我正在尝试使用 Macrium Reflect Workstation 为安装了 Windows 的 SSD 制作备份映像。 我第一次尝试时,它在中途某处中止,日志提到这是由于 CRC 校验失败(错误代码 23)。 我运行chkdsk c: /r并重新启动。完成后,我尝试了另一个映像备份,但这次一开始就收到错误,提示 MFT 已损坏(错误代码 6)并指示运行chkdsk c: /r。再次运行该程序没有帮助(我尝试了几次,错误仍然存在)。 还有其他方法可以检查 MFT 出了什么问题并修复它吗?或者我可以以某种方式进行映像备份而不修复 MFT 吗? 一点背...
我的外置硬盘(MAXTOR M3)最近遇到问题。 起初我以为 MFT 或引导扇区不知怎么损坏了。因为驱动器根本没有显示,甚至在磁盘管理中也没有显示。驱动器没有掉线或任何其他物理损坏。但有一次驱动器出现了,尽管它导致 Windows 崩溃/冻结。因此 MFT 一定仍然存在,否则它不会显示所有文件夹和文件。我使用另一个驱动器检查了计算机的端口,它们工作正常。我还检查了另一个驱动器上的电缆,它工作正常。我使用了另一个驱动器的电缆,突然文件夹第二次出现,但再次导致崩溃。后来驱动器不断出现,但在单击资源管理器中的驱动器图标时立即崩溃。我从前面板切换到计算机的背面,能够...
我正在尝试用 C 编写一个简单的 NTFS 解析器,并在其中video解释说,在属性列表 $DATA 中有一个文件记录 id,这是 MFT 表中用于标识条目的唯一 id,他说要获取 MFT 条目,只需将该 id 乘以文件记录大小(在本例中为 1024),然后您将获得 MFT 条目字节偏移量: mft_entry_byte_offset = file_record_id * file_record_size 使用 WinHex,我随机选择了一个 1.5GB 的文件,该文件有许多碎片,使用公式它没有指向 MFT 条目 这是数据列表的一部分,每个条目...
我从家里的硬盘中取出一个示例,其中 NTFS $MFT 文件在 Cluster Chain Run 的最低有效位包含零。解释为小端字节序,这没有任何意义,我很困惑。有人能解释一下为什么这些字节会在这里,因为如果没有它们,字段可能会更短吗? 在下图中,大轮廓是FILE标题和属性块。我用青色突出显示了修复值。我用黄色突出显示了数据属性块的 Cluster Chain Run 部分。我用红色圈出了两个不合理的字节,它们是零。这能解释一下吗? 警告:我之所以会这样做,是因为这个硬盘有数千个坏扇区。我正在四处寻找如何恢复数据的方法。所以,如果你的答案是“磁盘上有损坏”...
主要出于学术原因,我一直在学习如何从 NTFS 卷的 MFT 记录中的数据属性块解释簇链运行。 我看了视频介绍一个示例。示例如下: 标志 | 簇计数 | 第一个簇 41 02 f8 38 c7 01 21 02 c5 07 31 04 83 43 01 21 08 c0 fc 31 10 44 0b 00 31 01 f7 ef f9 21 1f c6 e7 21 10 6b 28 31 01 00 52 e4 现在,视频显示了一些正在解释十六进制输出的磁盘编辑软件。这很有帮助,因为视频的作者完全跳过了至少 3 个基本概念: “第一个集群”字段是累积的。如...
我正在尝试计算动态 VHD 的 NTFS 文件系统主引导部分的 MFT 偏移量。此动态 VHD MFT 的 Little Endian 群集位置突出显示: 然后进一步解析为MFT_OFFSET= cluster_address * sector_per_cluster * SECTORSIZE(这里SECTORSIZE是 512)以计算 MFT 的实际偏移量...此计算在固定 VHD 的情况下有效。但在动态 VHD 中则不行。 在动态中,我有块分配表值。我使用第一个条目来计算磁盘 MBR,然后它将我指向磁盘的第一个分区。在这里我可以计算 MBS 偏移量。但...
在 Ubuntu 上进行虚假安全移除后,我拔下外部驱动器,两个扇区被破坏。重要扇区包含 NTFS MFT 的记录 4 到 7(即 $AttrDef、$ (root)、$Bitmap 和 $Boot)。该扇区现在出现 IO 错误,无法通过这种方式安装设备。 我将所有其他可访问字节复制到新外部驱动器上的文件中。除 MFT 之外的文件系统完好无损,所有内容都在那里。 我想知道有哪些方法或工具可以重新创建、重新生成这些 MFT 记录?它们没有镜像,所以我无法想象它们是无法恢复的。我想从可用的残留文件中重新计算这些记录。 如果没有这样的工具,您能否为我提供一个包含足够...
我想检查 MFT 服务器中的文件夹是否为空。我想使用 .sh 脚本来执行此操作。我有访问加载文件的帐户服务的凭据。不知道如何开始。找到了解决方案,但读取的是文件而不是文件夹 echo "df myfile.txt" | sftp -b - example.com if [ $? -eq 0 ] then echo "File exists" else echo "File does not exist" fi ...
我读过了 (https://alexsta-cybersecurity.com/what-happens-when-a-file-is-deleted-on-a-windows-system/) 如果您有一个文件,然后您将其删除,那么该文件将进入回收站,该文件的 MFT 条目将发生变化,文件名将被重命名。但是,如果您使用 Shift+Delete,那么文件名在 MFT 数据库中不会发生变化。 如果您将文件剪切并粘贴到外部驱动器上,文件的 MFT 文件名会发生什么变化? ...
假设我有一个 5 MB 的文件。如果我删除它(并从回收站中删除它)并在驱动器上运行“cipher /w:C:”,它应该是不可恢复的。 那么它在 MFT 中的条目又如何呢?我认为该文件的条目将被标记为可用,但该条目在一定时间内被覆盖的可能性有多大(比如说,如果我在安全删除该文件后,浏览了一些网页,从而在缓存中创建了文件……这些缓存文件是否会进入 MFT 并覆盖已删除的文件)? ...
我最近犯了一个愚蠢的错误,我没有更改 Google Drive 上的 .kdbx 文件,而是更改了 USB 驱动器上同名的文件。 该 USB 驱动器后来被格式化并用作 Windows 安装介质。 您认为有没有什么方法可以恢复 kdbx 文件? 我尝试使用 GetDataBack Pro,它向我显示了可能属于先前状态的 MFT 条目,以及一些事务日志和无效的位图文件。 ...
我已经遇到这个问题好几个月了。 我的外部驱动器 MFT 损坏了。当我随后运行 CHKDSK 时,大多数情况下文件都会回到原位。 我多次更换了外部磁盘和电缆,并在 Windows 中禁用了索引。 通常,运行免费文件同步实用程序(freefilesync)后,我会对这种情况感到震惊。 以下是今天的 CHKDSK 的输出: Chkdsk was executed in read/write mode. Checking file system on E: Volume dismounted. All opened handles to this vol...
(注:这不是磁盘空间不足,无法修复主文件表 (MFT) 镜像,因为那没有答案,并且该问题已通过重新格式化磁盘得到解决。) 我正在尝试将几块三星 HC103UJ 硬盘重新投入使用(1TB,7200 RPM)。对于每个硬盘,我都进行了快速格式化,然后运行: chkdsk F: /r /x 驱动器大部分都运行正常。但有一个驱动器chkdsk报告: Stage 5: Looking for bad, free clusters ... 244149991 free clusters processed. Free space verification is ...
所以,我在调整分区大小时不小心将其向左对齐。我没有注意到,它成功地调整了大小。然后它开始对齐分区,我以为这是一个错误,就停止了它,忽略了警告。(是的,我太笨了)现在分区坏了,我不知道该怎么办,我不想格式化它。 也许可以通过某种方式将其移回来解决?谢谢。 更新:CHKDSK 说 MFT 已损坏,所以我想我需要修复 MFT。 ...
我正在尝试创建一种简单的方法来部署空虚拟磁盘,方法是将 NTFS 格式的 5MB 映像扩展为我需要的任何大小。我已经研究 NTFS 结构一段时间了 (从这里),而 MFT 对我来说有点太多了,现在无法深入研究。我已经设法创建了引导记录,并且它被 Linux 上的“文件”命令正确识别。 我正在使用 Windows 上的 OSFMount 安装这些映像,因此它们显示为本地磁盘。我发现,当将扇区总数更改为更高的数字(考虑到每个扇区的字节数等)时,Windows 通常认为映像已正确格式化。例如,当将扇区数从 4 MB 增加到 120 MB 时,一切正常。当从 51...