FAT32被格式化成NTFS后數(shù)據(jù)恢復(fù)的研究

陳培德,吳建平,王麗清,殷莉芬

(1.云南大學(xué) a.信息學(xué)院,b.圖書館,云南 昆明 650223;2.云南省高校數(shù)字媒體技術(shù)重點(diǎn)實(shí)驗(yàn)室,云南 昆明 650223)

格式化是指對(duì)磁盤或磁盤中的分區(qū)進(jìn)行初始化的一種操作，這種操作通常會(huì)導(dǎo)致現(xiàn)有的磁盤或分區(qū)中所有的文件被清除[1]。格式化通常分為低級(jí)格式化和高級(jí)格式化[2]。如果沒有特別指明，對(duì)硬盤的格式化通常是指高級(jí)格式化。

外存儲(chǔ)器自廠商生產(chǎn)出來，一般要經(jīng)過低級(jí)格式化、分區(qū)和高級(jí)格式操作后[2]才能用來存儲(chǔ)數(shù)據(jù)。低級(jí)格式化一般由外存儲(chǔ)器生產(chǎn)廠商來完成，而對(duì)外存儲(chǔ)器的分區(qū)和高級(jí)格式化則由用戶來完成。

對(duì)邏輯盤進(jìn)行高級(jí)格式化后數(shù)據(jù)能否被恢復(fù)取決于格式化操作對(duì)原來文件系統(tǒng)中數(shù)據(jù)的破壞程度[3]。

本文對(duì)FAT32文件系統(tǒng)的邏輯盤格式化成NTFS文件系統(tǒng)后的數(shù)據(jù)恢復(fù)進(jìn)行了大量的實(shí)驗(yàn)，在Windows XP平臺(tái)下，F(xiàn)AT32文件系統(tǒng)的邏輯盤被格式化成NTFS文件系統(tǒng)后，除被NTFS文件系統(tǒng)中的元文件所覆蓋后的數(shù)據(jù)無法恢復(fù)外，其他未被覆蓋的數(shù)據(jù)均可被全部恢復(fù)。

1 實(shí)驗(yàn)環(huán)境及實(shí)驗(yàn)素材準(zhǔn)備

1.1 實(shí)驗(yàn)環(huán)境

1) 操作系統(tǒng)：Windows XP；

2) 邏輯盤容量：2.48GB；

3) 數(shù)據(jù)恢復(fù)工具：WinHex 15.08。

1.2 制作實(shí)驗(yàn)素材

1) Windows XP操作系統(tǒng)下，將硬盤劃分出一個(gè)分區(qū)來，該分區(qū)對(duì)應(yīng)的盤符為F盤，大小為2.48 GB，將該分區(qū)進(jìn)行格式化，文件系統(tǒng)選擇FAT32，每個(gè)簇的扇區(qū)數(shù)選擇“默認(rèn)”。復(fù)制共計(jì)1.1 GB的文件和文件夾到F盤中，F(xiàn)盤的基本情況如下。

①文件系統(tǒng)：FAT32；

②總?cè)萘浚? 673 266 688 Byte；

③已用空間：1 202 679 808 Byte；

④可用空間：1 470 586 880 Byte；

⑤每個(gè)簇的扇區(qū)數(shù)：8；

⑥保留扇區(qū)數(shù)：34；

⑦隱藏扇區(qū)數(shù)：63；

⑧總扇區(qū)數(shù)：5 231 457；

⑨每個(gè)FAT表所占扇區(qū)數(shù)：5 099；

⑩數(shù)據(jù)區(qū)范圍：10 232～5 231 456號(hào)扇區(qū)(即2～652 654號(hào)簇)

格式化前，F(xiàn)盤總體布局如表1所示[4]。

表1格式化前，F(xiàn)盤總體布局情況

作 用扇區(qū)號(hào)數(shù)據(jù)區(qū)對(duì)應(yīng)的簇號(hào)保留扇區(qū)0～33FAT134～5132FAT25133～10232已使用的數(shù)據(jù)區(qū)10233～23592152～293624未使用的數(shù)據(jù)區(qū)2359216～5231455293625～652654

2) 將F盤進(jìn)行格式化，文件系統(tǒng)選擇NTFS，每個(gè)簇的扇區(qū)數(shù)選擇“默認(rèn)配置大小”。格式化后F盤基本情況如下。

①文件系統(tǒng)：NTFS；

②總?cè)萘浚? 678 505 472 Byte；

③已用空間：16 044 032 Byte；

④可用空間：2 662 461 440 Byte；

⑤每個(gè)簇的扇區(qū)數(shù)：8；

⑥保留扇區(qū)數(shù)：0；

⑦隱藏扇區(qū)數(shù)：63；

⑧總扇區(qū)數(shù)：5 231 456；

⑨元文件$MFT開始簇號(hào)：262 144；

⑩元文件$MFTMirr開始簇號(hào)：326 966；

格式化后，F(xiàn)盤總體布局如表2所示[5]。

表2格式化后，F(xiàn)盤總體布局情況

至此，在Windows XP 下，邏輯盤由FAT32文件系統(tǒng)被格式化NTFS文件系統(tǒng)素材已制作完成。

2 格式化對(duì)分區(qū)表和DBR的改變

格式化前，F(xiàn)盤所對(duì)應(yīng)的MBR分區(qū)表為“00 EF FF FF 0B EF FF FF 3F 00 00 00 61 D3 4F 00”；F盤的文件系統(tǒng)由FAT32格式化成NTFS后，F(xiàn)盤所對(duì)應(yīng)的MBR分區(qū)表為“00 EF FF FF 07 EF FF FF 3F 00 00 00 61 D3 4F 00”，即F盤所對(duì)應(yīng)的MBR分區(qū)表的分區(qū)標(biāo)志由“0B”變?yōu)椤?7”[6](注：FAT32文件系統(tǒng)的分區(qū)標(biāo)志為“0B”，而NTFS文件系統(tǒng)的分區(qū)標(biāo)志為“07”[7])。由于分區(qū)大小沒有調(diào)整，所以，F(xiàn)盤所對(duì)應(yīng)的MBR分區(qū)表的其他值沒有變化。

格式化前，F(xiàn)盤的文件系統(tǒng)為FAT32，而格式化后F盤的文件系統(tǒng)為NTFS。所以，格式化后，F(xiàn)盤FAT32_DBR已被NTFS_DBR所取代。

3 格式化對(duì)FAT32的影響

格式化前，F(xiàn)盤的總體布局如表1所示；而格式化后，F(xiàn)盤的總體布局如表2所示。從表1和表2的對(duì)比可見，格式化后，F(xiàn)盤的0～15號(hào)扇區(qū)被NTFS的元文件$Boot所覆蓋；而格式前FAT32文件系統(tǒng)的16～2 066 863號(hào)扇區(qū)均未被覆蓋，即FAT32文件系統(tǒng)最重要FAT1和FAT2，以及2號(hào)簇(即根目錄的開始簇號(hào))均未被覆蓋。被覆蓋的已使用數(shù)據(jù)區(qū)為2 066 864～2 359 215，即存儲(chǔ)在該區(qū)域的數(shù)據(jù)將無法恢復(fù)。

4 恢復(fù)數(shù)據(jù)的基本思路與方法

4.1 恢復(fù)格式化前數(shù)據(jù)的基本思路

從格式化操作對(duì)MBR分區(qū)表及FAT32文件系統(tǒng)的影響可知，要恢復(fù)格式前FAT32文件系統(tǒng)中的數(shù)據(jù)，關(guān)鍵在于恢復(fù)MBR分區(qū)表和FAT32_DBR[8]。要恢復(fù)FAT32_DBR，只要將同一版本的FAT32_DBR復(fù)制到F盤的0號(hào)扇區(qū)，并修改FAT32_DBR中每個(gè)簇的扇區(qū)數(shù)、保留扇區(qū)數(shù)、隱藏扇區(qū)數(shù)、總扇區(qū)數(shù)、每個(gè)FAT表所占扇區(qū)數(shù)5個(gè)BPB參數(shù)。

4.2 恢復(fù)格式化前F盤MBR分區(qū)表的基本方法

使用WinHex軟件找到F盤的MBR分區(qū)表，將F盤的MBR分區(qū)表中的分區(qū)表標(biāo)志由“07”[9]修改為“0B”[10]，即可恢復(fù)格式化前F盤所對(duì)應(yīng)的分區(qū)表。

4.3 計(jì)算F盤FAT32_DBR的BPB參數(shù)

1)通過FAT1和FAT2開始特征值查找到FAT1和FAT2所在扇區(qū)號(hào)，并計(jì)算出每個(gè)FAT表所占扇區(qū)數(shù)和保留扇區(qū)數(shù)。

2)通過子目錄開始特征值查找到兩個(gè)子目錄開始扇區(qū)號(hào)，并獲得子目錄開始簇號(hào)，通過兩個(gè)子目錄開始扇區(qū)號(hào)和開始簇號(hào)，計(jì)算出每個(gè)簇的扇區(qū)數(shù)。

3)通過F盤的MBR分區(qū)表獲得總扇區(qū)數(shù)和隱藏扇區(qū)數(shù)。

5 恢復(fù)格式化前的數(shù)據(jù)基本步驟

1)恢復(fù)F盤MBR分區(qū)表，具體操作步驟如下：

①啟動(dòng)WinHex軟件；

③將光標(biāo)移動(dòng)到F盤的MBR分區(qū)表所在扇區(qū)號(hào)，將扇區(qū)偏移0X1C2處的值“07”修改為“0B”[11]；

④單擊“保存”按鈕。

2)計(jì)算FAT32_DBR中每個(gè)FAT所占扇區(qū)數(shù)和保留扇區(qū)數(shù)。具體操作步驟如下：

①啟動(dòng)WinHex軟件；

③按“F3”鍵繼續(xù)向下查找，在5 133號(hào)扇區(qū)找到，即FAT2的開始扇區(qū)號(hào)為5 133。

每個(gè)FAT表所占扇區(qū)數(shù)=FAT2開始扇區(qū)號(hào)-FAT1開始扇區(qū)號(hào)=5 133-34=5 099

(注：在FAT32_DBR中的存儲(chǔ)形式為“EB 13 00 00”)

保留扇區(qū)數(shù)=FAT1開始扇區(qū)號(hào)-FAT32_DBR所在扇區(qū)號(hào)=34-0=34

(注：在FAT32_DBR中的存儲(chǔ)形式為“22 00”)

3)計(jì)算FAT32_DBR中每個(gè)簇的扇區(qū)數(shù)，具體操作步驟如下：

①啟動(dòng)WinHex軟件。

圖1 第1個(gè)子目錄開始扇區(qū)前48字節(jié)

③按“F3”鍵繼續(xù)查找，在245 320號(hào)扇區(qū)找到，如圖2所示，從圖2可知，第二個(gè)子目錄開始扇區(qū)號(hào)為245 320，開始簇號(hào)為29 388。

圖2 第二個(gè)子目錄開始扇區(qū)前48字節(jié)

每個(gè)簇的扇區(qū)數(shù)=(第二個(gè)子目錄的開始扇區(qū)號(hào)-第一個(gè)子目錄的開始扇區(qū)號(hào))/(第二個(gè)子目錄的開始簇號(hào)-第一個(gè)子目錄的開始簇號(hào))=

(245 320-10 240)/(29 388-3)=8

(注：在FAT32_DBR中的存儲(chǔ)形式為“08”)

4)獲得FAT32_DBR中總扇區(qū)數(shù)和隱藏扇區(qū)數(shù)。從F盤的分區(qū)表可知，總扇區(qū)數(shù)為5 231 457，相對(duì)扇區(qū)為63，總扇區(qū)數(shù)在分區(qū)表和FAT32_DBR中的存儲(chǔ)形式為“61 D3 4F 00”；分區(qū)表中的相對(duì)扇區(qū)即為FAT32_DBR中的隱藏扇區(qū)數(shù)；隱藏扇區(qū)數(shù)在FAT32_DBR中的存儲(chǔ)形式為“3F 00 00 00”。

(注：該參數(shù)的正確性，F(xiàn)AT32文件系統(tǒng)不做校驗(yàn))。

5)綜合步驟2)～步驟4)，恢復(fù)格式化前FAT32_DBR中BPB參數(shù)如表3所示。

表3恢復(fù)格式化前FAT32_DBR中BPB參數(shù)

字節(jié)位移字節(jié)數(shù)含 義在DBR中的存儲(chǔ)形式0X0D1扇區(qū)數(shù)/簇080X0E2保留扇區(qū)數(shù)22 000X1C4隱藏扇區(qū)數(shù)3F 00 00 000X204該分區(qū)總扇區(qū)數(shù)61D3 4F 000X244每FAT所占扇區(qū)數(shù)EB 13

6)將同一版本的FAT32_DBR復(fù)制到F盤的0號(hào)扇區(qū)，并將每個(gè)簇的扇區(qū)數(shù)、保留扇區(qū)數(shù)、隱藏扇區(qū)數(shù)、總扇區(qū)數(shù)、每個(gè)FAT表所占扇區(qū)數(shù)修改為表3中的數(shù)值。 如圖3所示，然后存盤并退出WinHex軟件。

圖3 修改FAT32_DBR中的參數(shù)

7)重新啟動(dòng)Windows XP，到資源管理器中可以看到格式化前F盤FAT32文件系統(tǒng)中的所有文件和文件夾；但是除被格式化后NTFS文件系統(tǒng)的元文件覆蓋的文件或文件夾無法恢復(fù)外，其他未被覆蓋的文件或文件夾均全部恢復(fù)。

6 結(jié)束語

在Windows XP平臺(tái)下，除對(duì)邏輯盤FAT32文件系統(tǒng)格式化成NTFS文件系統(tǒng)外，還對(duì)邏輯盤FAT32文件系統(tǒng)快速格式化成NTFS文件系統(tǒng)進(jìn)行了實(shí)驗(yàn)，其數(shù)據(jù)恢復(fù)的思路、方法和步驟與格式化操作完全一樣。

在Windows7 平臺(tái)下，對(duì)邏輯盤FAT32文件系統(tǒng)被快速格式化成NTFS文件系統(tǒng)也做了實(shí)驗(yàn)。 實(shí)驗(yàn)結(jié)果表明，F(xiàn)AT32文件系統(tǒng)的FAT1、FAT2和2號(hào)簇均被NTFS文件系統(tǒng)的元文件覆蓋，2號(hào)簇以后數(shù)據(jù)一般還會(huì)保留，此時(shí)，只能使用數(shù)據(jù)恢復(fù)軟件(如Easy Recovery、Disk Genius、Final Recovery等)恢復(fù)。但是對(duì)邏輯盤FAT32文件系統(tǒng)被格式化成NTFS文件系統(tǒng)后，由于格式化后存儲(chǔ)在原來磁盤上的數(shù)據(jù)已被填充為“00”，這種情況下，數(shù)據(jù)將不能被恢復(fù)。

通過實(shí)踐證明，在Windows XP平臺(tái)下，該方法具有方便快捷、簡單實(shí)用的特點(diǎn)。并且用戶在資源管理器中可以看到所恢復(fù)出來的全部數(shù)據(jù)，但被NTFS文件系統(tǒng)元文件覆蓋的文件或文件夾將無法恢復(fù)。

[1]陳培德,吳建平,王麗清.NTFS被格式化成FAT32后數(shù)據(jù)恢復(fù)的研究[J].西安:計(jì)算機(jī)技術(shù)與發(fā)展,2016(26):399.

[2]楊倩.數(shù)據(jù)備份與恢復(fù)實(shí)訓(xùn)教程[M].北京:電子工業(yè)出版,2016.

[3]陳培德,吳建平,王麗清.NTFS文件系統(tǒng)實(shí)例詳解[M].北京:國防工業(yè)出版社,2015.

[4]劉偉.數(shù)據(jù)恢復(fù)技術(shù)深度揭秘[M].北京:電子工業(yè)出版社,2010.

[5]馬林.數(shù)據(jù)重現(xiàn)——文件系統(tǒng)原理精解與數(shù)據(jù)恢復(fù)最佳實(shí)踐[M].北京:清華大學(xué)出版社.2009.

[6]陳培德,吳建平,王麗清.Ghost后數(shù)據(jù)恢復(fù)的研究與實(shí)現(xiàn)[J].計(jì)算機(jī)技術(shù)與發(fā)展,2017,27(1):112-116.

[7]陳培德,吳建平,王麗清.重建NTFS的DBR及分區(qū)表的研究與實(shí)現(xiàn)[J].實(shí)驗(yàn)科學(xué)與技術(shù),2016,14(6):56-59.

[8]陳培德,吳建平,王麗清.重建分區(qū)表與FAT32_DBR的研究與實(shí)現(xiàn)[J].計(jì)算機(jī)技術(shù)與發(fā)展,2016,26(10):56-59.

[9]汪中夏,張京生,劉偉.RAID數(shù)據(jù)恢復(fù)技術(shù)揭秘[M].北京:清華大學(xué)出版社.2010.

[10]劉乃琦,郭建東,張可.系統(tǒng)與數(shù)據(jù)恢復(fù)技術(shù)[M].成都:電子科技大學(xué)出版社.2008.

[11]CARRIER B .File system forensic analysis[M].[S.l]:Addison-Wesley Professional.2005.