基于NTFS下硬盤格式化數據恢復技術研究

張東旭

摘要：隨著新興工業化發展和信息化技術的不斷推進，信息技術已成為人們生活中不可缺少的重要組成部分，它給人們帶來方便的同時，也給我們帶來很多不安全因素，如短信被攔截、密碼被盜、信息泄密等，一旦數據丟失掉，給人們帶來的損失非常大。筆者就NTFS磁盤出現問題或文件丟失后如何安全的恢復文件進行了深入地分析，更好的解決在硬盤格式化過程中造成數據丟失的問題。

關鍵詞：NTFS 硬盤格式化恢復技術 研究

中圖分類號：TP309.3 文獻標識碼：A 文章編號：1007-9416（2016）07-0080-01

NTFS全稱為“NT File System”，是Windows NT操作系統的主要分區。計算機硬盤系統是由幾個分區組成的，主要是起數據儲存功能。人們在使用中不小心將硬盤中的文件進行格式化或者丟失掉，所在分區的文件內容也被格式掉，一旦計算機硬盤出現問題，使得整個數據就會丟失掉，無法恢復，進而會帶來很大麻煩和不可挽回的損失。所以研發一款專門針對硬盤格式化數據恢復的軟件顯得尤為重要。

1 NTFS文件系統格式化數據恢復設計

NTFS是Windows系統中一種數據存儲結構， NTFS文件系統安全性和穩定性好，在使用的過程中不易產生碎片，它可以提供容錯結構日志，并對錯誤的結構系統進行記錄，可以有效地保護系統的安全，恢復數據文件系統。NTFS存放很方便，同普通文件一樣可存放在硬盤的某個部位，NTFS可作為一種共享資源，對文件及文件夾有壓縮功能。NTFS文件隨著Windows NT4.0跨入主力分區格式化的行列，它可以支持64GB的文件，性能遠遠超過了FAT32。

當用戶將硬盤格式化的方式分為NTFS時，計算機就會自動建立一個NTFS文件系統結構，自動建立時間，并對該文件目錄下的數據進行一一記錄清楚。在Windows平臺下操作，人們普遍應用的是高級格式化系統，本文主要從以下幾個方面分析Windows操作系統格式化數據恢復技術。如圖1所示。

1.1 NTFS文件名和數據屬性值

NTFS文件系統各自都有自己的類型和名稱相對獨立，且每個文件記錄中都有多個屬性，每個屬性分為屬性頭和屬性值，不同的屬性它的結構和含義不同。MFT是NTFS卷結構的核心主控件，它可以清楚地記錄磁盤的位置和文件的所有屬性，并存放在一個適合的區域內，在數據丟失后，如果找到了MFT控件文件，就會獲取到所有文件屬性名及相關數據。在格式化數據恢復時，10H標準信息的屬性值記錄著文件的創建時間、最后修改時間、硬盤鏈接數、這些信息是常駐的。30H文件名和80H數據在恢復過程中起著至關重要的作用。

1.2 MFT 區域起始位置數據屬性獲取

NTFS文件系統是有備份功能，如果磁盤上的某個扇數據丟失了， NTFS依然可以找到關鍵數據。在進行數據格式化時，就會變成FAT32文件，建立一個主文件表MFT，它掃描的位置是從16扇區開始，把 MFT前16項元數據儲存下來，如果MFT中數據丟失，NTFS自動將MFT轉移到文件系統的其他硬盤上，保證操作系統正常運行。

1.3 目錄結點生成

在對格式化的數據進行恢復時，首先查找到目錄名，即：文件記錄頭、標準屬性、文件名屬性和數據流屬性，需要查找出與每個文件相關的目錄名，用以恢復操作。MFT文件能自動備份，一般是存儲MFT前16項的內容，數據丟失后，我們可以通過查找MFT有關的信息數據和根目錄名稱找到丟失的數據，還可以將根目錄設置成父目錄存儲下來，一般以DIR形式的目錄名進行查找。

1.4 目錄樹的重構

NTFS要將一個目錄MFT記錄進行重新排序，記錄下目錄中文件名和子目錄名，并保存在索引根屬性中。在NTFS系統中，它會有一個文件名索引，存放在4KB的索引緩沖區中，通過平衡樹存儲磁盤上的數據，把時間和文種復制下來。目前想達到理想的狀態是非常困難的，只能是提高目錄瀏覽速度來解決此類問題。

1.5 NTFS數據恢復技術的實現

對丟失的數據查找到信息后，需要重新建立一個與原程序向對應的文件目錄，執行物理地址的讀取，NTFS文件系統是按簇來分配，每文件都有一個文件記錄。MFT是一個文件表，通過它來確定硬盤存儲的位置、屬性、大小等信息，找到壓縮文件在MFT中的記錄，查看磁盤文件的大小和位置，文件所在的區域，在讀取文件時時從頭至尾進行讀取的，信息會自動找到，文件也會提取出來。這樣，丟失的數據得以恢復，文件會一一查找到。

2 程序恢復中數據結構的介紹

2.1 DBR程序結構

Typedef striTFS_DBR{

BYTEE LogDr；

WORD BPSector；

BYTEE SPCluster；

BYTEE MDescriptor；

LARGRE_INTEGER TSectors；

LARGRE_INTEGER MCluster；

LARGRE_ INTEGER MSSector；

LARGRE_ INTEGER MESector；

LARGRE_ INTEGER MSize；

DWORD CPMFT；

DWORD CPIndex；

BYTE FileSystem[5]；

}NTFS_DBR；

2.2 文件存儲結構

Typeaef struit DataRin{

DWORD ClusterNums；

LARGE _INTENER StartCluster；

} DATARUN

3 結語

本文主要論述了NTFS環境下格式化磁盤數據恢復技術分析與實踐，目的是獲取文件系統中的MFT起始位置，生成文件系統的目錄樹，讀取文件系統中目錄樹的數據存儲地址，查找出詳細的數據記錄，寫入新的文件中，從而實現丟失數據的恢復操作。

參考文獻

[1]鄭平泰.《磁盤數據安全技術與編程實例》.中國水利水電出版社，2007.

[2]張麗.《Windows NTFS下硬盤格式化數據恢復技術研究》.計算機光盤軟件與應用，2012.