用WinHex實現(xiàn)NTFS文件系統(tǒng)的數(shù)據(jù)恢復(fù)

1、用WinHex實現(xiàn)NTFS文件系統(tǒng)的數(shù)據(jù)恢復(fù)WinHextoAchievewithNTFSFileSystemDataRecovery/QiQinAnoverviewofthestructureofNTFSfilesystem,masterfiletable,filerecords,filerecordsrelatedtoproperty,aswellasdatafilesinthediskfiledataofthetargetedarea.OnNTFSfilesystemdatarecoveryanalysisdone,theuseofWinHexdiskeditortorestorethe

2、deletedfileswerecompletedata.Author'saddressInstituteofEducationScienceandTechnology,XuzhouInstituteofTechnology,Xuzhou,Jiangsu,221008,China隨著科技的進步，計算機教學(xué)已成為現(xiàn)代教育技術(shù)的主要技術(shù)手段，在教育教學(xué)中發(fā)揮著越來越重要的作用。在平時教學(xué)過程中，計算機可實現(xiàn)電子教案與板書演示、CAI輔助教學(xué)、聯(lián)機測試等多種教學(xué)手段，在提高學(xué)生學(xué)習(xí)效率、擴充信息知識量、培養(yǎng)學(xué)習(xí)和動手能力等方面發(fā)揮著重要作用。而這些教學(xué)信息均以文件數(shù)據(jù)的形式存儲在計算機中，一

3、旦遇到系統(tǒng)故障、病毒攻擊、誤刪除或格式化造成數(shù)據(jù)丟失，將影響教學(xué)活動的正常開展。NTFS文件系統(tǒng)基于可恢復(fù)文件結(jié)構(gòu)設(shè)計，在安全性和穩(wěn)定性方面有顯著優(yōu)勢，提供容錯結(jié)構(gòu)日志，為多用戶設(shè)置限制的磁盤配額文件特性，對文件和文件夾有安全驗證和數(shù)字加密，保護系統(tǒng)的安全，不易產(chǎn)生文件碎片，減少用戶數(shù)據(jù)文件丟失或毀壞的危險。由于系統(tǒng)的優(yōu)越性，NTFS已取代FAT成為當(dāng)前主流文件系統(tǒng)。1NTFS文件系統(tǒng)結(jié)構(gòu)分析NTFS文件系統(tǒng)的結(jié)構(gòu)以卷為基礎(chǔ)，卷由邏輯分區(qū)組成。卷以簇為最小存儲管理單元，對磁盤空間和文件對象進行有機操作。簇的大小稱卷因子，每簇可按需要分配1、2、4或8扇區(qū)，為簇2的募且是整數(shù)倍，每扇區(qū)512字節(jié)

4、，由操作系統(tǒng)建立分區(qū)時格式化生成。當(dāng)分區(qū)空間超過2G時,NTFS默認(rèn)簇是8扇區(qū)。NTFS文件系統(tǒng)使用邏輯簇號和虛擬簇號對卷進行管理。邏輯簇號是對卷上所有簇進行順序編號，虛擬簇號是對文件占用簇的編號，以便于引用文件中的數(shù)據(jù)。NTFS#卷定義為4個區(qū)域:分區(qū)引導(dǎo)扇區(qū)、主文件表、系統(tǒng)文件和文件數(shù)據(jù)區(qū)1。分區(qū)引導(dǎo)扇區(qū)位于卷的首扇區(qū)，包括分區(qū)的引導(dǎo)程序和BIOS參數(shù)塊(BPB),BPB表中的參數(shù)是在建立文件系統(tǒng)時由操作系統(tǒng)生成的，系統(tǒng)根據(jù)BPB中參數(shù)得到卷的重要信息，對分區(qū)引導(dǎo)扇區(qū)、主文件表、文件數(shù)據(jù)等進行卷邏輯地址定位。如果BPB參數(shù)丟失,NTFS無法完成數(shù)據(jù)的定位，文件系統(tǒng)將不能正常使用。主文件表(

5、MFT)是由一系列文件記錄組成，與文件數(shù)據(jù)區(qū)中的文件相對應(yīng)的關(guān)系數(shù)組，是NTFS的控制中心。NTFS通過文件記錄來描述數(shù)據(jù)文件的各種屬性并確定其在磁盤上的存儲位置。MFT的前16個文件記錄屬于系統(tǒng)文件，稱為元文件，用于存放系統(tǒng)的元數(shù)據(jù)。元文件在主文件表中地址固定不變，而對其他文件和文件夾的文件記錄在主文件表中的地址則無具體要求。文件記錄由記錄頭、屬性列表和結(jié)束標(biāo)志組成。以“46494C45”為開始標(biāo)志，“FFFFFFFF”為結(jié)束標(biāo)志，大小為1K&NTFS將數(shù)據(jù)文件作為屬性/屬性值的集合來處理，屬性的內(nèi)容是屬性值（流），由簡單字符隊列組成。NTFS并不對文件數(shù)據(jù)進行操作，而通過對屬性流讀

6、寫來對文件進行創(chuàng)建、讀寫、刪除等操作。當(dāng)文件和文件夾的數(shù)據(jù)較小時，其所有屬性和屬性值都可直接存放在文件記錄中，稱為常駐屬性。當(dāng)文件或文件夾的屬性太大而不能直接存放在文件記錄中時，稱為非常駐屬性。NTFS將從主文件表之外的磁盤空間中為非常駐屬性值分配存儲區(qū)域，稱為運行。運行主要說明文件在文件數(shù)據(jù)區(qū)簇的分配情況，由多個運行項組成，一個運行項包含一個虛擬簇號，是屬性數(shù)據(jù)內(nèi)部簇的順序編號;一個邏輯簇號，是數(shù)據(jù)儲存在磁盤上的位置；以及數(shù)據(jù)在磁盤上所占用空間的連續(xù)簇的數(shù)量2。利用文件的邏輯簇號和卷因子相乘得到文件在卷中的物理磁盤地址，NTFS通過這種方法對文件的數(shù)據(jù)區(qū)地址進行定位。2實現(xiàn)NTFS文件系統(tǒng)的

7、數(shù)據(jù)恢復(fù)主要思路在NTFS文件系統(tǒng)中，磁盤上的所有數(shù)據(jù)都是文件，每個文件在主文件表中都有一個文件記錄。在文件創(chuàng)建時，在主文件表中為文件生成一個文件記錄；在文件刪除或者系統(tǒng)格式化時，并沒有破壞磁盤上文件的數(shù)據(jù)信息，而且文件記錄也沒有被刪除，只是更改標(biāo)志（偏移0X16H）的屬性值，并回收文件所占用的空間。實現(xiàn)NTFS文件系統(tǒng)的數(shù)據(jù)恢復(fù)，首先通過分區(qū)引導(dǎo)扇區(qū)的BPB表參數(shù)定位主文件表、文件的文件記錄；分析文件記錄以及記錄中的屬性，獲取數(shù)據(jù)恢復(fù)時所需要的文件信息；確定文件的數(shù)據(jù)區(qū)地址；對刪除文件進行恢復(fù)。2.1對主文件表和文件記錄的定位由于文件是通過主文件表的文件記錄來確定其在文件數(shù)據(jù)區(qū)的存儲位置，因

8、此首先要找到主文件表。主文件表卷起始邏輯地址二卷因子*當(dāng)前卷的主文件表邏輯簇號。通過卷的引導(dǎo)扇區(qū)的BPB參數(shù)，可獲取主文件表和卷因子信息。分區(qū)引導(dǎo)扇區(qū)開始偏移OXDH為卷因子，即每簇扇區(qū)數(shù)；偏移0X30H為主文件表在當(dāng)前卷的邏輯地址。2.2文件記錄屬性分析文件記錄屬性有標(biāo)準(zhǔn)屬性、文件名屬性、數(shù)據(jù)流屬性、位圖屬性等類型3。記錄頭偏移0X16H處為文件使用標(biāo)志，文件系統(tǒng)通過標(biāo)志判斷文件的當(dāng)前使用狀態(tài)。當(dāng)文件刪除時,NTFS并不刪除文件記錄，僅更改文件記錄的使用標(biāo)志值。00表示文件已刪除，01表示文件正常使用，02表示文件夾已刪除，03表示文件夾正常使用。文件名屬性的類型為30H,是常駐屬性，用于存

9、儲文件名。需要注意的是,NTFS的文件名采用Unincode字符集，可支持中文和長文件名，當(dāng)文件名含有超過傳統(tǒng)DOS“8.3”的長文件名時，文件記錄會有2個30H的文件名屬性，第1個是與DOS兼容的短文件名，第2個是完整的長文件名。通過30H屬性判斷是否為所需要恢復(fù)的文件。數(shù)據(jù)流屬性的類型為80H,其中包含有非常駐標(biāo)識、起始虛結(jié)束虛擬簇號、運行的偏移、數(shù)據(jù)的運行項等內(nèi)容。通過分析數(shù)據(jù)流屬性中運行的邏輯簇號和虛擬簇號，來對文件在文件數(shù)據(jù)區(qū)定位。2.3文件數(shù)據(jù)區(qū)的定位數(shù)據(jù)流屬性的開頭為“80000000”，從屬性頭開始第5個字節(jié)起的4個字節(jié)表示屬性的長度。第8個字節(jié)是非常駐標(biāo)識，如果該值是0,為常

10、駐屬性，表示數(shù)據(jù)流存儲在文件記錄中，可在文件記錄中對數(shù)據(jù)直接進行提取操作如果該值為1,說明數(shù)據(jù)存儲在運行中。第17到24字節(jié)共8個字節(jié)表示起始虛擬簇號，第25到32字節(jié)共8個字節(jié)表示結(jié)束虛擬簇號。號。第33字節(jié)表示運行的偏移地址，一般為40H,即從屬性頭偏移64字節(jié)。從運行的偏移處讀出數(shù)據(jù)運行項。在運行中說明各運行項的起始邏輯簇號和該運行項占用的簇數(shù)，從而可以定位每一個數(shù)據(jù)運行，對文件的數(shù)據(jù)進行提取操作。2.4保存恢復(fù)文件通過分析運行項，獲取文件在文件數(shù)據(jù)區(qū)起始和結(jié)束邏輯扇區(qū)地址，直接提取磁盤扇區(qū)上的二進制代碼，并將數(shù)據(jù)保存到其他卷上。3用WinHex數(shù)據(jù)恢復(fù)實例在卷E中存入一個名為xyzzy

11、x.rar的壓縮文件。按Shift+Delete組合鍵，徹底刪除xyzzyx.rar文件。刪除文件后，注意不要對E盤進行寫入操作，也不要對磁盤進行碎片整理、磁盤錯誤掃描等操作。下面介紹實現(xiàn)方法。1）啟動WinHex軟件。點擊“Tool”菜單，選擇"OpenDisk”菜單項，打開卷E。首先定位主文件表，單擊“GoToSector”按鈕，輸入“0”，跳轉(zhuǎn)至分區(qū)引導(dǎo)扇區(qū)。從BPB表開始偏移0X30H0x38H處的值為00000C00H偏移OxDH處的值為08Ho則主文件表的起始邏輯地址為C0000*08=600000H單擊工具欄上“GoToOffset”按鈕，在“Newposition”對

12、話框中輸入主文件表的偏移地址“600000",位置類型選擇Sectors”，在“relativeto”復(fù)選框中選擇“beginning”，單擊確定跳轉(zhuǎn)至主文件表。單擊工具欄上“Findtext”,在文本框中輸入要搜索的文件名“xyzzyx.rar",NTFS里面文件名是用Unincode字符集來表示的,編碼類型選擇“Unincode",搜索方向選擇“Down”。2）經(jīng)過搜索后，光標(biāo)停在記錄的文件名屬性位置上。通過分析30H的文件名屬性，可以看到文件名是“xyzzyx.rar"，確認(rèn)是要恢復(fù)的文件。從記錄頭偏移0x16處使用標(biāo)志值為00,表示文件已被刪除。

13、接著分析80H的數(shù)據(jù)流屬性，偏移0XC029DD38處表示此文件為非常駐屬性。0XC029DD50為運行的偏移值40H,即從第64個字節(jié)開始，偏移0XC029DD7s0xC029DD75為數(shù)據(jù)運行，只有一個運行項32D104E0AE69o0x32H表示該運行項為3字節(jié)的偏移，2字節(jié)的文件長度。文件長度為04D1H,即虛擬簇號。文件的起始邏輯簇號為69AEE0H通過計算可知“xyzzyx.rar”文件的起始邏輯扇區(qū)地址為69AEE0H*8=34D7700H吉束邏輯扇區(qū)地址為(69AEE0H+04DlH)*8=69B3BlH*8=34D9D88H3)單擊工具欄上“GoToOffset”按鈕，在“N

14、ewposition”對話框中輸入文件的起始邏輯扇區(qū)地址位34D7700”，置類型選擇“Sectors”，在“relativeto”復(fù)選框中選擇beginning”，單擊確定跳轉(zhuǎn)。光標(biāo)在二進制代碼“526172211A0700CF”處停下，看右面字符集可知是Rar的ASCII碼，確定是壓縮文件的開頭標(biāo)志。單擊鼠標(biāo)右鍵選擇Beginningofblock”，定義文件的數(shù)據(jù)區(qū)開始。再單擊工具欄上“GoToOffset”按鈕，輸入文件的結(jié)束邏輯扇區(qū)地址“34D9D88"，確定轉(zhuǎn)到后的新位置即為該文件數(shù)據(jù)的結(jié)束，單擊鼠標(biāo)右鍵選擇“Endofblock”。4)依次選擇“EDITIntoNewFile”，輸入文件名“xyzzyx.rar”，保存在桌面，點擊確定