NTFS文件系统数据恢复教学研究
2018-10-31权建军
权建军
摘要:NTFS文件系统是Windows操作系统中最常用的文件系统之一。本文介绍了NTFS文件系统,根据高职数据恢复教学实际情况,通过实验的方法,研究了NTFS文件系统的文件定位与文件删除后的数据定位方法。
关键词:NTFS;文件定位;数据恢复
中图分类号:TP309.3 文献标识码:A 文章编号:1007-9416(2018)06-0076-02
NTFS(New Technology File System)是微软在Windows NT及后续的各个版本的操作系统中广泛采用磁盘文件格式,被用来代替FAT文件系统,成为主流文件系统之一。
NTFS文件系统中文件管理体系比较复杂,理论教学难度较大,针对高职数据恢复教学,探索突出实践简化理论的数据恢复教学方法就显得十分必要。
1 NTFS概述
NTFS文件系统的结构如图1所示。其第一个扇区为引导扇区,即DBR扇区。在DBR扇区之后,是15个扇区的NTLDR区域,这16个扇区共同构成$BOOT文件。在NTLDR后(但不一定是物理上相连的)是主文件表(Master File Table,MFT)区域。主文件表由文件记录构成,每个文件记录占2个扇区。NTFS文件系统的主文件表记录了一些非常重要的系统数据,称为“元文件”,包括了用于文件定位和恢复的数据结构、引导程序数据及整个卷的分配位图等信息。
2 NTFS文件系统数据定位
为了掌握NTFS文件系统数据定位,将磁盘分区格式化为NTFS,创建2个文件。分别为“123456.txt”和“MYQ1.JPG”。
通过WinHex软件的Boot Sector NTFS模板,得到磁盘每簇有8个扇区,每扇区有512B,$MFT在786432簇,即6291456扇区。
下面分别进行两个文件的定位。
查找满足扇区起始文本为“FILE0”,并包含有文本“123456.txt”的扇区。如不满足条件,按“F3”继续查找。这样就可以查找到文件“123456.txt”所对应的$MFT文件记录,如图2所示。
可以看出,文件“123456.txt”,其內容为“56 44 43 46 45 48 54 11”,文本为“VDCFEHT”,为常驻属性。
同样,查找满足扇区起始文本为“FILE0”,并包含有文本“MYQ1.JPG”的扇区。图3是满足条件的扇区。
从该扇区看出,这就是MYQ1.JPG的文件记录,其80H属性用来管理文件的数据。该80H为非常驻属性,Run List的取值为“11 03 24”,如图4所示,只有1个数据流,说明文件是连续存放的,没有碎片。
下面对数据流进行分析。
数据流的起始簇号24H,即36*8=288扇区;从文件记录还可以看出数据流的大小为“2D 96”字节,即11670B。跳转到288扇区,进行选块开始操作。再计算选块结束字节位置:147456+11670= 159126B(注意是十进制),进行选块结束操作。
将选块数据编辑,创建新文件,另存为.JPG格式,打开发现与“MYQ1.JPG”文件一致。
3 NTFS文件系统数据删除与恢复
用“shift+del”组合键将2个文件彻底删除并进行恢复。
查找文本包含“123456.txt”,“FILE0”的$MFT文件记录。得到的文件记录与文件未删除时比较,其30H属性、80H属性都没有发生变化,文件文本内容为“VDCFEHT”。
再查找文本包含“MYQ1.JPG”,并且扇区起始文本为“FILE0”的$MFT文件记录。得到的记录与文件未删除时比较,其30H属性、80H属性都没有发生变化,Run List的取值仍为“11 03 24”。
经过前面的分析可知,数据流的起始簇号24H,即36*8=288扇区;从文件记录还可以看出数据流的大小为“2D 96”字节,即11670B。通过与前述方法一样的块操作,将块数据建立文件,与原文件MYQ1.JPG完全一致。
4 结语
通过实验的方法,研究了NTFS文件系统的数据定位和数据恢复方法。通过实验操作,大大简化了理论分析,降低了数据恢复的难度,取得了很好的教学效果。
参考文献
[1]刘伟.数据恢复技术深度揭秘(第2版)[M].北京:电子工业出版社,2016.
[2]赵振洲.数据恢复技术案例教程[M].北京:机械工业出版社,2017.
[3]赵双峰,等.Windows NTFS下数据恢复的研究与设计[J].计算机工程与设计,2008,29(2):306-308.
Abstract:NTFS file system is one of the most commonly used file system in Windows operating system. In this paper, NTFS file system is introduced. According to the actual situation of data recovery teaching in higher vocational colleges, the paper studies the file location and the data recovery method after NTFS file is deleted through the experiment method.
Key words:NTFS;file location;data recovery