NTFS文件系統(tǒng)中常駐文件的可恢復(fù)性分析

趙廣曄

摘 要：NTFS文件系統(tǒng)是目前Windows系列操作系統(tǒng)使用的主流文件系統(tǒng)。在該文件系統(tǒng)中，使用MFT文件管理其他文件，文件的內(nèi)容被作為文件的數(shù)據(jù)屬性進行管理。一些小文件的數(shù)據(jù)流被直接存放在MFT中，這些文件也被叫做常駐文件。文章旨在研究這些常駐文件在被刪除后是否存在被恢復(fù)的可能。

關(guān)鍵詞：NTFS；MFT；常駐文件；數(shù)據(jù)恢復(fù)

1 常駐文件及其意義

NTFS文件系統(tǒng)是微軟公司為了替代傳統(tǒng)的FAT 16和FAT 32文件系統(tǒng)而開發(fā)的。目前是包括Windows XP到Windows 8.1等各版本W(wǎng)indows操作系統(tǒng)使用的默認文件系統(tǒng)。NTFS文件系統(tǒng)也經(jīng)過了多個版本的演化，目前被使用的主要是在2001年隨Windows XP一起發(fā)布的NTFS v3.1版本。

NTFS文件系統(tǒng)使用$MFT（主文件表）來管理文件和文件夾。主文件表示一個對應(yīng)的數(shù)據(jù)庫，由一系列的文件記錄組成--卷中每一個文件都有一個文件記錄1。MFT中的文件記錄大小一般是固定的，不管簇的大小是多少，均為1KB。

MFT中每個文件或文件夾記錄中都包含多個屬性，包括MFT記錄頭、MFT記錄屬性、文件名屬性、數(shù)據(jù)運行（DataRun）屬性等。數(shù)據(jù)運行屬性用來指出文件在磁盤中實際存儲的位置。為了節(jié)省磁盤空間，對于一些數(shù)據(jù)流很小的文件，NTFS系統(tǒng)將其數(shù)據(jù)流直接保存在MFT記錄中，這些文件也被稱為常駐文件。

常見的常駐文件包括一些軟件的配置文件、日志文件、記錄文件、壓縮文件等。有時用戶誤刪這些文件可能會導(dǎo)致某些軟件無法正常運行等。而由于這些文件的數(shù)據(jù)是存在于MFT中的，所以對其的恢復(fù)與普通文件不同。

2 常駐文件可恢復(fù)性的研究方法設(shè)計

在本文中使用的研究方法主要是進行比對實驗。為了驗證常駐文件是否可以被恢復(fù)，或在什么情況下可以被恢復(fù)，需要考慮各種可能的影響因素，如文件的類型、文件中數(shù)據(jù)流的大小、文件是如何刪除的、文件被刪除后又做了哪些操作等。圖1展示了各種需要考慮到的因素，也就是比對實驗的參照條件。

操作系統(tǒng)選用從Windows XP到Windows 8的各個版本。不考慮Windows 2000是因為Windows 2000使用的是NTFS v3.0版本，與v3.1版本有一定差異性，同時Windows 2000不支持GPT分區(qū)。

文件類型考慮了幾種常見的小文件類型：純文本文件，包括txt文本文檔、ini配置文件、xml描述文件、js腳本文件等；圖片文件，包括bmp、jpg、png、gif等；壓縮文件，包括zip、rar、cab、7z等。

3 實驗過程簡述

在驗證過程中，將兩塊512 MB大小U盤量產(chǎn)為硬盤類型，并分別初始化為MBR分區(qū)和GPT分區(qū)磁盤。在圖1中所示的六種操作系統(tǒng)中分別對兩塊磁盤進行相同的操作。因為Windows XP系統(tǒng)原生不支持GPT分區(qū)，故沒有進行對GPT分區(qū)磁盤的操作實驗。每次開始新實驗前都會將U盤中的數(shù)據(jù)置零，并重新初始化以防止影響實驗結(jié)論。

驗證過程中使用了三種類型的常駐文件：擴展名為txt的文本文檔；擴展名為bmp的圖像文件；擴展名為zip的壓縮文件。每個類型的文件都設(shè)計了兩個數(shù)據(jù)流大小不同的比對文件，具體文件信息見表1。

在實驗磁盤中新建一個名稱為30個字符的文件夾，并將上述六個文件復(fù)制到磁盤根目錄。之后利用WinHex記錄整個磁盤的狀態(tài)，通過觀察發(fā)現(xiàn)名稱為short的三個文件包括屬性流和記錄流在內(nèi)都只占據(jù)MFT記錄的第一個扇區(qū)，第二個扇區(qū)除最末兩字節(jié)外均為0；而三個名稱為long的文件都幾乎占滿了MFT記錄的兩個扇區(qū)。

驗證步驟：

（1）將long.txt刪入回收站。

（2）將long.txt從回收站刪除。

（3）將long.zip直接從磁盤刪除，不經(jīng)過回收站。

（4）向磁盤中復(fù)制short2.txt，內(nèi)容與short.txt一致。

（5）在磁盤中新建文件夾test。

（6）將long.bmp移動到長名稱文件夾中再進行刪除操作。

因為在不同操作系統(tǒng)和磁盤分區(qū)下驗證步驟相同，在此就不再一一描述。

4 研究結(jié)論

通過實驗發(fā)現(xiàn)，在前文列出的六個操作系統(tǒng)以及兩種不同類型的磁盤分區(qū)上，進行相同的操作產(chǎn)生的結(jié)果完全一致。NTFS文件系統(tǒng)中常駐文件由于其不具備獨立的數(shù)據(jù)流，所以對其恢復(fù)與普通文件不同。具體情況總結(jié)見表2。

參考文獻

[1]戴士劍，涂彥暉.數(shù)據(jù)恢復(fù)技術(shù)（第2版）[M].電子工業(yè)出版社，2006.