子任務1利用WinHex讀取FAT32文件系統參數任務1FAT32文件系統恢復項目7文件系統恢復01利用Winhex讀取FAT表項參數02利用Winhex讀取數據區用戶文件（夾）目錄項主要參數目錄contents利用Winhex讀取FAT表項參數01任務實施1（一）利用Winhex讀取FAT表項參數（共有2個步驟）步驟一：附加虛擬磁盤，運行Winhex并打開它步驟二：讀取和記錄FAT表項參數一步驟一：附加虛擬磁盤，運行Winhex并打開它在素材文件夾中，雙擊“7任務1-1-1.vhd”，然后運行Winhex，打開“HD1”，界面顯示該硬盤信息，此虛擬磁盤共分有1個主分區（FAT32分區），點開分區1，再點開FAT1。如圖7-1所示。利用Winhex讀取FAT表項參數圖7-1Winhex編輯窗口信息（FAT1表）圖一步驟二：讀取和記錄FAT表項參數讀取FAT表項參數，記錄到表7-1中，得FAT1表項參數表，如表7-5所示。利用Winhex讀取FAT表項參數表7-5FAT1表項的參數表表項偏移長度值項數表項內容00號0X0040X0FFFFFF81FAT表標志表項01號0X0440XFFFFFFFF1系統保留表項02號0X0840X0FFFFFFF1目錄表項03號0X0C40X0FFFFFFF1文件只一個表項04號0X1040X0FFFFFFF1文件只一個表項05號0X1440X0FFFFFFF1文件只一個表項06?20號0X18600X07?1515文件存儲指向7?20號表項21號0X5440X0FFFFFFF1文件結束項22號0X5840X0FFFFFFF1文件只一個表項23號0X5C40X0FFFFFFF1文件只一個表項24號0X6040X0FFFFFFF1文件只一個表項25號0X6440X0FFFFFFF1文件只一個表項利用Winhex讀取數據區用戶文件（夾）目錄項主要參數02利用Winhex讀取數據區用戶文件（夾）目錄項主要參數二、利用Winhex讀取數據區用戶文件（夾）目錄項主要參數（共有3個步驟）步驟一：附加虛擬磁盤，運行Winhex并打開它步驟二：讀取和記錄根目錄下文件夾“7任務1”目錄項的主要參數步驟三：讀取用戶文件夾“7任務1”這個子目錄下目錄項的主要參數二步驟一：附加虛擬磁盤，運行Winhex并打開它在素材文件夾中，雙擊“7任務1-1-1.vhd”，然后運行Winhex，打開“HD1”，點開分區1，發現用戶文件夾“7任務1”，進一步點開此文件夾，它有2個文件“7任務1-1-1.txt”和“7任務1-1-1.png”。因此，讀取的目錄項有：根目錄下文件夾“7任務1”的目錄項、文件夾“7任務1”目錄下的文件“7任務1-1-1.txt”和文件“7任務1-1-1.png”的目錄項，共3個目錄項。利用Winhex讀取數據區用戶文件（夾）目錄項主要參數二步驟二：讀取和記錄根目錄下文件夾“7任務1”目錄項的主要參數單擊根目錄，偏移0X80?X09F為根目錄下文件夾“7任務1”的目錄項。如圖7-2所示。利用Winhex讀取數據區用戶文件（夾）目錄項主要參數圖7-2Winhex編輯窗口信息（文件夾“7任務1”目錄項）圖二步驟二：讀取和記錄根目錄下文件夾“7任務1”目錄項的主要參數根據表7-2，對應讀取該目錄項主要參數，制成該目錄項主要參數表，如表7-6所示。利用Winhex讀取數據區用戶文件（夾）目錄項主要參數表7-6文件夾“7任務1”目錄項的主要參數表偏移長度值短文件目錄項內容0X0080X202031F1CEC837主文件（夾）名:7任務10X0830X202020擴展名：空0X0B10X10屬性：10(子目錄)0X0C10X00子目錄名大小寫：OO（大寫）0X1420X00文件（夾）開始簇號的高16位:0簇0X1A20X05文件（夾）開始簇號的低16位:5簇0X1C40X00文件實際大小，0字節二步驟三：讀取用戶文件夾“7任務1”這個子目錄下目錄項的主要參數①讀取文件“7任務1-1-1.txt”目錄項的主要參數。單擊用戶文件夾“7任務1”，偏移0X80?X0BF為文件“7任務1-1-1.txt”的目錄項，長文件名占2個目錄項。如圖7-3所示。利用Winhex讀取數據區用戶文件（夾）目錄項主要參數圖7-3Winex編輯窗口信息（文件“7任務1-1-1.txt”目錄項）圖二步驟三：讀取用戶文件夾“7任務1”這個子目錄下目錄項的主要參數根據表7-2和表7-3，對應讀取該目錄項主要參數，制成該目錄項主要參數表，如表7-7、表7-8所示。利用Winhex讀取數據區用戶文件（夾）目錄項主要參數表7-7文件“7任務1-1-1.txt”長文件名目錄項參數表偏移長度值長文件名目錄項內容0X0010X41長文件名序列號：65。0X01100X002D003152A14EFB0037長文件名的第1?5個字符：7任務1-。0X0B10X0F長文件名目錄項標志：0X0F。0X0C10X00系統保留0X0D10XBE校驗值和。0X0E120X00780074002E0031002D0031長文件名的第6?11個字符：-1-1.tx。0X1A20X0000保留0X1C40X74長文件名的第12?13個字符：t。二步驟三：讀取用戶文件夾“7任務1”這個子目錄下目錄項的主要參數根據表7-2和表7-3，對應讀取該目錄項主要參數，制成該目錄項主要參數表，如表7-7、表7-8所示。利用Winhex讀取數據區用戶文件（夾）目錄項主要參數表7-8文件“7任務1-1-1.txt”短文件名目錄項的主要參數表偏移長度值短文件目錄項內容0X0080X317E31F1CECEC837主文件（夾）名:7任務1?10X0830X545854擴展名：TXT0X0B10X20屬性：20(文檔)0X0C10X00子目錄名大小寫：OO（大寫）0X1420X00文件（夾）開始簇號的高16位:00X1A20X16文件（夾）開始簇號的低16位:22簇0X1C40X21文件實際大小，33字節二步驟三：讀取用戶文件夾“7任務1”這個子目錄下目錄項的主要參數②讀取文件“7任務1-1-1.png”目錄項的主要參數。單擊用戶文件夾“7任務1”，偏移0X40?X07F為文件“7任務1-1-1.png”的目錄項，長文件名占2個目錄項。如圖7-4所示。利用Winhex讀取數據區用戶文件（夾）目錄項主要參數圖7-4Winex編輯窗口信息（文件“7任務1-1-1.png”目錄項）圖二步驟三：讀取用戶文件夾“7任務1”這個子目錄下目錄項的主要參數根據表7-2、表7-3，對應讀取該目錄項主要參數，制成該目錄項主要參數表，如表7-9、表7-10所示。利用Winhex讀取數據區用戶文件（夾）目錄項主要參數表7-9文件“7任務1-1-1.png”長文件名目錄項參數表偏移長度值長文件名目錄項內容0X0010X41長文件名序列號：65。0X01100X002D003152A14EFB0037長文件名的第1?5個字符：7任務1-。0X0B10X0F長文件名目錄項標志：0X0F。0X0C10X00系統保留0X0D10XAB校驗值和。0X0E120X006E0070002E0031002D0031長文件名的第6?11個字符：-1-1.pn。0X1A20X0000保留0X1C40X67長文件名的第12?13個字符：g。二步驟三：讀取用戶文件夾“7任務1”這個子目錄下目錄項的主要參數根據表7-2、表7-3，對應讀取該目錄項主要參數，制成該目錄項主要參數表，如表7-9、表7-10所示。利用Winhex讀取數據區用戶文件（夾）目錄項主要參數表7-10文件“7任務1-1-1.png”短文件名目錄項參數表偏移長度值短文件目錄項內容0X0080X317E31F1CECEC837主文件（夾）名:7任務1?10X0830X474E50擴展名：PNG0X0B10X20屬性：20(文檔)0X0C10X00子目錄名大小寫：OO（大寫）0X1420X00文件（夾）開始簇號的高16位:00X1A20X06文件（夾）開始簇號的低16位:6簇0X1C40X1E449文件實際大小，123977字節感謝觀看THANKSFORWATCHING子任務2利用WinHex恢復FAT32文件系統任務1FAT32文件系統恢復項目7文件系統恢復01用Winhex恢復受破壞FAT表02用Winhex恢復受破壞FAT32數據區用戶目錄項目錄contents用Winhex恢復受破壞FAT表01任務實施2（一）用Winhex恢復受破壞FAT表（被清零）（共有3個步驟）步驟一：附加虛擬磁盤，運行Winhex并打開它步驟二：確定FAT32文件系統受破壞步驟三：恢復FAT32文件系統一步驟一：附加虛擬磁盤，運行Winhex并打開它在素材文件夾中，雙擊“7任務1-2-1.vhd”，然后運行Winhex，打開“HD1”，界面顯示該硬盤信息，此虛擬磁盤共分有1個主分區（FAT32分區）。用Winhex恢復受破壞FAT表步驟二：確定FAT32文件系統受破壞進入在分區1，分別點開FAT1、FAT2表，發現它倆偏移0X03?07有數據“0X7FFFFFFF”，其它都有為0，說明FAT表被破壞了。一步驟三：恢復FAT32文件系統1.確定各目錄項參數分別讀取“根目錄”、“systemVolumeInformation”、“7任務1”、“$RECYCLE.BIN”四個文件及其管理的目錄項數據，得出各自的起始簇及大小，然后根據DBR的BPB的每簇扇區數為16，就可以計算出起始扇區及大?。ㄉ葏^數）用Winhex恢復受破壞FAT表2.推算FAT1表項值，并把它填入FAT1表項推算出各文件所占的表項號、簇數及對應的表項值，填入FAT1表項表，如表7-11所示。表7-11FAT1表項表表項值起始簇大小（扇區）表項數表項內容00號0X0FFFFFF800號01FAT表標志表項01號0XFFFFFFFF01號01系統保留表項02號0X0FFFFFFF02號01目錄表項03號0X0FFFFFFF03號01文件只一個表項04號0X0FFFFFFF04號01文件只一個表項05號0X0FFFFFFF05號01文件只一個表項06?20號0X07?1506?20號123,97716文件存儲指向7?20號表項21號0X0FFFFFFF21號文件結束項22號0X0FFFFFFF22號331文件只一個表項23號0X0FFFFFFF23號01文件只一個表項24號0X0FFFFFFF24號1291文件只一個表項25號0X0FFFFFFF25號01文件只一個表項

一步驟三：恢復FAT32文件系統根據表7-11，填入FAT1的各個表項，如圖7-7所示。用Winhex恢復受破壞FAT表圖7-7Winhex編輯窗口信息（FAT1表）圖3.把FAT1復制到FAT2表把FAT1表復制到FAT2表,最后進行保存和磁盤快照。恢復受破壞FAT表（被清零）的操作完成。用Winhex恢復受破壞FAT32數據區用戶目錄項02用Winhex恢復受破壞FAT32數據區用戶目錄項二、用Winhex恢復受破壞FAT32數據區用戶目錄項（共有3個步驟）步驟一：附加虛擬磁盤，運行Winhex并打開它步驟二：確定FAT32文件系統受破壞步驟三：恢復FAT32文件系統二步驟二：確定FAT32文件系統受破壞進入在分區1，點擊根目錄，發現用戶目錄項為0，用資源管理器打開本分區，根目錄下沒有文件（夾），說明用戶目錄項被破壞了。如圖7-8所示。用Winhex恢復受破壞FAT32數據區用戶目錄項圖7-8Winhex編輯窗口信息（被“清零”的用戶目錄項）圖二步驟三：恢復FAT32文件系統1.確定非用戶文件（夾）占的簇號從DBR的BPB參數表得知“根目錄”分配2號表項，“systemVolumeInformation”子目錄項中得知其占3-4、25號表項，“$RECYCLE.BIN”子目錄項中可知其占23-24號表項。具體讀數流程可參考“子任務1”。用Winhex恢復受破壞FAT32數據區用戶目錄項二步驟三：恢復FAT32文件系統2.推算用戶文件目錄項參數推算出用戶文件（夾）所占的簇號為5-22，跳轉至5號簇，發現用戶子目錄項，且有兩個文件，經推算，第1個文件占6-21號簇，第2個文件占22號簇，因此，被破壞的是用戶文件夾，不是文件，把數據填入用戶文件目錄項參數表，如表7-12所示。用Winhex恢復受破壞FAT32數據區用戶目錄項表7-12用戶文件目錄項參數表偏移長度值短文件目錄項內容0X0080X202031F1CEC837主文件（夾）名:7任務1（重新命名）0X0830X202020擴展名：空0X0B10X10屬性：10H(子目錄)0X0C10X00子目錄名大小寫：OOH（大寫）0X1420X00文件（夾）開始簇號的高16位:0簇0X1A20X05文件（夾）開始簇號的低16位:5簇0X1C40X00文件實際大小，0字節二步驟三：恢復FAT32文件系統3.把用戶文件目錄參數填入用戶文件目錄項根據表7-12，把用戶文件目錄參數填入根目錄下用戶文件目錄項，如圖7-9所示。用Winhex恢復受破壞FAT32數據區用戶目錄項圖7-9Winhex編輯窗口信息（修復后用戶文件的目錄項）圖感謝觀看THANKSFORWATCHING子任務1利用WinHex讀取FAT32文件系統參數任務2NTFS文件系統恢復項目7文件系統恢復01利用Winhex讀取$MFT參數02利用Winhex讀取$Root參數目錄contents03利用Winhex讀取數據區主要參數利用Winhex讀取$MFT參數01任務實施1（一）利用Winhex讀取$MFT參數（共有2個步驟）步驟一：附加虛擬磁盤，運行Winhex并打開它步驟二：讀取和記錄$MFT參數一步驟一：附加虛擬磁盤，運行Winhex并打開它在素材文件夾中，雙擊“7任務2-1-1.vhd”，然后運行Winhex，打開“HD1”，界面顯示該硬盤信息，此虛擬磁盤共分有1個主分區點開分區1（NTFS分區）。利用Winhex讀取$MFT參數一步驟二：讀取和記錄$MFT參數點開$MFT元文件，第一個記錄（0號記錄）就是本身文件記錄。如圖7-10所示。利用Winhex讀取$MFT參數圖7-10Winhex編輯窗口信息（$MFT的0號文件記錄表）圖一步驟二：讀取和記錄$MFT參數1.讀取0號文件記錄頭參數根據表7-13（文件記錄頭參數表），對應讀取0號文件記錄頭，得其參數，如表7-17所示。利用Winhex讀取$MFT參數表7-170號文件記錄頭參數表偏移長度值記錄內容0X0040X454C4946MFT標志，一定為字符串“FILE"0X0420X30更新序列號的偏移0X300X0620X03更新序列號的大小與數組，包括第一個字節0X0880X2004BF2日志文件序列號（$LogFileSequenceNumber,LSN)0X1020X01序列號（SequenceNumber）0X1220X01有1個目錄指向該文件0X1420X38第一個屬性的偏移地址0X380X1620X013H表示記錄正在使用0X1840X1A0文件記錄的實際長度為416字節0X1C40X400總共分配給記錄的長度為1KB0X2080X00基本文件記錄中的文件索引號0X2820X04下一屬性ID（4號屬性）0X2A20X00邊界，WindowsXP中為偏移0x30處0X2C40X00WindowsXP中使用，MFT記錄編號為0（從0號開始）0X3020X0600更新系列號一步驟二：讀取和記錄$MFT參數2.讀取0號文件記錄0X80屬性參數根據表7-14（0X80屬性參數表），對應讀取0號文件記錄0X80屬性參數，得其參數，如表7-18所示。利用Winhex讀取$MFT參數表7-180號文件記錄0X80屬性參數表偏移長度值0X80非常駐沒有屬性名屬性內容0X10040X800X80屬性0X10440X48屬性頭長度（單位：72字節）0X10810X01常駐與非常駐標志，此處為01,表示非常駐0X10910X00文件名長度（00表示沒有屬性名），此處為00,表示未命名，即無屬性名0X10A20X40名稱偏移值（沒有屬性名），此處為0X400X10C20X00壓縮、加密、稀疏標志：0001H表示該屬性是被壓縮的；4000H表示該屬性是被加密的；8000H表示該屬性是稀疏的0X10E20X02屬性ID標識(2號屬性）0X11080X00開始VCN，此處為000X11880X3F結束VCN，此處為630X12020X40數據運行列表偏移地址0X400X12220X00壓縮單位大?。?x簇，如果為0表示未壓縮）0X12440X00填充0X12880X040000系統分配給文件的空間大?。▎挝唬?62,144字節）0X13080X040000數據流的實際大小，即文件的實際大小（單位：262144字節）0X13880X040000數據流已初始化大小，即文件壓縮后的大小（單位：262144字節）0X140H+L+10X31/0X40/0X0C0000數據流占本卷的起始簇號786432，數據流占本卷的總簇數為64簇利用Winhex讀取$Root參數02利用Winhex讀取$Root參數二、利用Winhex讀取$Root參數（共有2個步驟）步驟一：跳轉到5號文件記錄步驟二：讀取和記錄5號文件記錄參數二步驟一：跳轉到5號文件記錄在0號文件記錄，繼續向后移10個扇區，就到5號文件記錄（$Root根目錄文件目錄）。如圖7-11所示。利用Winhex讀取$Root參數圖7-11Winhex編輯窗口信息（$MFT的5號文件記錄表）圖二步驟二：讀取和記錄5號文件記錄參數1.5號文件記錄頭參數根據表7-13表（文件記錄頭參數表），對應讀取5號文件記錄頭，得其參數，如表7-19所示。利用Winhex讀取$Root參數表7-195號文件記錄頭參數表偏移長度值記錄內容0X0040X454C4946MFT標志，一定為字符串“FILE"0X0420X30更新序列號的偏移0X300X0620X03更新序列號的大小與數組，包括第一個字節0X0880X050055E1日志文件序列號（$LogFileSequenceNumber,LSN)0X1020X05序列號（SequenceNumber）0X1220X01有1個目錄指向該文件0X1420X38第一個屬性的偏移地址0X380X1620X033H表示記錄正在使用0X1840X0290文件記錄的實際長度為656字節0X1C40X0400總共分配給記錄的長度為1KB0X2080X00基本文件記錄中的文件索引號0X2820X08下一屬性ID（8號屬性）0X2A20X00邊界，WindowsXP中為偏移0x30處0X2C40X05WindowsXP中使用，MFT記錄編號（從0號開始）0X3020X0900更新系列號二步驟二：讀取和記錄5號文件記錄參數2.5號文件記錄屬性參數（1）讀取5號文件記錄0X90屬性參數根據表7-17（文件記錄0X90屬性參數格式表），對應讀取5號文件記錄0X90屬性參數，得其參數，如表7-27所示。利用Winhex讀取$Root參數二步驟二：讀取和記錄5號文件記錄參數利用Winhex讀取$Root參數表7-275號文件記錄0X90屬性參數表偏移長度值0X90屬性內容結構0X55040X900X90屬性屬性頭0X55440X58屬性長度（即屬性頭+屬性體）88字節0X55810X00總為000X55910X04屬性名的名稱長度4字節0X55A20X18屬性名的偏移0X180X55C20X00標志（壓縮、加密、稀疏）0X55E20X02屬性ID標識（2號屬性）0X56040X38屬性體長度56字節0X56420X20屬性體開始偏移0X200X56610X00索引標志為000X56710X00無意義（填充到8字節的倍數）0X56880X0030003300480024屬性名為$I300X57040X30屬性類型30,即為索引索引根0X57440X01校對規則0X57840X1000每個索引節點分配大?。?096字節）0X57C10X01每個索引節點所占簇數為10X57D30X00無意義（填充到8字節的倍數）0X58040X10第一個索引項的偏移0X10索引頭0X58440X28索引項總的大小，40字節0X58840X28索引項的分配大小，40字節0X58C10X01標志：為大索引，有兩個以上的索引節點0X58D30X00無意義（填充到8字節的倍數）0X59080X00未用索引項10X59820X18索引項的大?。ㄏ鄬λ饕楅_始的偏移）0X180X59A20X00文件（夾）名字屬性體大小0X59C20X03索引標志，有子節點0X59E20X00未用0X5A080X00未用二步驟二：讀取和記錄5號文件記錄參數（2）讀取5號文件記錄A0屬性參數根據表7-16（文件記錄0X80屬性參數格式表），對應讀取5號文件記錄A0屬性參數，得其參數，如表7-28所示。利用Winhex讀取$Root參數表7-285號文件記錄A0屬性參數表偏移長度值A0屬性內容0X5A840XA0A0屬性0X5AC40X50A0屬性頭長度為80字節0X5B010X01此處為01,即表示非常駐0X5B110X04屬性名長度為4個Unicode碼0X5B220X40名稱偏移地址為0X400X5B420X00沒有壓縮、加密、稀疏0X5B620X04屬性標識ID為（4號屬性）0X5B880X00開始VCN為0X000X5C080X00結束VCN為0X000X5C820X48數據運行列表偏移地址為0X480X5CA20X00壓縮引擎號為00X5CC40X00填充00X5D080X1000為索引文件分配的大小為4096字節0X5D880X1000實際索引文件的大小為4096字節0X5E080X1000索引文件已初始化的大小為4096字節0X5E88

屬性名為$I30,即索引為文件名索引0X5F080X21/0X01/0X40E6起始簇0X40E6(16614簇，132912號扇區），總簇數為0X01(1簇)。有下劃線的是高位。利用Winhex讀取數據區主要參數03利用Winhex讀取數據區主要參數三、利用Winhex讀取數據區主要參數（共有2個步驟）步驟一：讀取用戶目錄記錄項的0X90屬性參數步驟二：讀取“7任務2-1-1.png”文件目錄項主要參數及其內容步驟三：讀取“7任務2-1-1.txt”文件目錄項主要參數及其內容三步驟一：讀取用戶目錄記錄項的0X90屬性參數用戶目錄“7任務2”在$FMT表的記錄項0X90屬性結構如圖7-17所示。利用Winhex讀取數據區主要參數圖7-17Winhex編輯窗口信息（目錄“7任務2”目錄項的0X90屬性）圖三步驟二：讀取“7任務2-1-1.png”文件目錄項主要參數及其內容1.讀取“7任務2-1-1.png”文件目錄項主要參數把光標從當前記錄項移到下一個記錄項（或跳轉至6291542號扇區），即$FMT表43號記錄項，顯示是43號記錄項參數（“7任務2-1-1.png”的文件記錄項參數），找到其0X80屬性，如圖7-18所示。利用Winhex讀取數據區主要參數圖7-18Winhex編輯窗口信息（7任務2-1-1.png文件目錄項的0X80屬性）圖三步驟二：讀取“7任務2-1-1.png”文件目錄項主要參數及其內容2.讀取“7任務2-1-1.png”文件內容跳轉至22216號簇或（177,728扇區），在數據區顯示“7任務2-1-1.png”文件的內容，如圖7-19所示利用Winhex讀取數據區主要參數圖7-19Winhex編輯窗口信息（“7任務2-1-1.png”文件內容）圖三步驟三：讀取“7任務2-1-1.txt”文件目錄項主要參數及其內容跳轉至6291542號扇區，即$FMT表44號記錄項，顯示是44號記錄項參數（“7任務2-1-1.txt”的文件記錄項參數），找到其0X80屬性，如圖7-20所示。利用Winhex讀取數據區主要參數圖7-20Winhex編輯窗口信息（0X80屬性）圖感謝觀看THANKSFORWATCHING子任務2利用WinHex恢復NTFS文件系統任務2NTFS文件系統恢復項目7文件系統恢復01利用NTFS自動修改功能恢復NTFS文件系統02利用Winhex手動恢復受破壞NTFS的DBR及其備份目錄contents利用NTFS自動修改功能恢復NTFS文件系統01任務實施2（一）利用NTFS自動修改功能恢復NTFS文件系統（共有2個步驟）步驟一：附加虛擬磁盤，運行Winhex并打開它步驟二：確認NTFS文件系統被破壞一步驟一：附加虛擬磁盤，運行Winhex并打開它在素材文件夾中，雙擊“7任務2-2-1.vhd”，然后運行Winhex，打開“HD1”，界面顯示該硬盤信息，此虛擬磁盤共分有1個主分區（NTFS分區）。利用NTFS自動修改功能恢復NTFS文件系統步驟二：確認NTFS文件系統被破壞1.確認DBR被破壞進入在分區1，發現沒有用根目錄下沒有用戶目錄及文件，通過查找“EB52904E”發現在本卷開頭及末尾扇區有DBR，說明此卷已被重新格式化了。2.確定$MFT各記錄項損壞進入$MFT，發現其所有文件記錄項（43項）都是系統元文件或系統文件，沒有用戶文件或目錄。查找“46494C45”，在$MFT區域外都沒找到，說明這個磁盤被同參數格式化了，用戶的文件和目錄記錄項被“清零”，同時，用戶常駐文件也被“清零”，已無法恢復，而放在數據區的用戶文件只能通過文件類型掃描恢復出來了。一利用NTFS自動修改功能恢復NTFS文件系統步驟二：確認NTFS文件系統被破壞3.通過文件類型掃描分區，恢復用戶文件打開Winhex“工具”主菜單，進入下拉菜單“磁盤工具”，選擇點擊“通過文件類型恢復”程序。彈出“依據文件頭標志搜索”窗口，在“選擇文件類型”欄的各類型文件前的小方框打“√”，若已知將要恢復的文件的類型了，那就只選擇該文件類型，這樣可提高掃描速度，“輸出文件”欄，選擇“/桌面/恢復文件”這個文件夾，其它欄默認，最后點擊“確認”，程序進行進入掃描進程。掃描結束后，彈出掃描結果。切換到電腦桌面，打開電腦桌面“恢復文件”文件夾，發現一個已恢復了的圖片文件“000002.JPG”，把”000002.JPG”改名為“7任務2-2-1.PNG”4.把桌面的“恢復文件”復制到原被損壞分區的根目錄下用資源管理器，把桌面的“恢復文件”復制到原被損壞的卷的根目錄下。一利用NTFS自動修改功能恢復NTFS文件系統步驟二：確認NTFS文件系統被破壞5.對原被損壞分區進行磁盤快照切換回Winhex編輯窗口，對原被損壞卷進行磁盤快照，因為，NTFS文件系統有強大的自我修復功能，在此，進行磁盤快照后，系統就會自動把資源管理器復制進來的文件（夾）管理起來。用戶可正常使用本分區，原文件也恢復了，只不過，文件（夾）名字與原來不一致，還需用戶自已修改為原名就可以了。利用NTFS自動修改功能恢復NTFS文件系統的操作完成。利用Winhex手動恢復受破壞NTFS的DBR及其備份02利用Winhex手動恢復受破壞NTFS的DBR及其備份二、利用Winhex手動恢復受破壞NTFS的DBR及其備份（共有2個步驟）步驟一：附加虛擬磁盤，運行Winhex并打開它步驟二：確認NTFS文件系統被破壞二步驟一：附加虛擬磁盤，運行Winhex并打開它在素材文件夾中，雙擊“7任務2-2-2.vhd”，然后運行Winhex，打開“HD1”，界面顯示該硬盤信息，此虛擬磁盤共分有1個主分區（NTFS分區）。利用Winhex手動恢復受破壞NTFS的DBR及其備份步驟二：確認NTFS文件系統被破壞1.確認DBR是否被破壞進入在分區1，無法瀏覽根目錄下的文件，本卷扇區0及末尾扇區都是亂碼，分區的結尾標志55AAH也被修改，沒發現DBR，說明DBR及備份參數全被破壞。2.確定$MFT各記錄項是否被損壞當DBR的BPB參數全被破壞后，是無法直接打開$MFT和$MFTMirr，只能手工查找它倆了。點擊Winhex的“查找”功能，向下查找46494C45H關鍵值，當查找到第一個46494C45H時，剛好在右邊窗口能看到$MFT字樣文本時，說明找到0號文件記錄，是$MFT自身的記錄，當然下一個記錄是$MFTMirr自身的記錄，且它倆數據正常。說明$MFT、$MFTMirr沒被破壞。他倆所在的扇區號，應該是$MFT的備份$MFTMirr的前兩個文件記錄。二利用Winhex手動恢復受破壞NTFS的DBR及其備份步驟二：確認NTFS文件系統被破壞3.讀取$MFT、$MFTMirr記錄項中主要參數（1）讀取$MFT自身分配到的空間大小$MFT自身分配到的空間大小，是在0X80屬性里，偏移是0X128～0X12F，值40000H，大小為262144字節，512扇區（262144÷512=512）。（2）讀取$MFT自身分配到的總簇數，并計算本卷設定每簇扇區數$MFT自身分配到的總簇數，是在0X80屬性的數據運行表（RunList）里，偏移是0X141，值40H，大小為64簇。計算$MFT自身分配到空間的扇區數和總簇數的比值，這比值就是分區設定每簇扇區數，即：512÷64=8(扇區/簇）。（3）$MFT的起始簇號$MFT自身在分區里的起始簇，是在0X80屬性的數據運行表（RunList）里，偏移是0X142～0X144，值0XC0000，大小為786432簇，6291456扇區（786432×8=6291456）。二利用Winhex手動恢復受破壞NTFS的DBR及其備份步驟二：確認NTFS文件系統被破壞3.讀取$MFT、$MFTMirr記錄項中主要參數（4）$MFTMirr的起始簇號$MFTMirr自身在分區里的起始簇，是在0X80屬性的數據運行表（RunList）里，偏移是0X54B，值0X02，大小為2簇，16扇區（2×8=16）。二利用Winhex手動恢復受破壞NTFS的DBR及其備份步驟二：確認NTFS文件系統被破壞4.讀取分區前面已用扇區數和分區實際大小跳轉0扇區，MBR分區表如圖8-21所示。圖7-21MBR分區表圖本分區的第一扇區為63號扇區（偏移0X1C6～0X1C9，值0X3F,即為63號扇區），因此，分區前面已用的扇區為0～62號扇區，共63扇區。本分區的大小為33543657扇區（偏移0X1CA～0X1CD,值0X1FFD5E9，即為33543657扇區）,在DBR的BPB參數中的本分區大小為33543657-1=33543656（扇區）。二利用Winhex手動恢復受破壞NTFS的DBR及其備份步驟二：確認NTFS文件系統被破壞5.確定需DBR的主要參數1.每簇扇區數，偏移0X0D，8扇區/簇。2.分區前面已用的扇區，偏移0X1C～0X1F，63扇區。3.本卷大小，偏移0X18～0X1B，33543656扇區。4.$MFT自身在分區里的起始簇，偏移0X30～0X34，786432簇。5.$MFTMirr自身在分區里的起始簇，偏移0X38～0X3C，2簇。6.復制一個正常的DBR扇區打開一個正常磁盤，跳轉到NTFS的DBR位置，選擇整個DBR扇區，并復制到被破壞的DBR處。二利用Winhex手動恢復受破壞NTFS的DBR及其備份步驟二：確認NTFS文件系統被破壞7.運用數據解釋器修改DBR1.光標移到偏移0X0D，在數據解釋器8Bit處輸入8，并回車。2.光標移到偏移0X1C～0X1F，在數據解釋器32Bit處輸入63，并回車。3.光標移到偏移0X28～0X2B，在數據解釋器32Bit處輸入33543656，并回車。4.光標移到偏移0X30～0X34，在數據解釋器32Bit處輸入786432，并回車。5.光標移到偏移0X38～0X3C，在數據解釋器32Bit處輸入2，并回車。8.恢復DBR備份復制DBR,然后跳轉本分區最后一個扇區，把DBR粘貼到最后扇區上，得到DBR備份。最后進行保存和磁盤快照，然后將故障硬盤脫機后再加載，本分區得以恢復，丟失的數據得到修復。利用Winhex手動恢復受破壞NTFS的DBR及其備份的操作完成。二步驟二：讀取和記錄5號文件記錄參數1.5號文件記錄頭參數根據表7-13表（文件記錄頭參數表），對應讀取5號文件記錄頭，得其參數，如表7-19所示。利用Winhex讀取$Root參數表7-195號文件記錄頭參數表偏移長度值記錄內容0X0040X454C4946MFT標志，一定為字符串“FILE"0X0420X30更新序列號的偏移0X300X0620X03更新序列號的大小與數組，包括第一個字節0X0880X050055E1日志文件序列號（$LogFileSequenceNumber,LSN)0X1020X05序列號（SequenceNumber）0X1220X01有1個目錄指向該文件0X1420X38第一個屬性的偏移地址0X380X1620X033H表示記錄正在使用0X1840X0290文件記錄的實際長度為656字節0X1C40X0400總共分配給記錄的長度為1KB0X2080X00基本文件記錄中的文件索引號0X2820X08下一屬性ID（8號屬性）0X2A20X00邊界，WindowsXP中為偏移0x30處0X2C40X05WindowsXP中使用，MFT記錄編號（從0號開始）0X3020X0900更新系列號二步驟二：讀取和記錄5號文件記錄參數2.5號文件記錄屬性參數（1）讀取5號文件記錄0X90屬性參數根據表7-17（文件記錄0X90屬性參數格式表），對應讀取5號文件記錄0X90屬性參數，得其參數，如表7-27所示。利用Winhex讀取$Root參數二步驟二：讀取和記錄5號文件記錄參數利用Winhex讀取$Root參數表7-275號文件記錄0X90屬性參數表偏移長度值0X90屬性內容結構0X55040X900X90屬性屬性頭0X55440X58屬性長度（即屬性頭+屬性體）88字節0X55810X00總為000X55910X04屬性名的名稱長度4字節0X55A20X18屬性名的偏移0X180X55C20X00標志（壓縮、加密、稀疏）0X55E20X02屬性ID標識（2號屬性）0X56040X38屬性體長度56字節0X56420X20屬性體開始偏移0X200X56610X00索引標志為000X56710X00無意義（填充到8字節的倍數）0X56880X0030003300480024屬性名為$I300X57040X30屬性類型30,即為索引索引根0X57440X01校對規則0X57840X1000每個索引節點分配大?。?096字節）0X57C10X01每個索引節點所占簇數為10X57D30X00無意義（填充到8字節的倍數）0X58040X10第一個索引項的偏移0X10索引頭0X58440X28