（信息与通信工程专业论文）windows下数据恢复的研究.pdf

中文摘要 中文摘要 数据恢复作为信息安全领域一个研究课题，已经有十几年的发展历史了。国 外数据恢复的研究起步最早，现在已经有比较成熟的商用数据恢复软件和商用数 据恢复机，比如美国的o n 仃a c k 公司开发出了e a s 卿v e f y ，俄罗斯的硬盘实验室 a c e 开发出了p c 3 0 0 0 数据恢复机；国内的数据恢复研究起步较晚，但是发展很 快，现在比较权威的是以戴士剑先生为代表的军方研究所和以涂彦晖先生为代表 的数据恢复公司。目前计算机取证技术已经逐渐成为信息安全领域的一个热点。 而作为计算机取证当中比较重要的一个功能模块数据恢复，在实际的取证过 程中越来越体现出它的重要性。但是数据恢复的核心技术，由于涉及到商业利益， 所以一般都没有公布出来，这对于数据恢复技术本身的发展和完善造成了障碍。 本文的主要目的就是讲述w i n d o w s 下数据恢复研究开发的整个过程，希望能 对推动数据恢复技术本身的发展和完善做一点贡献。本文对w i n d o w s 下数据恢复 中的技术重点和难点进行了说明，总结了数据恢复的研究方法，对数据恢复算法 进行了分类讨论。 本文中的基础性理论大都是基于现有的数据恢复研究成果，但是对于有些关 键的基础性理论，比如对簇号和扇区号的转换公式，f a t 扇区数公式做了改进， 对簇大小的选择也进行了讨论。本人在f a t 3 2 下做了大量实验，重点研究了口3 2 下连续存储文件的数据恢复算法；对难点f a t 3 2 下离散存储的数据恢复提出了自 己的算法；提出了n t f s 下顺序存储和离散存储的数据恢复算法，并编程实现； 提出了汀3 2 下和n t f s 下已删除目录树的建立算法，并编程实现；另外本文还 对f a t 3 2 下被删除文件名的完整恢复提出了恢复算法。 本文在文章的最后对数据恢复的发展提出了展望，本人也希望更多的研究者 能在本文已有研究成果的基础上对数据恢复技术的发展做出自己的贡献。 关键词：w i n d o w s ，数据恢复，f a t 3 2 ，n t f s a b s tr a c t d a t ar e c 0 v 坝a sar e s e 砌6 e l d i ni i l f o 溉a t i o ns e 谢坝h a s b e e n d e v e l o p i n gf o r m o r e 廿1 锄t e ny e a r s r e s e a 暂c h e r so ff o 崩萨c o u n t r i e sl i k eu s a a i l di 沁s s i ae l l g a g e 1 i s r e s e 觚湘f i e l de a r l i e rm a n 蹦n a s o m e 缸n o l l 8d a t ar e 幻v e 巧唧越e si nu s a h a ：v e p r o d u c e ds o m em 删c o m m 耐a ls o r w a r e sf o rd a t ar e c o v 哪，恤l es o m ee x c e l l e n t d a t ar e c o v e r yr e s e a r c hi n s t i 删砖i i li h s s i ah a v e p r o d u c c ds o m ep r o f e s s i o n a lc 0 姗m e 而a l m a 出n 豁f o rd a t ar c c 0 yf 0 r e x a l l 叩l e ，o l l t r a c k ，a 鼬l o u sd a t ar e c o v 唧c o m p a n yi i l u s ah 淞p r o d u c e dm 删c o m m e r c i a ld a t ar e c 0 v e 巧s o n w a 陀c a s y r e c o v e r ya n d a c e ，a l le x c e l l e n td i s kl a b o t a t o 巧i nr u s s i ah a sp r o d u c e dap r o f i s s i o n a l 黝e r c i a l 咖煳v e 巧m a 出n e - p c 3 0 0 0 a l t h o u 曲r c s e a r c h e r so fo l 】rc o u n 时s t 印l a t emt b i s 矗e l d ，t h e ym a s t e f 吐l e o r i e so fd a t a 黝硼眵q u i c 蛐ya n d0 0 n t r i b u t em u c ht ot b i sr e s e a r c h 6 e l do fo u rc o u l l t 彤f o rc x a i 】叩l e ，o n ed i s t i n g u i s h e dr e s e a r c h e rd a i s 1 1 i i i a l lw h os e r v 铬 f o r 锄：i l ya n dt h eo m e rd i s t i n g u i s h e dr e s e a r c h e rt u 灿i 、地os e e sf o r 唧a i l y p u b l i s hm a l l yb o o l 【sw h i c hc 趾h e l pn o v i c e so ft l l i sf i e l dm a s t e r 虹o w l e d g eo fd a t a r e c o v e 哆q m 嘲ya tp r e s 胁t c o m p u t e ff o 蕾e 1 1 s i ch 嬲b e c o m eh o tp o i n ti nr c s e a r c hf i e l d o fh l f l o 瑚a i t o ns e 训咄d a t ar e c 0 v e 巧t l l a ti sm er a t h e ri m p o r t 锄tf i m c t i o nm o d di i l c 0 r n p u t e rf o r e i l s i ch 嬲s h o w e di t sv a l u em p r a c t i c e h o w e v d a t ar e c o v e r y ，sk e 玎1 e l 搬衄o l o 舀e sr e l a t e ：t 0c o n m e r c i a ln e r e s t ，s 0m e y 绷t p u b l i s h e di np u b l i cb ym o s e r e s e a r c h e r si 1 1c 0 m p a i l i e s f ；mt 1 1 e s ea 嘶o i l sr e s u l ti no b s t a c l e s 缸r e s e a r c ho fd a t a r e c o v e 哕f o r 咖d e n t s ，、) l 临c hm a ：k ea ：叫l o rf e e lv e 巧d 印r e s s e dw h e nh es t l l d i e sd a t a r e c o v e 巧t oc o m p l e t eac o m p u t e r 南r e n s i cs o r w a r e t 1 1 i sp a p c rm a i n i yd e s c r i b e sm e 、) l ，h o l e p r o c e s so fs t u d yo fd a t ar e c o v e r yi n w m d o w si no r d e rt od 0s o m ec o n t r i b u t i o nt 0 p u s hd e v e l o p m 锄ta 1 1 di n l p r o v 锄髓to f ( i a t ar e c o v e 巧t e c l l l l o l o g y 1 1 1 i sp a p e rp o i n t so u tf o c u s e sa n d d i 伍c u l t i e s 、礼e i lv o ua r e 锄g a g e dmd a t ar e c o v e 哆咖d yi i lw i n d o w s t h i sp a p e rs h a - e ss u c c e s s 允1s t i j d yw a y s 锄de x p e n e i l c e sw i me v e 巧r e a d e r a i l ds l l m m 耐z e sd i 能r e n tf i l e d a t a - e c o v e r v a l g o n t h 脚c o n s i d e r i n gd i 脑e 1 1 ts t o r a g ew a y so ff i l ed a t ai z ld i 彘r e n tf i l es y s t e i l li n w i n d o w s t l l i sp a p e ra l s om 呐d u c e sh o wt or e c o n s t m c td e l e t e df i l e sa 1 1 df o l d e r s ，t r e ei n d i 仃e r e n tf i l es y s t e mi nw i n d o w s a b s t r a c t m a n yb a s i ct h e o r i e sa p p e a r e di nm i sp a p e ra r ei n h 谢t e df h o mp u b l i s h e db o o k sa 1 1 d s t u d yp a p e r si nd a t ar e c o v e r y6 e l d h o w e v e r a u t h o ri m p r 0 v e ss o m ek e y b a s i cm e o r i e s b a s e do nm a n ye x p 甜m e n t s f o ri n s t a l l c e ，m ec o n v e r s i o nf o 衄u l ao fc l u s t e rm n b e r 锄d s e c t o rn u 玎出e ra n dc o u n tf o n i l u l ao ff a t ss e c t o r a u m o ra l s 0i n 们d u c e sh o wt 0c h o o s e s i z eo fc l u s t 优a u t h o rd o e sa1 a r g e 伽1 1 1 b e ro fe x p 甜m e l l t si n 副订3 2i nw i n d o w st 0 s 砌ym ed a t ar e c o v e r ya l g o r i m m s 南rf i l ed a t ao fs e q u e i l c es t o r a g ei nf 3 2 撇dt h i n k o u taw a yt or e s o l v ed i 伍c u l tp r 0 _ b l e m0 f 1 1 0 wt or c c o v e rf i l ed a t ao fs c a t t e r e ds t o r a g e a u t h o ra l s o 衄n k so u to fa l g o r i n l m st 0r e s o l v ep r o b l e mo fh o wt or e c 0 v e rf i l ed a t ao f s e q u e l l c es t o m g ea n d f i l ed a t ao fs c a t t e r e ds t o m g ei nn t f s a u m o r 百v e so u t a 1 嘶t 1 1 m so fh o wt 0s e tu pd d e t c df i l e sa 1 1 df o l d e r s 缸优i l lf a t 3 2a n dn t f s 试 w 协d o w s f u r t h e rm o r e ，a u m o rs e 砌e sh o wt 0c o m p l e t e l yr e c o v e rd e l e t e d6 l e l l 锄ei l l f 3 2i n 气1 1 d o w s ml a s tc h a p t e ro fm i sp a p a u 1 0 rr e f - e r st 0m ed e v e l o p m e n to fd a t ar e c o v e h e a l s oh o p e st h a tm o r ea n dm o r ef 0 1 l o w e dr c s e 卸c h e r sc a ng a i nm o r e 伊e a ta c h i e v e i n e i l ti n d a t ar e c o v e 巧r e s e a r c h6 e l db a s e do nt h i sp a p e r si d e a r sa i l da l g o r i m m s k e y w o r d s ：w i n d o w s ，d a t a c o v 哪f a t 3 2 n t f s i 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工 作及取得的研究成果。据我所知，除了文中特别加以标注和致谢的地 方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含 为获得电子科技大学或其它教育机构的学位或证书而使用过的材料。 与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明 确的说明并表示谢意。 签名：釜：壹 日期：认。亨年歹月。旧 关于论文使用授权的说明 本学位论文作者完全了解电子科技大学有关保留、使用学位论文 的规定，有权保留并向国家有关部门或机构送交论文的复印件和磁 盘，允许论文被查阅和借阅。本人授权电子科技大学可以将学位论文 的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或 扫描等复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后应遵守此规定) 签名：重旁导师签 日期： 第一章绪论 1 1课题背景 第一章绪论 “数据恢复 技术，顾名思义、就是面对计算机系统遭受误操作、病毒侵袭、 硬件故障、黑客攻击等事件后，将用户的数据从各种“无法读取 的存储设备中 拯救出来，从而将损失减到最小的技术。随着信息化热潮在中国的不断推进，越 来越多的企事业单位在工作中引人了电脑系统来辅助工作，越来越多关系企业正 常经营的重要信息也被保存在电脑系统中，信息安全逐渐被人们所重视。正是数 据恢复技术在构筑数据安全保护底线方面所处的特殊地位，使数据恢复的重要性 正在被r r 业广泛关注。据i d c 调查分析：数据存储量以年均8 0 的速度增长，从 1 9 9 9 年的1 8 4 6 4 1 t b 增加至2 0 0 6 年的1 6 l e b ，这一信息量是所有已出版书籍信息 总量的3 0 0 万倍。到2 0 1 0 年，这个数字将增长到9 8 8e b ，呈现5 7 的复合年增长 率。当越来越多的用户习惯于把重要资料保存到电脑中的时候，却不得不面对数 据可能丢失的尴尬。即便是数据保存、备份方面花费不菲的企业用户如银行和证 券业，也无法保证自己的数据百分之百不被破坏。数据恢复技术就是在这样的大 背景下应运而生，井由此形成了一个潜力可观的市场【l 】。 数据修复技术在国外已有二十多年的发展历史，形成了专门的技术领域，数 据修复产业颇具规模。仅在北美就有4 0 0 多家数据修复公司，其中不乏像o l 燃、 c b l 等快速发展的知名公司，一年的市场营业额达1 5 亿美元，且每年以5 0 的 速度递增。相比之下，我国数据修复市场还处于初级阶段，在各方面都还有待于 提高u j 。但市场潜力巨大，据来自中投咨讯网的统计数据，中国电脑用户在2 0 0 7 年1 2 月为止，有6 7 1 0 万。假设每年有l o 电脑遭受病毒侵犯或误操作而需要数 据恢复，那么这个数字就达6 7 1 万。如果这些数据丢失的用户有1 0 需要数据恢 复服务，那么这个数字也将达6 7 1 万。即使以每台电脑的修复费用最低价3 0 0 一5 0 0 元计算，一年的市场总额也有将近3 亿元。尽管有数据存储灾难备份技术，某些 极其重要的数据更是配备了多重备份，但某些不可避免的因素，如病毒、黑客、 系统故障和误操作及硬件故障等各种情况的出现，还是会对企业和个人的重要数 据造成不同程度的危害。世界著名的权威研究机构w e s t w 0 r l d 公司在报告中指出： 电子科技大学硕士学位论文 1 0 0 兆核心数据的价值超过1 0 0 万美元；每5 0 0 个数据中心一年中就有一个要经历 一次灾难，其中2 9 的公司可能因此倒闭。可见，数据修复的重要性不言而喻， 同时预示数据恢复产业的规模会不断壮大。近来各城市电子市场的数据恢复中心 如雨后春笋般的涌现，就是最好的明证【l 】。 由于计算机取证技术的发展，取证人员发现，当前无论是传统犯罪还是新型 犯罪，或多或少都与数字化信息有关，如计算机，作案时不可避免地会在计算机 的存储介质中留下数据“痕迹引。虽然，由于计算机技术的普及以及犯罪嫌疑人 出于本能，总会想方设法抹去遗留下的数据“痕迹州川。但是，在一定条件下，利 用数据恢复技术是可以再现这些“痕迹的一j 。取证人员在进行数据恢复的时候， 主要还是依靠国外数据恢复软件和数据恢复机。国内目前这方面研究出于领先地 位的是以戴士剑先生为代表的军方研究所和以涂彦晖为代表的国内公司。但是由 于数据恢复技术有较高的技术含量，不管是国外的资料还是国内的专业书籍都没 有讲透，使得很多从事这方面的研究人员不得不从零开始。本课题来自与计算机 取证软件中的数据恢复模块，基于现有的资料，目的是研究透彻w i n d o w s 下数据 恢复的原理，并设计出计算机取证系统的数据恢复模块。 1 2 国内外研究背景 由于国外数据恢复的研究起步较早，所以现在已经形成了比较系统的数据恢 复解决方案。数据恢复的方式可以分为软件恢复、硬件恢复见图1 一l 【1 1 。 图l l 数据恢复方式 硬件恢复可分为硬件替代、固件修复、盘片读取三种恢复方式，硬件替代就 是用同型号的好硬件替代坏硬件达到恢复数据之目的，如硬盘电路板的替代、闪 存盘控制芯片更换等。固件是硬盘厂家写在硬盘中的初始化程序，一般工具是访 问不了的。固件修复，就是用硬盘专用修复工具，如p c 3 0 0 0 等，修复硬盘固件， 2 第一章绪论 从而恢复硬盘数据。盘片读取就是在1 0 0 级的超净工作间内对硬盘进行开盘，取 出盘片，然后用专门的数据恢复设备对其扫描，读出盘片上的数据【l 】。 软件恢复可分为系统级恢复与文件级恢复。系统级恢复就是操作系统不能启 动，利用各种修复软件对系统进行修复，使系统工作正常，从而恢复数据。文件 级恢复，就只是存储介质上的某个应用文件坏，如d o c 文件坏，用修复软件对其 修复，恢复文件的数据【l 】。 数据恢复技术发展到目前为止，有如下几个技术层次【l 】： 1 2 1软件恢复与简单的硬件替代 就是用网上能够找到的数据恢复软件，如e a s 姗v e 巧、r e c o v e r 、 l 0 s t & f o u n d 、f i n a l d a 乜i 、d i s kr e c o v e r 等等，可以恢复误删除、错误格式化，分区 表损坏，但又没有用其他数据覆盖的数据，这些软件对这样的数据的恢复的成功 率达9 0 以上。但前提是在b i o s 中能够认硬盘。如果b i o s 不能找到硬盘，可以 采用简单硬件替代的方法，如同型号的好硬盘的电路板替代坏硬盘的电路板，看 b i o s 能否识盘。同样对闪存盘，可用同型号的控制芯片替代之。目前电子市场上 的大多数所谓的数据恢复中心，基本上都是用这样的方法，但这种方法处在数据 恢复的最低层次j 。 1 2 2 用专业数据恢复工具恢复数据 目前最流行的数据恢复工具有俄罗斯著名硬盘实验室- a c el a b o r a t o 巧研究 开发的商用的专业修复硬盘综合工具p c 3 0 0 0 、h i 盯2 0 【1 1 。数据恢复机h a r d w a r e i n f 0e x 妣t o r 、h i e 2 0 0 等，p c 3 0 0 0 和h i 汀2 o 可以对硬盘坏扇区进行修复，可以 更改硬盘的固件程序。h i e 2 0 0 可以对硬盘数据进行硬拷贝。这些工具的特点都用 硬件加密，必需购买。目前市场上拥有这些工具的数据恢复中心，寥寥无几【1 1 。 1 2 3 采用软硬件结合的数据恢复方式 用数据恢复的专门设备对数据进行恢复。用这种方法恢复数据，关键在于恢 复用的仪器设备。这些设备都需要放置在超净无尘工作间里面，而且这些设备内 部的工作台也是级别非常高的超净空间。这些设备的恢复原理也是大同小异，都 是把硬盘拆开，把磁碟放进机器的超净工作台上，然后用激光束对盘片表面进行 扫描，因为盘面上的磁信号其实是数字信号( 0 和1 ) ，所以相应地，反映到激光束 电子科技大学硕士学位论文 发射的信号上也是不同的。这些仪器就是通过这样的扫描，一丝不漏地把整个硬 盘的原始信号记录在仪器附带的电脑里面，然后再通过专门的软件分析来进行数 据恢复。可以说，这种设备的数据恢复率是相当惊人的，即使是位于物理坏道上 面的数据，由于多种信息的缺失而无法找出准确的数据值，也可以通过大量的运 算，在多种可能的数据值之间进行逐一代入，结合其他相关扇区的数据信息，进 行逻辑合理性校验，从而找出逻辑上最符合的真值。这些设备只有加拿大和美国 生产，不但价格昂贵，而且由于受有关法律的限制，进口非常困难。不过国内少 数数据恢复中心，采用了变通的办法。就是建立一个1 0 0 级的超净实验室，然后 对于盘腔损坏的硬盘，在此超净实验室中开盘，取下盘片，安装到同型号的好硬 盘上，同样可达到数据恢复的目的【l 】。 1 2 - 4 数据，恢复的终极方式深层信号还原法 以上所讲的数据恢复都有一个前提，就是数据没有被覆盖。对于已经被覆盖 的数据、完全低格、全盘清零、强磁场破坏的硬盘，仍然有终极的数据恢复方式， 这种数据恢复方法叫，“深层信号还原 。从硬盘磁头的角度来看，把数据拷贝进 原来没有数据的新盘和拷贝进有数据的旧盘，是没有分别的，因为这时候磁头所 读取到的数字信号都是一样的。但是对于磁介质晶体来说，情况就有点不一样了， 以前的数据虽然被覆盖了，但在介质的深层，仍然会留着原有数据的“残影 ，通 过使用不同波长、不同强度的射线对这个晶体进行照射，可以产生不同的反射、 折射和衍射信号，这就是说，用这些设备发出不同的射线去照射磁盘盘面，然后 通过分析各种反射、折射和衍射信号，就可以帮助“看到 在不同深度下这个磁 介质晶体的残影。根据目前的资料，大概可以观察到4 _ 5 层，也就是说，即使一 个数据被不同的其他数据重复覆盖4 次，仍然有被“深层信号还原”设备读出来 的可能性。当然，这样的操作成本无疑是非常高的，也只能用在国家安全级别的 用途上，目前世界范围内也没有几个国家可以拥有这样的技术，只有极少数规模 庞大的计算机公司和不计成本的政府机关能拥有这样级别的数据恢复设备而且这 样的设备，主要都是由美国人掌捌1 1 。 除了以上这些数据恢复的方式外，数据恢复的难易程度还与设备和操作系统 有关。单机的硬盘和w i n d o w s 操作系统的数据恢复相对简单。而服务器的磁盘 阵列和u n 等网络操作系统的数据恢复就比较复杂，因而数据恢复的收费比单 机高得多 1 1 。 4 第一章绪论 1 3 论文的主要特色、工作以及章节安排 本课题是与司法厅合作的计算机取证与鉴定系统中的一个功能模块：数据恢 复。在参考了国内外关于数据恢复的著作的基础上，对w i n d o w s 下f a t 3 2 和n r f s 文件系统的已删除文件数据进行手动恢复，并总结出f a t 3 2 和n t f s 下针对不同 存储情况的数据恢复算法，以及f a t 3 2 和n t f s 下已删除文件树的生成算法并编 程实现。本论文是对自主开发的数据恢复程序的一个解析，同时也阐述了数据恢 复成功的可能性。 1 3 1 论文的特色 汀3 2 下被删除文件名的完整恢复。 盯3 2 下连续存储被删除文件的恢复算法。 f 3 2 下离散存储被删除文件的恢复算法。 f a t 3 2 下被删除目录和文件的目录树的建立。 n t f s 下连续存储被删除文件的恢复算法。 n t f s 下离散存储被删除文件的恢复算法。 n t f s 下索引树的建立。 n t f s 下基于索引树的被删除目录和文件的目录树的建立。 1 3 2 本人的工作 在f a t 3 2 下对文件和目录两种数据文件分别进行存储和删除前后的比较 和研究。对饮t 、j p g 、e x e 文件格式按照研究发现的规律进行手动恢复，并总结出 恢复算法。 在f a t 3 2 下根据手动恢复中发现的顺序存储情况，改进现有的顺序存储 恢复算法，增加了对数据的文件类型进行判断，提高了文件恢复成功的几率。根 据手动恢复中发现的离散存储情况，提出并实现了离散存储恢复算法，并根据磁 盘存储文件的特点提出了简单的前后项比较离散存储恢复算法和基于目录树的离 散存储恢复算法。 根据汀3 2 下文件名的存储规律，提出并实现了f a t 3 2 下文件名的完整 恢复算法。 f a t 3 2 下已删除文件目录树的研究和实现。在树型存储结构中根据树型控 电子科技大学硕士学位论文 件显示的特点设计出了孩子兄弟链数据结构，实现了存储和显示的一致性。 n t f s 下对文件和目录两种数据文件分别进行存储和删除前后的比较和研 究。对m f t 分配和空闲磁盘区分配做了有针对性的实验，总结出m f t 分配和空 闲磁盘区分配的规律。 根据这些规律给出了数据恢复成功的前提条件。对僦、j p g 、e x e 文件格 式按照发现的规律进行手动恢复，并总结出恢复算法。根据在手动恢复中发现的 顺序存储情况，提出并实现了顺序存储恢复算法。根据在手动恢复中发现的离散 存储情况，提出并实现了离散存储恢复算法。 对n t f s 下索引树进行研究。在实现索引树的过程中，发现索引树的存储 存在和微软公布的文档以外的情况，总结出目录树自动搜索算法，最后实现索引 树的生成。 对n t f s 下已删除文件树的研究和实现。根据目录和文件删除后的不同特 点，设计出n t f s 下已删除文件目录树的恢复算法。 1 3 3 论文章节安排 本文共六章，各章具体的内容安排如下： 第一章，介绍了数据恢复的课题背景，国内外研究现状，论文的主要工作、 特色以及章节安排。 第二章，f a t 文件格式介绍。主要介绍汀文件格式里面比较重要的知识点， 包括引导扇区结构和它的数据结构、f a t 数据结构、盯目录项结构。 第三章，基于彤汀3 2 文件格式，阐述该格式下已删除文件的数据恢复的原理。 然后借助w i l 州e x 阐述已删除文件的手动恢复，接着详细解析了f a t 3 2 文件格式 下数据恢复软件的实现，包括如何找到删除的文件和目录、已删除文件英文文件 名的恢复、已删除中文文件名的恢复、如何建立已删除文件的目录树、连续和离 散存储文件的恢复算法。 第四章，n t f s 文件格式介绍，介绍了n t f s 文件格式里面比较重要的知识点， 包括引导扇区结构和它的数据结构、n t f s 总体结构、n t f s 下主控文件表、n t f s 下属性介绍、n t f s 下元数据文件分析、n t f s 的树型目录、目录的m f t 和文件 索引的结构。 第五章，基于n t f s 文件格式，阐述该格式下已删除文件的数据恢复的原理。 然后借助w i n h e x 阐述已删除文件的手动恢复，接着详细解析n t f s 文件格式下数 6 第一章绪论 据恢复软件的实现，包括n t f s 索引目录树的建立、n t f s 已删除文件树的建立、 连续和离散存储的n t f s 误删除文件的数据恢复。 第六章，结论部分，对课题研究工作进行总结，并对进一步进行数据恢复的 研究和系统完善提出了设想和建议。 7 电子科技大学硕士学位论文 第二章f a t 文件格式介绍 目前w i n d o w s 系统中运用比较广泛的文件系统，包括汀( 汀3 2 、r 订1 6 ) 、 n t f s 等。本章将详细阐述f a t 文件系统的原理，并重点介绍汀、f d t 、d 触渔 等f a t 文件系统区域。在介绍数据区域之前，先给出硬盘数据存储总体结构。有 几个地方值得注意：当硬盘没有扩展分区时，就没有扩展分区表了，那么硬盘数 据结构到表中的第8 项就结束了；当不只有一个扩展分区时，第2 个扩展分区结 构类似于表2 1 第9 1 7 项的结构【5 1 。 表2 1 硬盘总体结构表【5 】 序号名称占用扇区数 l 主引导扇区m b s 1 2保留扇区 6 2 3 第1 个分区的引导扇区d b s 1 4 保留扇区一般为3 2 5 第1 个分区的耶汀1占用空间由磁盘大小和f a t 类型来定 6第1 个分区的f a t 2大小同f a t l 7 第1 个分区的根目录区 3 2 8第1 个分区数据区第一个分区剩余空间 9 保留扇区 6 3 1 0扩展主引导扇区 1 1 1 保留扇区 6 2 1 2 第2 个分区的引导扇区d b s 1 1 3保留扇区一般为3 2 1 4 第2 个分区的f a t l占用空间由磁盘大小和汀类型来定 1 5 第2 个分区的f a t 2 大小同f a t l 1 6第2 个分区的根目录区 3 2 1 7 第2 个分区数据区第二个分区剩余空间 1 8保留扇区6 3 第二章f a t 文件格式介绍 1 9 下一个扩展主引导扇区 1 2 0 在主引导扇区之后，从o 柱面o 磁头2 扇区到o 柱面0 磁头6 3 扇区这6 2 扇区空间为系统保留，为以后的其他特殊用途留有余地【6 】。 在系统保留扇区后是第一个系统的引导扇区d b s 。它位于o 柱面1 磁头1 扇 区。d b s ( d i s kb o o ts e c t o r ) 除了引导程序部分d b r ( d i s kb 0 0 tr e c 0 _ d ) ，还有一个重 要的b p b 参数表，记录了保留扇区、f a t 、f d t 等在各个分区中的起始位置p j 。 系统在磁盘分区上逻辑地划出若干个大小相等地“簇，每个簇都有一个逻辑 编号，文件在磁盘上地存放并不是连续的，为了让系统了解文件数据在磁盘上的 分配情况，从而能够建立、管理和访问文件。f a t l 6 、鞘l t 3 2 系统采用f a = i 簇链的 方式来实现，过程大致如下：f a t 区中被逻辑地划分出若干个f a t 项，每个f a t 项有一个逻辑编号，不同汀结构的f a t 项的长度是不一样的，汀1 6 结构的分 区中每个f a t 项占用1 6 位，鼢盯3 2 结构的分区中每个f a t 项占用3 2 位，这个编 号对应了数据区中的若干个簇【6 1 。 f a t l 和f a 舵是两个完全一样的f a t ，系统同时建立两套完全一样的f a t 链， 这样做的目的是当d 1 损坏时可以用l t 2 进行恢复1 5 】。 在r 玎区后面是系统的根目录区，由若干目录项组成【5 1 。 在根目录区后面是文件的数据区，这个区域中存放的是用户和系统建立的文 件数据，这个区被逻辑地划分成了若干个大小相等的簇，从而便于系统管理和使 用文件阎。 2 1 引导扇区结构 引导扇区( b o o ts e c t o r ) 是系统格式化分区时产生的。引导扇区分为主引导扇 区m b s ( m a s t e r b o o ts e c t o r ) 和分区引导扇区d b s ，在介绍主引导扇区前，需要了解 m b r ( m a s t e rb 0 0 tr e c o r d ) 扇区和m b s ，m b r 称主引导记录，m b s 称主引导扇区， 位于整个硬盘的o 柱面o 磁头1 扇区，它在b i o s 和操作系统之间起到一个桥梁的 作用1 。计算机在被按下p o w e r 键后，开始执行主板b i o s 程序，进行完一系列检 测与配置后，开始按照b i o s 中设定的系统引导顺序引导系统。b i o s 在执行完自 己的程序代码后，就会j m p 到m b r 中的第一条指令，然后将控制权交由m b r 来 执行，以确定各个逻辑驱动器及其起始参数，然后调入活动分区的d b r ，将控制 9 电子科技大学硕士学位论文 权交给d b r ，由d b r 来引导系统。系统文件调入后，计算机则完全处于操作系统 的控制下了【6 1 。 2 1 1主引导扇区m b s 硬盘的主引导扇区也就是硬盘的第一个扇区，由m b r 、出错信息数据区、分 区表d p t ( d i s kp a r t i t i o n1 a b l e ) 和结束标志字( b 0 0 tr e c o r di d ) 4 部分构成【7 1 。 主引导程序( 偏移地址o 0 0 0 h 0 0 8 8 h ) ，它主要负责从活动分区中装载并运 行系统的引导程序【_ 7 1 。出错信息数据区( 偏移地址0 0 8 9 h 0 0 e 1 h 为出错信息， 1 0 e 2 h 1 0 b d h 全为0 ) 【7 1 。d p t 含有4 个分区项( 偏移地址0 1 b e h 0 1 f d h ， 每个分区表项长1 6 个字节，共6 4 字节为分区项1 一直到分区项4 ) 【7 1 。结束标志 字( 偏移地址0 1 f e h 0 1 f f h 的2 个字节为结束标志5 5 a a h ，如果该标识错误， 系统就不能正常启动) 【7 1 。m b r 是不属于任何一个操作系统的，它先于所有操作 系统而被调入内存并执行，然后再将控制权交给主分区( 活动分区) 内的操作系 统。 2 1 2 分区引导扇区d b s 磁盘分区引导扇区d b s 是系统格式化分区时产生的，这个扇区在系统引导时 起着非常重要的作用。当主引导程序m b r 找到了带有引导标识为8 0 h 的分区后， 就会将该分区的引导扇区读入到内存地址为0 0 0 0 ：7 c o o 处，确认其合法后，将 把控制权交给引导扇区中的引导程序，引导程序再读入操作系统，从而实现操作 系统对计算机的控制【5 】。 分区引导扇区因操作系统版本的不同、介质的不同( 软盘也有引导扇区) 以 及磁盘分区文件格式的不同( f a t l 6 、f a t 3 2 、n t f s ) 而各不相同，这里只讨论基 于汀3 2 磁盘结构的引导扇区，基于n t f s 磁盘结构的引导扇区将在后面介绍。 表2 2 所示内容是汀3 2 分区引导扇区的数据含义【5 】。 表2 2 r 3 2 分区引导扇区描述【5 】 偏移长度( 字节)说明 0 0 h 3 一条跳转指令，指针指向后面的引导程序 0 3 h8厂商名和系统版本 0 b h2每扇区字节数 l o 第二章f a t 文件格式介绍 0 d hl每簇扇区数 0 e h2保留扇区数 l o hl磁盘f a t 的个数 1 1 h2 对于f a t l 6 的磁盘为根目录的最大目录项，对于f a t 3 2 的 磁盘，该值总为“0 0 h 0 0 h ” 1 3 h2 对于软盘或早期小硬盘该处为每个f a t 占用的扇区数，对 于硬盘，一般此值为“0 0 h0 0 h ” 1 5 h1 介质描述 1 6 h2 对于软盘或早期小硬盘该处为每个f a t 占用的扇区数，对 于硬盘一般此值为“o o h0 0 h ” 1 8 h2每道扇区数 1 a h2磁头数 l c h 4 隐含扇区数 2 0 h4 对于大硬盘来说该处存放的是该分区占用的扇区数 2 4 h4 对于大硬盘来说该处存放的是每个f a t 占用的扇区数 2 8 h2 标记 2 a h2 版本 2 c h4 引导目录的第l 簇，即根目录的起始簇 3 0 h2 引导扇区本身占用的扇区数 3 2 h2备份引导扇区的位置 3 4 h1 2 保留不用，一般全为o o h 4 0 hl 该处为磁盘b i o s 信息 4 1 hl 保留未用 4 2 h1 扩展引导标记 电子科技大学硕士学位论文 4 3 h4 序列号 4 7 h9 用户设置的卷标 5 2 h8 文件系统 1 f e h2 结束标识 2 1 3f a t 3 2 文件格式的d b s 中b p b 数据结构 通过上面对f a t 3 2 文件格式的d b s 中b p b 各个参数的详细描述，b p b 对数 据恢复程序设计是非常重要的。下面就用结构体来定义这个b p b 数据结构。 t y p e d e fs t r u c t s b p b b y t eb y j m p c o d e 3 ：跳转代码 b y t eb y d o s v e s i o n 8 ：d o s 版本 酌r d 柏y t e p e r s e c t o r ：每扇区字节数 b y t eb y s e c t o r p e r c l u s t e r ：每簇扇区数 w o r dw s e c t o r p r e s e r v e ：保留扇区数 b y t eb y f a t n u m b e r ：f a t 个数 酌r dw r 0 0 t d i r n u m b e r ：对于f a t 3 2 的磁盘，该值总为“o o h 0 0 h ” w o r dw s e c t o r n u m ：对于目前的硬盘一般此值为“0 0 ho o h ” b y t eb y d e s ：磁介质描述符 w o r d 蚂e c t o r p e r f a t ：对于目前的硬盘一般此值为“0 0 h0 0 h ” w o r d 稍e c t o r p e r c y l i n d e r ：每磁道扇区数 w 0 r dw l o g i c h e a d n u m ：逻辑磁头数 d w 0 r d 曲s e c t o r 眦d e ：隐含扇区数 d w o r dd w t o t a l s e c t o 州岫：扇区总数 d 哟r dd w s e c t o r p e r f a t 3 2 ：每f a t 表所占扇区数( 大于m ) w o r dw s i g n ：标记 w o r dw v e r s i o n ：版本 d w o r dd w r o o t d i r s t a r t c l u s t e r ：根目录启始簇 w o r dw b 0 0 t s e c t o r n 哪：b 0 0 t 占用扇区数 w o 如w b a k b 0 0 t l o c a t i o n ：备分引导扇区位置 b y t eb y r e s e r v e 1 2 ：保留 b y t eb y b i o s d e v i c e ：b i o s 设备 b y t eb y n o u s e ：未使用 b y t eb y e x t e n d b o o t s i g n ：扩展引导标记 d w o r dd w s e r i a l n u m b e r ：序歹0 号 b y t eb y v o l u m e 1 1 ：卷标 b y t eb y f i1 e s y s t e m 8 ：文件系统 ) s b p b ，难p s b p b ； 2 2f a t 数据结构 为了便于管理，系统将磁盘划分为大小相等的一个一个的块，这个块就称为 1 2 第二章f a t 文件格式介绍 簇【5 1 。而汀链正是记录了文件占用簇的情况，在f a t 文件系统中，系统通过f a t 链，对数据区中的文件数据进行管理和读写操作 6 1 。因此，文件占用磁盘时，最小 单位不是字节而是簇，即使某个文件只有一个字节，操作系统也会为其分配1 个 簇的空间 6 】o 2 2 1 簇链与f 盯链 簇的大小并不唯一确定，具体占用多少个扇区，是在系统对分区进行格式化 的时，根据分区的大小、文件系统类型的不同对簇的大小进行初始化的【) 。在f a t 文件格式下，一个簇可能有1 、2 、4 、8 、1 6 、3 2 、6 4 、1 2 8 ( 必须是2 的幂) 个扇 区组成p j 。但大多数情况下，彤汀1 6 中每簇占3 2 k b ，f a t 3 2 中每簇占用4 k b 大小， 对于移动存储设备，可能又有一定的差别，所以在写程序代码的时候一定要先判 断b p b 结构体中的文件系统成员变量b y f i l e s y s t e m 8 来操作，如果是f a t 3 2 就按 定义的b p b 结构体赋值，如果是其它文件类型，比如汀1 6 ，需要对b p b 结构体 进行修改。 f a t 3 2 磁盘中在系统引导区后有一些保留未用的扇区( 一般为3 2 个保留扇 区) ，在后面有一个以f 8 hf f h f f ho f h 开始的f a t 表，其中f a t 表一般有2 个， 其中的一个用于对前一个的备份。而f a t l 6 则总是以f 8 hf f h 开始的。从上面这 几个1 6 进制数据可以知道两个信息，一是这是一块硬盘分区中的r 盯分