由此可知
目标目录在MFT位置为第21H项,文件为第21H项(即位于该目录中)
即偏移位21H*2*512+2200H=8400H=A600H 查看目标目录MFT,查找成功
在目录中查找目标文件,获得其位置为MFT第22H项
查看目标文件对应MFT
根据80H属性计算运行21 03 31 66 00 89 05 00
起始位置为6631H簇,偏移位6631H*1*512=CC6200H(byte) 即可找到文件内容
删除文件和目录,使用WinHex查找目录和文件在MFT的相关目录项,记录并做分析。
对于文件,根据模板结果,其flag变为0,即表示被删除的文件
在恢复时,则可以借助winhex直接恢复目录或文件
任务四:恢复文件
十、实验结论:
成功完成了分区恢复和NTFS文件恢复试验
十一、总结及心得体会:
经过这次分区恢复和NTFS文件恢复试验,更加明白了NTFS的文件结构,和怎么工作的原理等。对于老师在课堂讲授的FAT结构,也更加清楚了呢!