小夏的猪窝 - 数据恢复

数据恢复 - MBR磁盘分析

2022-06-06T14:08:00+00:00

恢复MBR磁盘的分区MBR磁盘的分区形式：主分区、扩展分区、非DOS分区。前三个主分区，后面的是扩展分区主分区为深蓝色扩展分区是绿色结构MBR位置：位于磁盘的第一个扇区，0号扇区由4部分组成：引导程序 440字节Windows磁盘签名 4字节 - 系统自动生成分区表 64字节 - 结束标志（55 AA）往上数4行16个字节为一个分区表项字节偏移X 2 16进制表示分区类型结束标识 2字节 - 55 AA分区表项字节偏移 *2 16进制表示分区类型*6 - *9偏移为起始扇区*A - *D偏移为分区大小分区n+1的起始扇区 = 分区n的起始扇区 + 分区n的分区大小主扩展分区EBR 和分区MBR 分析一致表项分析表项1是第一个分区的表项分析与分区表项一致但是起始扇区和分区表项不一样，这里的起始扇区是相对的大小Tip：NTFS 分区：起始标志EB 52 90相对跳转是相对 EBR 偏移起始扇区的大小偏移进制均为10进制主要是跳转

FAT32 - 硬盘综合分析

2022-06-02T15:11:00+00:00

物理驱动器信息隐藏扇区数 : 128 1C - 1F保留扇区：8234 （从DBR到FAT表中的扇区数）0E - 0F每簇扇区数：8 0D分区大小：4,188,160 20 - 23FAT表大小：4,075 24 - 27簇数：521,600 （FAT表大小 * 512 / 4）数据区根目录：16512 （固定2号簇）--文件--1.Png（10簇大小：490,711字节）woshimljaaahhh.txt：（9号簇大小：11字节）--文件夹--23文件夹（130号簇）2333.txt（8号簇，大小：12字节）查询方法记录打开常用的窗口打开物理驱动器隐藏扇区数查询打开物理驱动器后，单击分区1，左下角显示的扇区 128/4194304 ，其中128就是隐藏扇区数。如图单击后，进入到驱动器的DBR扇区--EB 58 90(标识)。其中第二行1C - 1F 数据为 128，同样可以表示扇区数。每扇区字节大小在DBR扇区中第0行中的0B-0C 为每扇区字节大小。每簇占扇区数1.在DBR扇区中第0行中的 0D 存储的为每簇扇区大小，当前为8扇区。保留扇区数在DBR扇区中第0行中的 0E-0F 存储的为保留扇区数，当前保留扇区数为8234。分区大小在*DBR扇区* 中位置20 - 23 中4个字节中的 32Bit 数字为当前分区大小，当前分区大小为4,188,160。FAT表大小在*DBR扇区* 中位置 24 - 27 中4个字节中的 16Bit数字为当前FAT表大小，当前FAT表大小为4,075。簇数大小计算公式为：FAT表大小 * 512 / 4，当前簇数大小为4,075 * 512 / 4 = 521,600。跳转到FAT表回到DBR扇区的00位置。点击offset表任意位置，切换为十进制模式。单击下方的偏移地址，开始设置偏移量。将（十进制）前面的模式切换到扇区（Sectors）输入*保留分区的大小*，并选择为当前位置。点击确定，如果保留扇区大小没错，就到了FAT1表。从当前FAT1的位置再跳转一个FAT表的大小，就到了FAT2表。Tip:FAT表起始都为 “F8 FF FF 0F”“FF FF FF 0F”表示当前簇被占用根目录位置从FAT2 位置跳转一个FAT表的大小就到了数据区根目录。目录项：32个字节为一项！（两行数据为一项）短文件名：前八个字节为文件名，后三个字节为后缀簇号计算高位簇（14 - 15） * 65536 + 低位簇（1A-1B）分析文件png文件分析（10簇大小：490,711）文件为短文件名：前八个字节为文件名，后三个字节为后缀。通常两行数据表示一个项目。其中 14 - 15 表示的是文件的高位簇如图（十六进制 1A-1B）（十进制 1 10 -1 11）位置为文件的低位簇，当前文件为10簇。在低位簇1A - 1B后四位字段 1C - 1F 表示文件字节大小，当前文件字节大小为490,711。接下来跳转到1.png文件的数据区：已知文件簇10，数据根目录簇为2簇，每簇大小8扇区。从根目录扇区跳转（10 - 2）* 8的扇区大小即可。（文件簇 - 根目录簇） * 每簇大小png恢复数据！已知文件大小为：490,711 字节。所以从数据区选择块尾打开跳转，切换为字节（Bytes）模式，输入文件的大小后点击确定，跳转完成。跳转完成后，选择块尾，右键，点击“选块尾部”即可。选择完成后，右键，点击“编辑”，点击“复制选块”—“至新文件”，保存到任意位置即可。（文件名后缀为原来文件后缀）txt文件分析长文件名原理相同；长文件名文件占用4行表示一项，会根据长度而改变。第一部分是高位簇，第二部分为低位簇，第三部分为文件大小。文件夹分析回到数据根目录区。此项为23文件夹，1区块为文件夹名字，2区块为高位簇，3区块为低位簇。（复习：高位簇为文件位置：14 - 15 低位簇为文件位置：1A - 1B）如图得知，文件夹簇号为：130接下来跳转到文件夹的数据区，（130 - 2） * 8 个扇区数。注意：从根目录起点开始跳转。如上图跳转完成后显示，其中包含了文件夹中文件的目录。可当作数据根目录对文件夹中文件就行操作，恢复！注意：文件夹中文件的簇号，可以从当前簇向上跳转即可

NATS - 结构及文件查找提取 - 方法1

2022-05-17T06:21:00+00:00

第一步打开数据解释器开始分析 NTF第一个扇区就是他的DBR扇区DBR扇区分析 0号扇区DBR分区标识 EB 52 90标识往后八个字节是系统标识0B 0C 表示一个扇区的字节大小 512字节0D 一个字节是簇大小每簇要占 8 个扇区1C 1F 四个字节表示整个磁盘隐藏扇区数 204828 2F 64位表示NTF整个分区大小有多少扇区分区大小 134,211,583这个值不包括DBR的备份扇区（如果需要包括将值加一即可）数据解释器需要勾选显示64Bit的字节30 37 八个字节表示MFT的起始簇号 786,432如果需要跳转簇，需将簇号*8跳转扇区大小即可786432*8=6291456 在6291456号扇区38 3F八个字节表示MFTMIRO(MFT备份)的起始簇号相对DBR跳16个扇区即可MFT主文件记录表分析跳转十进制从DBR当前位置跳转6291456个扇区大小MFT区标识 FILE 46 49 4C 45三部分：文件记录头、属性、结束标志FF FF FF FF每个文件都有文件记录项，文件记录项占用2个扇区如果未占满 0填充占满2个扇区如果不够扩展新的记录项2C 2F 文件记录头序号0 - 15个记录项是系统占用的属性原文件文件记录头起始标志46 49 4C 4516 17代表文件状态正在使用、删除····一共4种状态00 文件被删除01 文件正在使用02 文件夹被删除03 文件夹正在使用14 15表示文件记录头占用大小38 00 即为3行多八个字节2C 2F四个字节表示文件记录项的序号30 31更新序列号校验应与记录项最后两个字节一致属性头属性体的开头就是属性体的属性名10H属性：标准信息30H属性：文件名80H属性：数据90H属性：索引根A0H属性：索引分配属性项的大小偏移：从属性头向后偏移4个字节60H代表6行、 16 * 6 行个字节常驻、非常驻性质偏移：从属性头向后偏移8个字节常驻属性：00H非常驻属性：01H区别：常驻属性就是文件内容是比较小的，能在两个扇区1KB中存储掉，就是常驻属性，非常驻属性，就是文件内容过大，1KB扇区记录不了，需要通过簇流文件流来索引。属性体大小：常驻偏移：从属性头向后偏移16字节、一行48H代表4行多8个字节、 16 * 8 + 8 个字节属性头大小：常驻偏移：从属性体大小向后偏移4字节18H代表1行多8个字节、 16 * 1 + 8 个字节非常驻属性属性头、大小偏移和常驻属性找法一致簇流开始位置偏移：从属性头向后偏移2行 28个字节40H表示，从属性头向后4行之后是数据流的信息簇流数据：31 40 00 00 0C 00 00 00簇流第一个字节：压缩字节31H 地位1 高位31表示压缩字节后面的一个字节 40H 簇流大小占64个簇3表示跟在簇流大小后面的3个字节表示簇流的起始簇号786,432号簇 = MFT起始簇号簇流可能出现多个簇流数据！如：31 01 FF FF 0B 31 01 26 00 F431H代表簇流的大小和位置，往后还有一个31H代表另一个簇流的大小位置第二个簇的起始簇流-786,394负数是一个相对的概念相对于第一个簇的起始簇流位置（相对位置）将一簇流起始减去二簇流起始位置得到的37（绝对位置）即为2号簇的簇流起始位置需要将一号簇和二号簇的数据拼接起来注意：3个字节需要打开数据解释器的24Bit显示查找提取文件直接搜索检索文件名查找文本搜索框填写需要搜索的文件名加后缀匹配大小写无所谓下面的选择框需要改成“Unicode”等待搜索结果找到扇区开头为46 49 4C 45开头的，即为正确的文件项文件名在30H属性中内容在80H属性中常驻：如果80属性是常驻属性，那么数据区的大小就是常驻属性向后偏移1个字节是属性头的大小剩下的内容即为数据的行数完整内容，框选右键至新文件即可。非常驻：找到属性的datas run区域，开始分析：第一个字节21H1表示压缩字节后面的一个字节 01H 簇流大小占1个簇2表示簇流大小后面2字节为簇流的起始簇号6393 * 8 = 51144扇区从DBR跳转扇区到文件数据区提取文件时，应该提取文件的实际大小实际大小：在数据流信息的前面8个字节