汪賢鋒，黃茂成

NTFS文件系統(tǒng)以其出色的安全性和穩(wěn)定性，已經(jīng)成為主流的文件系統(tǒng)。NTFS將分區(qū)中的所有數(shù)據(jù)都以文件的方式，記錄在主文件表(Main File Table,MFT)記錄中，每條MFT記錄都分配同樣大小的空間描述文件(夾)。每個文件(夾)都對應(yīng)一個或多個MFT記錄，文件(夾)的所有相關(guān)信息(如文件名、數(shù)據(jù)、大小等)都作為屬性登記中MFT記錄中，當(dāng)文件屬性信息(如數(shù)據(jù))超過MFT記錄分配空間大小，則在文件記錄中以非常駐屬性保留該屬性內(nèi)容的索引，否則以常駐屬性記錄該屬性內(nèi)容。NTFS文件系統(tǒng)的存儲組織結(jié)構(gòu)如圖1所示，其中MFT記錄在定位文件(夾)起到了重要的橋梁作用。

一、NTFS卷文件管理

（一）簇管理

NTFS以簇為基本單位分配回收存儲空間[1]，與FAT結(jié)構(gòu)不同，NTFS卷(volume)從 0 扇區(qū)開始劃分簇，每簇為 1，2，4 或8個扇區(qū)，根據(jù)分區(qū)的大小不同，最大值不超過8扇區(qū)，格式化時(shí)可以以格式化參數(shù)的形式設(shè)定。而在FAT中，由于卷管理空間的限制，只能通過增加簇大小來管理大容量硬盤，較NTFS文件系統(tǒng)，容易造成存儲空間的浪費(fèi)。NTFS簇大小，即每簇扇區(qū)數(shù)保存在BOOT扇區(qū) (0扇區(qū))。同時(shí)，NTFS通過Bitmap文件記錄所有簇的使用情況，1個bit對應(yīng)一個簇，值為1表示已經(jīng)分配，為0表示未分配。FAT文件系統(tǒng)中的FAT表不僅記錄了數(shù)據(jù)簇的使用情況，還標(biāo)明了數(shù)據(jù)簇的鏈接關(guān)系。

NTFS使用邏輯簇號(logical cluster number,LCN)和虛擬簇號(virtual cluster number,VCN)來對簇進(jìn)行定位。LCN是對卷中所有簇頭到尾進(jìn)行簡單編號，VCN則是對屬于特定文件的簇從頭到尾進(jìn)行編號，以便訪問文件中的數(shù)據(jù)，LCN是無符號整數(shù)，而VCN則是帶符號整數(shù)，VCN可以映射成LCN，由Data Runs數(shù)組完成這個映射。NTFS數(shù)據(jù)區(qū)管理不是采用鏈接存儲，而是采用索引存儲[2]，文件通過自己的Data Runs數(shù)據(jù)建立索引表，一個Run就是一個連續(xù)存儲塊，Data Runs數(shù)組由若干Run組成，以0x00結(jié)束。

每個Run包括3部分，即頭部，占用簇?cái)?shù)，起始簇號。簇號用VCN，第一個VCN是相對于0簇。頭部占用1個字節(jié)，存放占用簇?cái)?shù)和起始簇號的字節(jié)數(shù)根據(jù)頭部確定。如對于以下十六進(jìn)制數(shù)據(jù)表示的Data Runs數(shù)組為：

0x12 D4 38 04 00

其中，根據(jù)頭部0x12取其高4位可知1字節(jié)(值為隨后D4)表示占用簇?cái)?shù)，取低4位可知2字節(jié)(值為3804)，即表示0x0438簇開始的0xD4個簇。而隨后的0x00表示Data Runs數(shù)組已到數(shù)組尾部。

假設(shè)一個文件的存儲分布的Data Runs數(shù)組為：

0x12 D4 38 04 31 28 D0 49 01 21 CB FF 00

則分解成4個Run：

12 D4 38 04，31 28 D0 49 01，21 23 CB FF，00

即文件存儲在3個連續(xù)塊：

(1)Run 1:0x0438簇開始的0xD4個簇。

(2)Run 2:0x0149D0+0x0438=0x014E08簇開始的0x28個簇。

(3)Run 3:這里 VCN為 0xFFCB=-0x35，則與前面 Run的起始簇號累計(jì)為0x014E08-0x35=0x014DD3開始的0x23個簇，這里將VCN 0xFFCB換算成LCN，它相對于前一起始地址0x014E08。

(4)Run 4:0x00，Data Runs數(shù)組到達(dá)尾部。

由上可知，文件的存儲地址并不是完全依次連續(xù)增加的，而是依據(jù)數(shù)據(jù)簇的分配算法得出的。

（二）主文件表

NTFS卷上的任何事物都是文件，文件在卷上的位置都是通過主文件表(master file table,MFT)記錄來確定的，其組織結(jié)構(gòu)圖如圖1所示。MFT是一個對應(yīng)的數(shù)據(jù)庫，由一系列的文件記錄組成，以下稱其為MFT記錄。卷中每一個文件都有一個MFT記錄 (對于大型文件還可能有多個MFT記錄與之對應(yīng))，同時(shí)，MFT自身也有一個文件，也有其文件記錄。MFT的每個MFT記錄都有一個ID號，這個ID號從0開始，以遞增的方式順序編號。MFT自身是NTFS系統(tǒng)的第一個文件$MFT，其開始簇號在BOOT扇區(qū)中保存，與其他23個系統(tǒng)文件，他們組成系統(tǒng)的元文件(Metafiles)，其中根目錄占用ID號為5的文件記錄。用戶的文件MFT記錄ID號從24開始分配，用戶每添加一個文件ID號加1。

當(dāng)某個文件被刪除時(shí)，其所對應(yīng)的MFT記錄由系統(tǒng)回收，該ID號記錄為空閑，同時(shí)，再次添加文件時(shí)，系統(tǒng)則優(yōu)先給該文件記錄分配ID號小的空位。

1 NTFS文件系統(tǒng)存儲結(jié)構(gòu)圖Fig.1 File storage structure in NTFS file system

文件記錄包含文件的所有信息，不同信息以不同屬性來表示，如文件名、文件時(shí)間標(biāo)記等都是屬性，文件的內(nèi)容也是一個屬性，每個屬性都有特定的特征碼。屬性數(shù)據(jù)較小時(shí)則存放在MFT記錄中，稱它們?yōu)槌ｑv屬性(resident attribute)，否則MFT記錄中只會保存該屬性索引到外部的地址，以及索引區(qū)的大小，稱此類屬性為非常駐屬性(non-resident attribute)，通過Data Runs來保存其存儲索引表。當(dāng)文件被放入回收站，且清空回收站時(shí)，該文件的MFT記錄在文件系統(tǒng)中被標(biāo)明為空閑但不會被立即清除，其MFT記錄仍完整的保留，可以根據(jù)其MFT記錄的文件名屬性(0x30屬性)得到其完整文件名，返查其父目錄MFT記錄號，然后向上逐級返查，直至根目錄，從而得到該文件包含文件路徑的完整文件名。同時(shí)，該文件的MFT記錄中保持文件的數(shù)據(jù)屬性，通過其可以定位到文件的數(shù)據(jù)本身。而文件的路徑信息作為電子證據(jù)的一個重要組成部分，能提高電子證據(jù)的可采用性及證明力。

而在FAT文件系統(tǒng)只在目錄區(qū)保存了文件的首簇號，需要通過FAT表的簇鏈接關(guān)系才能確定文件的全部位置。當(dāng)FAT文件系統(tǒng)中的文件被用戶放入回收站，并清空回收站時(shí)，該文件的相應(yīng)占用簇在FAT表中被置為空閑，如果該文件的占用簇不連續(xù)，則無法完整定位到該文件。同時(shí)在目錄區(qū)的目錄登記項(xiàng)的首字節(jié)被置為0xE5，而目錄項(xiàng)的前八個字節(jié)記錄的是其文件名，后三個字節(jié)為后綴名，對于文件夾，則其后綴名為空。對于長文件名，F(xiàn)AT文件系統(tǒng)通過短文件名加長文件名的方式，增加新的目錄項(xiàng)記錄長文件名，解決長文件名問題。如果文件長度為1，則其文件名丟失，而文件的目錄登記項(xiàng)只記錄文件的首簇，即文件大小，如果文件不是連續(xù)簇存放，則無法完整的恢復(fù)文件。如果兩個刪除文件名只有首字節(jié)不同，則其刪除后的目錄登記項(xiàng)中的文件名信息則完全相同，從而降低了電子證據(jù)的可采用性及證明力。

（三）卷文件遍歷及定位

電子取證中，為了保持文件的原始性，不能調(diào)用操作系統(tǒng)的文件操作命令，同時(shí)對于清空回收站的文件擦除，在操作系統(tǒng)的目錄視窗中已無法找到該文件。因此，應(yīng)該根據(jù)文件的存儲結(jié)構(gòu)直接訪問相應(yīng)的物理扇區(qū)，其文件遍歷及定位流程可以歸納為以下幾個步驟。

(1)由BOOT扇區(qū) (通常為0扇區(qū))的BPB結(jié)構(gòu)中得到$MFT的邏輯簇號(logical Cluster Number,LCN)定位到$MFT，進(jìn)行下一步。

(2)定位到ID號為5的MFT記錄，即根目錄MFT記錄，進(jìn)行下一步。

(3)如果該MFT記錄對應(yīng)文件，則根據(jù)其常駐屬性或非常駐屬性讀取文件內(nèi)容，轉(zhuǎn)至步驟(5)；如果該MFT記錄對應(yīng)文件夾，則進(jìn)行下一步。

(4)根據(jù)INDEX頭部，讀取頭部信息，進(jìn)行下一步。

(5)定位至下一個目錄登記項(xiàng)，如果無目錄登記項(xiàng)，則結(jié)束。

(6)讀取目錄登記項(xiàng)內(nèi)容，根據(jù)其中的MFT號定位到該文件(夾)的MFT記錄，轉(zhuǎn)至步驟(3)。

其中，文件(夾)可能讀取多個MFT記錄，則聯(lián)合讀取MFT記錄中的常駐或非常駐屬性得到文件(夾)內(nèi)容。

二、NTFS卷文件返查

在NTFS卷中刪除一個文件，系統(tǒng)回收其MFT記錄，置該記錄ID號為空閑ID號。同時(shí)，如果文件占用了數(shù)據(jù)區(qū)，則其數(shù)據(jù)區(qū)所占用簇被系統(tǒng)回收，在Bitmap中對應(yīng)位置置0，標(biāo)明對應(yīng)簇為可以被系統(tǒng)重新分配，回收的MFT記錄和數(shù)據(jù)區(qū)可供系統(tǒng)再分配。而FAT文件系統(tǒng)中的文件刪除后，如果文件的存儲空間非連續(xù)，恢復(fù)時(shí)很難確定文件的鏈接關(guān)系，而NTFS文件系統(tǒng)中的文件刪除后，如果數(shù)據(jù)區(qū)未被覆蓋，只要文件的MFT記錄還存在，可以根據(jù)其常駐或非常駐屬性，很容易由它確定文件數(shù)據(jù)的存儲位置，提高了數(shù)據(jù)恢復(fù)的準(zhǔn)確性。

（一）NTFS卷文件MFT記錄

NTFS文件系統(tǒng)給每個文件 (夾)分配固定大小 (一般為1024字節(jié)，此值在BOOT扇區(qū)得到)存儲其對應(yīng)的MFT記錄。文件MFT記錄了文件的所有信息或信息外部索引，每種信息都作為屬性賦予不同的屬性特征號。文件MFT記錄由MFT記錄頭部及屬性集組成。MFT記錄頭部包含了MFT標(biāo)志(一定為FILE)，第一個屬性的偏移地址(相對于MFT頭)，記錄的實(shí)際長度，記錄分配的大小等信息。

根據(jù)MFT頭部中的第一個屬性的偏移地址，可以讀取相應(yīng)的屬性，每個屬性中都包含不定長屬性的長度信息，從而定位和讀取下一個屬性。文件的MFT記錄中的屬性包括基本信息屬性，屬性列表屬性，文件名屬性，數(shù)據(jù)屬性，索引根屬性，索引分配屬性，Bitmap屬性等，可定義在如下的枚舉類型。

（二）MFT文件名屬性

在NTFS系統(tǒng)中，文件的MFT記錄的文件名屬性為0xA0屬性。該屬性第9個字節(jié)(前開始的8個字節(jié)為屬性類型和屬性總長度)為非常駐標(biāo)志(0x00表示常駐屬性，0x01表示非常駐屬性)，如果為常駐屬性標(biāo)志，則文件數(shù)據(jù)保存在MFT記錄的數(shù)據(jù)屬性(0x80屬性),如果為非常駐屬性，則文件數(shù)據(jù)通過MFT記錄數(shù)據(jù)屬性的Data Runs數(shù)組索引到到文件的數(shù)據(jù)。

由MFT記錄頭部開始讀取其第一個屬性的偏移，逐個搜索是否文件名屬性，即判斷屬性前四個字節(jié)是否為0x30，如果不是文件名屬性，則根據(jù)隨后的屬性長度信息，跳至下一個屬性。當(dāng)搜尋到文件名屬性時(shí)，其中包含了文件返查所需的重要數(shù)據(jù)。文件名屬性的包含了文件大小，文件屬性(如隱藏，壓縮等),文件創(chuàng)建時(shí)間，文件修改時(shí)間，父目錄的MFT記錄參考號等信息。而其中的父目錄的MFT記錄參考號，是文件返查一個重要數(shù)據(jù)。

（三）擦除文件的文件路徑返查

對于計(jì)算機(jī)犯罪中的電子證據(jù)，大多罪犯有相當(dāng)一部分采用的是清空回收站的方式刪除。在NTFS中，當(dāng)文件被放入回收站并清空回收站時(shí)，如果未作其他的操作，此時(shí)系統(tǒng)所作的操作是將此文件的MFT號置為空閑，同時(shí)將文件所占數(shù)據(jù)簇標(biāo)志為空閑簇，該MFT記錄及空閑數(shù)據(jù)簇可被系統(tǒng)重分配。而該文件的MFT記錄及數(shù)據(jù)簇集中的內(nèi)容并未被擦除，這也是文件恢復(fù)和文件返查的可行性依據(jù)。

當(dāng)搜尋到擦除文件的MFT記錄，定位其文件名屬性，讀取其父目錄的MFT記錄參考號，定位到父目錄的MFT記錄，向上逐級返查至根目錄即可得到擦除文件的完整路徑，具體步驟如下。

(1)定義返查路徑棧，進(jìn)行下一步。

(2)讀取MFT記錄的文件頭，搜索文件名屬性，進(jìn)行下一步。

(3)讀取文件名屬性中的文件名，將其壓入返查路徑棧，進(jìn)行下一步。

(4)讀取文件名屬性中的父目錄MFT記錄參考號，讀取父目錄MFT記錄，轉(zhuǎn)至步驟(2)。

(5)將返查路徑棧中路徑記錄順序出棧，并以分隔符“”連接，返查結(jié)束。

經(jīng)過以上步驟，即可得到包含擦除文件的文件名和全路徑的完整文件名。

三、結(jié)語

NTFS以其優(yōu)越的安全性和穩(wěn)定性，已經(jīng)成為主流的操作系統(tǒng)。電子取證中的電子證據(jù)除了包含擦除文件數(shù)據(jù)本身，同時(shí)，也包含文件路徑等文件的擦除痕跡。這些電子證據(jù)的擦除痕跡，對于電子證據(jù)的可采用性及證明力有了進(jìn)一步的提升。因此，對于電子證據(jù)擦除痕跡需要進(jìn)一步的全面研究，以提高其利用價(jià)值。

[1]黃步根.數(shù)據(jù)恢復(fù)與計(jì)算機(jī)取證[J].計(jì)算機(jī)安全，2006，(6）：79-81

[2]黃步根.NTFS系統(tǒng)存儲介質(zhì)上文件操作痕跡分析[J].2007，33(23)：281-282

[3]黃步根，劉建軍，張曉南.NTFS文件系統(tǒng)中的視頻數(shù)據(jù)恢復(fù)方法[J].計(jì)算機(jī)工程，2010，（2）