成功进入系统,分区恢复成功
任务三:查找NTFS文件
创建了目录yeye2011063040028
a) 创建了txt文件,yeye2011063040028.txt
文件内容为重复的yeye2011063040028
使用WinHex查找目录和文件在MFT的相关目录项,记录并做分析。
b) 启动weinhex,并打开disk F
c) 因为DBS位于分区起始位置,故可使用模板,获取DBS内容
由DBS可知,
MFT位于第17簇,且每簇为1个扇区
这MFT位置为17*1=17(sector),512*17=8704=2200H(byte) 使用weihex访问到MFT文件
011FF0
若要查找到我们创建的文件及目录,则需要访问属性文件$root来获取相关信息。
$root为MFT第六个文件,编号5,每个MFT记录占用2个簇 偏移位置为:2200H+5*2*1*512=3600H
分别查看其90,A0,B0属性,
得知A0属性运行为31 08 F0 1F 01 00 00 00,A0属性标志了文件系统节点,则计算可得
数据运行起始簇号011FF0H,偏移011FF0H *1*512=23FE000H(byte) 数据运行大小为08H个簇 即可访问对应文件系统节点
在其中可以找到创建的目录及文件索引