NTFS文件系统扇区存储探秘

图书目录:

目　录

基础篇

第 1章　FAT文件系统的数据结构　2

1.1　主引导记录　2

1.2　主分区表　6

1.3　分区引导记录　7

1.3.1　FAT16文件系统的BPB表　8

1.3.2　FAT32文件系统的BPB表　9

1.4　文件分配表FAT　11

1.4.1　扇区分簇管理　11

1.4.2　簇链和文件检索过程　12

1.4.3　FAT表扇区寻址　13

1.5　文件目录表FDT　13

1.6　数据区DATA　14

第 2章　FAT文件系统的扇区分配　15

2.1　FAT16的扇区分配　15

2.2　FAT16扇区寻址实例分析　16

2.3　FAT32的扇区分配　21

2.4　FAT32扇区寻址实例分析　22

第3章　NTFS文件系统　27

3.1　NTFS的磁盘管理功能　28

3.2　NTFS的Unicode编码格式　28

3.3　NTFS的扇区分配　30

3.4　NTFS的系统引导特性　31

3.5　NTFS的文件表结构　34

3.6　NTFS的文件存储特性　41

3.6.1　NTFS的驻留属性　41

3.6.2　NTFS的非驻留属性　43

3.7　NTFS的数据压缩特性　45

3.8　NTFS的EFS加密特性　47

3.9　小结　50

工具篇

第4章　WIN32程序　52

4.1　读硬盘扇区数据程序　53

4.2　写硬盘扇区数据程序　57

4.3　监视0磁道变化程序　60

4.4　查看硬盘扇区数据程序　64

4.5　连续扇区清零程序　67

4.6　查找硬盘扇区特征程序　69

4.6.1　NTFS文件系统扇区特征介绍　69

4.6.2　工具程序的使用方法　79

4.7　查找汉字文件名程序　81

4.8　读扇区拷贝文件程序　83

4.9　剪切文件程序　85

4.10　备份系统扇区数据程序　87

4.11　查看扇区文件数据程序　88

4.12　文件字节比较程序　90

4.13　修改扇区文件数据程序　92

4.14　数制转换程序　96

4.15　监测扇区数据变化程序　98

4.16　即时修改扇区数据程序　101

4.17　拷贝文件数据块程序　105

4.18　查找扇区字段值程序　109

4.19　写隐藏文件数据程序　111

4.20　备份宽字符文件名程序　113

4.21　提取文件扇区数据程序　116

第5章　16位程序　119

5.1　读扇区文件程序READSF.EXE　119

5.2　修改文件字节值程序SEDIT.EXE　121

5.3　文件块拷贝程序SBLOCK.EXE　123

5.4　剪切文件程序CUTFILE.EXE　127

5.5　文件字节比较程序COMPSF.EXE　128

探秘篇

第6章　改变NTFS逻辑盘的ID属性　132

第7章　查找每簇扇区数的字段记录　138

第8章　查找标记MFT地址的字段记录　150

第9章　查找标记MFT镜像地址的字段记录　160

第 10章　读物理硬盘恢复一个run的文件数据　170

10.1　实验演示前的准备工作　171

10.2　查找MFT文件表　173

10.3　查找并计算MFT表中的字段记录　176

10.4　读硬盘物理扇区恢复文件数据　181

第 11章　读物理硬盘恢复多个run的文件数据　185

11.1　查找第 1个run　185

11.2　查找第 2个run　193

11.3　查找第3个run　195

11.4　读取硬盘物理扇区恢复文件数据　197

第 12章　读物理硬盘恢复误删除文件　201

第 13章　读物理硬盘恢复格式化逻辑盘文件　210

第 14章　修改Bitmap扇区实现文件隐藏　217

14.1　隐藏文件前的准备工作　218

14.1.1　将逻辑盘的扇区清零　218

14.1.2　格式化逻辑盘　220

14.2　隐藏文件的可行性试验　220

14.2.1　查找位图文件的MFT记录　221

14.2.2　确定位图文件数据区地址　223

14.2.3　修改位图文件的扇区数据　225

14.2.4　文件系统对修改数据的反应　230

14.3　位图与扇区地址的对应关系　231

14.3.1　提取位图文件数据区的扇区特征　231

14.3.2　确定试验文件数据的存储地址　233

14.3.3　查找位图数据被修改的字节位　237

14.3.4　推导通用的计算公式　241

14.4　隐藏文件实例演示　243

第 15章　恢复EFS加密文件　250

15.1　准备实验用的文件和数据　250

15.1.1　查找文件的MFT记录　251

15.1.2　分析MFT记录的字段值　254

15.2　观察EFS加密后的数据变化　257

15.2.1　对文件进行EFS加密　257

15.2.2　比较加密前后的MFT记录　258

15.3　读物理扇区备份密文数据和FEK记录　262

15.3.1　备份密文数据　262

15.3.2　备份FEK密钥记录　268

15.4　导出用户对FEK进行加密的私钥　270

15.4.1　在IE浏览器中导出　270

15.4.2　在控制面板中导出　274

15.5　移植密文数据和FEK到另一块硬盘　274

15.5.1　复制密文数据文件并查找MFT　277

15.5.2　移植FEK密钥　280

15.6　移植MFT记录让系统承认加密文件　286

15.7　导入原用户的EFS加密私钥　292

15.8　实际操作中的几个系统数据问题　296

15.8.1　每簇包含的扇区数　296

15.8.2　逻辑盘的起始扇区号　298

15.8.3　如何取得文件全名　301

15.8.4　如何取得含有汉字的文件名　302

第 16章　解读压缩文件MFT的数据属性　306

16.1　设置演示操作的磁盘环境　306

16.2　确定位图文件数据存储地址　309

16.2.1　查找位图文件的MFT记录　309

16.2.2　确定位图文件数据区地址　311

16.3　设置演示操作的文件实例　313

16.3.1　查找实验文件的MFT记录　313

16.3.2　备份位图文件的扇区存储现场　315

16.4　保存位图文件数据的扇区特征　317

16.5　压缩文件并备份MFT记录　318

16.6　检测并备份压缩后的位图扇区数据　321

16.7　备份压缩后变化的位图扇区数据　324

16.8　提取压缩前的位图扇区数据　326

16.9　解读压缩文件的MFT数据属性　327

16.9.1　数据压缩前后在存储地址上的变化情况　329

16.9.2　计算系统分配给压缩数据的逻辑簇号　331

16.10　读扇区备份压缩文件数据　333

第 17章　移植压缩数据恢复压缩文件　335

17.1　制造模板文件　336

17.2　查找模板文件压缩后的MFT记录　338

17.3　计算数据属性中的扇区地址　340

17.4　写入压缩数据　342