NTFS的DBR新手可以看看啊

茧破，蝶成。 · 发表于 2013-12-5 20:22:24

NTFS分区的DBR参数

NTFS分区的DBR参数和FAT16/32分区的DBR参数不同，NTFS文件系统也不依赖FAT和FDT来管理分区中的文件，而是通过元文件来管理整个分区。从文件系统结构来看，NTFS远比FAT要复杂，但对于DBR的恢复，NTFS系统反而更容易。NTFS分区一般在分区的最后一个扇区对DBR进行了备份，因此，只要将备份DBR复制到DBR扇区即可。

NTFS分区的DBR与FAT分区的DBR不同，其结构相对来说要简单一些，需要恢复的内容也不是太多。下面按顺序进行分析。
　　①  0D：每簇扇区数。需要修改。对此项的修改，一般参照微软默认设置进行即可。微软系统在格式化NTFS分区时对该项的默认设置。
　　②  1C～1F：隐含扇区。可从分区表计算。

③  28～2F：扇区总数。可从分区表计算。
　　④  30～37：$MFT的位置(逻辑簇号)。需要修改。可以通过查找$MFT的特征字符来定位该文件所处的位置，其起始的4个字节一定是46 49 4C 45，即FILE的ASCII码，按字符串或按十六进制值查找均可，找到之后记录下起始扇区号，换算成簇号(即除以每簇扇区数)填入相应位置即可。

⑤  38～3F：$MFTMirr位置的(逻辑簇号)。需要修改。$MFTMirr位置的确定和$MFT位置的确定应当同时进行，即查找特征字节“FILE”的时候会找到两个区域，其中大的是$MFT，小的是$MFTMirr。常见的情况是$MFT在前，$MFTMirr在后，但也不绝对。
　　⑥  40：每个MFT文件记录的簇数(如果是负数，就表示2扇区)。需要修改。找到$MFT后，相邻两个$MFT记录(根据头部“FILE”确定)之间的扇区数根据簇大小换算成簇数就是一个MFT记录占用的簇数。

⑦  44：每个索引块(索引缓冲区)的簇数(如果是负数，就表示2扇区)。需要修改。两个索引之间的扇区数按簇大小换算成簇数就是每个索引所占用的簇数。索引的特征字节为49 4E 44 58，即INDX的ASCII码，如图3-15所示。
　　因为NTFS会对DBR进行备份，且一般情况下两个DBR同时遭到破坏的概率极小(除非有意地同时破坏)，所以NTFS分区的DBR恢复相对容易，问题转换成如何去定位分区的尾部。分区的定位问题和分区的恢复是一样的。另外，还有一些其他的工具软件也能够完成分区的定位。