关于HFS+文件系统数据恢复研究.docVIP

关于HFS+文件系统数据恢复研究 　　【 摘 要 】 本文首先介绍HFS+磁盘的文件系统结构，然后介绍了HFS+文件系统存储和删除数据时的工作流程；在此基础上针对HFS+文件系统存储文件时的特点，对在其环境下恢复文件的可能性进行了探讨，通过对进入废纸篓文件的恢复、完全删除的文件的恢复以及对磁盘的关键字搜索和虚拟内存的搜索这三方面初步证明了在HFS+的系统中对文件进行数据恢复是可行的。 　　【 关键词 】 数据恢复；分层文件系统；电子物证 　　1 引言 　　在Windows盛行的年代中，使用苹果操作系统的人可以谓之小众，始终在3%～8%之间徘徊。因此也不难理解几乎难以见到对苹果的操作系统MacOS及苹果的专用文件系统HFS+取证探讨的文章。随着苹果公司的发展以及苹果在iPhone手机上的成功，人们的目光也开始转移到苹果公司的电脑上来，数据显示苹果电脑的用户在与日据增。因此，对苹果的操作系统及对HFS+的数据恢复需求也亟需跟上步伐，对HFS+文件系统的数据恢复也具有了重要的意义。而iPhone手机和iPad平板电脑的文件系统也是HFS+，因此，对HFS+文件系统的数据恢复的研究，对于iPhone手机和iPad平板电脑的数据恢复也有一定的指导作用。 　　2 HFS+文件系统概述 　　所谓HFS，即分层文件系统（Hierarchical File System）的缩写。它是一种由苹果公司开发的文件系统，常用于大型存储介质，如硬盘、CD及DVD、苹果的操作系统（Mac OS），都是采用此种文件系统作为首选及默认的文件系统来管理文件。 　　而HFS+则是由苹果于1998年发布的HFS改良版文件系统，它主要改进了HFS 文件系统的结构和对数据管理中存在的不足。 　　3 HFS+磁盘存储数据原理 　　3.1 HFS+磁盘的文件系统结构 　　除了普通的文件夹和文件之外，一个HFS+卷还包括数据结构。 　　（1）保留区：出现在卷的最开头和最末尾。 　　（2）卷头：包含此卷的各种信息，包括此卷的其它重要系统结构的分配信息，卷头有一个备份卷头，被分配在靠近此卷末尾的位置。 　　（3）目录B树：存储所有文件及目录的基本数据元信息，包括每个文件的前一至八个扩展信息（如果它存在后面的七个扩展信息的话）；文件系统的分层结构也通过存??父子节点关系的方式记录在其中。 　　（4）扩展溢出B树：存储超出八个扩展后溢出的扩展信息。 　　（5）属性B树：存储了文件和目录的扩展属性。 　　（6）日志文件：用来保存文件系统日志以及日志文件自己的信息。 　　以上的各个实体中，对文件恢复有帮助的主要有三个文件：卷头、目录B树、日志文件。接下来我们将对这三个文件进行进一步地了解。 　　3.2 卷头 　　从卷的开始到1024字节为卷的保留区，之后的512字节称之为卷头信息。卷头信息包含了各种重要的数据结构的分配位置。不同于卷头，也不同于NTFS和FATS，HFS+的其它数据结构文件没有一个固定的分配区，只有通过卷头才到找到这些数据结构文件的分配位置。卷头可以看成是整个操作系统或者磁盘工具读取此卷的必经之起点。 　　在卷头最开始的HFS Plus Volume及HFS Plus Volume Header中能看到这个卷的一些基本信息，之后的Allocation Bitmap File、Extents Overflow File、Catalog File、Attributes File及Startup File的信息对我们的数据恢复来说则显得额外重要，这此信息分别表示了这些数据结构文件的位置及大小，，有了这些信息，我们就可以直接导出相应的数据结构文件，来对整个文件系统进行研究。 　　3.3 目录文件 　　目录文件描述的是卷内文件和目录的分层信息。它即作为保存所有文件及目录重要信息的容器，也作为他们的目录。文件的目录信息中最关键的部分就是扩展（extents）这个信息。 　　在extents中有三项：startBlock、blockCount和% of file，分别表示的是开始的块、所使用的块的数目和在这些块中拥有此文件的百分比，简称扩展百分比。得知这三项之后，我们就可以知道这个文件的内容在何位置，被分为了多少个扩展，每个扩展的扩展百分比是多少。 　　如果文件被分成了多个扩展，它将会以多行的形式写在extents下面。如果扩展数目超过了八个，则大于八的扩展会被写到扩展溢出文件中。 　　在以上的假设的情况下，只要找到了目录文件中Data Fork中的extents信息，得到了startBlock和blockCount的数据，则就可以方便地找到文件的内容所在的位置。如果说1.txt的startBlock为28380（0x6edc），bl