朱云娜，徐 玲

（1．辽宁广播电视大学信息工程学院，沈阳110161；2．中国电子科技集团公司第四十七研究所，沈阳110032）

基于Windows的数据安全删除

朱云娜1，徐 玲2

（1．辽宁广播电视大学信息工程学院，沈阳110161；2．中国电子科技集团公司第四十七研究所，沈阳110032）

Windows操作系统采用文件管理系统来对存储介质中的数据信息进行管理，FAT32（文件配置表）和NTFS（新技术文件系统）是Windows操作系统中应用非常广泛的两种文件管理系统。随着信息技术的发展，通过Windows操作系统对数据进行删除已经不能满足用户将数据安全彻底删除的要求。针对FAT32和NTFS对数据的管理方式和存储结构的特点，详细分析了Windows系统下数据不能完全删除的原因，通过检索目录项和检索元文件确定数据在FAT32和NTFS文件系统的位置，采用0／1多次深入覆写的方法覆盖磁盘上的数据，设计出对数据进行安全删除的算法，同时根据该算法开发了相应的Windows应用程序，实现了基于Windows的数据安全删除。

FAT32文件系统；NTFS文件系统；0／1多次深入覆写；Windows操作系统；数据安全；安全删除

1 引 言

Windows作为美国微软公司推出的操作系统，从1985年问世至今，无论在个人应用方面，还是企业应用方面都占据着垄断地位。数据作为计算机应用的核心，其安全也成为了计算机安全的核心问题。对于数据，用户会产生如何将那些已经使用过并不再使用的关键数据进行安全彻底删除的问题，伴随数据恢复技术的不断进步，通过Windows操作系统对数据进行删除已经不能满足用户将数据安全彻底删除的要求。由于Windows操作系统通过文件管理系统来管理存储介质中的数据，因此，将通过对文件管理系统的详细深入分析，设计出基于Windows的数据安全删除方法。

2 文件管理系统介绍

文件管理系统是操作系统的重要组成部分，负责数据的存储、组织和访问；文件管理系统可以提高访问效率、安全存储和便捷操作等功能。

Windows操作系统通常采用的文件管理系统有FAT32和NTFS两种。

FAT32是一种由微软发明并拥有部分专利的文件系统，供MS－DOS使用，也是所有非NT核心的微软窗口使用的文件系统。FAT32拥有简单、消耗资源少的优点，几乎所有电脑的操作系统都支持。这些特性使它成为理想的U盘和存储卡文件系统，也适合用做不同操作系统中的数据交流［1］。

NTFS是一种由微软发明并拥有全部专利的文档系统，同时NTFS也被应用为Windows NT以及之后的Windows 2000、Windows XP、Windows Server 2003、Windows Server 2008、Windows Vista和Windows 7的标准文件系统。NTFS具有可靠的安全性与稳定性，进而取代了文件分配表文件系统，成为Microsoft的Windows系列操作系统专门提供文件系统。NTFS对原有文件系统作了若干改进，例如，支持元数据，并且使用了高级数据结构，以便于改善性能、可靠性和磁盘空间利用率，并提供了若干附加扩展功能，如访问文件系统日志与控制列表；NFTS采用了B＋树的结构来管理文件在磁盘上的位置，由于采用了B＋树结构，保证了文件目录增大时，NTFS也不会出现明显的性能下降［2］。

3 文件管理系统详细分析

3．1 文件管理系统使用的单位

文件通常使用到的单位包括扇区（磁盘上的每个磁道被等分为若干个弧段，每一个弧段就为磁盘的一个扇区）和簇（一个簇包含2的N次方个扇区，具体大小由操作系统规定）。扇区为文件管理系统使用的最基本空间单位，通常情况下每扇区为512字节。簇为Windows操作系统对磁盘文件管理的最小空间单位，通常情况下，FAT32每簇包含16个扇区，NTFS每簇包含8个扇区［3］。计算机中的数据存储是通过文件的形式保存的，由于操作系统管理空间单位是簇，而一个簇即使没有完全使用，其他文件也不能使用，这就导致了文件占用空间通常会比文件的实际大小要多，造成空间浪费。

3．2 FAT32文件管理系统

FAT32文件系统以分区为单位对数据进行管理，文件管理系统从分区的第1个扇区（逻辑0扇区）即引导扇区提取系统所需的数据，FAT32文件系统的引导扇区包含跳转指令、OEM代号、BPB表、引导程序、结束标志［4］。

根据BPB表中的数据信息可以得到当前分区数据区的起始扇区，当前分区的根目录如图1所示。

图1 分区根目录

根目录所对应的信息如图2所示，从中可以看出，每个文件（文件夹）都会对应一个目录项，而目录项会根据名称的长度占用不同的大小，当文件（文件夹）的名称很短时，目录项只占用32字节，当文件或文件夹的名称较长时，目录项会占用32的整数倍字节。

图2 FAT32根目录信息

3．3 NTFS文件管理系统

NTFS文件系统同样以分区为单位对数据进行管理，NTFS从分区的第1个扇区（逻辑0扇区）即引导扇区提取系统所需的数据，NTFS文件系统的引导扇区包含跳转指令、OEM代号、BPB表、引导程序、结束标志［5］。当分区被格式化为NTFS文件系统后，NTFS文件系统会生成很多保存重要信息的文件，这些文件被称为NTFS文件系统的元文件，元文件名称的第一个字符为“$”，用户是无法通过操作系统访问和修改的，对用户是隐藏的［6］。

NTFS文件系统以文件的形式来管理数据，每一个文件都对应一条文件记录，NTFS文件系统拥有16个元文件，而且元文件保存的位置和顺序是固定的［7］。$MFT：$MFT自身管理；$MFTMirr：$MFT前四条文件记录的镜像；$LogFile：日志文件，保证系统失败时能够恢复NTFS卷；$Volume：卷文件，包含NTFS版本信息和磁盘损坏标志位；$Attrdef：属性定义表，保存文件是否可以被索引和恢复等信息；$ROOT：根目录，保存分区内所有文件和目录的索引；$Bitmap：位图文件，每一bit表示分区中的一个簇；$Boot：引导文件，保存操作系统的引导程序代码；$BadClus：坏簇文件，记录损坏簇信息，防止使用损坏的簇；$Secure：安全文件，保存整个分区的安全描述符数据库；$UpCase：大写文件，保存一个大小写字符转换表；$Extended meadata directory：扩展元数据目录；$Extend＼$Reparse：重解析点文件；$Extend＼$UsnJrnl：变更日志文件；$Extend＼Quota：配额管理文件；$Extend＼$ObjId：对象ID文件。

无论是NTFS文件系统建立的元文件，还是用户创建的文件，每个文件都会对应一条文件记录，而每一条文件记录的大小是固定的，占用2个扇区（1KB）；文件记录由文件记录头与属性列表组成，文件记录头的长度与各种信息的偏移量是固定的，而属性列表是可变的；而且属性有常驻与非常驻之分［8］。

10H属性：文件的基本属性，文件的创建、修改时间，硬链接数等信息；20H属性：用来描述文件的属性列表；30H属性：用来描述文件的名称等信息；40H属性：用来保存文件记录的全局ID信息；50H属性：用来保存SID信息和组SID信息；60H属性：保存文件记录所在卷的名称；70H属性：保存文件记录所在卷的版本和状态信息；80H属性：保存文件的数据内容，文件数据较多时会采用非常驻；90H属性：保存索引信息A0H属性：保存索引信息，文件比较多的情况下使用，通常为非常驻；B0H属性：保存虚拟簇的使用情况表；C0H属性：保存重解析点信息；D0H属性：扩展情况描述属性；E0H属性：扩展属性；100H属性：EFS加密属性。

4 针对文件管理系统数据安全删除的方法

4．1 算法思想

FAT32文件管理系统通过检索目录项信息可以获取文件的目录项位置与文件数据的起始扇区与数据占用簇数；NTFS文件管理系统通过检索$ROOT元文件，通过文件记录中的索引信息逐级递归便可以获取分区内文件的文件记录位置与文件数据的起始扇区与数据占用簇数［9］。通过向指定扇区多次0／1覆写，可删除文件数据，安全彻底删除文件信息。本算法执行的逻辑流程图如图3所示。

3．2 算法实现核心代码

通过Windows提供的API接口GetLogicalDrive Strings（）与GetDriveType（），获取计算机中的硬盘与移动硬盘信息。以下代码以NTFS文件系统为例。

图3 算法流程图

5 结束语

充分研究了在Windows操作系统下计算机上硬盘中的数据不能被彻底删除的原因，在此基础上详细分析了Windows操作系统中常用的文件管理系统FAT32和NTFS的文件存储方式与文件组织结构，并采用了0／1覆写的方式安全覆盖了数据内容，同时根据该算法开发了相应的Windows应用程序，极大地弥补了Windows操作系统自带删除功能的不足，充分保证了数据可以被安全删除。

［1］ 罗流毅．FAT32文件系统总结［J／OL］．http：／／wenku．baidu．com／view／fd51f7bbfd0a79563c1e7297．html．Luo LiuYi．FAT32 file system summary［J／OL］．http：／／wenku．baidu．com／view／fd51f7bbfd0a79563c1e7297．html．

［2］ 张明旺．基于NTFS文件系统的数据恢复技术［J］．福建电脑，2012（5）：81－82．Zhang Mingwang．Data recovery technology based on NTFS file system［J］．Fujian computer，2012（5）：81－82．

［3］ 戴士剑，涂彦辉．数据恢复技术［M］．北京：电子工业出版社，2005．Dai Shijian，Tu Yanhui．data recovery technology［M］．Beijing：Electronic Industry Press，2005．

［4］ 唐迪，魏英．存储介质数据销毁技术研究［J］．技术探讨，2012（1）：8－10．TangDi，WeiYing．Research on the Technology of Storage Medium Data Destruction［J］．Technology and Study，2012（1）：8－10．

［5］ 黄陇，李虎．Windows核心编程［M］．北京：机械工业出版社，2008．HuangLong，LiHu．Windows core programming［M］．Beijing：Machinery Industry Press，2008．

［6］ 白杨，陈启祥．NTFS下涉密数据软清除方法的研究与实现［J］．软件导刊，2010（4）：159－161．BaiYang，Chen Qixiang．Research and implementation of the removal of classified data under NTFS［J］．Software Guide，2010（4）：159－161．

［7］ 周润妮．计算机硬盘软故障数据恢复技术浅探［J］．西昌学院学报（自然科学版），2012（2）：78－81．Zhou Runni．Exploration on Data Recovery of Soft Faults of Computer Hard Disk［J］．Journal of Xichang College（NATURAL SCIENCE EDITION），2012（2）：78－81．

［8］ 聂元铭，曾志，黄燕宏．计算机数据修复与维护［M］．北京：科学出版社，2006．Nie Yuanming，ZengZhi，Huang Yanhong．Computer data repair and maintenance［M］．Beijing：Science Press，2006．

［9］ 李培．硬盘数据恢复技术的研究实现［J］．制造业自动化，2010（12）：194－196．LiPei．Research and practice of hard disk data recovery technology［J］．Manufacturing automation，2010（12）：194－196．

Data Security Deleted Based on Windows Operating System

Zhu Yunna1，Xu Ling2
（1．Information Engineering Institute，LiaoNing Broadcast and TV University，Shenyang 110161，China；2．The 47th Research Institute of China Electronics Technology Group Corporation，Shenyang 110032，China）

The Windows operating system uses the file management system to manage the data information in the storage medium．The file management system both FAT32（file allocation table 32）and NTFS（new technology file system）are applied widely in Windows operating system．With the development of information technology，the data deletion by Windows operating system cannot meet the user＇s requirements of complete and security deletion for the data．According to the characteristics of FAT32 and NTFS Data Management and storage structure，the reason that the windows system data cannot be completely removed is analyzed．By searching the directory and file meta to determine the location of the data in the FAT32 and NTFS file systems，using 0／1 multiple depth override methods to cover disk data，the algorithm for data securty deletion is designed and corresponding windows application program is developed to realize security deletion based on windows data．

File allocation table 32；New technology file system；Total 0 and total 1 multiple Depth Overrides；Windows operating system；Data security；Security deletion

10．3969／j．issn．1002－2279．2015．04．015

TP309．3

A

1002－2279（2015）04－0057－04

朱云娜（1980－），女，山东省肥县人，硕士研究生，研究方向：计算机应用。

2015－04－02