|
PC-3000数据提取程序(Data Extractor)。NTFS分区手动扩展
有很多情况下,允许读取用户数据,但它很慢或驱动器有一个损坏的表面在用户区开始,作为结果无法扩展用户分区或需要大量的时间。 但是,如果客户现在需要他的数据,或者我们有驱动器操作的时间限制,因为它会损坏磁头/表面,如何处理这种情况… 在这篇文章中,我们将讨论这个问题以及可能的解决方案。 例如,我们在数据提取程序(Data Extractor)工具中创建了一个新任务,在开始时看到了很多问题扇区,DE无法识别NTFS分区。
基本上,如果驱动器没有物理问题,分区无法打开,我们可以启动快速磁盘分析选项或RAW恢复过程,并找到一个分区。 但如果驱动器表面有划痕,我们有时间限制,应该快速执行步骤。唯一的方法是尝试手动扩展分区。
在这篇文章中,我们将讨论一个NTFS分区的驱动器。 如果我们知道驱动器上只有1个NTFS分区,我们可以尝试通过RAW恢复或GREP签名找到NTFS引导文件。
在用户区域的结尾有一个引导副本,也可以用于建立虚拟分区。 但如果快速磁盘分析失败,并且我们没有引导和引导拷贝(扇区没有读取),那么我们可以尝试基于MFT表扩展分区。 MFT表(主文件表)是描述分区中所有用户文件的主文件。 首先16条记录是系统记录,它们不可用于操作系统,称为元数据。这些首先16条记录具有固定的LBA地址。 因此,我们首先需要在RAW恢复或GREP中找到MFT表的第一个记录。 如果驱动器有读取中问题,那么我们可以使用我们的知识。 对于驱动器上的首先NTFS分区,引导可以在LBA 63或LBA 2048(90%的情况),正如我们在上面看到的,首先MFT表具有首先记录的固定LBA,因此: 在LBA 63启动–MFT表从6291519 LBA开始 在LBA 2048启动–MFT表从6293504 LBA(6291519+(2048–63))开始 如何确定我们找到了MFT表的首先记录它在主体$中具有已知签名。0x0F0偏移处的M.F.T:
找到这个记录后,我们可以尝试扩展NTFS分区。让我们添加一个虚拟NTFS分区:
这里需要设置几个值:
初始LBA–预计为NTFS引导扇区的LBA(63或2048)。 最后一个LBA——它是最后一个分区扇区。假设我们在整个用户区域上只有一个分区,然后设置最后一个扇区值。 集群大小——正如我们所知,驱动器按集群写入数据(基本上是8)。 然后我们得到这个窗口:
我们应该填写三个字段“总扇区,MFT_Mirr_Cluster和MFT_Cluster。 扇区总数–设置最后一个LBA值 MFT_Mirr_Cluster–这是首先4条MFT记录的副本–设置任何值(但不是零) MFT_Cluster–这是集群(而不是LBA)中首先MFT记录的值。 因此,我们知道首先MFT记录LBA是6293504减去2048引导LBA,除以簇大小8=786432首先MFT记录簇 换句话说: 在2048 LBA=(6293504–2048)/8中启动分区的首先MFT记录群集 在63 LBA=(6293504–63)/8中启动分区的首先MFT记录群集 因此,我们得到了一个虚拟NTFS分区,并可以执行不同的研究过程,如建立MFT数据位图,执行分区分析等。 在当前案例中,我们得到了一个包含所有文件和文件夹的完整分区结构。
注意:我们已经创建了一个虚拟分区。驱动器上未写任何内容。 在NTFS卷创建的非标准方法(通过虚拟机图片、嵌入式设备、dvr设备等)的情况下,本指南可能无法操作。 | 
发表于 2024-6-24 14:55:55
收藏