《NTFS文件系统扇区存储探秘》工具软件包

编辑推荐

彦安科技总经理涂彦晖、效率源公司技术总监张彬联袂推荐揭示微软未公布的NTFS文件系统扇区存储规律附赠作者自己开发的、价值数百元的实用工具程序

内容简介

《NTFS文件系统扇区存储探秘》主要内容包括：介绍NTFS文件系统优越的性能特征；介绍作者为了探索NTFS文件系统的存储特点编写的21个WIN32工具程序；使用作者编写的WIN32工具程序，探秘NTFS文件系统的扇区存储规律。　　全书分3篇，共计17章。第1章至第3章是“基础篇”，重点介绍了NTFS文件系统的性能和存储特点，同时也辅助性地介绍了FAT16和FAT32两种文件系统；第4章至第5章是“工具篇”，介绍了作者编写的工具程序；第6章至第17章是“探秘篇”，使用工具程序对NTFS文件系统的扇区存储规律进行了探索。

《NTFS文件系统扇区存储探秘》附送的光盘里收录了书中使用的全部工具程序，读者可以使用这些工具程序对硬盘扇区数据进行各种读写与分析。

《NTFS文件系统扇区存储探秘》可作为从事数据恢复和硬盘维修的技术人员参考用书，也可供研究文件系统和进行扇区数据分析的爱好者参考使用。

作者简介

宋群生，早在1998年即从事数据恢复研究，是国内计算机数据恢复界最早的开拓者之一，经过十几年的研究，作者成功开发了多套FAT16、FAT32、NTFS文件恢复程序。2004年，作者率先在国内开创了远程数据恢复，并于当年4月出版了《硬盘扇区读写技术——修复硬盘与恢复文件》一书。

目录

• 基础篇
• 第1章　FAT文件系统的数据结构　
• 1.1　主引导记录　
• 1.2　主分区表　
• 1.3　分区引导记录　
• 1.3.1　FAT16文件系统的BPB表　
• 1.3.2　FAT32文件系统的BPB表　
• 1.4　文件分配表FAT　
• 1.4.1　扇区分簇管理　
• 1.4.2　簇链和文件检索过程　
• 1.4.3　FAT表扇区寻址　
• 1.5　文件目录表FDT　
• 1.6　数据区DATA　
• 第2章　FAT文件系统的扇区分配　
• 2.1　FAT16的扇区分配　
• 2.2　FAT16扇区寻址实例分析　
• 2.3　FAT32的扇区分配　
• 2.4　FAT32扇区寻址实例分析　
• 第3章　NTFS文件系统　
• 3.1　NTFS的磁盘管理功能　
• 3.2　NTFS的Unicode编码格式　
• 3.3　NTFS的扇区分配　
• 3.4　NTFS的系统引导特性　
• 3.5　NTFS的文件表结构　
• 3.6　NTFS的文件存储特性　
• 3.6.1　NTFS的驻留属性　
• 3.6.2　NTFS的非驻留属性　
• 3.7　NTFS的数据压缩特性　
• 3.8　NTFS的EFS加密特性　
• 3.9　小结　
• 工具篇
• 第4章　WIN32程序　
• 4.1　读硬盘扇区数据程序　
• 4.2　写硬盘扇区数据程序　
• 4.3　监视0磁道变化程序　
• 4.4　查看硬盘扇区数据程序　
• 4.5　连续扇区清零程序　
• 4.6　查找硬盘扇区特征程序　
• 4.6.1　NTFS文件系统扇区特征介绍　
• 4.6.2　工具程序的使用方法　
• 4.7　查找汉字文件名程序　
• 4.8　读扇区拷贝文件程序　
• 4.9　剪切文件程序　
• 4.10　备份系统扇区数据程序　
• 4.11　查看扇区文件数据程序　
• 4.12　文件字节比较程序　
• 4.13　修改扇区文件数据程序　
• 4.14　数制转换程序　
• 4.15　监测扇区数据变化程序　
• 4.16　即时修改扇区数据程序　
• 4.17　拷贝文件数据块程序　
• 4.18　查找扇区字段值程序　
• 4.19　写隐藏文件数据程序　
• 4.20　备份宽字符文件名程序　
• 4.21　提取文件扇区数据程序　
• 第5章　16位程序　
• 5.1　读扇区文件程序READSF.EXE　
• 5.2　修改文件字节值程序SEDIT.EXE　
• 5.3　文件块拷贝程序SBLOCK.EXE　
• 5.4　剪切文件程序CUTFILE.EXE　
• 5.5　文件字节比较程序COMPSF.EXE　
• 探秘篇
• 第6章　改变NTFS逻辑盘的ID属性　
• 第7章　查找每簇扇区数的字段记录　
• 第8章　查找标记MFT地址的字段记录　
• 第9章　查找标记MFT镜像地址的字段记录　
• 第10章　读物理硬盘恢复一个run的文件数据　
• 10.1　实验演示前的准备工作　
• 10.2　查找MFT文件表　
• 10.3　查找并计算MFT表中的字段记录　
• 10.4　读硬盘物理扇区恢复文件数据　
• 第11章　读物理硬盘恢复多个run的文件数据　
• 11.1　查找第1个run　
• 11.2　查找第2个run　
• 11.3　查找第3个run　
• 11.4　读取硬盘物理扇区恢复文件数据　
• 第12章　读物理硬盘恢复误删除文件　
• 第13章　读物理硬盘恢复格式化逻辑盘文件　
• 第14章　修改Bitmap扇区实现文件隐藏　
• 14.1　隐藏文件前的准备工作　
• 14.1.1　将逻辑盘的扇区清零　
• 14.1.2　格式化逻辑盘　
• 14.2　隐藏文件的可行性试验　
• 14.2.1　查找位图文件的MFT记录　
• 14.2.2　确定位图文件数据区地址　
• 14.2.3　修改位图文件的扇区数据　
• 14.2.4　文件系统对修改数据的反应　
• 14.3　位图与扇区地址的对应关系　
• 14.3.1　提取位图文件数据区的扇区特征　
• 14.3.2　确定试验文件数据的存储地址　
• 14.3.3　查找位图数据被修改的字节位　
• 14.3.4　推导通用的计算公式　
• 14.4　隐藏文件实例演示　
• 第15章　恢复EFS加密文件　
• 15.1　准备实验用的文件和数据　
• 15.1.1　查找文件的MFT记录　
• 15.1.2　分析MFT记录的字段值　
• 15.2　观察EFS加密后的数据变化　
• 15.2.1　对文件进行EFS加密　
• 15.2.2　比较加密前后的MFT记录　
• 15.3　读物理扇区备份密文数据和FEK记录　
• 15.3.1　备份密文数据　
• 15.3.2　备份FEK密钥记录　
• 15.4　导出用户对FEK进行加密的私钥　
• 15.4.1　在IE浏览器中导出　
• 15.4.2　在控制面板中导出　
• 15.5　移植密文数据和FEK到另一块硬盘　
• 15.5.1　复制密文数据文件并查找MFT　
• 15.5.2　移植FEK密钥　
• 15.6　移植MFT记录让系统承认加密文件　
• 15.7　导入原用户的EFS加密私钥　
• 15.8　实际操作中的几个系统数据问题　
• 15.8.1　每簇包含的扇区数　
• 15.8.2　逻辑盘的起始扇区号　
• 15.8.3　如何取得文件全名　
• 15.8.4　如何取得含有汉字的文件名　
• 第16章　解读压缩文件MFT的数据属性　
• 16.1　设置演示操作的磁盘环境　
• 16.2　确定位图文件数据存储地址　
• 16.2.1　查找位图文件的MFT记录　
• 16.2.2　确定位图文件数据区地址　
• 16.3　设置演示操作的文件实例　
• 16.3.1　查找实验文件的MFT记录　
• 16.3.2　备份位图文件的扇区存储现场　
• 16.4　保存位图文件数据的扇区特征　
• 16.5　压缩文件并备份MFT记录　
• 16.6　检测并备份压缩后的位图扇区数据　
• 16.7　备份压缩后变化的位图扇区数据　
• 16.8　提取压缩前的位图扇区数据　
• 16.9　解读压缩文件的MFT数据属性　
• 16.9.1　数据压缩前后在存储地址上的变化情况　
• 16.9.2　计算系统分配给压缩数据的逻辑簇号　
• 16.10　读扇区备份压缩文件数据　
• 第17章　移植压缩数据恢复压缩文件　
• 17.1　制造模板文件　
• 17.2　查找模板文件压缩后的MFT记录　
• 17.3　计算数据属性中的扇区地址　
• 17.4　写入压缩数据