MBR磁盘的分区形式：主分区、扩展分区、非DOS分区。

前三个主分区，后面的是扩展分区

• 主分区为深蓝色
• 扩展分区是绿色

结构

MBR位置：位于磁盘的第一个扇区，0号扇区

由4部分组成：

1. 引导程序 440字节
2. Windows磁盘签名 4字节 - 系统自动生成

3. 分区表 64字节 - 结束标志（55 AA）往上数4行

   1. 16个字节为一个分区表项
   2. 字节偏移X 2 16进制 表示分区类型
4. 结束标识 2字节 - 55 AA

分区表项

• 字节偏移 *2 16进制 表示分区类型

• *6 - *9偏移为起始扇区
• *A - *D偏移为分区大小
• 分区n+1的起始扇区 = 分区n的起始扇区 + 分区n的分区大小

主扩展分区

EBR 和 分区MBR 分析一致

表项分析

• 表项1是第一个分区的表项
• 分析 与 分区表项 一致
• 但是起始扇区和 分区表项 不一样，这里的起始扇区是相对的大小

Tip：

• NTFS 分区：起始标志EB 52 90
• 相对跳转 是相对 EBR 偏移 起始扇区的大小
• 偏移进制均为10进制
• 主要是跳转

物理驱动器信息

隐藏扇区数 : 128 1C - 1F

保留扇区：8234 （从DBR到FAT表中的扇区数）0E - 0F

每簇扇区数：8 0D

分区大小：4,188,160 20 - 23

FAT表大小：4,075 24 - 27

簇数：521,600 （FAT表大小 * 512 / 4）

数据区根目录：16512 （固定2号簇）

--文件--

1. 1.Png（10簇 大小：490,711字节）
2. woshimljaaahhh.txt：（9号簇 大小：11字节）

--文件夹--

1. 23文件夹（130号簇）

   1. 2333.txt（8号簇，大小：12字节）

查询方法记录

1. 打开常用的窗口

   1. 
2. 打开物理驱动器

隐藏扇区数查询

1. 打开物理驱动器后，单击分区1，左下角显示的 扇区 128/4194304 ，其中128就是隐藏扇区数。
2. 如图单击后，进入到驱动器的DBR扇区--EB 58 90(标识)。
3. 其中第二行1C - 1F 数据 为 128，同样可以表示扇区数。

每扇区字节大小

1. 在DBR扇区中第0行中的0B-0C 为每扇区字节大小。

每簇占扇区数

1.在DBR扇区 中第0行中的 0D 存储的为每簇扇区大小，当前为8扇区。

保留扇区数

1. 在DBR扇区 中第0行中的 0E-0F 存储的为保留扇区数，当前保留扇区数为8234。

分区大小

1. 在*DBR扇区* 中位置20 - 23 中4个字节中的 32Bit 数字为当前分区大小，当前分区大小为4,188,160。

FAT表大小

1. 在*DBR扇区* 中位置 24 - 27 中4个字节中的 16Bit数字为当前FAT表大小，当前FAT表大小为4,075。

簇数大小

1. 计算公式为：FAT表大小 * 512 / 4，当前簇数大小为4,075 * 512 / 4 = 521,600。

跳转到FAT表

1. 回到DBR扇区的00位置。
2. 点击offset表任意位置，切换为十进制模式。
3. 单击下方的偏移地址，开始设置偏移量。
4. 将（十进制）前面的模式切换到扇区（Sectors）输入*保留分区的大小*，并选择为当前位置。
5. 点击确定，如果保留扇区大小没错，就到了FAT1表。
6. 从当前FAT1的位置再跳转一个FAT表的大小，就到了FAT2表。

Tip:

• FAT表起始都为 “F8 FF FF 0F”
• “FF FF FF 0F”表示当前簇被占用

根目录位置

1. 从FAT2 位置 跳转一个FAT表的大小就到了 数据区根目录。
2. 目录项：32个字节为一项！（两行数据为一项）
3. 短文件名：前八个字节为文件名，后三个字节为后缀

簇号计算

• 高位簇（14 - 15） * 65536 + 低位簇（1A-1B）

分析文件

png文件分析

（10簇 大小：490,711）

1. 
2. 文件为短文件名：前八个字节为文件名，后三个字节为后缀。
3. 通常两行数据表示一个项目。
4. 其中 14 - 15 表示的是文件的高位簇
5. 如图（十六进制 1A-1B）（十进制 1 10 -1 11） 位置为文件的低位簇，当前文件为10簇。
6. 在低位簇1A - 1B后四位字段 1C - 1F 表示文件字节大小，当前文件字节大小为490,711。

7. 接下来跳转到1.png文件的数据区：

   • 已知文件簇10，数据根目录簇为2簇，每簇大小8扇区。
   • 从根目录扇区跳转 （10 - 2）* 8的扇区大小即可。
   • （文件簇 - 根目录簇） * 每簇大小

png恢复数据！

1. 已知文件大小为：490,711 字节。

2. 所以从数据区选择块尾

   1. 打开跳转，切换为字节（Bytes）模式，输入文件的大小后点击确定，跳转完成。
   2. 
   3. 
   4. 跳转完成后，选择块尾，右键，点击“选块尾部”即可。
   5. 
   6. 选择完成后，右键，点击“编辑”，点击“复制选块”—“至新文件”，保存到任意位置即可。（文件名后缀为原来文件后缀）

txt文件分析

1. 长文件名原理相同；长文件名文件占用4行表示一项，会根据长度而改变。

3. 第一部分是高位簇，第二部分为低位簇，第三部分为文件大小。

文件夹分析

1. 回到数据根目录区。
2. 此项为23文件夹，1区块为文件夹名字，2区块为高位簇，3区块为低位簇。（复习：高位簇为文件位置：14 - 15 低位簇为文件位置：1A - 1B）
3. 如图得知，文件夹簇号为：130
4. 接下来跳转到文件夹的数据区，（130 - 2） * 8 个扇区数。注意：从根目录起点开始跳转。
5. 如上图跳转完成后显示，其中包含了文件夹中文件的目录。可当作数据根目录对文件夹中文件就行操作，恢复！

注意：文件夹中文件的簇号，可以从当前簇向上跳转即可

第一步

打开数据解释器

开始分析 NTF第一个扇区 就是他的DBR扇区

DBR扇区分析 0号扇区

• DBR分区标识 EB 52 90
• 标识往后八个字节 是系统标识
• 0B 0C 表示一个扇区的字节大小 512字节
• 0D 一个字节 是簇大小 每簇要占 8 个扇区

• 1C 1F 四个字节 表示整个磁盘隐藏扇区数 2048

• 28 2F 64位 表示NTF整个分区大小 有多少扇区 分区大小 134,211,583

  • 这个值不包括DBR的备份扇区（如果需要包括 将值加一即可）
  • 数据解释器需要勾选显示64Bit的字节

• 30 37 八个字节 表示MFT的起始簇号 786,432

  • 如果需要跳转簇，需将簇号*8跳转扇区大小即可
  • 786432*8=6291456 在6291456号扇区

• 38 3F八个字节 表示MFTMIRO(MFT备份)的起始簇号

  • 相对DBR跳16个扇区即可

MFT主文件记录表分析

1. 跳转

   1. 十进制
   2. 从DBR当前位置
   3. 跳转6291456个扇区大小

• MFT区标识 FILE 46 49 4C 45
• 三部分：文件记录头、 属性、 结束标志FF FF FF FF

• 每个文件 都有文件记录项，文件记录项占用2个扇区

  • 如果未占满 0填充 占满
  • 2个扇区如果不够扩展新的记录项

• 2C 2F 文件记录头序号

  • 0 - 15个记录项 是系统占用的属性原文件

• 文件记录头

  • 起始标志46 49 4C 45

  • 16 17代表文件状态 正在使用、删除····

    • 一共4种状态
    • 00 文件被删除
    • 01 文件正在使用
    • 02 文件夹被删除
    • 03 文件夹正在使用

  • 14 15表示文件记录头占用大小

    • 38 00 即为3行多八个字节
  • 2C 2F四个字节表示文件记录项的序号
  • 30 31更新序列号 校验 应与记录项最后两个字节一致

• 属性头

  • 属性体的开头就是属性体的属性名

    • 10H属性：标准信息
    • 30H属性：文件名
    • 80H属性：数据
    • 90H属性：索引根
    • A0H属性：索引分配

• 属性项的大小

  • 偏移： 从属性头向后偏移4个字节
  • 60H代表6行 、 16 * 6 行 个字节

• 常驻、非常驻性质

  • 偏移： 从属性头向后偏移8个字节
  • 常驻属性：00H
  • 非常驻属性：01H
  • 区别：常驻属性就是文件内容是比较小的，能在两个扇区1KB中存储掉，就是常驻属性，非常驻属性，就是文件内容过大，1KB扇区记录不了，需要通过簇流 文件流来索引。

• 属性体大小：常驻

  • 偏移：从属性头向后偏移16字节 、 一行
  • 48H代表4行多8个字节 、 16 * 8 + 8 个字节

• 属性头大小：常驻

  • 偏移：从属性体大小向后偏移4字节
  • 18H代表1行多8个字节 、 16 * 1 + 8 个字节

• 非常驻属性

  • 属性头、 大小偏移和常驻属性找法一致

  • 簇流开始位置

    • 偏移：从属性头向后偏移2行 28个字节
    • 40H表示，从属性头向后4行之后 是数据流的信息
  • 簇流数据：31 40 00 00 0C 00 00 00

  • 簇流第一个字节：压缩字节

    • 31H 地位1 高位3
    • 1表示压缩字节后面的一个字节 40H 簇流大小 占64个簇
    • 3表示跟在簇流大小后面的3个字节 表示簇流的起始簇号786,432号簇 = MFT起始簇号

  • 簇流可能出现多个簇流数据！

    • 如：31 01 FF FF 0B 31 01 26 00 F4
    • 31H代表簇流的大小和位置，往后还有一个31H代表另一个簇流的大小位置

    • 第二个簇的起始簇流-786,394

      • 负数是一个相对的概念
      • 相对于第一个簇的起始簇流位置（相对位置）
      • 将一簇流起始 减去 二簇流起始位置得到的37（绝对位置）即为2号簇的簇流起始位置
    • 需要将一号簇和二号簇的数据拼接起来
    • 注意：3个字节 需要打开数据解释器的24Bit显示

查找提取文件

1. 直接搜索检索文件名

• 查找文本

  • 搜索框填写需要搜索的文件名加后缀
  • 匹配大小写无所谓
  • 下面的选择框需要改成“Unicode”
  • 等待搜索结果
  • 找到扇区开头为46 49 4C 45开头的，即为正确的文件项
• 文件名在30H属性中

• 内容在80H属性中

  • 常驻：
  • 如果80属性是常驻属性，那么数据区的大小就是常驻属性向后偏移1个字节是属性头的大小 剩下的内容 即为数据的行数 完整内容，框选右键至新文件即可。

• 非常驻：
• 找到属性的datas run区域，开始分析：
• 第一个字节21H
• 1表示压缩字节后面的一个字节 01H 簇流大小 占1个簇

• 2表示簇流大小后面2字节为簇流的起始簇号

  • 6393 * 8 = 51144扇区
• 从DBR跳转扇区 到文件数据区

• 提取文件时，应该提取文件的实际大小

  • 实际大小：
  • 在数据流信息的前面8个字节