在ntfs文件系统下恢复删除带有碎片的文件如何定位?
我现在发的这个贴子,你可以当做是求助贴,或是讨论贴都行,目的是让大家看完贴后多多发表对此贴的看法,和解决办法,为什么会出现这种情况?是普遍现象?还是个中案例?
话说正题,我看到了“数据重现”一书中的485页讲的是ntfs文件系统中删除文件的数据恢复,书中讲,文件被删除后,在其MFT表中只是
改写了,0x16~0x17字节处的标志(00为删除的文件,01为正常的文件,02为删除的目录,03为正常的目录)那么在其为80属性的数据属性没有变化,可以根据其中的
簇流来恢复数据,果真如此吗?我做了个实验,文件是400.xls(有两个碎片的电子表格文件,其中都是文字)大小为21k,在winhex中簇列为:26179 ,26180,18421,18422,18423,18424。总计为6为2片。
然后在根分区中删除了这个文件,在其MFT中观察变化,原先0x16~0x17处的字节变为00成删除文件标志,而本不应该变化的80属性却发生了变化,由原来的80个字节(包括簇流)变为24个字节。
并且变化后80属性由原来的非常驻,变为了常驻性质,并且没有了簇流,这时文件如何定位?也就是在ntfs文件系统下恢复删除带有碎片的文件如何定位?(shift+delete删除的)期待大家的回答。 期待高手解决 ohh what happens then ? 回复 1# 笨菜鸟
多试几次呗,换不同的系统看看是不是都是这样的情况。至少我这里不是,如果说碎片极多,族流很长超出mft长度的话,也许会重写,目前没遇到过这种情况。族流没了的话,就像FAT32删除那样,高位被清除了,在加上文件有碎片,就需要很依靠文件结构来判断了,不过这里面也不是那么简单的事,这种方法就算知道也不会告诉你,属于商业秘密吧,别人还要靠这吃饭呢。
其实机械硬盘的碎片重组在技术上已经比较成熟了,当然了,也要看碎片的程度,不能绝对的说任何情况100%都能恢复。现在最牛逼的应该是固态硬盘的文件重组技术,是在硬盘损坏的情况下,虽然在底层有一个对用户透明的映射表,因为固态硬盘的原理是文件分割成很多块向不同的闪存上写,所以这个就非常难说了,上次参观的Kroll Ontrack公司,他们的技术部经理说他们正在研究这个,遇到了一些困难。 有碎片。。特殊情况特殊对待。。。。。。。 期待高手解决 路过 看看高手有何见解 回复 4# junyi_de
中国人跟外国人比就是缺少共享精神,人家linux系统源码都随便看。 回复 8# 笨菜鸟
linux本来就是开源的,本来就能随便看,当初开发linux的时候就是要求公开源代码。可是我说的那些不可能开源的,别人的技术怎么可能随随便便给你,你看google把他的搜索算法公开了吗?这种是商业机密,不是说外国人的共享精神就很高尚,涉及到核心技术的东西,别人会把辛辛苦苦研究的成果白白送你?你以为现在是共产主义吗。
就数据恢复来说,与其说共享精神,国内现在还能买到这种关于数据恢复的书,比如你看的“数据重现”,里面把各个文件系统的结构都详细告诉你了,你只要花几十块钱就能买到自学了。你知道winhex公司有关于这方面的培训,光培训个文件系统2天时间就要1000美元,这些东西就是你看的书上写的。你有什么想法啊。
年轻人,不要太愤青了。中国人真正缺的不是共享,是创造和研究精神,在很多行业一直没有自己的核心技术,都是靠仿造,我在国外深有体会。宝马公司的发动机很牛逼,中国的一些汽车厂商就买回来自己拆了研究里面构造,完全一比一仿制,但是造出来的性能就是没有原装的好,为什么,材料啊!!那些零件和气缸的材料配方是保密的,里面有什么元素就算你能测出来,但你不知道生产的过程啊,不可能造出一模一样的啊。所以材料学现在在各行业很吃香啊。中国人想花钱买,德国人不给你,你能怎样么,别人也不是傻子。再者,大众公司,20多年前给了中国桑塔纳的技术,你看现在那车在性能和油耗上还是很好,不过后来别人不给你最新技术了,中国拿到的技术都是德国这边淘汰的,涉及到商业秘密,外国人比猴还精。
我在这里不是说中国的不好,是我切身体会,中国人喜欢走捷径,所以光靠仿制是不行的,还是要有核心的技术在手里,这才是赚钱的地方。
页:
[1]
2