恢復3.1.3FAT32文件系統DBR遭破壞后的恢復

手工修復的步驟。第2步，自建盤DBR被粘貼到故障盤的相應位置后是不能直接使用的，還要修改其中幾個重要參數。圖3-38修改0DH每簇扇區數

（1）修改0DH每簇扇區數（每簇扇區數可以為2，4，6，8，16，32，64，128…，在FAT32文件系統中一般為32），如圖3-38所示。3.1FAT32文件系統下的數據恢復3.1.3FAT32文件系統DBR遭破壞后的恢復

手工修復的步驟。第2步，自建盤DBR被粘貼到故障盤的相應位置后是不能直接使用的，還要修改其中幾個重要參數。圖3-39修改0EH～0FHDOS扇區數

（2）修改0EH～0FHDOS扇區數（DBR到FAT1之間的扇區數一般為32，36，38，此處為32），如圖3-39所示。3.1FAT32文件系統下的數據恢復3.1.3FAT32文件系統DBR遭破壞后的恢復

手工修復的步驟。第2步，自建盤DBR被粘貼到故障盤的相應位置后是不能直接使用的，還要修改其中幾個重要參數。圖3-40修改1CH～1FH隱含扇區

（3）修改1CH～1FH隱含扇區（DBR所在的扇區，此處為2048），如圖3-40所示。3.1FAT32文件系統下的數據恢復3.1.3FAT32文件系統DBR遭破壞后的恢復圖3-41分區表分區大小

（4）修改20H～23H分區大小。分區大小可以在分區表中查看，也可用總扇區減去數據區的起始扇區（數據區的起始扇區=FAT2起始扇區+FAT的大?。┑玫椒謪^大小。分區表分區大小如圖3-41所示。DBR分區大小如圖3-42所示。3.1FAT32文件系統下的數據恢復3.1.3FAT32文件系統DBR遭破壞后的恢復圖3-42DBR分區大小

（4）修改20H～23H分區大小。分區大小可以在分區表中查看，也可用總扇區減去數據區的起始扇區（數據區的起始扇區=FAT2起始扇區+FAT的大?。┑玫椒謪^大小。分區表分區大小如圖3-41所示。DBR分區大小如圖3-42所示。3.1FAT32文件系統下的數據恢復3.1.3FAT32文件系統DBR遭破壞后的恢復圖3-43修改24H～27HFAT的大小

（5）修改24H～27HFAT的大小。FAT的大小可以先從F8FFFF0F向下搜索到FAT1起始扇區，再按“F3”鍵搜索到FAT2起始扇區。FAT的大小=FAT2起始扇區-FAT1起始扇區，此處為16376，如圖3-43所示。3.1FAT32文件系統下的數據恢復3.1.3FAT32文件系統DBR遭破壞后的恢復圖3-44修復好的“I”盤

完成上述步驟后，“I”盤的DBR就修復好了。修復好的“I”盤如圖3-44所示。3.2NTFS下的數據恢復3.2.1NTFS的特點

NTFS是隨著WindowsNT系統的誕生而出現的，并隨著WindowsNT系統家族跨入主力文件系統的行列。它的安全性和穩定性極其出色。它在使用中不易產生文件碎片，同時還提供了容錯結構日志，可以將用戶的操作全部記錄下來，從而保護了系統的安全。NTFS的具體特點如下：（1）安全性。（2）可恢復性。（3）文件壓縮。（4）磁盤配額（5）B+樹的文件管理。3.2NTFS下的數據恢復3.2.2

NTFS的結構與分析

如果將硬盤的一個分區格式化為NTFS分區，則建立了一個NTFS結構。NTFS與FAT文件系統一樣，也是以簇為基本單位對磁盤空間和文件存儲進行管理的。

文件系統在通過簇管理磁盤時不需要知道磁盤扇區的大小，這樣便使NTFS保持了與磁盤扇區大小的獨立性，從而使不同大小的磁盤能選擇合適的簇。NTFS分區又稱NTFS卷，而卷上簇的大小又稱卷因子。卷因子的大小是用戶在創建NTFS卷時確定的。

當一個簇占用的空間較小時，會出現較多的磁盤碎片，造成磁盤空間和文件訪問在時間上的浪費；反之，當一個簇占用的空間較大時，會直接造成磁盤空間的浪費。因此，最大限度優化系統對文件的訪問速度和最大限度減少磁盤空間的浪費是確定簇的大小的主要因素。簇的大小一定是扇區大小的整數倍，通常為2n（n為整數）。3.2NTFS下的數據恢復3.2.2

NTFS的結構與分析NTFS卷和簇的大小關系表如表3-3所示，這并不是完全固定的，僅為在系統格式化磁盤時的默認情況。這個默認的簇的大小一般被認為是最能優化系統的值。NTFS卷的大小/MB每簇的扇區數/個默認的簇的大小不大于5121512個字節（0.5

KB）513～102421024個字節（1

KB）1025～204842048個字節（2

KB）不小于204984

KB表3-3NTFS卷和簇的大小關系表3.2NTFS下的數據恢復3.2.2

NTFS的結構與分析NTFS使用了邏輯簇號（LogicalClusterNumber，LCN）和虛擬簇號（VirtualClusterNumber，VCN）對NTFS卷進行管理。其中，LCN是對NTFS卷的第一個簇到最后一個簇進行編號。

在系統底層中，也是通過這個方法對文件的簇進行定位的。簇在磁盤中的起始扇區位置的計算公式為：

簇在磁盤中的起始扇區號=每簇扇區數×簇號+卷的隱含扇區數VCN是對特定文件的簇從頭到尾進行的編號。這樣做的原因是方便系統對文件中的數據進行引用。VCN不要求在物理上是連續的。要確定VCN在磁盤上的定位，需要先將其轉換成LCN。NTFS的第一個扇區為引導扇區，即DBR扇區。引導扇區有NTFS分區的引導程序和一些BPB參數。系統會根據這些BPB參數得到分區的重要信息。如果沒有這些信息，分區將不能被正常使用。3.2NTFS下的數據恢復3.2.2

NTFS的結構與分析

在NTFS的主文件表中還記錄了一些非常重要的系統數據。這些數據稱為元數據文件，簡稱“元文件”，包括了用于文件定位和恢復的數據結構、引導程序數據及整個卷的分配位圖等信息。NTFS將這些數據當成文件進行管理，且用戶不能訪問這些數據。NTFS分配給主文件表的區域大約占據了磁盤空間的12.5%，剩余的磁盤空間用來存放其他元文件和用戶的文件。3.2NTFS下的數據恢復3.2.2

NTFS的結構與分析NTFS的大致結構如圖3-46所示。圖3-46NTFS的大致結構3.2NTFS下的數據恢復3.2.2

NTFS的結構與分析NTFS的補充說明：

（1）圖3-46中的結構僅為NTFS結構的示意圖。

（2）元文件在圖3-46中只體現了一部分，沒有畫完整，且除了$Boot文件以外，其他元文件的位置不是固定的，例如，$MFT文件也可以在$MFTMirr文件之后。

（3）NTFS所在分區的最后一個扇區是DBR的備份，但該扇區不屬于NTFS。圖3-46NTFS的大致結構3.2NTFS下的數據恢復3.2.2

NTFS的結構與分析

1．NTFS引導扇區分析NTFS的引導扇區是$Boot文件的第一個扇區。因為它的結構與FAT文件系統的DBR的類似，所以在習慣上也將該扇區稱為DBR扇區。DBR扇區在系統的引導過程中起著非常重要的作用。如果這個扇區遭到破壞，系統將不能正常啟動。NTFS與FAT文件系統的DBR扇區一樣，也包括跳轉指令、OEM代號、BPB、引導程序和結束標志。3.2NTFS下的數據恢復3.2.2

NTFS的結構與分析

一個完整的NTFS的DBR扇區如圖3-47所示。圖3-47一個完整的NTFS的DBR扇區3.2NTFS下的數據恢復3.2.2

NTFS的結構與分析

1）跳轉指令

跳轉指令本身占用2個字節。它會將程序執行流程跳轉到引導程序處。例如，當前DBR中的“EB52”，就代表了匯編語言的“JMP52”。

2）OEM代號OEM代號占用8個字節。其內容是由創建該文件系統的OEM廠商具體安排的。例如，Windows系統將此處直接設置為NTFS。在NTFS中，OEM代號又稱“文件系統ID”。

使用WinHex可以輕易地改變OEM代號，而且即使改變OEM代號也并不會影響文件系統的使用。3.2NTFS下的數據恢復3.2.2

NTFS的結構與分析

3）BPBBPB的含義為BIOS參數塊。BPB從DBR的第12個字節（0BH）處開始，到53H處結束，占用73個字節。BPB記錄了有關文件系統的重要信息。NTFS的BPB各字段的含義如表3-4所示。表3-4NTFS的BPB各字段的含義3.2NTFS下的數據恢復3.2.2

NTFS的結構與分析

這些參數也可以通過WinHex的模板來查看。WinHex的模板管理器提供了NTFS的DBR模板。打開WinHex的“模板管理器”對話框，如圖3-48所示，選擇“NTFS引導扇區”選項。圖3-48“模板管理器”對話框3.2NTFS下的數據恢復3.2.2

NTFS的結構與分析

“NTFS引導扇區”對話框如圖3-49所示。圖3-49“NTFS引導扇區”對話框

（1）0BH～0CH：每個扇區字節數（扇區大小）。每個扇區字節數記錄了每個扇區的大小，其常見值為512。但每個扇區字節數并不是固定值，可以由程序定義，其合法值包括512、1024、2048和4096?！?/p>

（2）0DH：每簇扇區數（簇大?。?。每簇扇區數記錄著文件系統的簇的大小，即由多少個扇區組成一個簇。如果這個分區是在系統安裝前被格式化而來的，一般大于2

GB的分區每簇默認占用8個扇區，即每簇大小為4

KB，這個字節的內容即為“08H”。

（3）0EH～0FH：保留扇區數。在NTFS中，DBR沒有保留扇區，這兩個字節常為“0000”。

（4）10H～12H：總是0，這3個字節總是“000000”。

（5）13H～14H：未用。3.2NTFS下的數據恢復3.2.2

NTFS的結構與分析

（6）15H：介質描述。對于一般硬盤，這個字節為“F8H”；雙面3.5英寸的軟盤RAM虛擬盤為“FAH”。因為NTFS分區一定在硬盤上，所以這個字節常為“F8H”。

（7）16H～17H：未用。

（8）18H～19H：每磁頭扇區數。這是邏輯C/H/S中的一個參數，其值一般為63。NTFS現己經不用此參數。

（9）1AH～1BH：每柱面磁頭數。這是邏輯C/H/S中的一個參數，其值一般為255。NTFS現已經不用此參數。3.2NTFS下的數據恢復3.2.2

NTFS的結構與分析

（10）1CH～1FH：隱含扇區數。隱含扇區數是指在本分區之前所使用的扇區數，該值與分區表中描述的該分區的起始扇區號一致。對于主磁盤分區而言，隱含扇區數是指MBR到該分區DBR之間的扇區數；對于擴展分區中的邏輯驅動器而言，隱含扇區數是指EBR到該分區DBR之間的扇區數。

（11）20H～23H：未使用。

（12）24H～27H：未使用，但總是“80008000”。

（13）28H～2FH：扇區總數。扇區總數是指分區的總扇區數。在NTFS的BPB中記錄的分區大小比在分區表中記錄的分區大小少一個扇區，因為分區的最后一個扇區留給DBR備份使用了。

（14）30H～37H：$MFT文件的起始簇號。此位置是使用簇號進行定義的，而不是使用扇區號進行定義的，且該地址不是固定的。

（15）38H～3FH：$MFTMirr文件的起始簇號。此位置使用簇號進行定義。$MFTMirr文件的地址不是固定的。3.2NTFS下的數據恢復3.2.2

NTFS的結構與分析

（16）40H：文件記錄的大小（每個MFT的簇數）。這個字節用來描述每個文件記錄的簇數。注意，該參數為帶符號數，當其為負數時，說明每個文件記錄的大小要小于每簇扇區數。

（17）41H～43H：未使用。

（18）44H：每個索引緩沖區的簇數。這個字節用來描述每個索引緩沖區的大小。

（19）45H～47H：未使用。

（20）48H～4FH：卷序列號。這8個字節為分區的邏輯序列號，也就是在命令行下輸入DIR命令后顯示的一排數據。這個序列號是硬盤在格式化時隨機產生的。。

（21）50H～51H：校驗和。BPB的最后4個字節是其校驗和，一般為0。3.2NTFS下的數據恢復3.2.2

NTFS的結構與分析3.2NTFS下的數據恢復3.2.2

NTFS的結構與分析

4）引導程序NTFS的DBR引導程序占用426個字節（54H～1FDH），負責將系統文件NTLDR裝入分區。但對于沒有安裝操作系統的分區而言，這段程序沒有用處5）結束標志DBR的結束標志與MBR、EBR的結束標志相同，均為“55AA”。

以上5個部分共占用512個字節，正好為1個扇區的大小，這個扇區屬于$Boot文件的組成部分。在該部分的內容中，除了第5部分結束標志是固定不變的之外，其余4部分都是不完全確定的，并會根據操作系統版本的不同而不同，也會隨邏輯盤參數的變化而變化。3.2NTFS下的數據恢復3.2.2

NTFS的結構與分析

2．$MFT文件分析

1）NTFS的元文件

將一個分區格式化為NTFS分區后，格式化程序會為該分區寫入很多重要的系統信息，這些系統信息在NTFS中稱為元文件。這些元文件文件名的第一個字符都是“$”，表示該文件是隱含的，且用戶無法訪問和修改該文件。3.2NTFS下的數據恢復3.2.2

NTFS的結構與分析

NTFS的元文件及其功能如表3-5所示。序號元

文

件功

能0$MFT主文件表本身，是每個文件的索引文件1$MFTMirr主文件表的部分鏡像文件2$LogFile事務型日志文件3$Volume卷文件，記錄卷標等信息4$AttrDef屬性定義列表文件5$Root根目錄文件，管理根目錄6$Bitmap位圖文件，記錄了分區中簇的使用情況7$Boot引導文件，記錄了用于系統引導的數據情況8$BadClus壞簇列表文件9$Secure安全文件10$UpCase大小寫字符轉換表文件11$Extendedmetadatadirectory擴展元數據目錄文件12$Extend\$Reparse重解析點文件13$Extend\$UsnJml變更日志文件14$Extend\$Quota配額管理文件15$Extend\$ObjId對象ID文件表3-5NTFS的元文件及其功能3.2NTFS下的數據恢復3.2.2

NTFS的結構與分析

2）$MFT文件

在NTFS中，磁盤上的所有數據都是以文件的形式出現的，即使是NTFS的管理信息也是以元文件的形式存儲的。在17個元文件中，$MFT文件是一個非常重要的元文件。它由文件記錄構成，每個文件記錄占用2個扇區。

因為$MFT文件本身非常重要，所以為確保文件系統結構的可靠性，系統專門為它準備了一個鏡像文件（$MFTMirr文件），即對應于$MFT文件中的第2個文件記錄。但這并不是$MFT文件的完整鏡像，而是一小部分的鏡像，一般只鏡像$MFT文件的前4個文件記錄。3.2NTFS下的數據恢復3.2.2

NTFS的結構與分析

$MFT文件的前16個文件記錄的順序是固定的，下面對這16個文件記錄進行簡單介紹。

第1個文件記錄為$MFT文件自身的記錄，即$MFT文件首先對自己進行管理。

第2個文件記錄為$MFTMirr文件的記錄，即為$MFT文件前4個文件記錄的鏡像。

第3個文件記錄是$LogFile文件的記錄。該文件是NTFS為實現可恢復性和安全性而設計的。

第4個文件記錄是$Volume文件的記錄。該文件包含卷名、NTFS的版本和一個標明該磁盤是否損壞的標志位。

第5個文件記錄是$AttrDef文件的記錄。

第6個文件記錄是$Root文件的記錄。該文件中保存著該卷中根目錄下的所有文件和目錄的索引。3.2NTFS下的數據恢復3.2.2

NTFS的結構與分析

$MFT文件的前16個文件記錄的順序是固定的，下面對這16個文件記錄進行簡單介紹。

第7個文件記錄是$Bitmap文件的記錄。NTFS卷的簇的使用情況都被保存在這個位圖文件中，其中每一位（bit）都代表卷中的一簇，標識該簇是空閑的還是已分配的。

第8個文件記錄是$Boot文件的記錄。該文件中存放著操作系統的引導程序代碼。

第9個文件記錄是$BadClus文件的記錄。該文件記錄著在該卷中所有損壞的簇號，防止系統對其進行分配使用。

第10個文件記錄是$Secure文件的記錄。該文件存儲著整個卷的安全描述符數據庫。NTFS文件和目錄都有各自的安全描述符。

3.2NTFS下的數據恢復3.2.2

NTFS的結構與分析

$MFT文件的前16個文件記錄的順序是固定的，下面對這16個文件記錄進行簡單介紹。

第11個文件記錄為$UpCase文件的記錄。該文件包含了一個大小寫字符轉換表。

第12個文件記錄是S$Extendedmetadatadirectory文件的記錄。

第13個文件記錄是$Extend\$Reparse文件的記錄。

第14個文件記錄是$Extend\$UsnJrnl文件的記錄。

第15個文件記錄是$Extend\$Quota文件的記錄。

第16個文件記錄是$Extend\$ObjId文件的記錄。

第17～23個文件記錄是系統保留的記錄，暫時不使用，用于將來擴展。

從第24個文件記錄開始存放用戶文件的記錄。

3.2NTFS下的數據恢復3.2.2

NTFS的結構與分析

2．文件記錄分析

1）文件記錄的結構MFT以文件記錄來實現對文件的管理，每個文件記錄都對應著不同的文件，大小固定為1KB，也就是占用2個扇區，而不管簇的大小是多少。

如果一個文件有很多屬性或被分散成很多碎片，就可能需要多個文件記錄。這時，存放其文件記錄位置的第一個記錄就稱為“基本文件記錄”。文件記錄在MFT中是物理連續的，從0開始依次按順序編號。3.2NTFS下的數據恢復3.2.2

NTFS的結構與分析

文件記錄由兩部分構成：一部分是文件記錄頭；另一部分是屬性列表。文件記錄的結構如表3-6所示。結構說明文件記錄頭

屬性1

屬性2

……

結束標志FFFFFFFFH表3-6文件記錄的結構3.2NTFS下的數據恢復3.2.2

NTFS的結構與分析

通過WinHex查看-下$MFT文件的文件記錄，其結構如圖3-50所示。圖3-50$MFT文件的文件記錄的結構3.2NTFS下的數據恢復3.2.2

NTFS的結構與分析

2）文件記錄頭

在同一個系統中，文件記錄頭的長度和具體偏移地址上的數據含義是不變的，而屬性列表是可變的。其不同的屬性有著不同的含義。文件記錄頭如圖3-51所示。文件記錄頭信息的含義如表3-7所示。圖3-51文件記錄頭3.2NTFS下的數據恢復3.2.2

NTFS的結構與分析

文件記錄頭信息的含義如表3-7所示。偏移地址字段長度/個字節含義00H4MFT標志，一定為字符“FILE”04H2更新序列號的偏移地址06H2更新序列號的大小與數組，包括第一個字節08H8日志文件序列號10H2序列號12H2硬連接數，即有多少目錄指向該文件14H2第一個屬性的偏移地址16H2標志：00H表示文件被刪除；01H表示文件正在使用；02H表示目錄被刪除；03H表示目錄正在使用18H4文件記錄的實際長度1CH4文件記錄的分配長度20H8基本文件記錄中的文件索引號28H2下一個屬性ID。如果增加新的屬性，將該位分配給新屬性，然后該值增加；如果MFT記錄重新使用，則將它置02AH2邊界，WindowsXP中為30H處2CH4文件記錄編號，WindowsXP中使用，Windows2000中無此參數30H2更新序列號32H4更新數組表3-7文件記錄頭各字段的含