Файловый архив студентов. Файловый архив студентов.
1309 вузов, 5229 предметов.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Московский государственный университет им. М.В. Ломоносова
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Дипломна Вови.docx
Скачиваний:
0
Добавлен:
01.07.2025
Размер:
2.83 Mб
Скачать
►Содержание►

1.3.6 Відновлення службової інформації в mft

Таблиця MFT є метафайл з ім'ям $ MFT, в якому зберігаються записи з атрибутами інших метафайлов і записи з атрибутами файлів користувача. Для розділів обсягом у кілька гігабайт і при великій кількості файлів даних розміри MFT можуть досягати десятків мегабайт. При цьому межа MFT може змінюватися динамічно в залежності від обсягу записаних на диск даних і наявності вільного простору. Крім того, кожен файл в NTFS може мати власний набір атрибутів, деякі з них задаються самим користувачем.

Все це істотно ускладнює аналіз і відновлення MFT на рівні окремих записів. Проте, в разі пошкодження MFT ви можете спробувати відновити записи, які стосуються метафайли, а потім доручити відновлення файлів і папок одним з програмних інструментів, розглянутих раніше.

1.3.7 Пошук таблиці mft

Номер першого кластера таблиці MFT міститься в поле Clusters to MFT завантажувального сектора. Якщо вам вдалося його відновити, то за допомогою утиліти Перегляд секторів можна перейти на цей кластер і перевірити коректність записів, що відносяться до метафайли.

Для переходу по номеру кластера виконайте наступні дії.

1. Відкрийте перший (завантажувальний) сектор диска.

2. У розділі Абсолютний сектор, в поле Наберіть вираз для оцінки введіть формулу для обчислення номера першого сектора MFT: <N кластера> * <Sectors per Cluster>, де <N кластера> - це шістнадцяткове значення номера першого кластера MFT, a <Sectors per Cluster> - це розмір кластера, записаний в поле Sectors per Cluster (наприклад: 40000х 8, рис. 21)

3.Нажміте клавішу Enter. Характерні ознаки «справної» MFT:

  • кожен запис починається зі слова FILE0, розміщеного в перших п'яти байтах сектора;

  • для більшості записів метафайлов в байтах зі зміщенням F2h зберігається ім'я метафайла, яке завжди починається з символу $;

  • перший запис описує сам метафайл $ MFT.

Рисунок 1.12 – Пошук першого сектора MFT за допомогою утиліти Перегляд секторів

Послідовність розміщення записів інших метафайлов приведена в таблиця 1.2.

Таблиця 1.2 – Послідовність розміщення записів метафайлов в файлі $ MFT

Номер запису

Ім’я метафайла

Пояснення

0х0

$MFT

Таблиця MFT

0х1

$MFTMirr

Копія таблиці MFT

0х2

$LogFile

Журнал транзакцій

0х3

$Volume

Інформація про логічний диск

0х4

$AttrDef

Список атрибутів, використаних в файловій системі

0х5

$

Кореневий каталог файлової системи

0х6

$Bitmap

Схема розподілення кластерів

0х7

$Boot

Завантажувальний сектор розділа NTFS

0х8

$BadClus

Список поганих кластерів розділа

0х9

$Secure

База даних атрибутів безпеки

0хА

$UpCase

Список символів верхнього регістра в кодуванні Unicode

0хВ

$Extend

Файли додаткових відомостей

Далі у файлі $ MFT йдуть записи з інформацією про всі інші файли і каталоги.

У тому випадку, якщо поле Clusters to MFT завантажувального сектора пошкоджено або перехід по номеру кластера привів «невідомо куди», можна спробувати довірити пошук MFT самої утиліти Перегляд секторів.

Для цього клацніть на кнопці Перейти і в меню (рис. 22) виберіть команду NTFS ► MFT. Зверніть увагу, що тут же вказано номер сектора (щодо початку розділу), з якого починається MFT.

Рисунок 1.13 – Пошук таблиці MFT за допомогою утиліти Перегляд секторів

Якщо і цей прийом не дасть результату, залишається останній вихід: повернутися до роботи з програмою Norton Disk Editor і спробувати знайти таблицю MFT за допомогою повнотекстового пошуку по розділу. Як ключ пошуку можна використовувати ім'я метафайла - $ MFT. Однак при цьому слід враховувати, що імена файлів в NTFS представлені в двобайтового кодуванні UNICODE, a Norton Disk Editor працює з однобайтового кодом ASCII. Якщо основна таблиця MFT пошкоджена, слід перевірити стан її копії. Нагадаємо, що в NTFS не передбачено створення повної копії MFT. Скорочена копія, MFT Mirror, містить лише перші чотири записи з основної таблиці, що відносяться до метафайли $ MFT, $ MFTMirr, $ LogFile і $ Volume. Нагадаємо також, що копія MFT в версії NTFS для Windows ХР завжди розташована в середині розділу. Тому якщо в завантажувальному записі адреса її початку відсутня, нескладно його обчислити виходячи з числа секторів розділу. Можна також спробувати перейти до сектору з копією MFT за допомогою утиліти Перегляд секторів, скориставшись командою NTFS ► MFT дзеркальний з меню Перейти.

Якщо копія вціліла, необхідно відшукати її останній сектор і потім перенести вміст «дзеркала» в відповідні сектори, відведені під основну MFT.

За допомогою утиліти Перегляд секторів ця операція виконується таким же чином, як і перенесення копії завантажувального сектора.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности