檔案系統刪除檔案的恢復
檔案刪除前的底層分析
首先從檔案系統底層了解一下NTFS檔案系統中檔案各部分結構的管理。
現在以NTFS分區中的兩個檔案“jpg圖片檔案”和“TXT文本文檔檔案”為例,講解檔案的各部分結構。
圖片檔案:
該檔案在NTFS檔案系統中由檔案記錄進行管理,檔案記錄占用兩個扇區。該檔案的檔案名稱在30H屬性中,檔案的數據是由80H屬性管理的。
從80H屬性中可以看出圖片檔案的屬性體是非常駐的,檔案大小為05E2ADH位元組;其中Run list 中只有一個數據流,所以檔案是連續的,可以看到數據的開始簇號和大小,跳轉到檔案的開始簇號就能查看到這個檔案的所有數據。
現在以NTFS分區中的另一個文本文檔檔案為例,講解檔案的各部分結構。該檔案在NTFS檔案系統中由檔案記錄進行管理,檔案記錄占用兩個扇區。該檔案的檔案名稱在30H屬性中,檔案的數據也是由80H屬性管理的,
從80H屬性中可以看出文本文檔檔案的屬性體是常駐的,屬性體開始於該屬性的18H偏移處,屬性體大小為4AH位元組,80H屬性為數據屬性,所以其屬性體就是這個檔案的數據。
檔案刪除後的底層分析
為了了解檔案刪除後恢復的方法,先從檔案系統級別了解一下檔案刪除時在NTFS檔案系統中發生的變化。查看了圖片檔案和文本文檔檔案的各部分結構後,現在把此檔案徹底刪除,然後在對其各部分結構進行分析,並講解恢復的思路。
首先講解圖片檔案,將圖片檔案刪除,刪除後其檔案記錄改變,可以看出圖片檔案記錄的狀態位元組已經由01(檔案在使用中)變為00(檔案被刪除),而30H屬性中的檔案名稱、80H屬性中的檔案大小、Run List等重要信息都沒有任何改變。
根據Run List 中的信息,跳轉到圖片檔案的開始簇號位置,查看數據去內容,數據內容沒有改變。
在講解文本文檔檔案的刪除過程,首先將文本文檔檔案刪除。刪除後其檔案記錄改變了,可以看出來文本文檔的檔案記錄狀態位元組已經由01(檔案在使用中)變為00(檔案被刪除),而30H屬性中的檔案名稱、80H屬性中的屬性頭、屬性體等重要信息都沒有任何改變。
根據80H屬性中的屬性頭信息,找到屬性體部分,屬性體(檔案的內容)沒有改變 。
檔案刪除後的恢復
將被刪除的圖片檔案的數據區的內容全部選中,用Winhex軟體另外儲存為一個新檔案,將該檔案的數據區中的這些十六進制保存到其他的目錄下,並命名。就能預覽。
80H屬性為常駐的檔案刪除後更容易,前面講到的,檔案內容就在80H中,所以只要把80H的屬性體選中另外儲存就可以了。