更新时间:2018-12-27 08:02:33
封面
版权页
推荐序
前言
基础篇
第1章 FAT文件系统的数据结构
1.1 主引导记录
1.2 主分区表
1.3分区引导记录
1.4文件分配表FAT
1.5文件目录表FDT
1.6数据区DATA
第2章 FAT文件系统的扇区分配
2.1 FAT16的扇区分配
2.2 FAT16扇区寻址实例分析
2.3 FAT32的扇区分配
2.4 FAT32扇区寻址实例分析
第3章 NTFS文件系统
3.1 NTFS的磁盘管理功能
3.2 NTFS的Unicode编码格式
3.3 NTFS的扇区分配
3.4 NTFS的系统引导特性
3.5 NTFS的文件表结构
3.6 NTFS的文件存储特性
3.7 NTFS的数据压缩特性
3.8 NTFS的EFS加密特性
3.9 小结
工具篇
第4章 WIN32程序
4.1 读硬盘扇区数据程序
4.2 写硬盘扇区数据程序
4.3 监视0磁道变化程序
4.4 查看硬盘扇区数据程序
4.5 连续扇区清零程序
4.6 查找硬盘扇区特征程序
4.7 查找汉字文件名程序
4.8 读扇区拷贝文件程序
4.9 剪切文件程序
4.10 备份系统扇区数据程序
4.11 查看扇区文件数据程序
4.12文件字节比较程序
4.13 修改扇区文件数据程序
4.14 数制转换程序
4.15 监测扇区数据变化程序
4.16 即时修改扇区数据程序
4.17 拷贝文件数据块程序
4.18 查找扇区字段值程序
4.19 写隐藏文件数据程序
4.20 备份宽字符文件名程序
4.21 提取文件扇区数据程序
第5章 16位程序
5.1 读扇区文件程序READSF.EXE
5.2 修改文件字节值程序SEDIT.EXE
5.3文件块拷贝程序SBLOCK.EXE
5.4 剪切文件程序CUTFILE.EXE
5.5文件字节比较程序COMPSF.EXE
探秘篇
第6章 改变NTFS逻辑盘的ID属性
第7章 查找每簇扇区数的字段记录
第8章 查找标记MFT地址的字段记录
第9章 查找标记MFT镜像地址的字段记录
第10章 读物理硬盘恢复一个run的文件数据
10.1 实验演示前的准备工作
10.2 查找MFT文件表
10.3 查找并计算MFT表中的字段记录
10.4 读硬盘物理扇区恢复文件数据
第11章 读物理硬盘恢复多个run的文件数据
11.1 查找第1个run
11.2 查找第2个run
11.3 查找第3个run
11.4 读取硬盘物理扇区恢复文件数据
第13章 读物理硬盘恢复格式化逻辑盘文件
第14章 修改Bitmap扇区实现文件隐藏
14.1 隐藏文件前的准备工作
14.2 隐藏文件的可行性试验
14.3位图与扇区地址的对应关系
14.4 隐藏文件实例演示
第15章 恢复EFS加密文件
15.1 准备实验用的文件和数据
15.2 观察EFS加密后的数据变化
15.3 读物理扇区备份密文数据和FEK记录
15.4 导出用户对FEK进行加密的私钥
15.4.2 在控制面板中导出
15.5 移植密文数据和FEK到另一块硬盘
15.6 移植MFT记录让系统承认加密文件
15.7 导入原用户的EFS加密私钥
15.8 实际操作中的几个系统数据问题
第16章 解读压缩文件MFT的数据属性
16.1 设置演示操作的磁盘环境
16.2 确定位图文件数据存储地址
16.3 设置演示操作的文件实例
16.4 保存位图文件数据的扇区特征
16.5 压缩文件并备份MFT记录
16.6 检测并备份压缩后的位图扇区数据
16.7 备份压缩后变化的位图扇区数据
16.8 提取压缩前的位图扇区数据
16.9 解读压缩文件的MFT数据属性
16.10 读扇区备份压缩文件数据
第17章 移植压缩数据恢复压缩文件
17.1 制造模板文件
