（电路与系统专业论文）数据恢复与擦除技术研究.pdf

摘要 摘要 本论文在研究磁性存储介质上数据存储原理和各种文件系统的基础上，从三个方 面作了深入的研究。一是计算机磁盘数据的完整性检测研究，利用t h u n k 技术在用户 模式下直接读写磁盘数据，使用汇编语言完成了核心检测、检索程序的设计。二是计 算机数据恢复技术的研究，采用聚类分析的思想对受损文件进行识别恢复，设计了基 于欧几里德单球体模型的文件类型识别算法，该算法时间复杂度较低、识别效率高， 成功地将文件进行了分类，使得系统支持分类恢复和检索；研究了基于b n m 算法的受 损图像恢复原理，提出了跳跃式最优邻域匹配b n m 算法，通过实验和应用，图像基本 上恢复了原貌，效果良好，从视觉上看不出有损坏的痕迹。三是数据擦除技术与擦除 算法的研究，综合分析了国内外的现状，如美国国防部提出的5 2 2 0 2 2 一m 安全删除标 准、美国国家安全局提出的伪随机数7 次覆盖标准，g u t m a n n ( 3 5 次) 算法等，设计了 基于序列来模拟产生通用覆盖序列的覆盖算法g r l l s ( g e n e r a lr l ls c h e m e ) ，该算法克 服了g u t m a n n 算法速度慢的缺点，提高了擦除速度，保证了数据的不可恢复性。提出 了循环适应的磁盘空间回收算法，该算法保证了文档被删除后，占用的磁盘空间能够 被再次利用，同时有效数据不会受到影响。 最后，开发设计了数据恢复与擦除系统软件，该软件具有较高可移植性和跨平台 性，使用简单，操作方便，文件恢复成功率高，数据擦除高效。 关键字：数据恢复，数据擦除，t h u n k 技术，擦除算法 a b s t r a c t o nt h eb a s i so ft h ep r i n c i p l eo fd a t am e m o r yo nt h em a g n e t i cs t o r a g em e d i u ma n d v a r i o u sf i l es y s t e m ，t h r e em a i nw o r k sa r cs t u d i e di nt h i sp a p e r f i r s t , i n t e g r i t ye x a m i n a t i o n s f o rt h ed i s kd a t aa r es t u d i e d w ec a r r i e do u tt h ef u n c t i o nt h a tr e a d i n ga n dw r i t i n gt h et h ed i s k d i r e c t l yt h o u g ht h et h u n kt e c h n i q u ei nu s e rm o d e l ，m e a n w h i l e ，w ec o m p l e t e dt h ed e s i g n o ft h ec o r ee x a m i n a t i o na n dt h er e t r i e v a lf o rp r o c e d u r ew i mt h e a s s e m b l yl a n g u a g e s e c o n d ，t h et e c h n o l o g yo f d a t ar e c o v e r yo fc o m p u t e ri ss t u d i e d w ec o m p l e t e di d e n t i f i c a t i o n a n dr e c o v e rf o rd a m a g e df i l ew i 廿1t h et h o u g h to fc l u s t e ra n a l y s i sa n dd e s i g n e dt h ea l g o r i t h m o ff i l e t y p e i d e n t i f i c a t i o nb a s e do ne u c l i d s s p h e r i c a lp a r t i c l em o d e l ，m e a n w h i l e ， t i m e c o m p l e xo f t h ea l g o r i t h mi sl o w e r ，i d e n t i f i c a t i o ne f f i c i e n c yi sh i g h e r t h ea l g o r i t h mc a n c l a s s i f yf i l e ，m a k e ss y s t e ms u p p o r tc l a s s i f i c a t i o nr e c o v e r y a n ds e a r c h t h er e c o v e r y p r i n c i p l eo fd a m a g e di m a g eb a s e do nt h ea l g o r i t h mo fb n m i ss t u d i e d , t h ea l g o r i t h mo f b n mw i t hl e 印b e s tn e i g h b o r h o o dm a t c h i n gi sp r o p o s e d ，t h ee x p e r i m e n ta n da p p l i c a t i o n s h o w st h a tt h en e wr e t o u c h e di m a g e sh a v en od a m a g et r a c ea n dg o o dr e s u l t s t h i r d ，s e r v e a ld a t ae r a s e rt e c h n i q u ea n da l g o r i t h mo ft h e e r a s e ra r ea n a l y z e da n d s t u d i e d ，s u c ha st h e5 2 2 0 2 2s t a n d a r do fs a f e t yd e l e t e sp r o p o s e db ya m e r i c a nm i n i s t r yo f n a t i o n a ld e f e n s e ，t h es t a n d a r do fo v e r l a y i n gt h ef a l s er a n d o mn u m b e rf o r7t i m e sp r o p o s e d b ya m e r i c a nn a t i o n a ls e c u r i t yb u r e a ua n dt h eg u t m a n na l g o r i t h m ( 3 5t i m e s ) t h eo v e r l a y a l g o r i t h mo fg r l l s ( g e n e r a lr l ls c h e m e ) i sd e s i g n e d ，i nw h i c h t h ep u b i c o v e r l a ys e q u e n c e i sp r o d u c e da n ds i m u l a t e db a s e do nt h es e q u e n c e t h ea l g o r i t h mo v e r c o m et h es l o ws p e e do f g u t m a n na l g o r i t h m ，a n dn o n - r e c o v e r yo ft h ed a t ai sg u a r a n t e e d t h ec i r c u l a t o r yr e c o v e r y a l g o r i t h mf o rt h ed i s ks p a c ei sp r o p o s e d i fd o c u m e n t sw h i c hw e r en o tm a r k e da sd e l e t e a p p e a r a n c ew e r ed e l e t e d ，t h er e c o v e r ya l g o r i t h mc a ng e tt h ed i s ks p a c eb a c k , a n dt h e nt h e s p a c ec a nb eu s e da g a i n ，m e a n w h i l e ，t h ev a l i dd a t ai sn o ti n f l u e n c e df r o mt h eo p e r a t i o no f r e c o v e r y a tl a s t , t h es y s t e ms o f t w a r eo fd a t ar e c o v e r ya n de r a s e r i sd e s i g n e d ，t h es o f t w a r eh a sa l l i g hp o r t a b i l i t y , c r o s s p l a t f o r mn a t u r e ，+ e a s yt ou s ea n do p e r a t e ，ah i g h s u c c e s sr a t eo ff i l e r e c o v e r ya n de f f i c i e n td a t ae r a s e r k e y w o r d ：d a t ar e c o v e r y , d a t ae r a s e r , t h u n kt e c h n i q u e ，t h ea l g o r i t h mo f t h ee i a $ e u 第一章绪论 第一章绪论 1 1 课题的研究背景及意义 计算机已广泛应用到军队科研、军事训练、作战指挥和后勤保障等各个领域。信息 安全与保密是我军作战及平时工作中都必须时刻面临的一项重要任务，大量的计算机 中存储了重要的、敏感的、甚至是涉及国家机密的数据。 当重要的数据丢失和损坏时，引入数据恢复技术，来挽救这些数据；同时，由于我 军各部门各单位都使用计算机传输和存储敏感数据信息，所使用的存储载体上都留有 敏感数据信息，为了防止这些敏感的数据信息发生泄露，引入数据擦除技术将这些敏 感数据信息彻底删除，以减少泄密的可能。这是本课题研究的意义。 本项目立足于计算机信息安全的恢复、检测与擦除技术，研究各种操作系统和不同 文件系统格式下敏感信息的恢复与擦除技术，并研究开发计算机数据恢复与擦除软件。 1 2 国内外研究现状 国外从上个世纪8 0 年代的就开始了对数据恢复的研究，比我国整整早了2 0 多年， 所以无论从理论上还是技术上与我们相比都有很大的优势。国外著名的o n t r a c k 数据 恢复公司开发的e a s y r e c o v e r y 系列软件，不仅能恢复磁盘数据，还具有文件修复、磁 盘诊断功能；韩国公司开发的软件f i n a l d a t a ，是一款支持恢复各种数据类型的软件； 另外，f i n a l r e c o v e r y 可快速找回被误删除的文件或文件夹，且支持f a t l 2 、f a t i 6 、 f a t 3 2 及n t f s 等多种文件系统；r e c o v e r y 4 a ll 的优点是体积小，便于携带且能恢复大 容量数据。 自二十世纪九十年代末以来，我国的数据恢复技术也得到了迅速的发展心1 。例如 “数据恢复大师 这款软件功能强大，提供了对较低层次数据恢复的功能的，能找出 被删除、被完全格式化、被格式化、分区表被破坏后磁盘里的文件；“易我数据恢复向 导”这款国内开发的数据恢复软件，提供了各种误操作后数据恢复的功能，但该软件 不支持1 i n u x 操作系统，不能恢复e x t 文件系统下的数据。目前比较有名的数据恢复 研究机构有“成都效率源数据研究所”，上海的“艾特数据恢复中心 等。军内目前还 没有专业的数据恢复研究机构。 l 数据恢复与擦除技术研究 数据擦除技术的应用研究国外出现在九十年代初，特别是美国国防部和美国国家 安全局在1 9 9 0 年提出了标准的u s d o d5 2 2 0 2 2 - m ( ca n de ) 擦除算法。目前，国外 比较著名的有e a s t t e ce r a s e r5 6 ，d a t a v e r n i c h t e r7 3 0 4 ，b c w i p e3 0 5 ，s h r e d d e r 5 o 以及f i l es h r e d d e r5 5 等，能够清除浏览器、操作系统、注册表生成的痕迹， 并提供了文件粉碎机、i e 保护、w i n d o w s 启动管理等功能。 国内还没有专业的研究机构从事计算机存储数据及操作痕迹清除技术的研究，至 今还未形成关于存储数据及操作痕迹清除技术的成熟完善的理论成果，也没有开发出 功能全面的痕迹清除工具。特别是根据涉密数据文件的不同级别使用相应的清除算法 的研究还未见有报道。 1 3 与国内外现有类似技术的比较 上述国外的数据恢复软件和数据擦除软件，其在功能和应用上都有值得称道的地 方，在国内外的用户也比较多，但各款软件都有自己的优缺点，经测试，当前国内外 软件存在如下几个缺点： ( 1 ) 基于单一w i n d o w s 运行环境，不能跨平台运行。 ( 2 ) 检测文件时不分类、不自动命名、不能自动修复少量受损文件及不能只检测 己删除文件。 ( 3 ) 不支持分类恢复文件，不支持文件的分类检索及查找，不支持图像文件的预 览。以用户操作计算机过程在系统文件夹、注册表等留下的痕迹静态清除为主要目的， 功能比较单一、不灵活。 ( 4 ) 擦除算法单一，不能根据需要设置擦除算法。 ( 5 ) 与军事需求结合不够紧密，难以达到需求的目的，例如对于敏感区秘密信息 的误操作带来的泄漏，缺乏处理机制。 ( 6 ) 源码不公开，难于扩充，并且由于可能存在未知的陷门或漏洞，会给信息安 全带来巨大隐患。 针对上述软件中的缺点，为适应军事应用的需求，我们自主开发计算机数据恢复 与擦除软件，本软件有如下特点： ( 1 ) 系统软件可跨平台运行于w i n d o w s 、l i n u x 和u n i x 操作系统，可以恢复f a t l 6 、 f a t 3 2 、n t f s 文件系统及e x t 2 、e x t 3 文件系统下的数据，可以擦除w i n d o w s 、l i n u x 和u n i x 平台下的数据文件。 2 第一章绪论 ( 2 ) 系统软件底层采用汇编语言完成，应用了t h u n k 技术实现磁盘全盘扫描检 测，软件运行速度比现有软件磁盘检测扫描速度快一个数量级。 ( 3 ) 支持文件的分类检索、自动命名、文件类型信息受损后的类型恢复，方便用 户在恢复出的大量文件中按类型查找所需要的文件，能够只检索已删除文件，现有文 件则略去，节省了磁盘扫描时间。 ( 4 ) 支持图像文件的预览，方便用户只恢复所需要的图像文件；具备图像文件部 分受损后的修复功能，修复后的图像文件从视觉上看不出与原图像的差别。 ( 5 ) 可以根据涉密文件的密级不同，设置相应的数据擦除算法，以彻底擦除涉密 文件，不留任何痕迹。可以保证在现有文件不受影响的情况下，擦除文件或磁盘未使 用空间。 ( 6 ) 源码便于扩充。 数据恢复与擦除技术研究 第二章计算机硬盘结构及文件系统原理分析 对各种操作系统下文件系统的特点与磁盘存储数据的原理的研究是对计算机数据 恢复与数据擦除技术的研究的基础。本章详细说明和介绍了常用接口的硬盘结构以及 主流操作系统下的文件系统结构。 2 1 计算机硬盘设备概述 硬盘【3 1 是一种利用磁原理存储数据的存储设备。硬盘是计算机数据存储的核心，是 计算机系统能够运行稳定的重要保证。 近年来随着计算机技术的大力发展，硬盘的容量也在飞速增长，9 9 年主流还是 6 4 g b ，而n 2 0 0 0 年1o g b 也不算大了，慢慢地，8 0 g b 的硬盘逐渐成为市场主流，发展 到现在主流已经是3 2 0 g b 、4 8 0g b 甚至更大容量的大硬盘。 2 2 硬盘的物理结构和逻辑结构 2 2 1 硬盘的物理结构 硬盘存储器主要由盘片、盘片主轴、控制电机、磁头、磁头控制器、数据转换器、 接口、缓存等几个部分。所有的盘片都固定在一个旋转主轴上n 引。 硬盘内部由若干个盘片组成，硬盘中的数据就存储在这些盘片上。当硬盘工作时， 盘片沿旋转主轴圆心高速旋转，每分钟可达5 4 0 0 转以上，而与盘片相对应的磁头由于 盘片旋转力漂浮于盘片之上。当需要读取或写入数据时，计算机首先进过计算得出数 据的位置，然后发送指令给硬盘，硬盘接到数据后会给磁头的步进电机施加电压，使 磁头在盘片表面移动，从而进行数据定位。 化，使该数据区呈有磁与无磁交叉的状态， 写6 | 。 当数据定位后，磁头会对该数据区产生磁 即l 与0 的状态，这样就完成了数据的读 近年来，硬盘作为个人电脑中最重要的存储设备，无论从容量还是性能方面都有 很大变化，通常我们可以从相关的硬盘最重要参数看出硬盘发展，例如：接口、单碟 容量、旋转速度、平均寻道时间、高速缓存及内部数据传输速率等。 4 第二章计算机硬盘结构及文件系统原理分析 2 2 2 硬盘的逻辑组成 在硬盘的物理组成的基础上，为了方便管理和使用，将硬盘进一步划分了逻辑组 成，包括：盘片、磁道、柱面、扇区、容量。 ( 1 ) 盘片 盘片的基片一般使用铝合金。硬盘的每一片盘片都有上、下两个盘面，一般每个 盘面都装上磁头可以存储数据，成为有效盘片，也有极个别的硬盘其盘面数为单数。 每一个这样的有效盘面都有一个盘面号，按顺序从上而下自“0 ”开始依次编号。在硬 盘系统中，盘面号又叫磁头号，就是因为每一个有效盘面都有一个对应的读写磁头。 ( 2 ) 磁道 磁盘被格式化时，划分成了许多同心圆，这些同心圆轨迹叫做磁道( t r a c k ) 。磁道 从外向内自0 开始顺序编号。硬盘的每一个盘片有3 0 0 1 0 2 4 个磁道，信息以脉冲的形 式记录在这些轨迹中。每段圆弧叫做一个扇区。扇区从“l 开始编号，每个扇区中的 数据是作为一个单元同时读出或写入的。 ( 3 ) 扇区 计算机操作系统是以扇区( s e c t o r ) 形式将信息存储在硬盘上的。每个扇区包括5 1 2 字节的数据和一些其它信息。 ( 4 ) 柱面 所有盘面上的同一磁道构成一个圆柱，通常称作柱面( c y l i n d e r ) ，每个圆柱上的 磁头，由上而下从“0 ”开始编号。 硬盘的容量由盘面数( 磁头数) 、柱面数和扇区数决定，其计算公式为： 硬盘容量= 盘面数幸柱面数幸扇区数 5 1 2 字节 2 3f a t 数据存储结构 f a t 是f i l ea l l o c a t i o nt a b l e 的简称，其含义就是文件分配表，也就是一种文件 分配的方法和组织形式。文件系统是指文件命名、文件存储和文件组织的总体结构。 f a t 文件系统一般由引导扇区、f a t 区、根目录区、用户数据区等几个部分构成，根据 单个f a t 项长度的不同一般分为f a t l 2 、f a t l 6 、f a t 3 2 等文件系统n 1 。 2 3 1 基本文件系统( f a t l 6 ) f a t l 6 隅刚文件系统使用了1 6 位比特的空间来表示每个簇配置文件的情形，故称之 为f a t l 6 。 数据恢复与擦除技术研究 f a t 表每超过一定容量的分区之后，所使用的簇大小就必须扩增，以适应更大的磁 盘空间。 2 3 2 增强的文件系统( f a t 3 2 ) f a t 3 2 文件系统是由文件分配表文件系统派生的，比f a t l 6 支持更小的簇，因此 f a t 3 2 驱动器的空间分配效率更高n 0 | 。 硬盘在f a t 3 2 文件系统的管理下包括五个区域【8 】：主引导记录区( m b r ) ，d o s 引 导记录区( d b r ) ，文件分配表区( f a t ) ，文件目录表区( f d t ) 和数据区( d a t a ) 。其中 只有主引导记录区是唯一的，其它的随分区数的增加而增加，f a t 3 2 对磁盘扇区的划 分如图2 1 所示： i 一硬盘某一分区一 图2 1 逻辑分区各部分关系图 主引导记录区( m b r ) 位于整个硬盘的0 磁道0 柱面l 扇区，m b r 的作用是检查分 区表是否正确以及确定哪个分区为引导分区，并在程序结束时把该分区的启动程序( 也 就是操作系统引导扇区) 调入内存加以执行。分区表以8 0 h 或0 0 h 为开始标志，以5 5 a a h 为结束标志，共6 4 字节。 d o s 引导记录区( d b r ) 整个位于硬盘的0 磁道1 柱面l 扇区，操作系统可以直接访 问的第一个扇区，d b r 包括一个引导程序和一个b p b 参数记录表( b i o sp a r a m e t e r b l o c k ) ，如表2 1 所示。主要功能是完成系统的自举，占用5 1 2 字节。 表2 1b p b 参数信息表 偏移量含义 o d hl每簇扇区数( 2 的整数倍) o e h2保留扇区数 1 0 h1譬缸个 2 4 h4每f a t 表所占扇区数 2 c h 4根目录的起始簇 6 第二章计算机硬盘结构及文件系统原理分析 2 - 3 2 3 文件分配表( f a t ) 磁盘文件分配表f a t ( f il eh ll o c a t i o nt a b l e ) 是d o s 文件管理系统用来记录每个 文件的存储位置的表格，以链的方式存放簇号。它主要记录的是一个文件在磁盘存储 中每个文件段的地址。 磁盘上有2 个f a t ，跟在引导扇区后面：基本表和备份，2 个表的长度和内容相同。 磁盘格式化后，用户文件以簇为单位存放在数据区中，1 个文件至少占用1 个簇。当1 个 文件占用多个簇时，这些簇的簇号不一定是连续的。表2 2 为f a t 3 2 每一簇可能表项值 的说明： 表2 2f a t 3 2 的f a t 表的表项值 表项值( b y t e )含义 0 0 0 0 0 0 0 0 h簇未被占用 0 0 0 0 0 0 0 2 h f f f f f f e f h一个已分配的簇号 f f f f f f f o h f f f f f f f 6 h 保留 f f f f f f f 7 h坏簇 f f f f f f f 8 h f f f f f f f f h文件结束簇 f d t 文件目录表( f i l ed i r e c t o r yt a b l e ) ，记录着根目录下每个文件或每个子目录 的起始单元、名称、属性等主要参数。f a t 与f d t 相互配合，可以来确定文件的位置。 数据区( d a t a ) 虽然占据了硬盘的绝大部分空间，但没有了前面的各部分，它对于 我们来说，也只能是一些枯燥的二进制代码，没有任何意义。数据区用于实际存储文 件数据，其组织与管理由系统根据前4 个区域的内容来完成。在这里有一点要说明的是， 我们通常所说的格式化程序( 指高级格式化，例如d o s 下的f o r m a t 程序) ，并没有把 d a t a 区的数据清除，只是重写t f a t 表而已，至于分区硬盘，也只是修改了m b r 和 o b r ，绝大部分的d a t a 区的数据并没有被改变，这也是许多硬盘数据能够得以修复 的原因。 2 4n ，i - f s 数据存储结构 2 4 1n t f s 文件系统的特点 n t f s 1 0 1 1 1 是m i c r o s o f t 公司的w i n d o w sn t 系列操作系统支持的一种新技术文件系 统。这种文件系统可恢复性强、安全性高、支持大磁盘和大文件，具有多数据流、通 数据恢复与擦除技术研究 用索引机制等特点，在使用中不易产生文件碎片。n t f s 分区对用户权限做出了非常严 格的限制，用户只能按照系统赋予的权限进行操作，任何试图越权的操作都会被系统 禁止；同时它还提供了容错结构日志，可以将用户的操作全部记录下来，从而保护了 系统的安全【12 1 。 在n t f s 文件系统中，对于不同配置的硬件，实际的文件大小可以从4 g b 到6 4 g b 。 由于n t f s 文件系统的开销较大，因此限制的最小分区为5 0 m b 。与f a t 文件系统相比， n t f s 文件系统最大的特点是安全性，n t f s 提供了服务器或工作站所需要的安全保障。 2 ；4 2n t f s 分区的结构 在n t f s 文件系统中，文件存取是按簇进行分配，一个簇，必须是物理扇区的整数 倍，而且总是2 的整数次方。簇的大小在使用格式化程序时会由格式化程序根据卷大小 自动的进行分配。n t f s 使用逻辑簇号( 1 0 9 i c a lc l u s t e rn u m b e r , l c n ) 和虚拟簇号( v i r t u a l c l u s t e r n u m b e r , v c n ) 来进行簇的定位。l c n 是对卷中的所有簇，从头到尾进行顺序编 号，起始的l c n 是0 ；v c n 则是对属于具体文件的簇从头到尾进行顺序编号，以便于引 用文件中的数据，v c n 以o 为起始值。n t f s 文件系统由以下几个部分构成： ( 1 ) 元数据文件 n t f s 所使用的元文件在硬盘分区初始格式化时即生成，每个元数据文件都以$ 开 头，主要包含用于实现文件系统结构的信息。 ( 2 ) 引导元数据文件$ b o o t 存储w i n d o w sn t 系列的引导程序代码。位于卷的引导扇区，包含了该卷的基本信 息如空间大小，簇的个数，及每簇包含的扇区数。n t f s 通过读取$ b o o t 进行卷的加载 及定位$ m f t 的存储位置。 ( 3 ) 主控文件表 主控文件表m f t ( m a s t e rf i l et a b l e ) 是n t f s 文件系统的核心，以f i l er e c o r d 数组来实 现。它包含了卷中所有文件和目录的若干基本文件信息，在磁盘上的存在形式是名为 $ m f t 的隐藏系统文件。 ( 4 ) 位图元数据文件s b i t m a p 该文件记录了卷上簇的使用情况，当其每一个二进制位为1 时就表示对应逻辑簇号 的簇被占用，最低位代表最低的l c n 。 n t f s 分区由两大部分组成：第1 部分包括分区引导扇区和主文件表m f t ；第2 部分 为文件存储区域，在文件存储区中部存放的是m f t 前4 个( 或更多) 元数据文件备份。如 殳 第二章计算机硬盘结构及文件系统原理分析 图2 2 所示： 图2 2n t f s 分区磁盘空间分配 2 5l i n u x 文件系统 l i n u x n 3 1 朝操作系统产生于网络，最早是由芬兰赫尔辛基大学的一位学生l i n u s t o r v a l d s 设计。虽然l i n u x 操作系统以u n i x 操作系统为基础，但是自1 9 9 1 年诞生至 今，l i n u x 在很多方面已经赶上甚至超过了很多商用u n i x 系统。它充分利用了x 8 6 处 理器的任务切换机制，实现了真正的多任务、多用户环境。l i n u x 对硬件配置的要求相 当低，可以支持很多种处理器芯片，甚至能够在4 m 内存的3 8 6 机器上很好的运行。在 嵌入式系统应用方面，l i n u x 可以放在一张软盘上运行；为实时系统而开发的r t l i n u x r e d l i n u x ，k u r t 等，可以让l i n u x 支持硬实时任务。此外，l i n u x 的开放式开发原则 使得l i n u x 下的驱动和升级变得越来越多和越来越快。 2 5 1l i n u x 文件系统结构 - l i n u x 系统中每个分区都是一个文件系统，都有自己的目录层次结构。l i n u x 的目 录结构是树型结构，树的根在顶部，各种目录和文件从树根向下分支。顶层目录( ) 被 称为根目录，其他的所l i n u x 中，无论操作系统管理几个磁盘分区，这样的目录树只 有一个。 l i n u x 文件系统结构如图2 3 所示： 9 数据恢复与擦除技术研究 ? d e ve t cv a l f i pj k u a a g l i n u xb i nl i bm a n u n p l i b l o g r u n s p o ot m p 图2 3l i m l x 标准文件系统布局 根目录结构的公认的标准是f h s ，文件系统层次标准( f i l e s y s t e mh i e r a r c h y s t a n d a r d ) 。表2 4 提供了根目录的完全清单以及f h s 指定的内容。 表2 4 根文件系统顶层目录 目录内容 b i n必要的用户命令( 二进制文件) b o o t引导加载程序适用的静态文件 d e v设备文件和其他特殊文件 e t c系统配置文件，包括启动文件 h o m e用户主目录 l i b必要的链接库，例如c 链接库，内核模块 m n t安装点，用于暂时挂载文件系统 o p t附加的软件套件 p r o c 用来提供内核与进程信息的虚拟文件系统 r o o tr o o t 用户主目录 s b i n必要的系统管理员命令( 二进制文件) t m p 暂时性文件 对大部分用户都有用的大量应用程序和文 u s r 件 | 、 蹑监控程序和工具程序所存放的可变数据 1 0 一瓜一代 沁 第二章计算机硬盘结构及文件系统原理分析 2 5 2l i n u x 文件系统类型 e x t 2 文件系统是l i n u x 的基本文件系统，数据块在建立e x t 2 文件系统时指定，并 且作为文件系统的基本参数进行保存，单一文件占用的空间根据指定大小的数据块为 单位分配，如图2 4 所示。 图2 4e x t 2 文件系统的物理布局 e x t 2 文件系统中引入虚拟文件系统( v f s ) 。v f s 是e x t 2 文件系统和操作系统之间 的接口，把操作系统和实际的文件系统隔离开来。有了v f s ，l i n u x 可以支持除e x t 2 之外更多的文件系统类型，如f a t ，f a t 3 2 等。图2 5 对虚拟文件系统和实际文件系统 之间的层次关系进行了描述。 高层 底层 图2 5 虚拟文件系统和实际文件系统之间的层次图 e x t 3 文件系统是l i n u x 操作系统支持的具有良好性能的日志式文件系统，是e x t 2 文件系统的更高一级版本，它有一个其它同类日志文件系统所不具备的独特优势 完全兼容e x t 2 文件。e x t 3 能充分利用e x t 2 中已有的操作和应用，而且比e x t 2 更有效， 更易用。其在e x t 2 的基础上加入了记录元数据的日志功能，是一个支持异步的日志。 e x t 3 文件系统是日志文件，其与e x t 2 文件系统的主要区别是它的快速更新文件存储。 数据恢复与擦除技术研究 计算机开始从磁盘上读取或写入数据就必须保证文件系统中文件与目录的一致性，所 有日志文件中的数据均以数据块的形式存放在存储设备中，当磁盘分区时文件系统即 被创建，按照文件形式、目录形式支持存储数据，组织数据的使用。在出现数据崩溃 时，e x t 3 具有和e x t 2 同样的防止数据丢失的优点。e x t 3 称得上是目前最能满足用户 需要的日志文件系统。当然，e x t 3 也有缺点，其中最大的缺点是没有现代文件系统所 具有的能提高文件数据处理速度和解压的高性能。 1 2 第三章硬盘数据检测技术研究 第三章硬盘数据检测技术研究 在进行数据恢复前，对硬盘数据完整性检测是数据恢复的前奏。硬盘数据完整性 检测是通过对硬盘的扫描，获取当前磁盘驱动器的分区信息、现存文件目录、隐藏的 文件目录以及已彻底删除的目录文件的信息。 在d o s 操作系统下，磁盘逻辑扇区或物理扇区的读写是通过b i o s 的i n t1 3 ，d o s 的i n t 2 5 ( 绝对读) 、i n t 2 6 ( 绝对写) 等功能调用实现的，c 语言中b i o s d i s k ( ) ，a b s r e a d 0 和a b s w r i t e0 等函数对应了上述功能调用。 3 1d o s 下对磁盘扇区的读写技术 当前计算机硬盘容量的不断扩大，i n t1 3 1 1 是一种磁盘i o 读写的重要中断指令， 在w i n d o w sn t 的操作系统出现前，被广泛运用在d o s ，l i n u x 和w i n d o w s9 x 操作系统 中。但i n t1 3 h 只有读写1 0 2 4 柱面之前数据的能力引。下面来具体说明一下。 3 2 中断指令i n t1 3 h 3 2 i 基本i n t1 3 h 调用简介 人们最初采用与软盘类似的结构生产小容量硬盘，即硬盘盘片的每一条磁道都具 有相同的扇区数。由此产生了磁头数( h e a d s ) 、柱面数( c y l i n d e r s ) 、扇区数( s e c t o r s ) ， 也产生了相应的寻址方式。 i n t1 3 h 调用是b i o s 提供的基本输入输出中断调用，它可以完成磁盘( 包括硬盘和 软盘) 的读写、复位、定位、校验、格式化和诊断等功能。它使用的是c h s 寻址方式， 因此最大只能访问8 g b 的硬盘。 3 2 2 扩展i n t1 3 h 调用 现代硬盘虽然都已经采用了线性寻址的方式，但是在基本i n t1 3 h 的制约下，使 用i n t1 3 1 1 接口的b i o s 程序，如d o s 操作系统下还只能最多访问8 g b 的硬盘空间。为 了破除这种限制，微软等几家全球性的大公司制定了i n t1 3 h 扩展标准( e x t e n d e di n t 1 3 h ) ，采用线性寻址方式存取硬盘数据，所以突破了8 g b 的限制，而且还加入了对可 拆卸介质( 如活动硬盘) 的支持。 设计i n t1 3 h 扩展接口的目的是为了b i o s 的功能扩展，使其支持多于1 0 2 4 柱面 1 3 数据恢复与擦除技术研究 的硬盘，以及对可移动介质具有锁定，解锁及弹出等功制1 6 1 。 3 2 3 扩展i n t1 3 - i 调用的数据结构 常用的数据类型如下： b y t el 字节整型( 8 位) w o r d2 字节整型( 1 6 位) d w o r d4 字节整型( 3 2 位) q w o r d8 字节整型( 6 4 位) 磁盘地址数据包d is ka d d r e s sp a c k e t ( d a p ) 是基于扇区的绝对地址，因此利用 d a p ，i n t1 3 h 可以轻松的突破1 0 2 4 柱面的限制。d a p 的结构如下： s t r u c td is k a d d r e s s p a c k e t b y t ep a c k e t s i z e ：定义数据包大小( 1 6 字节，即本结构所占用的存储空间) b y t er e s e r v e d ；保留，固定为0 w o r db l o c k c o u n t ；定义要传输的数据块个数( 以扇区为单位) d w o r db u f f e r a d d r ；缓冲区地址( s e g m e n t ：o f f s e t ) ， q w o r db l o c k n u m ：磁盘起始块地址( 即扇区编号) ) ； 驱动器参数数据包( d r i v ep a r a m e t e r sp a c k e t ) 是在扩展i n t1 3 h 取得驱动器参 数子功能调用中使用的数据包。其结构如下： s t r u c td r i v e p a r a m e t e r s p a c k e t w o r di n f o s i z e ：数据包尺寸( 固定值，等于2 6 ，即i a h ，指本结构所占用的 存储空间) w o r df l a g s ：信息标志 d w o r dc y li n d e r s ：磁盘柱面数 d w o r dh e a d s ：磁盘磁头数 d w o r ds e c t o r s p e r t r a c k ：每磁道扇区数 q w o r ds e c t o r s ：磁盘扇区总数 w o r ds e c t o r s i z e ：扇区尺寸( 以字节为单位) ； 1 4 第三章硬盘数据检测技术研究 3 2 4 扩展i n t1 3 h 调用的接口规范 3 2 4 1 寄存器约定 在扩展i n t1 3 h 调用中，一般使用如下寄存器约定： d s ：s i 磁盘地址数据包( d is ka d d r e s sp a c k e t ) d l 驱动器号 a h 功能代码返回码 3 2 4 2a p i 子集介绍 扩展i n t1 3 h 中断调用中规定了两个主要的a p i 子集。 第一个子集提供了访问硬盘时必须的功能，包括检查扩展i n t1 3 h 是否存在的4 1 h 中断，扩展读的4 2h 中断，扩展写的4 3h 中断，校验扇区的4 4h 中断，扩展定位的 4 7h 中断和取得驱动器参数的4 8h 中断。 第二个子集支持对软件控制驱动器锁定和弹出，包括检查扩展i n t1 3 h 是否存在 4 1 h 中断，锁定解除驱动器的4 5 h 中断，弹出驱动器的4 6h 中断，取得驱动器参数的 4 8h 中断，取得扩展驱动器改变状态的4 9h 中断，i n t1 5 h 。 调用规范中不支持的功能如果使用了，b i o s 将返回错误码a h = i h ，c f ：i 。 3 3w i n d o w s9 x n t 2 0 0 0 】【p 系统下的磁盘扇区读写技术 在w i n d o w s 操作系统中，为了充分利用虚拟空间并保证多任务的正常运行，应用 程序都运行在保护模式。对临界段资源管理，操作系统使用了特权级的概念。i n t e lx 8 6 处理器支持r i n g o 、r i n g l 、r i n 9 2 和r i n 9 3 四个特权级。但w i n d o w s 操作系统只使用 了其中两个特权级：r i n g o 特权级甩作“内核模式”，r i n 9 3 特权级用作“用户模式”。 r in g o 级是最高等级的特权级，所有内核状态执行线程在这一级执行，这就有效地保护 了操作系统不受任何应用程序的损害。而所有应用程序都在r i n 9 3 特权级运行，这样 可以避免影响系统内核的运行。 w i n d o w sn t 2 0 0 0 x p 操作系统下的广大程序设计员在长时间的开发过程中不知不 觉地养成一种潜意识在w i n d o w s 操作系统下直接操纵硬件设备是极端困难和繁琐 的，并将其看作w i n d o w s 编程的禁区，其实w i n d o w s 在采取“实保护”措施的同时， 也提供了一种访问硬盘设备的独特方法，即把所有的硬件设备也当作“文件”，按照对 文件的相同读写方式来对硬件设备进行数据存取。 数据恢复与擦除技术研究 3 4 读取扇区函数设计 虽然在w i n d o w s 操作系统下物理内存不能直接访问、各种d o s 、b i o s 中断也不能 使用，但是本文通过调用相关的扇区读取函数，实现了对磁盘扇区的访问功能。 ( 1 ) 读写扇区函数r e a d s e c t o r s0 功能：针对不同的磁盘分区实施读访问。 ( 2 ) 获取文件句柄函数c r e a t e f il e0 功能：创建或打开磁盘对象，返回一个可以用来访问该对象的句柄，可以打开整 个磁盘逻辑分区。 ( 3 ) 移动读写位置函数s e t f i l e p o i n t e r 0 功能：定位文件指针到要操作的磁盘扇区开始位置。 ( 4 ) 扇区数据写入函数w r i t e f i l e0 功能：通过发送“写磁盘信息 ，以便以最快的速度完成写操作。 3 5t 眦技术 w i n d o w s 中所有的存储设备都是被操作系统统一管理，从安全的角度考虑，操作系 统不允许在工作在r i n 9 3 特权级的w i n 3 2 应用程序中直接调用例如i n t1 3 h 、i n t2 1 h 、 i n t2 5 1 - 1 、i n t2 6 h 等的中断功能，但在w i n 9 5 9 8 中，操作系统提供w i n 3 2 服务弥补 这种缺陷。v w i n 3 2 通过一个虚拟设备驱动提供了设备的输入输出功能，并且使用a p i 的函数d e v i c e i o g o n t r o l0 来实现w i n 3 2 应用程序和磁盘设备驱动程序的通信。 w i n 3 2 提供的服务实现了诸如d o s 操作系统下i n t1 3 ，i n t2 5 ，i n t2 6 和i n t2 1 的 调用功能。 正常情况下在w i n 9 5 9 8 下w i n 3 2 是可以正确读写逻辑分区的，但是实际使用表 明虚拟设备驱动无法对物理磁盘扇区正确读写。物理磁盘进行分区恢复的时候，并不 关心磁盘分区情况，而是需要根据绝对扇区偏移量对磁盘进行扇区读写，这时需要使 用到t r u n k