機(jī)務(wù)維修中常見NTFS底層文件處理仿真

姚　堯，朱喜華，李光耀，李首慶

（1.中國民用航空飛行學(xué)院 廣漢分院，四川 廣漢 618307；2. 中國人民解放軍空軍空降兵學(xué)院，廣西　桂林　541003；3.中國民用航空飛行學(xué)院 洛陽分院，河南　洛陽　471001）

機(jī)務(wù)維修中常見NTFS底層文件處理仿真

姚堯1，朱喜華2，李光耀3，李首慶1

（1.中國民用航空飛行學(xué)院 廣漢分院，四川 廣漢 618307；2. 中國人民解放軍空軍空降兵學(xué)院，廣西桂林541003；3.中國民用航空飛行學(xué)院 洛陽分院，河南洛陽471001）

技術(shù)文件系統(tǒng)（New Technology File System，NTFS），是Windows NT環(huán)境的文件系統(tǒng)。在機(jī)務(wù)特設(shè)維修過程中常通過NTFS長文件名保障數(shù)據(jù)保護(hù)和功能恢復(fù)，從而實(shí)現(xiàn)目錄和文件的安全可靠。在NTFS底層文件的刪除和隱藏機(jī)制中，正確解讀函數(shù)是突破Rootkits技術(shù)的基礎(chǔ)，也是清除各種底層病毒，實(shí)現(xiàn)特設(shè)系統(tǒng)穩(wěn)定和流暢的關(guān)鍵。文章簡單介紹機(jī)務(wù)維修常見NTFS底層文件仿真，特別是其函數(shù)的含義，以期對機(jī)務(wù)人員進(jìn)一步理解特設(shè)故障有一定幫助。

機(jī)務(wù)維修；NTFS底層文件；仿真；函數(shù)

航空機(jī)務(wù)人員按照從事檢修工作的性質(zhì)可劃分為航空機(jī)械、航空特設(shè)、航空電子、結(jié)構(gòu)修理等專業(yè)。在機(jī)務(wù)特設(shè)維修過程中經(jīng)常通過WindowsNT環(huán)境系統(tǒng)所在盤符的技術(shù)文件系統(tǒng)（New Technology File System，NTFS）進(jìn)行故障診斷、預(yù)測與健康管理，特別是通過NTFS長文件名進(jìn)行數(shù)據(jù)保護(hù)和功能恢復(fù)。

本文在分析NTFS底層文件機(jī)制的基礎(chǔ)上進(jìn)行仿真，編寫一個(gè)可以在WinXP下刪除任何文件（不管是否正在運(yùn)行）的C程序，順利實(shí)現(xiàn)在不關(guān)閉殺毒軟件（以卡巴斯基為例）的情況下進(jìn)行底層文件刪除或隱藏。進(jìn)一步解析NTFS文件系統(tǒng)，過濾通過Rootkits技術(shù)隱藏的病毒，進(jìn)行徹底刪除或，同時(shí)附帶的程序代碼中也相當(dāng)于包含了一個(gè)NTFS下數(shù)據(jù)恢復(fù)軟件的核心代碼。最后，在刪除完整個(gè)文件夾后用Chkdsk程序檢查，避免出現(xiàn)刪除不徹底的現(xiàn)象。

若非NTFS文件系統(tǒng)解析工具，無法通過調(diào)用文件系統(tǒng)應(yīng)用程序編程接口（Application Programming Interface，API）發(fā)現(xiàn)本技術(shù)處理的文件。實(shí)現(xiàn)數(shù)據(jù)刪除或隱藏術(shù)需要改動(dòng)的字節(jié)數(shù)與文件個(gè)數(shù)和文件大小無關(guān)，確保了處理文件的效率。另外，本文把文件的索引入口移植到了NTFS元文件內(nèi)，只要修改文件的索引，將其入口重新移入新的寄主文件即可快速恢復(fù)被刪除或隱藏的文件。

1　理論和可視化操作

1.1簡單理論基礎(chǔ)

NTFS文件數(shù)據(jù)處理技術(shù)采用軟件混淆方法，通過混淆編譯器對編譯好的類似相關(guān)底層文件進(jìn)行混淆，在確保符號不變的基礎(chǔ)上，直接從源碼上進(jìn)行編碼和破譯，使得編譯過程本身就是混淆過程，避免逆向和篡改等惡意攻擊?；煜惴ㄈ鐖D1所示。

圖1　混淆算法原理

根據(jù)變換所涉及的對象，軟件混淆科分為數(shù)據(jù)變化、詞語交換和機(jī)構(gòu)調(diào)整。采用混沌現(xiàn)象中的NTFS文件映射。

1.2可視化操作簡要步驟

在某NTFS分區(qū)根目錄下建立一個(gè)文件夾，取任意一個(gè)合法名稱，將需要隱藏的文件放入該文件夾中。讀取NTFS中前16個(gè)元文件順序存儲(chǔ)，5號文件$Root根目錄主文件表（master file table，MFT）記錄起始扇區(qū)為0x600000加上10后的0x60000A，11號文件$Extend MFT記錄起始扇區(qū)為0x600000加上22后的0x600016，如圖2所示。

簡單計(jì)算可知，索引分配運(yùn)行為：31 01 91 62 12，可知根目錄一共有一個(gè)索引緩沖區(qū)，其起始簇是0x126291，大小是8個(gè)扇區(qū)的1個(gè)簇。遍歷根目錄各個(gè)索引緩沖區(qū)，找到文件夾的索引項(xiàng)記錄，從該索引緩沖區(qū)頭部得到更新序列數(shù)組和更新序列號，把更新序列數(shù)組的中的每一項(xiàng)依次寫到該索引緩沖區(qū)每個(gè)扇區(qū)結(jié)尾處，從該記錄中獲取MFT記錄號，前挪該緩沖區(qū)內(nèi)的所有索引記錄覆蓋。搜索本索引緩沖區(qū)所有扇區(qū)，各個(gè)扇區(qū)結(jié)尾的兩個(gè)字節(jié)依次寫入該索引緩沖區(qū)頭部的更新序列數(shù)組，覆蓋原更新數(shù)組，把該索引緩沖區(qū)的更新序列號寫到該索引緩沖區(qū)每個(gè)扇區(qū)結(jié)尾，修改該索引緩沖區(qū)頭部的總索引項(xiàng)大小為變化后的大小，獲得索引記錄為：0x638，更新序列號為：0x0014，更新序列數(shù)組原值為：0500 CB01 CB01 0000 0000 0000 0000 0000，把更新序列數(shù)組依次寫入索引緩沖區(qū)各個(gè)扇區(qū)結(jié)尾。可見其文件名為：Hide，其MFT文件記錄號為：0x1D，記錄大小為0x60字節(jié)。覆蓋原更新數(shù)組，并將更新序列號0x0014寫到該索引緩沖區(qū)各個(gè)扇區(qū)結(jié)尾。修改索引緩沖區(qū)頭部的索引記錄大小，索引記錄變化后的總大小為索引記錄原大小減去文件夾記錄大小0x5D8，改變后的索引緩沖區(qū)索引頭如圖3所示。

圖2　初始定位示意

圖3　索引緩沖區(qū)索引頭

更新序列號0x0006，序列數(shù)組為：5300 0000，將數(shù)組中的值依次寫入MFT。

文件記錄的每個(gè)扇區(qū)結(jié)尾，修改其父目錄文件記錄號0x0B，修改序列號值為：0x0B。將更新序列數(shù)組中的項(xiàng)依次寫入該MFT記錄的每個(gè)扇區(qū)結(jié)尾。在該MFT記錄的$INDEX_ROOT屬性中插入本步修改過的文件夾索引記錄，從而覆蓋原更新數(shù)組，將更新序列號寫入該MFT文件記錄的每個(gè)扇區(qū)結(jié)尾。

最后發(fā)送特性信息，用Chkdsk 檢查文件夾所在的分區(qū)，使得操作系統(tǒng)強(qiáng)制刷新文件目錄緩存，重新加載新的文件存儲(chǔ)結(jié)構(gòu)。

2　函數(shù)說明

本文的NTFS底層文件仿真通過Explain_NonName_ Resident（）， Explain_Name_Resident（）， Explain_NonName_ NonResident（） ， Explain_Name_NonResident（） 等4個(gè)函數(shù)分別用于解析未命名常駐、命名常駐、未命名非常駐、命名非常駐4種NTFS屬性。

其中Explain MFT（）用于解析MFT文件記錄，并返回有用的信息。ReadFileIndexPage（）分離出真正的索引項(xiàng)，為Explain FileIndexList（）函數(shù)做準(zhǔn)備。Explain FileIndexList（）解讀文件索引項(xiàng)。FindFileByMFTNum（）根據(jù)Num參數(shù)給出的父目錄文件號，查找文件的M F T文件記錄號并返回。FreeFileClustersInBitmap（） 標(biāo)記參數(shù)FileDR中記錄。FreeMFTNumInBitmap（）用于釋放某個(gè)文件的MFT文件號。GetCountOfMFT（）獲取該分區(qū)MFT文件記錄的總數(shù)。GetDataOfMFTByNum（）獲取指定MFT文件號的MFT文件記錄內(nèi)容。GetDataRun（）和GetRealHex（）用于解析數(shù)據(jù)運(yùn)行。GetIntergerFromData（）用于從數(shù)據(jù)中獲取一個(gè)短整型。GetRealName（）用于轉(zhuǎn)換UniCode形式的字符串為ANSI型。GetSpecialAttrOffSet（）用于獲取MFT記錄內(nèi)指定類型屬性的起始偏移。OpenDrive（）讀取首扇區(qū)獲取重要參數(shù)，如每簇扇區(qū)數(shù)或MFT記錄起始偏移。

ReadSector（）和WriteSector（）用于讀寫扇區(qū)。ShowMFTInfor（）用于解讀指定范圍的MFT文件記錄并將有用信息在屏幕輸出。

3　結(jié)語

本文簡單介紹機(jī)務(wù)維修常見NTFS底層文件仿真，特別是其函數(shù)的含義，以期對機(jī)務(wù)人員進(jìn)一步理解特設(shè)故障有一定幫助。

［1］張澳夫.基于PHM的備件配置問題研究［D］.北京：北京理工大學(xué)，2014.

［2］李首慶，李光耀.G1000數(shù)據(jù)隱藏技術(shù)仿真初研［J］.無線互聯(lián)科技，2014（9）：150-150.

Processing simulation of common NTFS bottom files in maintenance

Yao Yao1， Zhu Xihua2， Li Guangyao3， Li Shouqing1
（1.China’s Civil Aviation College Branch in Guanghan， Guanghan 618307， China； 2.the Chinese People's Liberation Army Air Force
Airborne Troops Academy， Guilin 541003， China； 3.China’s Civil Aviation Flight University of Luoyang Branch， Luoyang 471001， China）

NTFS（New Technology File System）is a file system in Windows NT environment. In AD hoc maintenance process efficiency，NTFS long file names are often used to ensure data protection and restore function， so as to realize the safe and reliable of directories and files. At the deletion and hidden mechanism of NTFS underlying file， correctly understanding function is the basis of the breakthrough technology of Rootkits， and also the key to eliminate all kinds of the underlying virus and realize the stability and smooth of the AD hoc system. The paper simply introduces common NTFS underlying file maintenance simulation， especially the meaning of its function， in order to help maintenance personnel to further understand the AD hoc fault.

maintenance； NTFS underlying file； simulation； function

項(xiàng)目名稱：中國民用航空飛行學(xué)院面上項(xiàng)目；項(xiàng)目編號：J2014-01。

姚堯（1989— ） ，男，四川遂寧，本科，助理工程師；研究方向：電子設(shè)備機(jī)務(wù)維修。