https://bolg.xs357.com/content/uploadfile/202311/8c781701060417.rar...

NTFS： 总结构： MBR   DBR   $MFTmirr   $MFT   DBR备份   重点就是DBR中的BPB部分，这是重建DBR必须回填的数据   偏移 解释 备注 00-02 跳转指令 固定EB5290 0B-0C 每扇区字节数 固定0002 0D 蔟大小 大部分为08 1C-1F 起始扇区 分区开始的位置也就是DBR 28-2B 扇区总数 也就是容量 30-33 $MFT起始簇号 DBR向下第16扇区中的$MFT中80属性簇流描述中有记录 FE-FF 结束标志 固定55AA（极其重要）   DBR重建BPB部分的回填： 簇大小：大部分为08、 容量：可通过DBR向下找到的$MFTmirr中$MFT起始簇号跳转至$Bitmap，通过有数据的倒数第二行计算容量（$Bitmap起始=$MFT起始簇号✖簇大小+起始扇区+12） 重建$MFT:①通过格式化（要与原分区容量一样大） ②找到最后一个$MFT项查看2C-2F目录项号。   用最后一个$MFT项起始位置-2*2C-2F目录项号得到原$MFT的起始位置，复制一个好的$MFT至$MFT起始位置。    需要回填：   偏移（80属性相对偏移） 解释 备注 10-17 $MFT起始项 固定为0 18-1F $MFT结束项 ☆要记得-1 28-2F   30-37   38-3F $MFT项总字节数 三个偏移结果相同   ☆最后一个$MFT项的2C-2F目录项号*2/8=$MFT项的大小。   短流记录（80属性向下第五行）怎么看：   例子：32  80  62  00  00  0C   第一字节32  前一位描述的是起始簇号所占的字节数，后一位描述的是$MFT项的大小   即起始簇号为 00 00 0C    $MFT项的大小为 80 62   ★其中的文件目录项的短流看法相同 MFT的跳转指令：46 49 4C 45 如果知道文件的后缀名时，可直接在bitmap后面查找文本直接搜索后缀名（要用Unicodec查询）即可看到文件记录项。 文件记录项： 找到文件记录项看30属性可知道该文件记录的文件名，再看80属性（该属性为该文件记录的数据） 文件起始扇区=文件起始簇号✖簇大小+分区起始（DBR）       通过30属性可知该文件记录记录的是11.doc 深蓝：文件大小（字节数）在短流前十六字节（共八字节） 黑色：一个描述 橙色：$MFT项的大小 红色：文件起始簇号 绿色：结束   容量计算：   跳转至$Bitmap簇位图的80属性描述的大小（倒数第二行数据）乘以64   跳转至$BadClus坏簇文件的簇流运行的$MFT项大小再加上一后，乘以簇大小可得到大概的容量值   跳转至$Bitmap簇位图的数据，以最后一个00 80结束，所选中的字节乘以8得到该分区有多少个簇，再乘以簇大小可以得到容量   （由于簇位图一个字节描述的是八个簇的记录，所以先将大小乘8得到该分区有多少个簇，然后再乘以簇大小就可以得到大概的容量）     文件夹快速恢复（文件夹的开头标志为49 4E 44 58） $RECYCLE.BIN这是单个盘符回收站。(直接打开ntfs的目录，可在里面看见$RECYCLE.BIN，里面就是文件夹。)  ...

FAT32： 总结构：   MBR   DBR   备份   FAT表1   FAT表2   数据区   DBR重要偏移描述：   偏移 解释 备注 00-02 跳转指令 固定EB5890 0B-0C 每扇区字节数 固定0002 0D 簇大小 具体算法☆ 0E-0F DBR保留扇区 具体算法★ 10 FAT表个数 固定为02 1C-1F 起始扇区 DBR 20-23 扇区总数 容量○ 24-27 FAT表大小 具体算法● FE-FF 结束标志 固定55AA     重建FAT32的DBR：从其他分区复制一个完好的FAT32的DBR   ①☆簇大小={（扇区总数-2✖FAT表大小-DBR保留扇区）/512}✖4   ②★DBR保留扇区=FAT表1起始-DBR（向下搜索F8FFFF0F找到FAT表1的起始）   ③●FAT表大小=FAT表2起始-FAT表1起始（再次向下搜索F8FFFF0F找到FAT表2起始）   ④○容量=DBR下一扇区的E8-EC的数据✖簇大小（得到的是大概值，向上下搜索!00即可）   根目录重要偏移描述：   相对偏移 解释 备注 00-07 文件名 没用到的为20 08-0A 扩展名   0B-0B 文件属性   14-15 文件起始簇号 高位 1A-1B 文件起始簇号 低位 1C-1F 文件大小 字节数 文件属性解析：   00000000（读/写）、00000001（只读）、00000010（隐藏）、00000100（系统）、00001000（卷标）、00010000（子目录）、00100000（存档）   下图为根目录的某个文件描述结构图：       手工提取文件：   找到根目录：固定在2号簇   根目录起始扇区=FAT表大小✖2+DBR保留扇区+DBR起始扇区   根目录中每32字节描述一个文件记录，记录中相对偏移14-15为文件起始 簇号的高位，1A-1B为文件起始簇号的低位，偏移1C-1F为文件大小（字节数）。   例子：       所以该文件为1.doc，起始簇号为00 00 00 0C（高位从右往左读，低位一样） 文件大小为00 26 00 00（16进制字节数） 文件起始位置=（文件起始簇号-2）✖簇大小+DBR+根目录起始扇区   如何 在没有FAT表的情况下提取碎片：   首先看DOC文件头的最后一个扇区分配表，然后所得的值MOD 128（一个配置表可以记录128个扇区），再乘以4后，向下搜索FDFFFFFF，且偏移为512=取余后乘以4的值。    ...

exFAT： 总结构： DBR   DBR保留扇区 FAT 簇位图文件 大写转换表 用户文件数据区 注释：DBR向下12个扇区为DBR的备份。 BPB部分参数偏移描述： 偏移 解释 备注 00-02 跳转指令 固定EB 76 90 40-47 起始   48-4F 容量*   50-53 FAT表起始扇区号 ①   54-57 FAT扇区数（FAT表大小）②   58-5B 首簇起始扇区号③ 数据区的开始（DBR到BITMAP的大小） 5C-5F 分区总簇数④   60-63 根目录首簇号⑤ 一般为4 6C-6C 扇区字节数 固定512（29） 6D-6D 簇大小⑥ 描述n（xn）   DBR：     主要需要回填的：   容量*：根目录中的81属性中的相对偏移18-1F乘以8再乘以簇大小可得到大概的容量值（   理解为：81属性记录的是簇位图的数据，相对偏移18-1F描述的是该簇位图的大小｛字节数｝，由于簇位图一个字节描述的是八个簇的记录，所以先将大小乘8得到该分区有多少个簇，然后再乘以簇大小就可以得到大概的容量）   偏移50-53 ①FAT表起始扇区号（向下搜索F8FFFFFF）   偏移54-57 ②FAT表大小（③数据区起始扇区号-①FAT表起始扇区号）   偏移58-5B ③首簇起始扇区号/簇位图（数据区起始扇区号）（计算：⑦大写转           换表-⑥簇大小-DBR起始）（所在簇号：2号簇）   偏移5C-5F ④卷内总簇数[分区总簇数]（计算：（容量-③数据区起始扇区号）/         簇大小）   偏移60-63 ⑤根目录首簇号（一般为4，但不是固定值）   偏移6D-6D ⑥簇大小（每簇扇区数）（计算：⑧根目录起始扇区号-⑦大写转换          表）             ⑦大写转换表（向下搜索00000100）（所在簇号：3号簇）             ⑧根目录起始扇区号（向下搜索83——81——82）（所在簇号：4号           簇）   根目录：③首簇起始扇区号+（⑤根目录首簇号-2）*⑥簇大小   根目录：       黑色：根目录文件记录的三个属性。 红色：C0属性中的相对偏移08-0F为文件大小（字节数），14-17为文件起始簇号。 蓝色：C1属性中的文件名。...

...

电脑NTFS硬盘格式化后数据恢复教程，如果你无法看到该视频,那么可能你的电脑不支持该文件格式。...

U盘文件删除并清空数据恢复教程，如果你无法看到该视频,那么可能你的电脑不支持该文件格式。...

文件误删除并清空数据恢复视频教程 文件勿删除并清空数据恢复视频教程，如果你无法看到该视频,那么可能你的电脑不支持该文件格式。...

如果你无法看到该视频,那么可能你的电脑不支持该文件格式。...

EBR(Extended Boot Record)即扩展分区引导记录.类似于主引导记录MBR.因为MBR的四条分区信息的限制,可以使用EBR方便扩展. 它的结构与MBR类似于,但是没有引导程序和磁盘签名,仅仅保留了分区表和结束标志. 下面以实例分析: 　　新建一个512MB虚拟磁盘,进行分区,如下图: 　　依次来看一下分区表: MBR截图: 图中黄色部分表示第一个分区的分区表项,也就是盘符I.这不是一个活动分区,它的分区类型为0BH(即:FAT32),起始扇区为:00 00 00 80H(即:128),总扇区数为:00 03 20 00H(即:204,800). 图中橙色部分表示第二个分区表项,它的分区类型为05H(即:扩展分区),它的起始扇区为:00 03 28 00H(即:206,848),总扇区数为:00 0C D8 00H(即:841,728). 同时第一个分区表项的总长度(00 03 20 00H),加上第二个分区表项的总长度(00 0C D8 00H),再加上第一个分区表项前面预留的部分(00 00 00 08H)正好为512MB. 跳转到EBR1,也就是206,848扇区,截图如下: EBR中没有引导程序和磁盘签名,EBR1中第一个分区表项如黄色标出,分区类型为:0BH(即:FAT32),它的起始位置为:00 00 00 3FH(即:63),这个值是相对于206,848也就是当前扇区的,总扇区数为:00 03 1F C1H(即:204,737).206848+63=206911,我们跳转到这个扇区,找到了这个分区: EBR1中第二个分区表项已使用橙色标出,它的起始扇区为:00 03 20 00H(即:204,800),这个值也是相对于当前扇区(EBR1所在扇区)的,总扇区数为:00 03 20 00H(即:204,800),也就是204,848*512/2^20=100MB. 跳转到206848+204800=411648扇区找到了EBR2. EBR2(扇区411,648)分区表部分截图: EBR2中第一个分区表型的分区类型为:06H(即:FAT16),起始扇区为:00 00 08 00H(2048),这个值是相对于当前扇区也就是411,648扇区的,总扇区数为:00 03 18 00H(203,752). 第二个分区表项的分区类型为:05H(即:Extended),起始扇区为:00 06 40 00H(409,600),这个值是相对于EBR1的起始扇区204,848的,而不是相对于当前扇区的. 第一分区表项总长度(202,752)+第一个分区前预保留的扇区数(2048)=EBR1中第二个分区表项的长度(204,800) 跳转到206848+409600=616448扇区,就看到了EBR3: 其中的第一个分区的起始扇区也是相对于当前扇区的,第二个分区表项的起始位置是相对于EBR1的起始扇区的. EBR3第一个分区的前面保留扇区数(2048)+EBR3第一个分区的长度(202,752)=EBR2分区表第二项的总长度(204,800) 第二个分区表项的起始扇区为:00 09 60 00H(614,400),总扇区数为:00 01 90 00H(102,400) 这样根据206848+614400=821248便找到了EBR4: EBR4的第二个分布表项的起始扇区为:00 0A F0 00H(716800),总扇区数为:00 01 E8 00H(124928). EBR4第一个分区的前面保留扇区数(2048)+EBR4第一个分区的长度(100352)=EBR3分区表第二项的总长度(102,400). 同理,可以找大EBR5的起始扇区:206848+716800=923648,截图如下: EBR5第一个分区的前面保留扇区数(2048)+EBR5第一个分区的长度(122880)=EBR3分区表第二项的总长度(124,928). 总结: MBR中扇区的起始位置都是相对于0偏移的. EBR中第一个分区表项的表示的为逻辑磁盘时,起始位置都是相对于当前的扇区的(也就是EBR所在的扇区). EBRi 中的分区表项表示下一个扩展分区时,它的起始位置都是相对于EBR1的. EBRi+1中的扇区总数=EBRi中指向EBRi+1的分区表项的总扇区数. ...