[调查]NTFS下数据恢复原理及编程实践（目录草稿）-安全图书-看雪-安全社区|安全招聘|kanxue.com

[调查]NTFS下数据恢复原理及编程实践（目录草稿）

发表于: 2012-2-29 11:17 55482

[调查]NTFS下数据恢复原理及编程实践（目录草稿）

天易love

2012-2-29 11:17

55482

天易love 2012-2-29

NTFS下数据恢复原理及编程实践

目录
上篇原理篇
一、NTFS文件系统基础
1、常用术语
元文件
$MFT文件及其包含的文件记录
文件记录的属性
常驻属性、非常驻属性
$20扩展属性
$80数据属性
$90索引根节点属性
$A0索引子节点属性
2、深入理解
Datarun的作用
文件记录号的使用
USN和USA的区别
簇列表与USA、USN的关系
目录索引结构到底是棵什么样的树
二、delphi编程基础
1、delphi的集成开发环境
2、delphi语法
3、delphi入门实用例子
三、数据结构基础
1、线性表在文件记录属性中的使用
2、树结构在目录索引中的使用
3、查找的概念
四、密码学基础
1、RSA加密原理
RSA加密和签名的区别
费马定理、欧拉定理
欧几里得算法、扩展欧几里得算法
蒙格马利”算法
中国剩余定理CRT在RSA解密中的运用：
中国剩余定理的证明
RSA快速解密公式的推导
2、AES加密原理
略
3、3DES加密原理
略

下篇实践篇
五、辅助工具的使用
1、WINHEX功能详解
启动扇区模板的使用
文件记录模板的使用
簇列表中显示数据的解读
快速跳转功能的使用
2、HpmbCalc多功能计算器
略
六、手工恢复实例
1、纯手工恢复
doc、jpg、rar等格式文件恢复详细实例
2、使用辅助工具
普通文件的恢复
EFS加密文件的恢复
七、辅助工具的编程实现
1、需要实现的功能
UniAscConvert
GetLCNInfoByRun
GetNTFSVolInfo
GetRecordByScan
GetRecordByPath
GetSizeByRecord
GetPathByRecord
GetTimeByRecord
GetDataByRecord
GetFolderInfoByRecord
ReadNodeKeys
2、各功能核心代码详解及演示程序
八、EFS解密原理

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

收藏・6

免费・0

支持

最新回复 (60) 1 2 3 ▶
zhouws 雪币： 3116 活跃值： (1269) 能力值： ( LV8，RANK：120 ) 在线值：发帖 11 回帖 360 粉丝 6 关注私信	zhouws 2 2 楼楼主技术不错。占位顶下 2012-2-29 11:32 0
littlewisp 雪币： 5335 活跃值： (3729) 能力值： ( LV13，RANK：283 ) 在线值：发帖 62 回帖 559 粉丝 13 关注私信	littlewisp 2 3 楼二三四章可以砍掉。不想花钱买不需要的章节。 2012-2-29 11:41 0
天易love 雪币： 2015 活跃值： (902) 能力值： ( LV12，RANK：1000 ) 在线值：发帖 106 回帖 1059 粉丝 21 关注私信	天易love 18 4 楼楼上的不明白啊，页数不够出版不了，郁闷ing! 2012-2-29 11:44 0
smilediy 雪币： 136 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 114 粉丝 0 关注私信	smilediy 5 楼加点驱动解析NTFS文件系统什么的 2012-2-29 11:50 0
kinglord 雪币： 558 活跃值： (46) 能力值： ( LV2，RANK：16 ) 在线值：发帖 1 回帖 266 粉丝 0 关注私信	kinglord 6 楼 mbr这些东西可以介绍一下 mbr损毁重建，从备份记录中还原分区表等既然是数据恢复，大多还是要多讲点实践的 2012-2-29 12:05 0
kinglord 雪币： 558 活跃值： (46) 能力值： ( LV2，RANK：16 ) 在线值：发帖 1 回帖 266 粉丝 0 关注私信	kinglord 7 楼这三张确实和主题相关性较低 2012-2-29 12:06 0
天易love 雪币： 2015 活跃值： (902) 能力值： ( LV12，RANK：1000 ) 在线值：发帖 106 回帖 1059 粉丝 21 关注私信	天易love 18 8 楼第3章是理解目录索引结构和提取硬盘数据的关键；第4章是解密EFS数据的关键，不懂的话你后边的编程实现难以理解。有个演示程序不需要ntfs.sys，直接解析硬盘数据，实现浏览硬盘文件功能。上传的附件： tool.jpg （133.61kb，834次下载） 2012-2-29 12:10 0
tfzxyinhao 雪币： 306 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 180 粉丝 0 关注私信	tfzxyinhao 9 楼随书提供的代码不是dephi的吧? 2012-2-29 12:20 0
熊猫正正雪币： 2323 活跃值： (4113) 能力值： ( LV12，RANK：530 ) 在线值：发帖 137 回帖 898 粉丝 141 关注私信	熊猫正正 9 10 楼支持～～不过想安心去写一本书，是很不容易的一件事～～期望早日出版 2012-2-29 12:30 0
elianmeng 雪币： 967 活跃值： (1138) 能力值： ( LV6，RANK：90 ) 在线值：发帖 68 回帖 707 粉丝 4 关注私信	elianmeng 1 11 楼想要vc的看delphi的代码有点别扭 2012-2-29 12:47 0
NETSYSKEY 雪币： 210 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 43 粉丝 0 关注私信	NETSYSKEY 12 楼支持，盼望！ 2012-2-29 14:55 0
仙水雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	仙水 13 楼数据的恢复太窄了吧作者还是尽早推出 2012-2-29 16:03 0
littlewisp 雪币： 5335 活跃值： (3729) 能力值： ( LV13，RANK：283 ) 在线值：发帖 62 回帖 559 粉丝 13 关注私信	littlewisp 2 14 楼 [QUOTE=天易love;1048812]第3章是理解目录索引结构和提取硬盘数据的关键；第4章是解密EFS数据的关键，不懂的话你后边的编程实现难以理解。有个演示程序不需要ntfs.sys，直接解析硬盘数据，实现浏览硬盘文件功能。 [/QUOTE] 恩，随口一说，楼主见谅。祝早日出版，出版后买一本来表示支持。 2012-3-1 08:49 0
tyTYtyTYTY 雪币： 81 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 61 回帖 268 粉丝 0 关注私信	tyTYtyTYTY 15 楼定下。。。。。精神支持下楼主 2012-3-3 11:08 0
小小的心雪币： 408 活跃值： (156) 能力值： ( LV7，RANK：110 ) 在线值：发帖 12 回帖 193 粉丝 2 关注私信	小小的心 2 16 楼支持，写书真的是个漫长的过程坚持啊楼主 2012-3-8 21:29 0
雪yaojun 雪币： 120 活跃值： (160) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 593 粉丝 0 关注私信	雪yaojun 17 楼加点FAT16 和32 的凑页数... 元文件只介绍了$MFT,还有15个一起加上来。介绍点int13中断等，利用驱动直接通过ATA端口访问扇区。。 WINHEX上面介绍也可以搞很多内容出来，这样一来就厚不少了 2012-3-8 22:12 0
yijun8354 雪币： 1919 活跃值： (901) 能力值： ( LV9，RANK：490 ) 在线值：发帖 22 回帖 784 粉丝 1 关注私信	yijun8354 12 18 楼先发个样章看到你慢慢写 2012-3-8 22:27 0
hack一生雪币： 306 活跃值： (85) 能力值： ( LV6，RANK：80 ) 在线值：发帖 29 回帖 195 粉丝 0 关注私信	hack一生 1 19 楼顶下...等LZ出书的那天; 2012-3-8 22:30 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 20 楼添加点DELPHI写驱动吧,好像没看到. 2012-3-8 22:43 0
yboy 雪币： 129 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 103 粉丝 0 关注私信	yboy 21 楼支持一下。。 2012-3-10 00:55 0
ReturnsMe 雪币： 269 活跃值： (25) 能力值： ( LV7，RANK：100 ) 在线值：发帖 6 回帖 162 粉丝 0 关注私信	ReturnsMe 2 22 楼还可以讲讲磁盘级删除、添加文件嘛还可以讲讲ntfs.sys内部数据结构组织嘛还有windows文件操作api原理嘛再不成搞一个ntfs-3g源码解读嘛按照楼主delphi科普都可以网上写的思路，凑字还不容易= = 2012-3-15 17:49 0
痞子辉雪币： 308 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 231 粉丝 0 关注私信	痞子辉 1 23 楼为什么要用DELPHI呢。。。蛋疼。。。。 2012-3-16 10:06 0
凭凡雪币： 62 活跃值： (40) 能力值： ( LV3，RANK：30 ) 在线值：发帖 45 回帖 145 粉丝 0 关注私信	凭凡 24 楼出版后买一本来学学~ 2012-3-17 13:15 0
天易love 雪币： 2015 活跃值： (902) 能力值： ( LV12，RANK：1000 ) 在线值：发帖 106 回帖 1059 粉丝 21 关注私信	天易love 18 25 楼用C写人家好逆你不知道吗？牛人用C，菜鸟只能用别的了，真的很自卑耶！仰慕会c的高手！！！！ 2012-3-17 14:28 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

天易love

106

发帖

1059

回帖

1000

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (60) 1 2 3 ▶
zhouws 雪币： 3116 活跃值： (1269) 能力值： ( LV8，RANK：120 ) 在线值：发帖 11 回帖 360 粉丝 6 关注私信	zhouws 2 2 楼楼主技术不错。占位顶下 2012-2-29 11:32 0
littlewisp 雪币： 5335 活跃值： (3729) 能力值： ( LV13，RANK：283 ) 在线值：发帖 62 回帖 559 粉丝 13 关注私信	littlewisp 2 3 楼二三四章可以砍掉。不想花钱买不需要的章节。 2012-2-29 11:41 0
天易love 雪币： 2015 活跃值： (902) 能力值： ( LV12，RANK：1000 ) 在线值：发帖 106 回帖 1059 粉丝 21 关注私信	天易love 18 4 楼楼上的不明白啊，页数不够出版不了，郁闷ing! 2012-2-29 11:44 0
smilediy 雪币： 136 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 114 粉丝 0 关注私信	smilediy 5 楼加点驱动解析NTFS文件系统什么的 2012-2-29 11:50 0
kinglord 雪币： 558 活跃值： (46) 能力值： ( LV2，RANK：16 ) 在线值：发帖 1 回帖 266 粉丝 0 关注私信	kinglord 6 楼 mbr这些东西可以介绍一下 mbr损毁重建，从备份记录中还原分区表等既然是数据恢复，大多还是要多讲点实践的 2012-2-29 12:05 0
kinglord 雪币： 558 活跃值： (46) 能力值： ( LV2，RANK：16 ) 在线值：发帖 1 回帖 266 粉丝 0 关注私信	kinglord 7 楼这三张确实和主题相关性较低 2012-2-29 12:06 0
天易love 雪币： 2015 活跃值： (902) 能力值： ( LV12，RANK：1000 ) 在线值：发帖 106 回帖 1059 粉丝 21 关注私信	天易love 18 8 楼第3章是理解目录索引结构和提取硬盘数据的关键；第4章是解密EFS数据的关键，不懂的话你后边的编程实现难以理解。有个演示程序不需要ntfs.sys，直接解析硬盘数据，实现浏览硬盘文件功能。上传的附件： tool.jpg （133.61kb，834次下载） 2012-2-29 12:10 0
tfzxyinhao 雪币： 306 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 180 粉丝 0 关注私信	tfzxyinhao 9 楼随书提供的代码不是dephi的吧? 2012-2-29 12:20 0
熊猫正正雪币： 2323 活跃值： (4113) 能力值： ( LV12，RANK：530 ) 在线值：发帖 137 回帖 898 粉丝 141 关注私信	熊猫正正 9 10 楼支持～～不过想安心去写一本书，是很不容易的一件事～～期望早日出版 2012-2-29 12:30 0
elianmeng 雪币： 967 活跃值： (1138) 能力值： ( LV6，RANK：90 ) 在线值：发帖 68 回帖 707 粉丝 4 关注私信	elianmeng 1 11 楼想要vc的看delphi的代码有点别扭 2012-2-29 12:47 0
NETSYSKEY 雪币： 210 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 43 粉丝 0 关注私信	NETSYSKEY 12 楼支持，盼望！ 2012-2-29 14:55 0
仙水雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	仙水 13 楼数据的恢复太窄了吧作者还是尽早推出 2012-2-29 16:03 0
littlewisp 雪币： 5335 活跃值： (3729) 能力值： ( LV13，RANK：283 ) 在线值：发帖 62 回帖 559 粉丝 13 关注私信	littlewisp 2 14 楼 [QUOTE=天易love;1048812]第3章是理解目录索引结构和提取硬盘数据的关键；第4章是解密EFS数据的关键，不懂的话你后边的编程实现难以理解。有个演示程序不需要ntfs.sys，直接解析硬盘数据，实现浏览硬盘文件功能。 [/QUOTE] 恩，随口一说，楼主见谅。祝早日出版，出版后买一本来表示支持。 2012-3-1 08:49 0
tyTYtyTYTY 雪币： 81 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 61 回帖 268 粉丝 0 关注私信	tyTYtyTYTY 15 楼定下。。。。。精神支持下楼主 2012-3-3 11:08 0
小小的心雪币： 408 活跃值： (156) 能力值： ( LV7，RANK：110 ) 在线值：发帖 12 回帖 193 粉丝 2 关注私信	小小的心 2 16 楼支持，写书真的是个漫长的过程坚持啊楼主 2012-3-8 21:29 0
雪yaojun 雪币： 120 活跃值： (160) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 593 粉丝 0 关注私信	雪yaojun 17 楼加点FAT16 和32 的凑页数... 元文件只介绍了$MFT,还有15个一起加上来。介绍点int13中断等，利用驱动直接通过ATA端口访问扇区。。 WINHEX上面介绍也可以搞很多内容出来，这样一来就厚不少了 2012-3-8 22:12 0
yijun8354 雪币： 1919 活跃值： (901) 能力值： ( LV9，RANK：490 ) 在线值：发帖 22 回帖 784 粉丝 1 关注私信	yijun8354 12 18 楼先发个样章看到你慢慢写 2012-3-8 22:27 0
hack一生雪币： 306 活跃值： (85) 能力值： ( LV6，RANK：80 ) 在线值：发帖 29 回帖 195 粉丝 0 关注私信	hack一生 1 19 楼顶下...等LZ出书的那天; 2012-3-8 22:30 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 20 楼添加点DELPHI写驱动吧,好像没看到. 2012-3-8 22:43 0
yboy 雪币： 129 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 103 粉丝 0 关注私信	yboy 21 楼支持一下。。 2012-3-10 00:55 0
ReturnsMe 雪币： 269 活跃值： (25) 能力值： ( LV7，RANK：100 ) 在线值：发帖 6 回帖 162 粉丝 0 关注私信	ReturnsMe 2 22 楼还可以讲讲磁盘级删除、添加文件嘛还可以讲讲ntfs.sys内部数据结构组织嘛还有windows文件操作api原理嘛再不成搞一个ntfs-3g源码解读嘛按照楼主delphi科普都可以网上写的思路，凑字还不容易= = 2012-3-15 17:49 0
痞子辉雪币： 308 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 231 粉丝 0 关注私信	痞子辉 1 23 楼为什么要用DELPHI呢。。。蛋疼。。。。 2012-3-16 10:06 0
凭凡雪币： 62 活跃值： (40) 能力值： ( LV3，RANK：30 ) 在线值：发帖 45 回帖 145 粉丝 0 关注私信	凭凡 24 楼出版后买一本来学学~ 2012-3-17 13:15 0
天易love 雪币： 2015 活跃值： (902) 能力值： ( LV12，RANK：1000 ) 在线值：发帖 106 回帖 1059 粉丝 21 关注私信	天易love 18 25 楼用C写人家好逆你不知道吗？牛人用C，菜鸟只能用别的了，真的很自卑耶！仰慕会c的高手！！！！ 2012-3-17 14:28 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复