Windows NTFS下硬盘格式化数据恢复技术探究.docVIP

Windows NTFS下硬盘格式化数据恢复技术探究摘要：随着信息化进程的深入推进，信息发展在给人们的日常生活与工作带来便捷的同时，也给人们带来一系列的信息安全问题，如数据丢失，信息被盗等，因此不断探索和完善计算机数据恢复技术成为当前一项重要的课题。本文针对Windows NTFS下硬盘格式化数据恢复技术进行了深入地分析，以期解决因硬盘格式化而造成的数据丢失问题。 关键词：Windows NTFS；硬盘格式化；数据恢复；数据结构 中图分类号：TP309.3 文献标识码：A 文章编号：1007-9599 (2012) 10-0000-02 硬盘，通常由多个分区组合而成，是计算机存储数据的重要场所。倘若硬盘中某个分区一旦被不小心格式化，那么在该分区中存取的数据将相应地被丢失掉，倘若整个硬盘的分区都被不小心格式化，则所有被保存的数据均会被丢失。所以，对硬盘格式化数据进行有效的恢复，探索硬盘格式化数据恢复技术成为当前一项重要的课题。 一、基于Windows NTFS硬盘的格式化数据恢复程序设计 当用户以高级格式化的方式对一个NTFS卷进行格式化时，计算机中的格式化程需会将根目录中的索引与Bitmap元数据中的内容自动地予以清除。但是，保存在根目录之外的索引、数据及MFT并未被完全清除掉，其MFT上对该卷上的所有信息记录得十分详细，如该文件创建的时间，该文件创建的文件名、该文件存取数据时的簇号等。所以，倘若在硬盘中的数据未被全部覆盖前，对硬盘的格式化数据予以恢复，从理论意义上说可能性非常大。但倘若用户对一个 NTFS 卷进行低级格式化，格式化程序便会通过某个数字将该卷的数据区加以填充，而此时对格式化数据加以恢复是较为困难的。但就目前受到高度关注且应用广泛的Windows操作系统来说，其格式化方式基本以高级格式化为主，具体从体现在以下几个方面： （一）获得文件名属性和数据属性。在NTFS文件系统中，MFT作为主控文件表对文件的所有属性及文件在磁盘中的具体位置都记载的非常清楚，而集合了所有文件的MFT则被存放在MFT区域的空间中，而该MFT区域空间比例约占了整个磁盘空间的12%。所以，一旦寻找到MFT 区域的起始位置，便能将所有文件的MFT找到，所有文件的文件名属性及数据属性自然也就可以获取。 （二）获取MFT区域起始位置。在对NTFS 卷进行格式化后，若仍是NTFS文件系统，则可通过BPB参数将MFT区域的起始位置快速地寻找到，若文件系统得以改变，如格式化后变为FAT32文件系统，可以从16扇区开始扫描MFT的起始位置。因为NTFS格式中，MFT的前面16项只用以储存元数据文件，然后才是用以建立文件夹或者文件的MFT。因此可以通过这个特点快速的获取MFT区域的起始位置。 （三）生成目录结点。在使用程序对格式化的数据进行恢复时，需要查找出与每个文件相关的目录名，用以恢复操作。在每个MFT项中偏移2CH处，就能查找到该文件或者MFT中记载该文件时所保存的编号，而若在30H属性中偏移18H处，则可以轻易地将父目录中所记录的文件参考号寻找出来。倘若未能将有关的目录信息找寻出来，可以通过将根目录的名称设置成父目录的形式，来寻找相关的信息，如以DIR形式的目录名进行查找。 （四）重构目录树。NTFS格式中的目录结构通常情况以为B+树形结构得以体现，所有子节点的定位数据组成了整个树目录，而树目录所需要的定位数据信息则被较好的保存在索引分配属性，所以只要通过索引分配属性中保存的定位信息则能够促进目录树重构的实现。同时，可以利用每个MFT项中记录的文件或文件夹MFT编号，和父目录的文件参考号查找出跟该文件相关的目录数据信息，使用递归算法来重构目录树。 （五）数据恢复操作。查找出以上数据信息后，在储存位置重新建立一个与之相对应的文件及目录，待文件所记录的物理地址读取完后，再对该文件所记载的数据流属性予以判断，如果其数据流属性是常驻属性，那么可将文件数据读取后，再重新定义到新件文件当中，而如果其数据流属性并非为常驻属性，那么需从头到尾对每个运行的数据进行读取，待读取完后再重新写入文件中，从而确保能够对丢失的文件进行一定的数据恢复。 二、恢复程序中主要数据结构的介绍 （一）DBR 的结构 typedef strNTFS_DBR{ BYTE LogDr; WORD BPSector; BYTE SPCluster; BYTE MDescriptor; LARGE_INTEGER TSectors; LARGE_INTEGER MCluster; LARGE_INTEGER MSCluster; LARGE _ INTEGER M irrSCluster; LARGE_ INTE