李林蔚

摘要：本篇文章通過對(duì)NTFS文件系統(tǒng)的論述，分析了儲(chǔ)存在NTFS文件系統(tǒng)的結(jié)構(gòu)以及存儲(chǔ)機(jī)制，提供了常駐文件以及非常駐文件的數(shù)據(jù)恢復(fù)的思路，對(duì)丟失數(shù)據(jù)的恢復(fù)工作提供了一定的借鑒作用。

關(guān)鍵詞：數(shù)據(jù)恢復(fù);文件系統(tǒng);數(shù)據(jù)運(yùn)行

引言

近年來，隨著科學(xué)技術(shù)的不斷發(fā)展，也推動(dòng)了計(jì)算機(jī)信息技術(shù)的快速發(fā)展。人們?cè)谌粘Ｉ詈凸ぷ髦幸苍絹碓揭蕾囉?jì)算機(jī)。不論是企業(yè)、個(gè)人還是政府機(jī)關(guān)單位，現(xiàn)在也都是依靠計(jì)算機(jī)來進(jìn)行數(shù)據(jù)信息的接受和處理，同時(shí)對(duì)于重要的數(shù)據(jù)信息也都是保存在計(jì)算機(jī)中。和傳統(tǒng)的數(shù)據(jù)處理相比，利用計(jì)算機(jī)來進(jìn)行數(shù)據(jù)處理，可大大降低相關(guān)工作人員的勞動(dòng)強(qiáng)度，提高數(shù)據(jù)處理工作的工作效率，是數(shù)據(jù)處理工作變的更簡單快捷。而將重要數(shù)據(jù)保存在計(jì)算機(jī)中，如果計(jì)算機(jī)硬件或者軟件因某些原因?qū)е聰?shù)據(jù)信息丟失，那么如何快速地將計(jì)算機(jī)丟失的數(shù)據(jù)信息恢復(fù)將成為計(jì)算機(jī)技術(shù)中的重要問題。如何快速恢復(fù)丟失的數(shù)據(jù)信息，無論是對(duì)企業(yè)、個(gè)人還是政府機(jī)關(guān)單位來說都是十分重要的問題?，F(xiàn)在，在人們使用的電腦當(dāng)中，絕大多數(shù)用戶使用的還是windows的操作系統(tǒng)。其中windows操作系統(tǒng)中主要使用和發(fā)展的文件處理系統(tǒng)是NTFS文件系統(tǒng)，本篇文章主要敘述了NTFS文件系統(tǒng)中文件刪除和恢復(fù)的方法和原理。

一、NTFS磁盤分析

在windows操作系統(tǒng)中的NTFS的文件系統(tǒng)都是按照簇來進(jìn)行文件存取的分配，對(duì)于一個(gè)簇來說，在使用格式化程序時(shí)由格式化程序根據(jù)卷的大小的自動(dòng)分配決定著簇的大小，還要是2的整數(shù)次方。在NTFS文件系統(tǒng)中，按照簇的定位還可以將簇分為邏輯簇號(hào)以及虛擬簇號(hào)兩種。而對(duì)于邏輯簇號(hào)來說，指的是對(duì)卷中所有的簇按照順序進(jìn)行從前到后的排列，并且起始的邏輯簇號(hào)是0;對(duì)于虛擬簇號(hào)來說，指的是對(duì)具體文件的簇按照先后順序進(jìn)行編號(hào)，這樣的編號(hào)方式也便于對(duì)文件中的數(shù)據(jù)進(jìn)行引用，同樣虛擬簇號(hào)也是從0開始編號(hào)。

1.1NTFS分區(qū)的磁盤空間分配

對(duì)于NTFS文件系統(tǒng)來說，共有兩大部分共同組成了NTFS的系統(tǒng)分區(qū)。其中一部分指的就是分區(qū)引導(dǎo)扇區(qū)以及主文件表;另外一部分指的就是文件的儲(chǔ)存區(qū)域，同時(shí)在文件儲(chǔ)存區(qū)域的中間位置儲(chǔ)存的正是主文件表中的前四個(gè)或者更多的元數(shù)據(jù)文件的備份。在NTFS文件系統(tǒng)中，為了保證主文件表中的元文件的連續(xù)性，NTFS文件系統(tǒng)會(huì)把整個(gè)磁盤空間的前12%分配給主文件表，并且主文件表對(duì)這12%的磁盤空間享有獨(dú)占權(quán)，而剩下的88%的系統(tǒng)空間才被用來儲(chǔ)存文件。根據(jù)相關(guān)研究表明，隨著計(jì)算機(jī)的長時(shí)間使用，文件數(shù)量也會(huì)隨之增加，最終出現(xiàn)主文件表的分區(qū)空間不夠使用的情況。在這種情況下，NTFS文件系統(tǒng)會(huì)分配另外一個(gè)空間來供主文件表使用。而對(duì)于這些空間區(qū)域的邏輯位置上，在整個(gè)儲(chǔ)存空間上是連續(xù)的，而在物理地址在空間則不一定是連續(xù)的。而對(duì)于確定主文件表區(qū)域的物理地址對(duì)磁盤空間的掃描來說是非常重要的。

1.2分區(qū)引導(dǎo)扇區(qū)

分區(qū)引導(dǎo)扇區(qū)保存的是有關(guān)卷文件結(jié)構(gòu)的信息以及啟動(dòng)引導(dǎo)的程序，其中主要的是關(guān)于BPB的參數(shù)表。而對(duì)于BPB表來中的參數(shù)來說，主要是在建立文件系統(tǒng)由操作系統(tǒng)自動(dòng)生成的一組參數(shù)。同時(shí)在對(duì)丟失數(shù)據(jù)進(jìn)行恢復(fù)時(shí)還要用到相關(guān)的BPB參數(shù)，其中有主文件表區(qū)域的起始簇號(hào)。

1.3主文件表

在windows操作系統(tǒng)中的NTFS文件系統(tǒng)的核心就是主文件表，電腦中的文件應(yīng)該在什么位置儲(chǔ)存都是由主文件表來決定的。對(duì)于主文件表來說，它指的就是由多個(gè)系列文件記錄組成的對(duì)應(yīng)的數(shù)據(jù)庫，同時(shí)主文件表也有其自身的文件需要記錄。而每個(gè)文件記錄的大小都為1kb。在主文件表中從0開始編號(hào)來完成文件的記錄工作，而編號(hào)為前16的文件被稱之為系統(tǒng)文件，同時(shí)也可以叫做元文件，這些被用來儲(chǔ)存系統(tǒng)的元數(shù)據(jù)。同時(shí)這些編號(hào)在前16的系統(tǒng)文件都以“$”開頭來命名，并且這些也都是隱藏文件。在NTFS文件系統(tǒng)中的主文件表中唯一有固定位置的就是這些元文件。并且這些元數(shù)據(jù)文件在系統(tǒng)中也有著十分重要的作用，因此為了防止這些元數(shù)據(jù)文件的丟失，NTFS文件系統(tǒng)都會(huì)將它們備份并保存在文件儲(chǔ)存的中部。在NTFS文件系統(tǒng)中上簇的使用情況都被保存在這個(gè)位圖文件中，同時(shí)為了容易區(qū)分出每一簇的使用情況，一般是將每一位代表著卷中的每一簇。同時(shí)在數(shù)據(jù)進(jìn)行恢復(fù)時(shí)，也需要運(yùn)用到被第七記錄的位圖文件“$”bitmap來判斷文件數(shù)據(jù)區(qū)的完整性。在NTFS文件系統(tǒng)卷上都有一個(gè)并且是唯一的被稱之為文件引用號(hào)的標(biāo)示。而對(duì)于文件引用號(hào)來說，其都是由文件號(hào)以及文件順序號(hào)這兩部分組成，其中文件號(hào)是用來表示該文件的主文件表的位置信息。

二、NTFS文件系統(tǒng)下數(shù)據(jù)恢復(fù)的研究

在NTFS文件系統(tǒng)中，其原理就是將磁盤上的所有數(shù)據(jù)看作文件來處理，同時(shí)每一個(gè)數(shù)據(jù)文件在主文件表都有記錄。通過相關(guān)研究表明，一般情況下每個(gè)文件在創(chuàng)建時(shí)，主文件表都會(huì)為其自動(dòng)生成一個(gè)文件記錄。而該文件在被刪除時(shí)，主文件表所生成的文件記錄并沒有被刪除。根據(jù)這一點(diǎn)，在對(duì)文件進(jìn)行恢復(fù)的過程中，一般也是通過分析文件記錄以及記錄的屬性，來判斷文件是否被刪除，同時(shí)也是根據(jù)這點(diǎn)來獲取被刪除文件進(jìn)行恢復(fù)時(shí)所需要的文件信息。

2.1MFT文件記錄分析

在NTFS文件系統(tǒng)中，一般是將文件作為屬性或者屬性值的集合來進(jìn)行處理。當(dāng)屬性值可以被放在文件記錄中時(shí)，被稱之為常駐屬性。而當(dāng)屬性因?yàn)樘蟛荒鼙淮鎯?chǔ)到主文件表中時(shí)，NTFS文件系統(tǒng)一般是將主文件表之外的儲(chǔ)存空間來進(jìn)行儲(chǔ)存。而對(duì)于只儲(chǔ)存在運(yùn)行空間的屬性稱之為非常駐屬性。

2.2文件名屬性分析

按照上述分析，文件名屬性是被用來儲(chǔ)存文件名，同時(shí)也是常駐屬性。NTFS文件系統(tǒng)幾乎不會(huì)限制文件命名，但是為了同時(shí)支持舊版本的應(yīng)用程序，NTFS文件系統(tǒng)會(huì)為每一個(gè)和dos不兼容的文件名提供一個(gè)和dos兼容的文件名。因此，當(dāng)命名的文件名和dos不兼容時(shí)，在系統(tǒng)的文件記錄中會(huì)同時(shí)出現(xiàn)兩個(gè)文件名屬性。這兩個(gè)文件名屬性分別是記錄完整文件名的屬性以及記錄與dos兼容的文件名屬性。在進(jìn)行數(shù)據(jù)恢復(fù)時(shí)，需要獲取的也是完整的文件名。

2.3數(shù)據(jù)流屬性分析

對(duì)于數(shù)據(jù)流屬性來說，其中包含了該屬性的起始和結(jié)束的VCN、數(shù)據(jù)運(yùn)行的偏移以及是否為常駐屬性的標(biāo)識(shí)位等信息。按照上述分析，如果標(biāo)識(shí)位的數(shù)值為0，那么將表示該數(shù)據(jù)就儲(chǔ)存在主文件表的文件記錄中，同時(shí)對(duì)該數(shù)據(jù)的操作可以直接在文件記錄中來完成，也表示該數(shù)據(jù)屬性為常駐屬性。如果標(biāo)識(shí)位的數(shù)值信息為1，那么將表示該數(shù)據(jù)儲(chǔ)存在運(yùn)行中，也表示該數(shù)據(jù)屬性為非常駐屬性，同時(shí)也可以根據(jù)該數(shù)據(jù)運(yùn)行的偏移情況來分析出該數(shù)據(jù)的運(yùn)行列表。而在數(shù)據(jù)列表中也可以詳細(xì)了解到每一組數(shù)據(jù)運(yùn)行的起始LCN以及該數(shù)據(jù)運(yùn)行過程中所占據(jù)的簇?cái)?shù)，這樣一來便可定位每一個(gè)數(shù)據(jù)的運(yùn)行情況。

三、NTFS文件系統(tǒng)下數(shù)據(jù)恢復(fù)的實(shí)現(xiàn)

根據(jù)上述的分析，在NTFS文件系統(tǒng)中，當(dāng)文件被刪除之后，文件系統(tǒng)需要做的就是在文件記錄的頭部中將標(biāo)志字設(shè)置為00/02H，同時(shí)不改變文件記錄的其他屬性信息。而對(duì)于有運(yùn)行的文件，文件系統(tǒng)在文件被刪除后，在改變數(shù)據(jù)運(yùn)行內(nèi)容的前提下，回收文件在運(yùn)行時(shí)所占據(jù)的空間，在這個(gè)過程中，只是將數(shù)據(jù)運(yùn)行所占據(jù)的簇在文件中對(duì)應(yīng)的為重置為0.同時(shí)根據(jù)這些，NTFS文件系統(tǒng)在進(jìn)行數(shù)據(jù)恢復(fù)時(shí)，相關(guān)人員也提出了相應(yīng)的算法：首先是掃描主文件表，從而查找所刪除文件的文件記錄，然后對(duì)文件記錄進(jìn)行分析，從而確定文件運(yùn)行的數(shù)據(jù)區(qū)，最后是對(duì)文件的數(shù)據(jù)區(qū)進(jìn)行完整性的判斷。因此也可以將數(shù)據(jù)恢復(fù)的工作分為磁盤掃描階段和數(shù)據(jù)恢復(fù)階段。

3.1磁盤掃描階段

在磁盤掃描階段，主要做的就是掃描整個(gè)主文件表，找出被刪除文件的文件記錄。然后根據(jù)找到的BPB參數(shù)，移動(dòng)到主文件表中的起始地方，在讀取第一個(gè)元文件的同時(shí)，對(duì)文件記錄中的數(shù)據(jù)流屬性進(jìn)行分析，以此找出主文件表中的所有運(yùn)行。同時(shí)因?yàn)橹魑募韰^(qū)域中又存在著一些不連續(xù)性，所以在查找整個(gè)磁盤上的刪除文件時(shí)最重要的就是確定文件系統(tǒng)中的主文件表的位置。

3.2數(shù)據(jù)恢復(fù)階段

在數(shù)據(jù)刪除后，如果有的文件有數(shù)據(jù)運(yùn)行，而在文件原來的數(shù)據(jù)區(qū)上會(huì)出現(xiàn)以下情況。當(dāng)數(shù)據(jù)區(qū)完好時(shí)，被刪除的文件可以被全部恢復(fù);而對(duì)于數(shù)據(jù)區(qū)被其他文件分配使用時(shí)，文件就不能被全部恢復(fù)。

結(jié)語

隨著信息技術(shù)的不斷發(fā)展，在數(shù)據(jù)被刪除后的恢復(fù)工作也越來越受到人們的關(guān)注。對(duì)于數(shù)據(jù)的保存工作，人們既要提前做好備份工作，還要在發(fā)生數(shù)據(jù)丟失時(shí)，能及時(shí)進(jìn)行數(shù)據(jù)恢復(fù)。能掌握一項(xiàng)完善的數(shù)據(jù)恢復(fù)技術(shù)也能在重要數(shù)據(jù)被刪除時(shí)，盡量降低因數(shù)據(jù)丟失帶來的重大損失。

參考文獻(xiàn)

[1]陳培德，王麗清，吳建平.NTFS被快速格式化成NTFS后數(shù)據(jù)恢復(fù)的研究[J].計(jì)算機(jī)技術(shù)與發(fā)展，2018，28（08）：191-195.

[2]萬超.數(shù)據(jù)恢復(fù)技術(shù)在數(shù)據(jù)恢復(fù)取證中的應(yīng)用研究[J].福建電腦，2017，33（01）：114-115+158.

[3]劉俊.WINDOWS系統(tǒng)下基于底層數(shù)據(jù)分析的數(shù)據(jù)恢復(fù)研究[J].深圳信息職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2015，13（03）：27-32.