2,640
社区成员
发帖
与我相关
我的任务
分享请教:那位老兄知道NTFS的$MFT中的File Record(inode)的结构? 有详细的NTFS的中文资料愿再加贴赠300分
本人40G的数据丢失,文件系统为NTFS,在Windows2000下快速格式化。
经分析,以前的$MFT的前几个File Record被新的$MFT改写,以前的文件基本上都在。
请教:
1:如何手动修改$MFT,改变$MFT的大小和包含的File Record的数量以及把以前的大量File Record有机的连接起来?
2:File Record 的详细结构. NTFS是如何用File Record组织目录树的?
如果第一中方案行不通(就我的水平而言),我可以自己写个程序,从$MFT 中遍历所有File Record读出其$DATA数据保存到其它盘.(多属性的文件在我的盘中基本上没有)
若有详细的NTFS的中文资料愿再加贴赠300分
我五年的心血已付诸东流.
注:欢迎大家共同探讨NTFS,请不要提及数据恢复软件,谢谢.
经分析,以前的$MFT的前几个File Record被新的$MFT改写,以前的文件基本上都在。
请教:
1:如何手动修改$MFT,改变$MFT的大小和包含的File Record的数量以及把以前的大量File Record有机的连接起来?
2:File Record 的详细结构. NTFS是如何用File Record组织目录树的?
如果第一中方案行不通(就我的水平而言),我可以自己写个程序,从$MFT 中遍历所有File Record读出其$DATA数据保存到其它盘.(多属性的文件在我的盘中基本上没有)
若有详细的NTFS的中文资料愿再加贴赠300分
我五年的心血已付诸东流.
注:欢迎大家共同探讨NTFS,请不要提及数据恢复软件,谢谢.
...全文
请发表友善的回复…
发表回复
fanoble 2005-04-05
- 打赏
- 举报
不知道楼主真正的意图是什么,只想恢复数据用FinalData
ufool 2005-04-04
- 打赏
- 举报
这里有关于NTFS的讨论,大家可以去看看。不过基本上还是基于那个文档层面上的。
roger_ding 2005-04-03
- 打赏
- 举报
你的目的是恢复文件,所以$MFT倒不是必须恢复
可以用ufool的方法,即在整个硬盘内查找“FILE”的记录,由于FILE记录内有该文件大小,每个存储块的起始簇号,以及每个存储块的长度,那么就可以恢复该文件
可以用ufool的方法,即在整个硬盘内查找“FILE”的记录,由于FILE记录内有该文件大小,每个存储块的起始簇号,以及每个存储块的长度,那么就可以恢复该文件
xf_lii 2005-04-02
- 打赏
- 举报
谢谢 ufool
可以再详细些吗
可以再详细些吗
ufool 2005-03-11
- 打赏
- 举报
http://community.csdn.net/Expert/topic/3685/3685342.xml?temp=.5937158
ufool 2005-03-11
- 打赏
- 举报
ufool多说点
====================
你想知道什么问题?对这感兴趣的,好像不多。前段时间倒是写了一个正常情况下NTFS解析的东东。现在没空暂时又放下了。如哪位有兴趣,我提供一点思路:
1、程序必须可以正常读卷,可用CreateFile();
2、遍历整个大概范围内的File Record,不要只遍历被格式化后的$MFT所指的大小,一般来说,File Record都是连续分布的。
3、每个File Record是1024B,将其解析出来,感兴趣的内容为是否删除,是否为目录,文件名,父目录,Data Runs,其中Data Runs就是文件的内容。楼主所提供的文档里,都有详细的描述。
4、这样,将每个属于文件的File Record生成一个文件,就可以了,由于只是对一些文件感兴趣,也就没有必要再去组建树了,那样挺麻烦的。
有关讲述NTFS的书:
WINDOWS 2000 SERVER技术内幕 (北京8小时送货)
Inside WINDOWS 2000 SERVER
作者: [美]William Boswell 译者:杨洪涛 李博
市场价: ¥98.00
总站会员价:
¥73.50(4-5星会员) ¥76.44(1-3星会员) ¥78.40(普通会员)
出版社: 清华大学出版社 ISBN:7-302-04913-0
出版日期:2001-09-01 丛书: 北京科海培训中心图书
http://www.china-pub.com/computers/common/info.asp?id=4188
NTFS搞懂要比FAT,EXT2复杂多了,不过也是我见过最好,最有效率,最先进的文件系统。前段时间,看到有报道说reiserfs 4是最先进的,我没有研究过,不知哪位有这方面资料?
====================
你想知道什么问题?对这感兴趣的,好像不多。前段时间倒是写了一个正常情况下NTFS解析的东东。现在没空暂时又放下了。如哪位有兴趣,我提供一点思路:
1、程序必须可以正常读卷,可用CreateFile();
2、遍历整个大概范围内的File Record,不要只遍历被格式化后的$MFT所指的大小,一般来说,File Record都是连续分布的。
3、每个File Record是1024B,将其解析出来,感兴趣的内容为是否删除,是否为目录,文件名,父目录,Data Runs,其中Data Runs就是文件的内容。楼主所提供的文档里,都有详细的描述。
4、这样,将每个属于文件的File Record生成一个文件,就可以了,由于只是对一些文件感兴趣,也就没有必要再去组建树了,那样挺麻烦的。
有关讲述NTFS的书:
WINDOWS 2000 SERVER技术内幕 (北京8小时送货)
Inside WINDOWS 2000 SERVER
作者: [美]William Boswell 译者:杨洪涛 李博
市场价: ¥98.00
总站会员价:
¥73.50(4-5星会员) ¥76.44(1-3星会员) ¥78.40(普通会员)
出版社: 清华大学出版社 ISBN:7-302-04913-0
出版日期:2001-09-01 丛书: 北京科海培训中心图书
http://www.china-pub.com/computers/common/info.asp?id=4188
NTFS搞懂要比FAT,EXT2复杂多了,不过也是我见过最好,最有效率,最先进的文件系统。前段时间,看到有报道说reiserfs 4是最先进的,我没有研究过,不知哪位有这方面资料?
loveisbug 2005-01-17
- 打赏
- 举报
ufool多说点
Mr-Chen 2004-12-31
- 打赏
- 举报
关注!
pepsi1980 2004-12-30
- 打赏
- 举报
FinalData
krfstudio 2004-12-29
- 打赏
- 举报
可以用 DiskExplorer for NTFS 这个软件来恢复你的数据,可以直接操作硬盘扇区,同时可以解析磁盘分区表和 NTFS 文件系统,支持利用虚拟卷来恢复数据。
ufool 2004-12-29
- 打赏
- 举报
另外
0x28 2 Next Attribute Id
0x2A 2 Align to 4 byte boundary
这只是在XP下有用,如在NT,或2000中,将会被
2 Update Sequence Number (a)
2S-2 Update Sequence Array (a)
所代替。
本来可以多写点,但日期过了这么久,估计没什么人能看到。
0x28 2 Next Attribute Id
0x2A 2 Align to 4 byte boundary
这只是在XP下有用,如在NT,或2000中,将会被
2 Update Sequence Number (a)
2S-2 Update Sequence Array (a)
所代替。
本来可以多写点,但日期过了这么久,估计没什么人能看到。
ufool 2004-12-29
- 打赏
- 举报
找到一个FILE Record的结构,大家给分析分析:
Offset Size Description
0x00 4 Magic number 'FILE'
0x04 2 Offset to the update sequence
0x06 2 Size in words of Update Sequence Number & Array (S)
0x08 8 $LogFile Sequence Number (LSN)
0x10 2 Sequence number
0x12 2 Hard link count
0x14 2 Offset to Update Sequence Array
0x16 2 Flags
0x18 4 Real size of the FILE record
0x1C 4 Allocated size of the FILE record
0x20 8 File reference to the base FILE record
0x28 2 Next Attribute Id
0x2A 2 Align to 4 byte boundary
0x2C 4 Number of this MFT Record
2 Update Sequence Number (a)
2S-2 Update Sequence Array (a)
谁知道最后俩行是什么意思?
以下是个Index Header,组成NTFS的目录结构,据说是个B+树
Offset Size Description
0x00 8 MFT Reference of the file
0x08 2 Size of this index entry
0x0A 2 Offset to the filename
0x0C 2 Index Flags
0x0E 2 Padding (align to 8 bytes)
0x10 8 MFT File Reference of the parent
0x18 8 File creation time
0x20 8 Last modification time
0x28 8 Last modification time for FILE record
0x30 8 Last access time
0x38 8 Allocated size of file
0x40 8 Real size of file
0x48 8 File Flags
0x50 1 Length of filename (F)
0x51 1 Filename namespace
0x52 2F Filename
2F+0x52 P Padding (align to 8 bytes)
P+2F+0x52 8 VCN of index buffer with sub-nodes
====================================================================
最后两行的意思是:
Update Sequence Number:
更新序列号,大小为2B,是为了保证该扇区是否正确,以扇区的最后两个字节与该值比较,如果一样,则说明该扇区是正确的,否则就是有问题。
Update Sequence Array:
更新序列数组,大小一般为2*2B=4B,如果该扇区正确,在解析的时候,则将该数组中的两个2B大小的数字依次复制到该File Record所在的两个扇区的最后两个字节。
Offset Size Description
0x00 4 Magic number 'FILE'
0x04 2 Offset to the update sequence
0x06 2 Size in words of Update Sequence Number & Array (S)
0x08 8 $LogFile Sequence Number (LSN)
0x10 2 Sequence number
0x12 2 Hard link count
0x14 2 Offset to Update Sequence Array
0x16 2 Flags
0x18 4 Real size of the FILE record
0x1C 4 Allocated size of the FILE record
0x20 8 File reference to the base FILE record
0x28 2 Next Attribute Id
0x2A 2 Align to 4 byte boundary
0x2C 4 Number of this MFT Record
2 Update Sequence Number (a)
2S-2 Update Sequence Array (a)
谁知道最后俩行是什么意思?
以下是个Index Header,组成NTFS的目录结构,据说是个B+树
Offset Size Description
0x00 8 MFT Reference of the file
0x08 2 Size of this index entry
0x0A 2 Offset to the filename
0x0C 2 Index Flags
0x0E 2 Padding (align to 8 bytes)
0x10 8 MFT File Reference of the parent
0x18 8 File creation time
0x20 8 Last modification time
0x28 8 Last modification time for FILE record
0x30 8 Last access time
0x38 8 Allocated size of file
0x40 8 Real size of file
0x48 8 File Flags
0x50 1 Length of filename (F)
0x51 1 Filename namespace
0x52 2F Filename
2F+0x52 P Padding (align to 8 bytes)
P+2F+0x52 8 VCN of index buffer with sub-nodes
====================================================================
最后两行的意思是:
Update Sequence Number:
更新序列号,大小为2B,是为了保证该扇区是否正确,以扇区的最后两个字节与该值比较,如果一样,则说明该扇区是正确的,否则就是有问题。
Update Sequence Array:
更新序列数组,大小一般为2*2B=4B,如果该扇区正确,在解析的时候,则将该数组中的两个2B大小的数字依次复制到该File Record所在的两个扇区的最后两个字节。
zzxenjoy 2004-11-08
- 打赏
- 举报
ding
Magnus 2004-11-05
- 打赏
- 举报
帮顶
xf_lii 2004-11-05
- 打赏
- 举报
没有人能帮我吗?
xf_lii 2004-10-28
- 打赏
- 举报
linux-ntfs提供的资料,有兴趣的同志可以研究研究。 不过是英文。
http://unc.dl.sourceforge.net/sourceforge/linux-ntfs/ntfsdoc-0.5.zip
http://unc.dl.sourceforge.net/sourceforge/linux-ntfs/ntfsdoc-0.5.zip
stonewind 2004-10-27
- 打赏
- 举报
你专门研究几个月,也许有眉目,一般的人可能都不知道
danyueer 2004-10-25
- 打赏
- 举报
PS,我们还是微软的认证合作伙伴,Intel的战略合作伙伴。
danyueer 2004-10-25
- 打赏
- 举报
楼主,不是我打击你,我一个同事研究NTFS两年,就是遇上与你相似的问题无法进展。后来我们跟微软和Intel联系了,他们的答复是:商业机密,NTFS的详细格式不允许对外发布。
所以……说实话遗憾的不止我同事和你两个人。
所以……说实话遗憾的不止我同事和你两个人。
xf_lii 2004-10-25
- 打赏
- 举报
找到一个FILE Record的结构,大家给分析分析:
Offset Size Description
0x00 4 Magic number 'FILE'
0x04 2 Offset to the update sequence
0x06 2 Size in words of Update Sequence Number & Array (S)
0x08 8 $LogFile Sequence Number (LSN)
0x10 2 Sequence number
0x12 2 Hard link count
0x14 2 Offset to Update Sequence Array
0x16 2 Flags
0x18 4 Real size of the FILE record
0x1C 4 Allocated size of the FILE record
0x20 8 File reference to the base FILE record
0x28 2 Next Attribute Id
0x2A 2 Align to 4 byte boundary
0x2C 4 Number of this MFT Record
2 Update Sequence Number (a)
2S-2 Update Sequence Array (a)
谁知道最后俩行是什么意思?
以下是个Index Header,组成NTFS的目录结构,据说是个B+树
Offset Size Description
0x00 8 MFT Reference of the file
0x08 2 Size of this index entry
0x0A 2 Offset to the filename
0x0C 2 Index Flags
0x0E 2 Padding (align to 8 bytes)
0x10 8 MFT File Reference of the parent
0x18 8 File creation time
0x20 8 Last modification time
0x28 8 Last modification time for FILE record
0x30 8 Last access time
0x38 8 Allocated size of file
0x40 8 Real size of file
0x48 8 File Flags
0x50 1 Length of filename (F)
0x51 1 Filename namespace
0x52 2F Filename
2F+0x52 P Padding (align to 8 bytes)
P+2F+0x52 8 VCN of index buffer with sub-nodes
Offset Size Description
0x00 4 Magic number 'FILE'
0x04 2 Offset to the update sequence
0x06 2 Size in words of Update Sequence Number & Array (S)
0x08 8 $LogFile Sequence Number (LSN)
0x10 2 Sequence number
0x12 2 Hard link count
0x14 2 Offset to Update Sequence Array
0x16 2 Flags
0x18 4 Real size of the FILE record
0x1C 4 Allocated size of the FILE record
0x20 8 File reference to the base FILE record
0x28 2 Next Attribute Id
0x2A 2 Align to 4 byte boundary
0x2C 4 Number of this MFT Record
2 Update Sequence Number (a)
2S-2 Update Sequence Array (a)
谁知道最后俩行是什么意思?
以下是个Index Header,组成NTFS的目录结构,据说是个B+树
Offset Size Description
0x00 8 MFT Reference of the file
0x08 2 Size of this index entry
0x0A 2 Offset to the filename
0x0C 2 Index Flags
0x0E 2 Padding (align to 8 bytes)
0x10 8 MFT File Reference of the parent
0x18 8 File creation time
0x20 8 Last modification time
0x28 8 Last modification time for FILE record
0x30 8 Last access time
0x38 8 Allocated size of file
0x40 8 Real size of file
0x48 8 File Flags
0x50 1 Length of filename (F)
0x51 1 Filename namespace
0x52 2F Filename
2F+0x52 P Padding (align to 8 bytes)
P+2F+0x52 8 VCN of index buffer with sub-nodes
加载更多回复(3)
