1、Computer Science and Application 計算機科學與應用, 2017, 7(12, 1245-1253 Design and Implementation of DataRecovery System Based on NTFSFujun Feng, Junping Yao, Xiaojun LiResearch Institute of High-Tech, Xi'an Shaanxi Received: Dec. 3rd, 2017; accepted: Dec. 15th, 2017; published: Dec. 22nd, 2017 Abstrac

2、tWindows NTFS is a kind of file systems with good stability and security, and it is important for da-ta security to research on data recovery based on NTFS. Analyzing the NTFS structure, a data re-covery system based on NTFS is designed and implemented, and three modules are presented particularly,

3、which include modules of disk analysing, partition scanning and data recovery. The data recovery module is the core of the recovery system, and the implementation process of dada recovery based on NTFS is provided. Through soft testing, the system proposed can recover the original data very well.Key

4、wordsNTFS, Data Recovery, MFT 基于NTFS的數據恢復系統設計與實現封富君,姚俊萍,李曉軍西安高新技術研究所,陜西西安 收稿日期:2017年12月3日;錄用日期:2017年12月15日;發布日期:2017年12月22日 摘要Windows下的NTFS文件系統具有較好的穩定性和安全性,對NTFS下數據恢復軟件的研究對數據的安全保護具有重要作用。分析了NTFS文件系統的結構,設計并實現了一個基于NTFS的數據恢復系統,詳細闡述了系統的三個主要模塊的實現過程,包括磁盤分析模塊、分區掃描模塊和數據恢復模塊。數據恢復封富君等模塊是恢復系統的核心模塊,給出了NFTS數據恢復實現

5、的具體流程。軟件測試結果表明該軟件能夠很好的恢復原始數據。關鍵詞NTFS,數據恢復,MFT Copyright © 2017 by authors and Hans Publishers Inc.This work is licensed under the Creative Commons Attribution International License (CC BY./licenses/by/4.0/ 1. 引言隨著網絡技術的不斷發展,以及數據量的急劇增加,在大數據環境下,越來越多的用戶習慣于把重要資料保存到計算機硬盤中,卻不得

6、不面對數據可能丟失的風險。數據恢復是信息安全的最后一道防線,是保護數據安全的重要方法。數據恢復技術就是因計算機系統遭到誤操作、病毒侵襲、硬件故障、黑客攻擊等事件后,將用戶數據從各種“無法讀取”的存儲設備中拯救出來,從而將損失減到最小的技術1。數據恢復根據故障可分為兩大類:軟恢復和硬恢復。由于磁盤故障導致的數據恢復稱為硬恢復,例如磁道或盤片損壞。軟恢復是指通過軟件的方式進行的數據恢復,整個過程并不涉及硬件維修。產生的原因主要有誤操作,如誤格式化或誤刪除;惡意程序的破壞,如病毒感染;操作系統錯誤,如系統死機導致的數據丟失等。大多數的數據恢復屬于軟恢復。在數據恢復之前應該對數據存儲介質進行全面的了解

7、和檢查,并根據實際情況制定科學合理的數據恢復方案。數據恢復涉及的領域較廣,具有電子數字數據和數字文檔存儲的地方都會有數據存儲、數據損壞和數據修復的問題,目前對計算機的數據恢復2 34 5 6和電子取證中的數據恢復7 8研究較多,本文則設計并實現了一個數據恢復系統。目前Windows都采用NTFS文件系統,NTFS是微軟公司開發的一種文件系統,具有較好的容錯性和安全性,它最大的優點是穩定性好,適用于對數據安全性要求比較高的應用。因此對NTFS下的數據恢復軟件的研究對數據的安全保護具有重要作用。2. NTFS文件結構2.1. 數據存儲結構硬盤主要用來存儲計算機上的各類數據,包括系統程序或用戶文件,

8、目前硬盤的存儲量也越來越大,了解硬盤的結構對于研究數據恢復是非常有必要的。當磁盤旋轉時,磁頭若保持在一個位置上,則每個磁頭都會在磁盤表面劃出一個圓形軌跡,這些圓形軌跡就叫做磁道。磁盤上的每個磁道被等分為若干個弧段,這些弧段便是磁盤的扇區,每個扇區可以存放512個字節的信息,磁盤驅動器在向磁盤讀取和寫入數據時,要以扇區為單位。硬盤通常由重疊的一組盤片構成,每個盤面都被劃分為數目相等的磁道,并從外緣的“0”開始編號,具有相同編號的磁道形成一個圓柱,稱之為磁盤的柱面。磁盤的柱面數與一個盤面上的磁道數是相等的。由于每個盤面都有自己的磁頭,因此,盤面數等于總的磁頭數。2.2. 主文件表MFT在NTFS文

9、件系統中,將文件系統所需的全部數據像文件一樣儲存在硬盤上,如記錄卷的分配狀態封富君等位圖、文件、目錄和系統引導程序等數據。這些系統文件稱為元文件,這些數據稱為元數據。一個文件在磁盤上的位置是通過主控文件表MFT來定位的。MFT是NTFS文件系統的核心,它是一個關系數據庫,由文件記錄的數組組成,磁盤卷上的每一個文件都有一個文件記錄,大的文件可能有多個記錄。每個文件記錄的長度是固定的(一般為1 KB,文件記錄在MFT中從0開始編號,MFT的前16個文件是元文件,以“$”開始,它們是隱藏文件。這16個文件是NTFS文件系統中唯一在MFT表中具有固定地址的文件,其他文件和目錄的文件記錄可以存放在MFT

10、表中的任意地方。MFT的第一個文件記錄就是$MFT自身,它記錄著所有文件和目錄的所有情況,由于$MFT文件本身的重要性,為確保文件系統結構的可靠,系統專門為它的起始部分記錄準備了一個鏡像文件($MftMirr,也就是MFT中的第2個記錄。3. NTFS下的數據恢復在NTFS文件系統中刪除一個文件時,數據所在區域并沒有被覆蓋,同時,其文件系統中的相關記錄所在區域也沒有被清除。只是在三個方面做了改變:該文件MFT頭偏移0x16H處的一個字節改變;其父文件夾的索引根屬性或者索引分配屬性改變;在位圖元數據文件中把該文件所占用的簇對應位置置0。文件刪除后的關鍵信息如下:1 BPB參數BPB參數是NTFS

11、文件系統安裝卷的依據,其含義為BIOS參數塊。數據恢復時要用到相關的參數有MFT的起始簇號:MfrStartCluster、每簇扇區數:SeetorPerCluster,以及每扇區字節數:BytesPerSector。2 MFT變化MFT文件記錄頭是以“46 49 4C 45”開始,即用ASCII碼表示的“FILE”開始,當文件刪除后不會改變。在文件記錄頭部中,偏移0x16H處的一個字節是標志字節,00H表示刪除的文件,01H表示正常的文件,02H表示刪除的目錄,03H表示正常的目錄,從偏移0x2CH開始的4個字節是文件號是MFT 的記錄編號,從0開始。要恢復NTFS文件系統中所有被刪除的文件

12、,可以搜索所有被取消分配的MFT項,找到后根據項中的文件名屬性和父目錄的文件參考號確定文件的名字和路徑。簇指針如果完好存在,且文件內容沒有被覆蓋,就可以完好的恢復出來。即使文件嚴重片段化,有多個文件碎片也不影響恢復。如果屬性值是常駐屬性,在MFT被重新分配前,數據是不會被覆蓋的。如果文件不止一個MFT項存儲它的屬性,就需要對其他的MFT項進行恢復。4. 數據恢復系統的設計與實現4.1. 主要模塊實現本文設計的數據恢復系統主界面如圖1所示。在NTFS文件系統中,文件刪除之后,系統所做的工作是:在文件記錄頭部中將標志字節置為00H 或02H,文件記錄的其它屬性均沒有變化;對于有數據運行的文件,回收

13、文件所占用的空間,不改變數據區的內容。由此,提出數據恢復策略,設計軟件的主要功能模塊為:磁盤分析模塊、分區掃描模塊和數據恢復模塊。磁盤分析的目的是對NTFS分區進行定位,主要分析磁盤的主引導記錄MBR、擴展引導記錄EBR,以及主文件記錄MFT的相關信息。MBR位于整個硬盤的0磁道0柱面1扇區。在512字節的主引導封富君等 Figure 1. Main interface of data recovery system圖1. 數據恢復系統主界面扇區中,MBR的引導程序占用其中的前446個字節,隨后的64個字節就是DPT,每16個字節定義一個分區,最多可以確定4個分區,其中第5個字節表示了該分區類

14、型,其中0x07H表示NTFS分區,每個分區表項標示著一個分區信息或一個擴展分區表的位置,而擴展分區表中可能還有子擴展分區表,這就形成了一個鏈狀結構,可以記錄多個分區。擴展分區沿用了基本分區所采用的DPT結構,把擴展分區的分區表所在的扇區稱為EBR,擴展分區的類型是0x05H。所有擴展分區以鏈表的形式級聯存放,后一個擴展分區的數據記錄在前一個擴展分區的分區表中,但兩個分區表的空間并不重疊。EBR存儲在擴展分區的第一個扇區中,且最多只能表示兩個分區的數據項。分區掃描主要是掃描NTFS分區中MFT的文件記錄,通過查看每一條文件記錄偏移0x16H開始的兩個字節,判斷該文件是否為已刪除文件,通過分析30和10屬性獲取文件名、文件創建時間和文件最后修改時間等信息。圖2為D分區中所有被刪除文件的掃描結果。當目錄的屬性值存放在MFT表的基本文件記錄中,該屬性就稱為常駐屬性。對于常駐屬性,屬性值存放在屬性名的后面。如果一個目錄的屬性值太大,不能存放在一個文件記錄中,那么,NTFS將從數據區為該屬性值分配存儲空間。這些存儲空間通常稱為一個運行,用來存放屬性值,存儲在運行中的屬性稱為非常駐屬性。判斷文件記錄的80屬性是否為常駐屬性,分類獲取數據內容,在其他分區中新建一個文件,用已刪除文件的文件名來命名,然后將數據區的文件內容復制到新的數據區中。數據恢復流程圖如圖3所示。數據恢復模塊Delp