NTFS文件系統(tǒng)數(shù)據(jù)恢復(fù)教學(xué)研究

權(quán)建軍

摘要：NTFS文件系統(tǒng)是Windows操作系統(tǒng)中最常用的文件系統(tǒng)之一。本文介紹了NTFS文件系統(tǒng)，根據(jù)高職數(shù)據(jù)恢復(fù)教學(xué)實(shí)際情況，通過實(shí)驗(yàn)的方法，研究了NTFS文件系統(tǒng)的文件定位與文件刪除后的數(shù)據(jù)定位方法。

關(guān)鍵詞：NTFS；文件定位；數(shù)據(jù)恢復(fù)

中圖分類號(hào)：TP309.3 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9416（2018）06-0076-02

NTFS（New Technology File System）是微軟在Windows NT及后續(xù)的各個(gè)版本的操作系統(tǒng)中廣泛采用磁盤文件格式，被用來代替FAT文件系統(tǒng)，成為主流文件系統(tǒng)之一。

NTFS文件系統(tǒng)中文件管理體系比較復(fù)雜，理論教學(xué)難度較大，針對(duì)高職數(shù)據(jù)恢復(fù)教學(xué)，探索突出實(shí)踐簡(jiǎn)化理論的數(shù)據(jù)恢復(fù)教學(xué)方法就顯得十分必要。

1 NTFS概述

NTFS文件系統(tǒng)的結(jié)構(gòu)如圖1所示。其第一個(gè)扇區(qū)為引導(dǎo)扇區(qū)，即DBR扇區(qū)。在DBR扇區(qū)之后，是15個(gè)扇區(qū)的NTLDR區(qū)域，這16個(gè)扇區(qū)共同構(gòu)成$BOOT文件。在NTLDR后（但不一定是物理上相連的）是主文件表（Master File Table，MFT）區(qū)域。主文件表由文件記錄構(gòu)成，每個(gè)文件記錄占2個(gè)扇區(qū)。NTFS文件系統(tǒng)的主文件表記錄了一些非常重要的系統(tǒng)數(shù)據(jù)，稱為“元文件”，包括了用于文件定位和恢復(fù)的數(shù)據(jù)結(jié)構(gòu)、引導(dǎo)程序數(shù)據(jù)及整個(gè)卷的分配位圖等信息。

2 NTFS文件系統(tǒng)數(shù)據(jù)定位

為了掌握NTFS文件系統(tǒng)數(shù)據(jù)定位，將磁盤分區(qū)格式化為NTFS，創(chuàng)建2個(gè)文件。分別為“123456.txt”和“MYQ1.JPG”。

通過WinHex軟件的Boot Sector NTFS模板，得到磁盤每簇有8個(gè)扇區(qū)，每扇區(qū)有512B，$MFT在786432簇，即6291456扇區(qū)。

下面分別進(jìn)行兩個(gè)文件的定位。

查找滿足扇區(qū)起始文本為“FILE0”，并包含有文本“123456.txt”的扇區(qū)。如不滿足條件，按“F3”繼續(xù)查找。這樣就可以查找到文件“123456.txt”所對(duì)應(yīng)的$MFT文件記錄，如圖2所示。

可以看出，文件“123456.txt”，其內(nèi)容為“56 44 43 46 45 48 54 11”，文本為“VDCFEHT”，為常駐屬性。

同樣，查找滿足扇區(qū)起始文本為“FILE0”，并包含有文本“MYQ1.JPG”的扇區(qū)。圖3是滿足條件的扇區(qū)。

從該扇區(qū)看出，這就是MYQ1.JPG的文件記錄，其80H屬性用來管理文件的數(shù)據(jù)。該80H為非常駐屬性，Run List的取值為“11 03 24”，如圖4所示，只有1個(gè)數(shù)據(jù)流，說明文件是連續(xù)存放的，沒有碎片。

下面對(duì)數(shù)據(jù)流進(jìn)行分析。

數(shù)據(jù)流的起始簇號(hào)24H，即36*8=288扇區(qū)；從文件記錄還可以看出數(shù)據(jù)流的大小為“2D 96”字節(jié)，即11670B。跳轉(zhuǎn)到288扇區(qū)，進(jìn)行選塊開始操作。再計(jì)算選塊結(jié)束字節(jié)位置：147456+11670= 159126B（注意是十進(jìn)制），進(jìn)行選塊結(jié)束操作。

將選塊數(shù)據(jù)編輯，創(chuàng)建新文件，另存為.JPG格式，打開發(fā)現(xiàn)與“MYQ1.JPG”文件一致。

3 NTFS文件系統(tǒng)數(shù)據(jù)刪除與恢復(fù)

用“shift+del”組合鍵將2個(gè)文件徹底刪除并進(jìn)行恢復(fù)。

查找文本包含“123456.txt”，“FILE0”的$MFT文件記錄。得到的文件記錄與文件未刪除時(shí)比較，其30H屬性、80H屬性都沒有發(fā)生變化，文件文本內(nèi)容為“VDCFEHT”。

再查找文本包含“MYQ1.JPG”，并且扇區(qū)起始文本為“FILE0”的$MFT文件記錄。得到的記錄與文件未刪除時(shí)比較，其30H屬性、80H屬性都沒有發(fā)生變化，Run List的取值仍為“11 03 24”。

經(jīng)過前面的分析可知，數(shù)據(jù)流的起始簇號(hào)24H，即36*8=288扇區(qū)；從文件記錄還可以看出數(shù)據(jù)流的大小為“2D 96”字節(jié)，即11670B。通過與前述方法一樣的塊操作，將塊數(shù)據(jù)建立文件，與原文件MYQ1.JPG完全一致。

4 結(jié)語

通過實(shí)驗(yàn)的方法，研究了NTFS文件系統(tǒng)的數(shù)據(jù)定位和數(shù)據(jù)恢復(fù)方法。通過實(shí)驗(yàn)操作，大大簡(jiǎn)化了理論分析，降低了數(shù)據(jù)恢復(fù)的難度，取得了很好的教學(xué)效果。

參考文獻(xiàn)

[1]劉偉.數(shù)據(jù)恢復(fù)技術(shù)深度揭秘（第2版）[M].北京：電子工業(yè)出版社，2016.

[2]趙振洲.數(shù)據(jù)恢復(fù)技術(shù)案例教程[M].北京：機(jī)械工業(yè)出版社，2017.

[3]趙雙峰，等.Windows NTFS下數(shù)據(jù)恢復(fù)的研究與設(shè)計(jì)[J].計(jì)算機(jī)工程與設(shè)計(jì)，2008，29（2）：306-308.

Abstract：NTFS file system is one of the most commonly used file system in Windows operating system. In this paper， NTFS file system is introduced. According to the actual situation of data recovery teaching in higher vocational colleges， the paper studies the file location and the data recovery method after NTFS file is deleted through the experiment method.

Key words：NTFS；file location；data recovery