NTFS文件系统扇区存储探秘PDF电子书下载

基础篇 2

第1章FAT文件系统的数据结构 2

1.1主引导记录 2

1.2主分区表 6

1.3分区引导记录 7

1.3.1 FAT16文件系统的BPB表 8

1.3.2 FAT32文件系统的 BPB表 9

1.4文件分配表FAT 11

1.4.1扇区分簇管理 11

1.4.2簇链和文件检索过程 12

1.4.3 FAT表扇区寻址 13

1.5文件目录表FDT 13

1.6数据区DATA 14

第2章FAT文件系统的扇区分配 15

2.1 FAT 16的扇区分配 15

2.2 FAT 16扇区寻址实例分析 16

2.3 FAT32的扇区分配 21

2.4 FAT32扇区寻址实例分析 22

第3章NTFS文件系统 27

3.1 NTFS的磁盘管理功能 28

3.2NTFS的Unicode编码格式 28

3.3 NTFS的扇区分配 30

3.4 NTFS的系统引导特性 31

3.5 NTFS的文件表结构 34

3.6 NTFS的文件存储特性 41

3.6.1 NTFS的驻留属性 41

3.6.2 NTFS的非驻留属性 43

3.7 NTFS的数据压缩特性 45

3.8NTFS的EFS加密特性 47

3.9小结 50

工具篇 52

第4章WIN32程序 52

4.1读硬盘扇区数据程序 53

4.2写硬盘扇区数据程序 57

4.3监视0磁道变化程序 60

4.4查看硬盘扇区数据程序 64

4.5连续扇区清零程序 67

4.6查找硬盘扇区特征程序 69

4.6.1 NTFS文件系统扇区特征介绍 69

4.6.2工具程序的使用方法 79

4.7查找汉字文件名程序 81

4.8读扇区拷贝文件程序 83

4.9剪切文件程序 85

4.10备份系统扇区数据程序 87

4.11查看扇区文件数据程序 88

4.12文件字节比较程序 90

4.13修改扇区文件数据程序 92

4.14数制转换程序 96

4.15监测扇区数据变化程序 98

4.16即时修改扇区数据程序 101

4.17拷贝文件数据块程序 105

4.18查找扇区字段值程序 109

4.19写隐藏文件数据程序 111

4.20备份宽字符文件名程序 113

4.21提取文件扇区数据程序 116

第5章16位程序 119

5.1读扇区文件程序READSF.EXE 119

5.2修改文件字节值程序SEDIT.EXE 121

5.3文件块拷贝程序SBLOCK.EXE 123

5.4剪切文件程序CUTFILE.EXE 127

5.5文件字节比较程序COMPSF.EXE 128

探秘篇 132

第6章 改变NTFS逻辑盘的ID属性 132

第7章 查找每簇扇区数的字段记录 138

第8章 查找标记MFT地址的字段记录 150

第9章 查找标记MFT镜像地址的字段记录 160

第10章 读物理硬盘恢复一个run的文件数据 170

10.1实验演示前的准备工作 171

10.2查找MFT文件表 173

10.3查找并计算MFT表中的字段记录 176

10.4读硬盘物理扇区恢复文件数据 181

第11章 读物理硬盘恢复多个run的文件数据 185

11.1查找第1个run 185

11.2查找第2个run 193

11.3查找第3个run 195

11.4读取硬盘物理扇区恢复文件数据 197

第12章 读物理硬盘恢复误删除文件 201

第13章 读物理硬盘恢复格式化逻辑盘文件 210

第14章 修改Bitmap扇区实现文件隐藏 217

14.1隐藏文件前的准备工作 218

14.1.1将逻辑盘的扇区清零 218

14.1.2格式化逻辑盘 220

14.2隐藏文件的可行性试验 220

14.2.1查找位图文件的MET记录 221

14.2.2确定位图文件数据区地址 223

14.2.3修改位图文件的扇区数据 225

14.2.4文件系统对修改数据的反应 230

14.3位图与扇区地址的对应关系 231

14.3.1提取位图文件数据区的扇区特征 231

14.3.2确定试验文件数据的存储地址 233

14.3.3查找位图数据被修改的字节位 237

14.3.4推导通用的计算公式 241

14.4隐藏文件实例演示 243

第15章 恢复EFS加密文件 250

15.1准备实验用的文件和数据 250

15.1.1查找文件的MFT记录 251

15.1.2分析MFT记录的字段值 254

15.2观察EFS加密后的数据变化 257

15.2.1对文件进行EFS加密 257

15.2.2比较加密前后的MFT记录 258

15.3读物理扇区备份密文数据和FEK记录 262

15.3.1备份密文数据 262

15.3.2备份FEK密钥记录 268

15.4导出用户对FEK进行加密的私钥 270

15.4.1在IE浏览器中导出 270

15.4.2在控制面板中导出 274

15.5移植密文数据和FEK到另一块硬盘 274

15.5.1复制密文数据文件并查找MET 277

15.5.2移植FEK密钥 280

15.6移植MFT记录让系统承认加密文件 286

15.7导入原用户的EFS加密私钥 292

15.8实际操作中的几个系统数据问题 296

15.8.1每簇包含的扇区数 296

15.8.2逻辑盘的起始扇区号 298

15.8.3如何取得文件全名 301

15.8.4如何取得含有汉字的文件名 302

第16章 解读压缩文件MFT的数据属性 306

16.1设置演示操作的磁盘环境 306

16.2确定位图文件数据存储地址 309

16.2.1查找位图文件的MFT记录 309

16.2.2确定位图文件数据区地址 311

16.3设置演示操作的文件实例 313

16.3.1查找实验文件的MFT记录 313

16.3.2备份位图文件的扇区存储现场 315

16.4保存位图文件数据的扇区特征 317

16.5压缩文件并备份MFT记录 318

16.6检测并备份压缩后的位图扇区数据 321

16.7备份压缩后变化的位图扇区数据 324

16.8提取压缩前的位图扇区数据 326

16.9解读压缩文件的MFT数据属性 327

16.9.1数据压缩前后在存储地址上的变化情况 329

16.9.2计算系统分配给压缩数据的逻辑簇号 331

16.10读扇区备份压缩文件数据 333

第17章 移植压缩数据恢复压缩文件 335

17.1制造模板文件 336

17.2查找模板文件压缩后的MFT记录 338

17.3计算数据属性中的扇区地址 340

17.4写入压缩数据 342