基于Windows的數據安全刪除

朱云娜，徐 玲

（1．遼寧廣播電視大學信息工程學院，沈陽110161；2．中國電子科技集團公司第四十七研究所，沈陽110032）

基于Windows的數據安全刪除

朱云娜1，徐 玲2

（1．遼寧廣播電視大學信息工程學院，沈陽110161；2．中國電子科技集團公司第四十七研究所，沈陽110032）

Windows操作系統采用文件管理系統來對存儲介質中的數據信息進行管理，FAT32（文件配置表）和NTFS（新技術文件系統）是Windows操作系統中應用非常廣泛的兩種文件管理系統。隨著信息技術的發展，通過Windows操作系統對數據進行刪除已經不能滿足用戶將數據安全徹底刪除的要求。針對FAT32和NTFS對數據的管理方式和存儲結構的特點，詳細分析了Windows系統下數據不能完全刪除的原因，通過檢索目錄項和檢索元文件確定數據在FAT32和NTFS文件系統的位置，采用0／1多次深入覆寫的方法覆蓋磁盤上的數據，設計出對數據進行安全刪除的算法，同時根據該算法開發了相應的Windows應用程序，實現了基于Windows的數據安全刪除。

FAT32文件系統；NTFS文件系統；0／1多次深入覆寫；Windows操作系統；數據安全；安全刪除

1 引 言

Windows作為美國微軟公司推出的操作系統，從1985年問世至今，無論在個人應用方面，還是企業應用方面都占據著壟斷地位。數據作為計算機應用的核心，其安全也成為了計算機安全的核心問題。對于數據，用戶會產生如何將那些已經使用過并不再使用的關鍵數據進行安全徹底刪除的問題，伴隨數據恢復技術的不斷進步，通過Windows操作系統對數據進行刪除已經不能滿足用戶將數據安全徹底刪除的要求。由于Windows操作系統通過文件管理系統來管理存儲介質中的數據，因此，將通過對文件管理系統的詳細深入分析，設計出基于Windows的數據安全刪除方法。

2 文件管理系統介紹

文件管理系統是操作系統的重要組成部分，負責數據的存儲、組織和訪問；文件管理系統可以提高訪問效率、安全存儲和便捷操作等功能。

Windows操作系統通常采用的文件管理系統有FAT32和NTFS兩種。

FAT32是一種由微軟發明并擁有部分專利的文件系統，供MS－DOS使用，也是所有非NT核心的微軟窗口使用的文件系統。FAT32擁有簡單、消耗資源少的優點，幾乎所有電腦的操作系統都支持。這些特性使它成為理想的U盤和存儲卡文件系統，也適合用做不同操作系統中的數據交流［1］。

NTFS是一種由微軟發明并擁有全部專利的文檔系統，同時NTFS也被應用為Windows NT以及之后的Windows 2000、Windows XP、Windows Server 2003、Windows Server 2008、Windows Vista和Windows 7的標準文件系統。NTFS具有可靠的安全性與穩定性，進而取代了文件分配表文件系統，成為Microsoft的Windows系列操作系統專門提供文件系統。NTFS對原有文件系統作了若干改進，例如，支持元數據，并且使用了高級數據結構，以便于改善性能、可靠性和磁盤空間利用率，并提供了若干附加擴展功能，如訪問文件系統日志與控制列表；NFTS采用了B＋樹的結構來管理文件在磁盤上的位置，由于采用了B＋樹結構，保證了文件目錄增大時，NTFS也不會出現明顯的性能下降［2］。

3 文件管理系統詳細分析

3．1 文件管理系統使用的單位

文件通常使用到的單位包括扇區（磁盤上的每個磁道被等分為若干個弧段，每一個弧段就為磁盤的一個扇區）和簇（一個簇包含2的N次方個扇區，具體大小由操作系統規定）。扇區為文件管理系統使用的最基本空間單位，通常情況下每扇區為512字節。簇為Windows操作系統對磁盤文件管理的最小空間單位，通常情況下，FAT32每簇包含16個扇區，NTFS每簇包含8個扇區［3］。計算機中的數據存儲是通過文件的形式保存的，由于操作系統管理空間單位是簇，而一個簇即使沒有完全使用，其他文件也不能使用，這就導致了文件占用空間通常會比文件的實際大小要多，造成空間浪費。

3．2 FAT32文件管理系統

FAT32文件系統以分區為單位對數據進行管理，文件管理系統從分區的第1個扇區（邏輯0扇區）即引導扇區提取系統所需的數據，FAT32文件系統的引導扇區包含跳轉指令、OEM代號、BPB表、引導程序、結束標志［4］。

根據BPB表中的數據信息可以得到當前分區數據區的起始扇區，當前分區的根目錄如圖1所示。

圖1 分區根目錄

根目錄所對應的信息如圖2所示，從中可以看出，每個文件（文件夾）都會對應一個目錄項，而目錄項會根據名稱的長度占用不同的大小，當文件（文件夾）的名稱很短時，目錄項只占用32字節，當文件或文件夾的名稱較長時，目錄項會占用32的整數倍字節。

圖2 FAT32根目錄信息

3．3 NTFS文件管理系統

NTFS文件系統同樣以分區為單位對數據進行管理，NTFS從分區的第1個扇區（邏輯0扇區）即引導扇區提取系統所需的數據，NTFS文件系統的引導扇區包含跳轉指令、OEM代號、BPB表、引導程序、結束標志［5］。當分區被格式化為NTFS文件系統后，NTFS文件系統會生成很多保存重要信息的文件，這些文件被稱為NTFS文件系統的元文件，元文件名稱的第一個字符為“$”，用戶是無法通過操作系統訪問和修改的，對用戶是隱藏的［6］。

NTFS文件系統以文件的形式來管理數據，每一個文件都對應一條文件記錄，NTFS文件系統擁有16個元文件，而且元文件保存的位置和順序是固定的［7］。$MFT：$MFT自身管理；$MFTMirr：$MFT前四條文件記錄的鏡像；$LogFile：日志文件，保證系統失敗時能夠恢復NTFS卷；$Volume：卷文件，包含NTFS版本信息和磁盤損壞標志位；$Attrdef：屬性定義表，保存文件是否可以被索引和恢復等信息；$ROOT：根目錄，保存分區內所有文件和目錄的索引；$Bitmap：位圖文件，每一bit表示分區中的一個簇；$Boot：引導文件，保存操作系統的引導程序代碼；$BadClus：壞簇文件，記錄損壞簇信息，防止使用損壞的簇；$Secure：安全文件，保存整個分區的安全描述符數據庫；$UpCase：大寫文件，保存一個大小寫字符轉換表；$Extended meadata directory：擴展元數據目錄；$Extend＼$Reparse：重解析點文件；$Extend＼$UsnJrnl：變更日志文件；$Extend＼Quota：配額管理文件；$Extend＼$ObjId：對象ID文件。

無論是NTFS文件系統建立的元文件，還是用戶創建的文件，每個文件都會對應一條文件記錄，而每一條文件記錄的大小是固定的，占用2個扇區（1KB）；文件記錄由文件記錄頭與屬性列表組成，文件記錄頭的長度與各種信息的偏移量是固定的，而屬性列表是可變的；而且屬性有常駐與非常駐之分［8］。

10H屬性：文件的基本屬性，文件的創建、修改時間，硬鏈接數等信息；20H屬性：用來描述文件的屬性列表；30H屬性：用來描述文件的名稱等信息；40H屬性：用來保存文件記錄的全局ID信息；50H屬性：用來保存SID信息和組SID信息；60H屬性：保存文件記錄所在卷的名稱；70H屬性：保存文件記錄所在卷的版本和狀態信息；80H屬性：保存文件的數據內容，文件數據較多時會采用非常駐；90H屬性：保存索引信息A0H屬性：保存索引信息，文件比較多的情況下使用，通常為非常駐；B0H屬性：保存虛擬簇的使用情況表；C0H屬性：保存重解析點信息；D0H屬性：擴展情況描述屬性；E0H屬性：擴展屬性；100H屬性：EFS加密屬性。

4 針對文件管理系統數據安全刪除的方法

4．1 算法思想

FAT32文件管理系統通過檢索目錄項信息可以獲取文件的目錄項位置與文件數據的起始扇區與數據占用簇數；NTFS文件管理系統通過檢索$ROOT元文件，通過文件記錄中的索引信息逐級遞歸便可以獲取分區內文件的文件記錄位置與文件數據的起始扇區與數據占用簇數［9］。通過向指定扇區多次0／1覆寫，可刪除文件數據，安全徹底刪除文件信息。本算法執行的邏輯流程圖如圖3所示。

3．2 算法實現核心代碼

通過Windows提供的API接口GetLogicalDrive Strings（）與GetDriveType（），獲取計算機中的硬盤與移動硬盤信息。以下代碼以NTFS文件系統為例。

圖3 算法流程圖

5 結束語

充分研究了在Windows操作系統下計算機上硬盤中的數據不能被徹底刪除的原因，在此基礎上詳細分析了Windows操作系統中常用的文件管理系統FAT32和NTFS的文件存儲方式與文件組織結構，并采用了0／1覆寫的方式安全覆蓋了數據內容，同時根據該算法開發了相應的Windows應用程序，極大地彌補了Windows操作系統自帶刪除功能的不足，充分保證了數據可以被安全刪除。

［1］ 羅流毅．FAT32文件系統總結［J／OL］．http：／／wenku．baidu．com／view／fd51f7bbfd0a79563c1e7297．html．Luo LiuYi．FAT32 file system summary［J／OL］．http：／／wenku．baidu．com／view／fd51f7bbfd0a79563c1e7297．html．

［2］ 張明旺．基于NTFS文件系統的數據恢復技術［J］．福建電腦，2012（5）：81－82．Zhang Mingwang．Data recovery technology based on NTFS file system［J］．Fujian computer，2012（5）：81－82．

［3］ 戴士劍，涂彥輝．數據恢復技術［M］．北京：電子工業出版社，2005．Dai Shijian，Tu Yanhui．data recovery technology［M］．Beijing：Electronic Industry Press，2005．

［4］ 唐迪，魏英．存儲介質數據銷毀技術研究［J］．技術探討，2012（1）：8－10．TangDi，WeiYing．Research on the Technology of Storage Medium Data Destruction［J］．Technology and Study，2012（1）：8－10．

［5］ 黃隴，李虎．Windows核心編程［M］．北京：機械工業出版社，2008．HuangLong，LiHu．Windows core programming［M］．Beijing：Machinery Industry Press，2008．

［6］ 白楊，陳啟祥．NTFS下涉密數據軟清除方法的研究與實現［J］．軟件導刊，2010（4）：159－161．BaiYang，Chen Qixiang．Research and implementation of the removal of classified data under NTFS［J］．Software Guide，2010（4）：159－161．

［7］ 周潤妮．計算機硬盤軟故障數據恢復技術淺探［J］．西昌學院學報（自然科學版），2012（2）：78－81．Zhou Runni．Exploration on Data Recovery of Soft Faults of Computer Hard Disk［J］．Journal of Xichang College（NATURAL SCIENCE EDITION），2012（2）：78－81．

［8］ 聶元銘，曾志，黃燕宏．計算機數據修復與維護［M］．北京：科學出版社，2006．Nie Yuanming，ZengZhi，Huang Yanhong．Computer data repair and maintenance［M］．Beijing：Science Press，2006．

［9］ 李培．硬盤數據恢復技術的研究實現［J］．制造業自動化，2010（12）：194－196．LiPei．Research and practice of hard disk data recovery technology［J］．Manufacturing automation，2010（12）：194－196．

Data Security Deleted Based on Windows Operating System

Zhu Yunna1，Xu Ling2
（1．Information Engineering Institute，LiaoNing Broadcast and TV University，Shenyang 110161，China；2．The 47th Research Institute of China Electronics Technology Group Corporation，Shenyang 110032，China）

The Windows operating system uses the file management system to manage the data information in the storage medium．The file management system both FAT32（file allocation table 32）and NTFS（new technology file system）are applied widely in Windows operating system．With the development of information technology，the data deletion by Windows operating system cannot meet the user＇s requirements of complete and security deletion for the data．According to the characteristics of FAT32 and NTFS Data Management and storage structure，the reason that the windows system data cannot be completely removed is analyzed．By searching the directory and file meta to determine the location of the data in the FAT32 and NTFS file systems，using 0／1 multiple depth override methods to cover disk data，the algorithm for data securty deletion is designed and corresponding windows application program is developed to realize security deletion based on windows data．

File allocation table 32；New technology file system；Total 0 and total 1 multiple Depth Overrides；Windows operating system；Data security；Security deletion

10．3969／j．issn．1002－2279．2015．04．015

TP309．3

A

1002－2279（2015）04－0057－04

朱云娜（1980－），女，山東省肥縣人，碩士研究生，研究方向：計算機應用。

2015－04－02