当前位置:文档之家› 基于NTFS文件系统的数据恢复技术

基于NTFS文件系统的数据恢复技术

点 分析 了 NT S文件 系统 的主 文件表 MF 文件 记 录 的结构 和 文件 的几 个 关键 属性 ( 文件名 , F T、 即 标 准信息 . 数据 流等 ) 并在 此基础 上通 过 分析 文件删 除前后 文件属 性值 的 变化 , 数据 恢复 的具 , 对
体 方 法 和 过 程 进 行 了详 细 的 阐述 。
要 由 引 导 扇 区 、 文 件 表 f s rFl al, T 、 很 多重 要信 息 , 主 Mat i T be MF ) e e 包含 了每簇 扇 区数 、 区的扇 区总 分
系统 文件 和文 件存 储 区域 等 4个部 分组 成 .其分 数 、 T的起 始逻 辑 簇 号 、 件 系 统标 识 等信 息。 MF 文 区结 构 如图 1 示 所 在 NF T S中 .分 区上 的所 有 数据 都 是 以文 件 的形
通 过分 析文件 删 除前后 文 件属 性值 的变化 .提 出 多少 .文件 记 录的大小 都 将是 固定 不变 的 .且为 和实现 N F T S文件 系统 下数 据恢 复 的方法 1 KB 。 2 NT S 文 件 系统 介 绍 、 F 2 分 区引导 扇 区 ) NF T S和 F T 2文 件 系统 在 结 构上 几 乎 是完 A3 在操作 系统 引导 的过程 中 .分 区 引导扇 区起 全 不 同的两种 文件 系 统 . T S自身具 有很 多 新 的 着 很重 要 的作 用 .其 中存储 着 和卷 文件 相关 的结 NF
件 在磁 盘上 的详 细存 储 位置 。主 文件 表 由一系列 文 件记 录组 成 , 是一个 与文 件对 应 的数据 库 . 中 卷
【 关键 词 】 数 据恢 复 ; F ; : NT S 文件 系统
1 引 言 、
1N F ) T S数据 存储结 构
在NF T S文 件 系统 中 .对文 件 进行 存 取 都是 随着 信息 化社会 的快速 发展 及 电脑 的广泛 应 用. 使用 计算 机进行 犯 罪 的案件 越来 越 多 , 给人 们 按 照簇分 配 的 . 而每个簇 都 是物 理扇 区 的整 数倍 , 但 TS 和社 会造 成 了巨大 的财产 损失 。 而 . 了逃脱 公 并且 簇 大小是 物理扇 区的 2的整数 次 方 . N F 然 为 安 机关 的打击 .犯罪 分 子经 常将 计算 机上 的犯 罪 文 件系统 里 .簇 的大 小则 是 由格式 化程 序根 据卷 数据 信息 彻底删 除 .或将 分 区甚 至整个 硬 盘进 行 的 大 小 自动 分 配 。N F T S要使 用 逻 辑 簇 号 ( g  ̄ 1i oc
21 0 2年第 5期
福 建 电

8 1
基于 N F T S文件 系统 的数 据恢 复技 术
张 明 旺 (要 1 :针 对 用 户在 NT S文件 系统 下 由于误操 作 ,造成硬 盘上 的数 据被误 删 除或格 式 F 化等数 据丢 失 的情 况 下 . 出如何 恢 复数 据 的 方 法。通 过 对 NT S文件 系统结构 的详 细介 绍 , 提 F 重
的在 计算机 上恢 复 出犯 罪证 据 .成为切 实 打击 犯 时 . 过 L N来对 整 个卷 中的所 有簇 从头 到 尾按 通 C
罪 的一个关 键 因素 照顺 序进 行编 号 . 卷 因子乘 以 L N. 可 以得到 将 C 就 N F ( w T cn lg i ytm. 技 术 文 卷上 物理 字节 的偏移 量 .从而 可去 顶物 理磁 盘 的 T SNe eh ooyFl Sse 新 e 件系 统1是 在 Widw 操 作 系统 上应 用 十分 广泛 详 细地址 。V N则是对 特定 文件 的簇从 头 到尾按 no s C 和 大 力 发 展 的 一 种 文 件 系 统 本 文 首 先 通 过 对 照顺 序进行 编号 , 方便 引用文 件 中的数据 。 NF T S文 件 系 统 的结 构 和 数 据 存储 结 构 进 行 了详 在NF T S中 ,卷 上 的所有 的数 据信 息 都存 储 细介 绍 .重点 分 析 了 N F T S文 件 系统 的 主文 件表 在文 件 中 , 当中包含 了引 导程序 ( 这 即用 来获 取及 MF 文件 记 录 的结 构 和文 件 的几个 关 键属 性 ( T、 即 定位 文件 的一 种数据结 构 ) 以及位 图文 件 ( 录卷 记 文件名 、 准信 息 、 据流 等属 性 ) 并在 此基 础 上 使 用情 况 和大小 ) 标 数 , 。一般 来说 , 不论簇 的大小 会是
特征 , 比如 安 全 性 、 错 性 、 容 文件 压 缩 和 磁 盘配 额 构 信息 和启 动 引导程序 等 操作 系 统在 建立 文件 等 , 是相对 其他 系统 特 殊 的地 方 N F 都 T S分 区主 系统 时 ,生成 的 B B参 数记 录着 N F P T S系统 中 的
格式 化操 作 . 从而使 得 重要 的犯 的罪 证 据丢 失 . 给 c s rn m e .简 称 L N 和 虚 拟 簇 号 (i u l t u br ue C ) vn M 案件 的取证 带来 极 大 的困难 。 因此 , 如何迅 速 准确 c s r u b r l t m e ,简 称 V N)来 对簇 进行 定 位 , uen C 同
式 存 储 的 3 文 件 表 MF 主 T
图 1NT S分 区 区域 划 分 F
主 文 件 表 MF T在 N F T S文 件 系统 中 处 于 最
8 2
福 建 电

2 1 第 5期 0 2年
核 心 、 重 要 的地 位 , 过 MF 最 通 T可 以确 定 所 有 文 很 长 时 间 才 被 重 新 分 配
相关主题

相关文档推荐: