Windows NTFS下數(shù)據(jù)恢復(fù)的研究

李林蔚

摘要：本篇文章通過對NTFS文件系統(tǒng)的論述，分析了儲存在NTFS文件系統(tǒng)的結(jié)構(gòu)以及存儲機(jī)制，提供了常駐文件以及非常駐文件的數(shù)據(jù)恢復(fù)的思路，對丟失數(shù)據(jù)的恢復(fù)工作提供了一定的借鑒作用。

關(guān)鍵詞：數(shù)據(jù)恢復(fù);文件系統(tǒng);數(shù)據(jù)運(yùn)行

引言

近年來，隨著科學(xué)技術(shù)的不斷發(fā)展，也推動了計(jì)算機(jī)信息技術(shù)的快速發(fā)展。人們在日常生活和工作中也越來越依賴計(jì)算機(jī)。不論是企業(yè)、個人還是政府機(jī)關(guān)單位，現(xiàn)在也都是依靠計(jì)算機(jī)來進(jìn)行數(shù)據(jù)信息的接受和處理，同時對于重要的數(shù)據(jù)信息也都是保存在計(jì)算機(jī)中。和傳統(tǒng)的數(shù)據(jù)處理相比，利用計(jì)算機(jī)來進(jìn)行數(shù)據(jù)處理，可大大降低相關(guān)工作人員的勞動強(qiáng)度，提高數(shù)據(jù)處理工作的工作效率，是數(shù)據(jù)處理工作變的更簡單快捷。而將重要數(shù)據(jù)保存在計(jì)算機(jī)中，如果計(jì)算機(jī)硬件或者軟件因某些原因?qū)е聰?shù)據(jù)信息丟失，那么如何快速地將計(jì)算機(jī)丟失的數(shù)據(jù)信息恢復(fù)將成為計(jì)算機(jī)技術(shù)中的重要問題。如何快速恢復(fù)丟失的數(shù)據(jù)信息，無論是對企業(yè)、個人還是政府機(jī)關(guān)單位來說都是十分重要的問題?，F(xiàn)在，在人們使用的電腦當(dāng)中，絕大多數(shù)用戶使用的還是windows的操作系統(tǒng)。其中windows操作系統(tǒng)中主要使用和發(fā)展的文件處理系統(tǒng)是NTFS文件系統(tǒng)，本篇文章主要敘述了NTFS文件系統(tǒng)中文件刪除和恢復(fù)的方法和原理。

一、NTFS磁盤分析

在windows操作系統(tǒng)中的NTFS的文件系統(tǒng)都是按照簇來進(jìn)行文件存取的分配，對于一個簇來說，在使用格式化程序時由格式化程序根據(jù)卷的大小的自動分配決定著簇的大小，還要是2的整數(shù)次方。在NTFS文件系統(tǒng)中，按照簇的定位還可以將簇分為邏輯簇號以及虛擬簇號兩種。而對于邏輯簇號來說，指的是對卷中所有的簇按照順序進(jìn)行從前到后的排列，并且起始的邏輯簇號是0;對于虛擬簇號來說，指的是對具體文件的簇按照先后順序進(jìn)行編號，這樣的編號方式也便于對文件中的數(shù)據(jù)進(jìn)行引用，同樣虛擬簇號也是從0開始編號。

1.1NTFS分區(qū)的磁盤空間分配

對于NTFS文件系統(tǒng)來說，共有兩大部分共同組成了NTFS的系統(tǒng)分區(qū)。其中一部分指的就是分區(qū)引導(dǎo)扇區(qū)以及主文件表;另外一部分指的就是文件的儲存區(qū)域，同時在文件儲存區(qū)域的中間位置儲存的正是主文件表中的前四個或者更多的元數(shù)據(jù)文件的備份。在NTFS文件系統(tǒng)中，為了保證主文件表中的元文件的連續(xù)性，NTFS文件系統(tǒng)會把整個磁盤空間的前12%分配給主文件表，并且主文件表對這12%的磁盤空間享有獨(dú)占權(quán)，而剩下的88%的系統(tǒng)空間才被用來儲存文件。根據(jù)相關(guān)研究表明，隨著計(jì)算機(jī)的長時間使用，文件數(shù)量也會隨之增加，最終出現(xiàn)主文件表的分區(qū)空間不夠使用的情況。在這種情況下，NTFS文件系統(tǒng)會分配另外一個空間來供主文件表使用。而對于這些空間區(qū)域的邏輯位置上，在整個儲存空間上是連續(xù)的，而在物理地址在空間則不一定是連續(xù)的。而對于確定主文件表區(qū)域的物理地址對磁盤空間的掃描來說是非常重要的。

1.2分區(qū)引導(dǎo)扇區(qū)

分區(qū)引導(dǎo)扇區(qū)保存的是有關(guān)卷文件結(jié)構(gòu)的信息以及啟動引導(dǎo)的程序，其中主要的是關(guān)于BPB的參數(shù)表。而對于BPB表來中的參數(shù)來說，主要是在建立文件系統(tǒng)由操作系統(tǒng)自動生成的一組參數(shù)。同時在對丟失數(shù)據(jù)進(jìn)行恢復(fù)時還要用到相關(guān)的BPB參數(shù)，其中有主文件表區(qū)域的起始簇號。

1.3主文件表

在windows操作系統(tǒng)中的NTFS文件系統(tǒng)的核心就是主文件表，電腦中的文件應(yīng)該在什么位置儲存都是由主文件表來決定的。對于主文件表來說，它指的就是由多個系列文件記錄組成的對應(yīng)的數(shù)據(jù)庫，同時主文件表也有其自身的文件需要記錄。而每個文件記錄的大小都為1kb。在主文件表中從0開始編號來完成文件的記錄工作，而編號為前16的文件被稱之為系統(tǒng)文件，同時也可以叫做元文件，這些被用來儲存系統(tǒng)的元數(shù)據(jù)。同時這些編號在前16的系統(tǒng)文件都以“$”開頭來命名，并且這些也都是隱藏文件。在NTFS文件系統(tǒng)中的主文件表中唯一有固定位置的就是這些元文件。并且這些元數(shù)據(jù)文件在系統(tǒng)中也有著十分重要的作用，因此為了防止這些元數(shù)據(jù)文件的丟失，NTFS文件系統(tǒng)都會將它們備份并保存在文件儲存的中部。在NTFS文件系統(tǒng)中上簇的使用情況都被保存在這個位圖文件中，同時為了容易區(qū)分出每一簇的使用情況，一般是將每一位代表著卷中的每一簇。同時在數(shù)據(jù)進(jìn)行恢復(fù)時，也需要運(yùn)用到被第七記錄的位圖文件“$”bitmap來判斷文件數(shù)據(jù)區(qū)的完整性。在NTFS文件系統(tǒng)卷上都有一個并且是唯一的被稱之為文件引用號的標(biāo)示。而對于文件引用號來說，其都是由文件號以及文件順序號這兩部分組成，其中文件號是用來表示該文件的主文件表的位置信息。

二、NTFS文件系統(tǒng)下數(shù)據(jù)恢復(fù)的研究

在NTFS文件系統(tǒng)中，其原理就是將磁盤上的所有數(shù)據(jù)看作文件來處理，同時每一個數(shù)據(jù)文件在主文件表都有記錄。通過相關(guān)研究表明，一般情況下每個文件在創(chuàng)建時，主文件表都會為其自動生成一個文件記錄。而該文件在被刪除時，主文件表所生成的文件記錄并沒有被刪除。根據(jù)這一點(diǎn)，在對文件進(jìn)行恢復(fù)的過程中，一般也是通過分析文件記錄以及記錄的屬性，來判斷文件是否被刪除，同時也是根據(jù)這點(diǎn)來獲取被刪除文件進(jìn)行恢復(fù)時所需要的文件信息。

2.1MFT文件記錄分析

在NTFS文件系統(tǒng)中，一般是將文件作為屬性或者屬性值的集合來進(jìn)行處理。當(dāng)屬性值可以被放在文件記錄中時，被稱之為常駐屬性。而當(dāng)屬性因?yàn)樘蟛荒鼙淮鎯Φ街魑募碇袝r，NTFS文件系統(tǒng)一般是將主文件表之外的儲存空間來進(jìn)行儲存。而對于只儲存在運(yùn)行空間的屬性稱之為非常駐屬性。

2.2文件名屬性分析

按照上述分析，文件名屬性是被用來儲存文件名，同時也是常駐屬性。NTFS文件系統(tǒng)幾乎不會限制文件命名，但是為了同時支持舊版本的應(yīng)用程序，NTFS文件系統(tǒng)會為每一個和dos不兼容的文件名提供一個和dos兼容的文件名。因此，當(dāng)命名的文件名和dos不兼容時，在系統(tǒng)的文件記錄中會同時出現(xiàn)兩個文件名屬性。這兩個文件名屬性分別是記錄完整文件名的屬性以及記錄與dos兼容的文件名屬性。在進(jìn)行數(shù)據(jù)恢復(fù)時，需要獲取的也是完整的文件名。

2.3數(shù)據(jù)流屬性分析

對于數(shù)據(jù)流屬性來說，其中包含了該屬性的起始和結(jié)束的VCN、數(shù)據(jù)運(yùn)行的偏移以及是否為常駐屬性的標(biāo)識位等信息。按照上述分析，如果標(biāo)識位的數(shù)值為0，那么將表示該數(shù)據(jù)就儲存在主文件表的文件記錄中，同時對該數(shù)據(jù)的操作可以直接在文件記錄中來完成，也表示該數(shù)據(jù)屬性為常駐屬性。如果標(biāo)識位的數(shù)值信息為1，那么將表示該數(shù)據(jù)儲存在運(yùn)行中，也表示該數(shù)據(jù)屬性為非常駐屬性，同時也可以根據(jù)該數(shù)據(jù)運(yùn)行的偏移情況來分析出該數(shù)據(jù)的運(yùn)行列表。而在數(shù)據(jù)列表中也可以詳細(xì)了解到每一組數(shù)據(jù)運(yùn)行的起始LCN以及該數(shù)據(jù)運(yùn)行過程中所占據(jù)的簇?cái)?shù)，這樣一來便可定位每一個數(shù)據(jù)的運(yùn)行情況。

三、NTFS文件系統(tǒng)下數(shù)據(jù)恢復(fù)的實(shí)現(xiàn)

根據(jù)上述的分析，在NTFS文件系統(tǒng)中，當(dāng)文件被刪除之后，文件系統(tǒng)需要做的就是在文件記錄的頭部中將標(biāo)志字設(shè)置為00/02H，同時不改變文件記錄的其他屬性信息。而對于有運(yùn)行的文件，文件系統(tǒng)在文件被刪除后，在改變數(shù)據(jù)運(yùn)行內(nèi)容的前提下，回收文件在運(yùn)行時所占據(jù)的空間，在這個過程中，只是將數(shù)據(jù)運(yùn)行所占據(jù)的簇在文件中對應(yīng)的為重置為0.同時根據(jù)這些，NTFS文件系統(tǒng)在進(jìn)行數(shù)據(jù)恢復(fù)時，相關(guān)人員也提出了相應(yīng)的算法：首先是掃描主文件表，從而查找所刪除文件的文件記錄，然后對文件記錄進(jìn)行分析，從而確定文件運(yùn)行的數(shù)據(jù)區(qū)，最后是對文件的數(shù)據(jù)區(qū)進(jìn)行完整性的判斷。因此也可以將數(shù)據(jù)恢復(fù)的工作分為磁盤掃描階段和數(shù)據(jù)恢復(fù)階段。

3.1磁盤掃描階段

在磁盤掃描階段，主要做的就是掃描整個主文件表，找出被刪除文件的文件記錄。然后根據(jù)找到的BPB參數(shù)，移動到主文件表中的起始地方，在讀取第一個元文件的同時，對文件記錄中的數(shù)據(jù)流屬性進(jìn)行分析，以此找出主文件表中的所有運(yùn)行。同時因?yàn)橹魑募韰^(qū)域中又存在著一些不連續(xù)性，所以在查找整個磁盤上的刪除文件時最重要的就是確定文件系統(tǒng)中的主文件表的位置。

3.2數(shù)據(jù)恢復(fù)階段

在數(shù)據(jù)刪除后，如果有的文件有數(shù)據(jù)運(yùn)行，而在文件原來的數(shù)據(jù)區(qū)上會出現(xiàn)以下情況。當(dāng)數(shù)據(jù)區(qū)完好時，被刪除的文件可以被全部恢復(fù);而對于數(shù)據(jù)區(qū)被其他文件分配使用時，文件就不能被全部恢復(fù)。

結(jié)語

隨著信息技術(shù)的不斷發(fā)展，在數(shù)據(jù)被刪除后的恢復(fù)工作也越來越受到人們的關(guān)注。對于數(shù)據(jù)的保存工作，人們既要提前做好備份工作，還要在發(fā)生數(shù)據(jù)丟失時，能及時進(jìn)行數(shù)據(jù)恢復(fù)。能掌握一項(xiàng)完善的數(shù)據(jù)恢復(fù)技術(shù)也能在重要數(shù)據(jù)被刪除時，盡量降低因數(shù)據(jù)丟失帶來的重大損失。

參考文獻(xiàn)

[1]陳培德，王麗清，吳建平.NTFS被快速格式化成NTFS后數(shù)據(jù)恢復(fù)的研究[J].計(jì)算機(jī)技術(shù)與發(fā)展，2018，28（08）：191-195.

[2]萬超.數(shù)據(jù)恢復(fù)技術(shù)在數(shù)據(jù)恢復(fù)取證中的應(yīng)用研究[J].福建電腦，2017，33（01）：114-115+158.

[3]劉俊.WINDOWS系統(tǒng)下基于底層數(shù)據(jù)分析的數(shù)據(jù)恢復(fù)研究[J].深圳信息職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2015，13（03）：27-32.