day2，NTFS文件系统引导扇区详解——分区表恢复上

NTFS文件系统0号扇区，即引导扇区前446号字节是系统引导代码，而分区表的数据恢复主要是恢复分区表项。

恢复之前，先了解分区表项结构，一般分区表有4个分区表项，每个分区表项占十六个字节，如下图为四个分区表项。

而每个分区表项每个字节含义都不同，如下图所示。

所以在NTFS系统恢复分区表中就是要先找到分区起始位置，分区总扇区数，并确定文件系统类型。

再讲讲NTFS文件系统恢复数据很重要的就是$MFT（主文件表）是一个非常重要的元文件，由文件记录所构成，每个文件记录包含2个扇区，每个文件都有件记录，结构类似于一本书的目录，而目录中每一章节都是一条文件记录。而$MFT表的前16条记录记录的是十六个重要的元文件，而$MFT中存在各种属性，属性又包括常驻属性和非常驻属性。对于数据恢复来说，80属性是关键的属性，day01举的数据恢复例子就是依靠80属性来恢复的。这些留到之后再谈！