a根据用户输入的文件路径定位该文件的MFT-infoconorg.PPT

数据恢复技术在Anti Rootkit 与Anti Virus中的应用 摘要 数据恢复软件之所以能够恢复数据，是因为数据还存在于硬盘之中，数据恢复软件通过分析仍然保留在磁盘中的文件系统数据结构，将已经删除或者格式化等原因丢失的文件，重新整理出来，并保存成为一个新的文件，这个过程实现数据恢复。 这一技术能否应用于其它方面呢？比如利用这一技术进行Anti Rootkit、清除顽固的恶意程序、提过杀毒引擎扫描速度？ 一 利用数据恢复技术实现文件Anti Rootkit 利用解析文件系统数据结构搜索文件的方式与简单调用windows提供的搜索文件API的对比结果，来分析某个文件是否被Rootkit。 二 利用数据恢复技术对顽固恶意程序进行清除 通过解析文件系统数据结构，定位某个恶意程序在磁盘中的物理位置，直接对磁盘进行写操作，从而实现对恶意软件的清除。 三 提过杀毒引擎扫描速度的方法 这是一种神奇的方法，任何杀毒厂商只要运用这套技术，立刻可以成倍提高扫描文件速度，本方法通过解析文件系统数据结构，定位文件数据，直接通过磁盘I/O访问文件头固定大小数据块，进行病毒库匹配。比传统的调用文件访问Api速度能显著提高，同时这种方法是可以AntiRootkit的。 数据恢复原理 数据恢复软件之所以能够恢复数据，是因为数据还存在于硬盘之中，数据恢复软件通过分析仍然保留在磁盘中的文件系统数据结构，将已经删除或者格式化等原因丢失的文件，重新整理出来，并保存成为一个新的文件，这个过程实现数据恢复。 数据恢复原理 任何一种文件系统，都可以认为由两种数据构成， 1.用户数据，即我们通常说的文件，保存的是用户的程序、文档、图片、专业数据等； 2.文件系统数据，用于管理用户数据的数据。这些数据用来记录用户数据的一些属性，比如文件名、文件产生和修改以及访问的时间信息、文件大小信息、文件存储信息等，用户通过这些文件系统数据可以对文件进行各种操作。 数据恢复原理 以NTFS文件系统为例的数据恢复 一、几个名词 1、元数据文件 数据恢复原理 数据恢复原理 以NTFS文件系统为例的数据恢复 一、几个名词 2、MFT(master file table) 是NTFS卷结构的核心，系统通过MFT来确定文件在磁盘中的位置以及文件的所有属性（attribute），MFT由许多文件记录（file record）组成，在NTFS卷中每个文件至少有一个MFT。 它是NTFS文件系统中最为重要的系统文件，它包含了NTFS分区中所有文件的信息。可以把MFT看成是文件系统用于管理文件的数据库。 数据恢复原理 数据恢复原理 数据恢复原理 数据恢复原理 Anti Rootkit 利用解析文件系统数据结构搜索文件的方式与简单调用windows提供的搜索文件API的对比结果，来分析某个文件是否被Rootkit。 Anti Rootkit NTFS与B+树 B+树是一种双向的数据结构，它是一颗双向的树，既可以从根找到叶子，也可以从叶子找到根，NTFS即采用这种数据结构 因此，NTFS卷中，有两种方法可以来实现文件的遍历： 一、从根目录开始，遍历其文件索引（Index）信息，依次遍历所有的节点。 二、依次访问$MFT中每一个MFT，获取其中父目录信息，并一直访问到根目录，以确定每个文件的完整目录。 用方法二只需要访问$MFT文件，而无需访问散列在磁盘中的所有目录的文件索引，因此遍历的速度更快，本例子采用方法二。 Anti Rootkit NTFS卷中 文件Anti Rootkit 过程 1、获取$MFT在卷中的起始位置； 2、依次访问$MFT中的一个MFT，如果是目录，则放弃，如果是文件，转3； 3、通过MFT中$FILE_NAME属性获取文件名； 4、通过MFT中$FILE_NAME属性获取其父目录文件参考号（每个文件和目录都有文件参考号，这个参考号可以看成是$MFT中从0开始的序号）； 5、通过父目录文件参考号访问其父目录的MFT，并通过这个MFT中$FILE_NAME属性获取该目录文件名，并获取此父目录的父目录文件参考号，重复步骤5，直至其父目录为根目录； 6、通过以上步骤，可以获取到文件的完整路径，再使用Win32API CreateFile来打开文件，如果打开失败，除去权限等原因，则可以判断此文件是被Rootkit的。 Anti Rootkit NTFS卷中 文件Anti Rootkit 过程 1、获取$MFT在卷中的起始位置； //NTFS BOOT扇区结构 #pragma pack(push, 1) typedef struct NTFS_BOOT_SECTOR { BYTE byAJmp[3];