NTFS文件系統(tǒng)的數(shù)據(jù)恢復

（廣西廣播電視技術中心桂林分中心）

1 文件系統(tǒng)

文件系統(tǒng)是指磁盤分區(qū)內(nèi)的文件和目錄在物理磁盤上存儲的結構以及幫助操作系統(tǒng)更好的管理文件和目錄的輔助信息。常見的文件系統(tǒng)有FAT32、NTFS、EXT3、EXT4、HFS+等。在普通家用和辦公的電腦中，文件系統(tǒng)以分區(qū)為單位，存在于分區(qū)中。分區(qū)被分區(qū)表所規(guī)劃。雖然GPT（GUID Partition Table）分區(qū)表正在逐步取代MBR（Main Boot Record）分區(qū)表，但BIOS+MBR作為經(jīng)典的啟動模式，現(xiàn)存量還是相當大的。這里主要以MBR分區(qū)表為例介紹分區(qū)表的結構和分區(qū)的索引過程。

2 MBR分區(qū)表

MBR叫作主引導記錄，是硬盤上的第一個扇區(qū)，512字節(jié)。包括了引導代碼、磁盤簽名、分區(qū)表和結束標志。分區(qū)表最多容納4個分區(qū)表項，每項16個字節(jié)。第五個字節(jié)標明了分區(qū)的類型，F(xiàn)AT32的值是0BH或0CH，NTFS的值是07H。MBR中的四個分區(qū)表項可以指出磁盤上的四個主磁盤分區(qū)。如果需要4個以上的分區(qū)，就會用到擴展分區(qū)，擴展分區(qū)只有一個，包含一個或多個邏輯分區(qū)。當創(chuàng)建擴展分區(qū)（并包含第一個邏輯分區(qū)）時，MBR分區(qū)表的最后一項（類型值是05H）會指向EBR（Extended Boot Record）。EBR叫做擴展引導記錄，也是一個扇區(qū)，但內(nèi)容比MBR少得多，只有分區(qū)表和結束標志，而且分區(qū)表項只有兩項，第一項指向對應的邏輯分區(qū)，第二項為零，當創(chuàng)建第二個邏輯分區(qū)時，會指向第二個EBR。這是單向鏈表結構，有多少個邏輯分區(qū)，就有多少個EBR連在一起?？偟膩碚f，MBR分區(qū)表是主分區(qū)表，主磁盤分區(qū)最多四個，當有擴展分區(qū)時最多三個。EBR分區(qū)表是邏輯分區(qū)表，每個EBR對應一個邏輯分區(qū)，并鏈接在一起，鏈表頭是MBR分區(qū)表中的最后一項。

圖1 MBR分區(qū)表的鏈表結構

當分區(qū)丟失時，就要想辦法恢復相應的分區(qū)表項，修復的依據(jù)充分利用了丟失分區(qū)的第一個扇區(qū)DBR（DOS BOOT RECORD）中的內(nèi)容。舉個例子，硬盤上有三個邏輯分區(qū)，第二個邏輯分區(qū)被不小心刪除了，系統(tǒng)底層的操作會把第一個邏輯分區(qū)的EBR的第二個表項從指向第二個EBR改為指向第三個EBR，而第二個EBR本身的數(shù)據(jù)并沒有任何變化。此時只要根據(jù)特征搜索到第二個EBR或者第一個邏輯分區(qū)末尾之后的第二個分區(qū)的DBR，就可以把分區(qū)找回了。

3 NTFS文件系統(tǒng)

3.1 分區(qū)引導扇區(qū)

DBR叫作分區(qū)引導記錄，是分區(qū)的第一個扇區(qū)。跟FAT32的DBR一樣，包含了跳轉指令、文件系統(tǒng)ID、BPB參數(shù)、引導代碼和結束標志。其中BPB參數(shù)包含有本分區(qū)的重要信息，位于偏移0BH開始的73個字節(jié)。

圖2 DBR中的BPB參數(shù)

圖3 MFT元文件的起始部分（第一個文件記錄的起始部分）

而從30H開始的8個字節(jié)指向的是十分重要的NTFS中16個元文件中的MFT（Master File Table）主文件表。這16個元文件都以$開頭，是系統(tǒng)級別的隱藏文件，開啟資源管理器的顯示隱藏文件也是看不到的。因為有這些元文件，才能實現(xiàn)比FAT32文件系統(tǒng)豐富得多的功能，比如操作日志、權限管理、空間配額、壓縮、加密等等。

3.2 主文件表

NTFS文件系統(tǒng)非常復雜，MFT主文件表幫助系統(tǒng)定位文件在磁盤上的位置以及包含文件的所有屬性，是數(shù)據(jù)恢復時使用到的最基本、最核心的元文件。圖2中DBR偏移30H的八字節(jié)指明MFT的起始簇號是00000000000C 0000H，乘以每簇4KB（4096）大小，得到偏移地址=C0000H×1000H =C000 0000H。

MFT由一個接一個的文件記錄組成，是文件記錄的數(shù)組。每個文件記錄占用1KB，對應著不同的文件。MFT最開始的16個文件記錄都是元文件的文件記錄，其中第一個是MFT本身，第二個是MFT的前四個文件記錄的鏡像MFTMirr，第八個文件記錄把本分區(qū)開頭的16個扇區(qū)（包括第一個扇區(qū)DBR）作為文件Boot看待，MFT和DBR是互相引用的。

文件記錄包括兩部分，文件記錄頭和屬性列表，最后是結束標志FFFFFFFFH。文件記錄和文件并不是一一對應的，如果文件的屬性很多或者文件存儲在很多不連續(xù)的空間上，就可能對應多個文件記錄。文件記錄頭中偏移14H的兩個字節(jié)表示文件記錄頭的長度是固定的38H字節(jié)，偏移16H的兩個字節(jié)Flag指示了文件的狀態(tài)，一共有四個狀態(tài)：00H表示文件被刪除，01H表示文件正在使用，02H表示目錄被刪除，03H表示目錄正在使用。對應的二進制是00、01、10、11，低位代表是否未刪，第二位代表是否目錄。接下來的數(shù)據(jù)是屬性列表，每個屬性也包含兩部分，屬性頭和屬性體。

屬性頭的信息很豐富。有屬性類型、屬性長度、常駐標志、屬性名、存儲方式（壓縮、加密、稀疏）標志、屬性內(nèi)容等等。屬性類型一共有十幾種，比較重要的屬性類型有30H文件名屬性、80H文件內(nèi)容屬性。當一個屬性內(nèi)容很小，可以存放在1KB的文件記錄中時，就稱為常駐屬性，反之則稱為非常駐屬性，非常駐屬性的屬性體會存放到文件記錄之外的Data Run（數(shù)據(jù)流）中。屬性頭有四個類型：常駐有屬性名的屬性頭、常駐無屬性名的屬性頭、非常駐有屬性名的屬性頭、非常駐無屬性名的屬性頭。前兩者18H字節(jié)長，后兩者40H字節(jié)長。

表1 文件記錄的結構

4 誤刪除的文件恢復

下面以實例來說明如何恢復已刪除的文件。NTFS分區(qū)的根目錄中有兩個文件“數(shù)字微波IP組網(wǎng)筆記.txt”和“數(shù)字微波IP組網(wǎng)筆記.docx”。刪除txt文件后，根據(jù)文件名的Unicode編碼定位到MFT中相應的文件記錄。

文件記錄頭中的Flag標志（偏移16H）已由01H變?yōu)?0H，表示已刪除。不過之后的屬性列表的數(shù)據(jù)并沒有被清除。10H屬性包含基本信息，如只讀、系統(tǒng)、存檔，文件創(chuàng)建時間、修改時間等。30H屬性為文件名，總是常駐的，最大容納255個Unicode編碼的字符。40H屬性是對象ID，也就是這個文件的GUID，長16字節(jié)。它還可能包含原始卷ID、原始對象ID和域ID三個GUID，大多時候都沒用到，本例中就只有對象ID。80H屬性是文件的內(nèi)容，屬性頭中偏移8H的字節(jié)的值是0H，表示常駐屬性，說明文件的內(nèi)容很短，就包含在這個文件記錄中。偏移4H的四字節(jié)表示本屬性長度是D0H，是一個對齊后的長度，偏移10H的四字節(jié)表示屬性體的長度是B3H，偏移14H的雙字節(jié)表示屬性體位于偏移18H，也可以表示屬性頭的長度，因為屬性頭后緊接著屬性體。可以推算出文件內(nèi)容是位于C007D950H至C007DA03H共B3H個字節(jié)。選中這一段數(shù)據(jù)右鍵編輯->復制選塊->至新文件就可以了。

再刪除docx文件，搜索到文件記錄，直接關注80H屬性。

屬性頭偏移8H的字節(jié)的值是1H，表示非常駐屬性。偏移4H的四字節(jié)表示本屬性長度是48H，偏移10H的八字節(jié)表示屬性體（文件內(nèi)容）的起始VCN是0H，偏移18H的八字節(jié)表示結束VCN是15H。所以內(nèi)容占用的0到15H一共16個簇，乘以4KB（4096）等于16000H字節(jié)，與偏移28H的八字節(jié)為屬性值分配大小16000H相同。偏移30H的八字節(jié)表示屬性值實際大小1522EH，偏移38H的八字節(jié)表示屬性值壓縮大小也是1522EH，說明未壓縮。接下來是Data List（數(shù)據(jù)流表），值為“41 16 0C 71 9E 00”，只有一個數(shù)據(jù)流，說明是連續(xù)存儲的文件。第一個字節(jié)41H是一個壓縮字節(jié)，高四位4表示高四個字節(jié)“0C 71 9E 00”為數(shù)據(jù)起始簇號。低4位1表示低一個字節(jié)“16”為數(shù)據(jù)占用簇的數(shù)目。

圖4 數(shù)字微波IP組網(wǎng)筆記.txt的文件記錄

從9E710CH簇號所在的扇區(qū)開始，往后連續(xù)的1522EH字節(jié)，就是這個docx的所有數(shù)據(jù)。以“PK”開頭，和zip文件一樣，因為docx本質(zhì)上是一個壓縮包文件，里面有各種xml格式化文檔和單獨的圖片文件等等。

5 總結

NTFS文件系統(tǒng)比FAT32的復雜度提高了非常多，底層用于管理的數(shù)據(jù)量十分龐大，NTFS的16個元文件中，每個元文件都有最少三個、最多十幾個屬性不等。對于不同元文件中相同類型的屬性，大部分的意義是一樣的。其中有一些屬性可以幫助恢復數(shù)據(jù)，這些屬性分散在各個元文件中，純手工操作過于復雜，建議使用專門的數(shù)據(jù)恢復工具進行操作。

[1]戴士劍，涂彥暉.數(shù)據(jù)恢復技術[M].北京：電子工業(yè)出版社;2005

[2]劉偉.數(shù)據(jù)恢復技術深度揭秘[M].第二版.北京：電子工業(yè)出版社;2016

圖5 數(shù)字微波IP組網(wǎng)筆記.docx的文件記錄中的80H屬性

圖6 數(shù)字微波IP組網(wǎng)筆記.docx的數(shù)據(jù)內(nèi)容