NTFS文件系統的數據恢復

（廣西廣播電視技術中心桂林分中心）

1 文件系統

文件系統是指磁盤分區內的文件和目錄在物理磁盤上存儲的結構以及幫助操作系統更好的管理文件和目錄的輔助信息。常見的文件系統有FAT32、NTFS、EXT3、EXT4、HFS+等。在普通家用和辦公的電腦中，文件系統以分區為單位，存在于分區中。分區被分區表所規劃。雖然GPT（GUID Partition Table）分區表正在逐步取代MBR（Main Boot Record）分區表，但BIOS+MBR作為經典的啟動模式，現存量還是相當大的。這里主要以MBR分區表為例介紹分區表的結構和分區的索引過程。

2 MBR分區表

MBR叫作主引導記錄，是硬盤上的第一個扇區，512字節。包括了引導代碼、磁盤簽名、分區表和結束標志。分區表最多容納4個分區表項，每項16個字節。第五個字節標明了分區的類型，FAT32的值是0BH或0CH，NTFS的值是07H。MBR中的四個分區表項可以指出磁盤上的四個主磁盤分區。如果需要4個以上的分區，就會用到擴展分區，擴展分區只有一個，包含一個或多個邏輯分區。當創建擴展分區（并包含第一個邏輯分區）時，MBR分區表的最后一項（類型值是05H）會指向EBR（Extended Boot Record）。EBR叫做擴展引導記錄，也是一個扇區，但內容比MBR少得多，只有分區表和結束標志，而且分區表項只有兩項，第一項指向對應的邏輯分區，第二項為零，當創建第二個邏輯分區時，會指向第二個EBR。這是單向鏈表結構，有多少個邏輯分區，就有多少個EBR連在一起。總的來說，MBR分區表是主分區表，主磁盤分區最多四個，當有擴展分區時最多三個。EBR分區表是邏輯分區表，每個EBR對應一個邏輯分區，并鏈接在一起，鏈表頭是MBR分區表中的最后一項。

圖1 MBR分區表的鏈表結構

當分區丟失時，就要想辦法恢復相應的分區表項，修復的依據充分利用了丟失分區的第一個扇區DBR（DOS BOOT RECORD）中的內容。舉個例子，硬盤上有三個邏輯分區，第二個邏輯分區被不小心刪除了，系統底層的操作會把第一個邏輯分區的EBR的第二個表項從指向第二個EBR改為指向第三個EBR，而第二個EBR本身的數據并沒有任何變化。此時只要根據特征搜索到第二個EBR或者第一個邏輯分區末尾之后的第二個分區的DBR，就可以把分區找回了。

3 NTFS文件系統

3.1 分區引導扇區

DBR叫作分區引導記錄，是分區的第一個扇區。跟FAT32的DBR一樣，包含了跳轉指令、文件系統ID、BPB參數、引導代碼和結束標志。其中BPB參數包含有本分區的重要信息，位于偏移0BH開始的73個字節。

圖2 DBR中的BPB參數

圖3 MFT元文件的起始部分（第一個文件記錄的起始部分）

而從30H開始的8個字節指向的是十分重要的NTFS中16個元文件中的MFT（Master File Table）主文件表。這16個元文件都以$開頭，是系統級別的隱藏文件，開啟資源管理器的顯示隱藏文件也是看不到的。因為有這些元文件，才能實現比FAT32文件系統豐富得多的功能，比如操作日志、權限管理、空間配額、壓縮、加密等等。

3.2 主文件表

NTFS文件系統非常復雜，MFT主文件表幫助系統定位文件在磁盤上的位置以及包含文件的所有屬性，是數據恢復時使用到的最基本、最核心的元文件。圖2中DBR偏移30H的八字節指明MFT的起始簇號是00000000000C 0000H，乘以每簇4KB（4096）大小，得到偏移地址=C0000H×1000H =C000 0000H。

MFT由一個接一個的文件記錄組成，是文件記錄的數組。每個文件記錄占用1KB，對應著不同的文件。MFT最開始的16個文件記錄都是元文件的文件記錄，其中第一個是MFT本身，第二個是MFT的前四個文件記錄的鏡像MFTMirr，第八個文件記錄把本分區開頭的16個扇區（包括第一個扇區DBR）作為文件Boot看待，MFT和DBR是互相引用的。

文件記錄包括兩部分，文件記錄頭和屬性列表，最后是結束標志FFFFFFFFH。文件記錄和文件并不是一一對應的，如果文件的屬性很多或者文件存儲在很多不連續的空間上，就可能對應多個文件記錄。文件記錄頭中偏移14H的兩個字節表示文件記錄頭的長度是固定的38H字節，偏移16H的兩個字節Flag指示了文件的狀態，一共有四個狀態：00H表示文件被刪除，01H表示文件正在使用，02H表示目錄被刪除，03H表示目錄正在使用。對應的二進制是00、01、10、11，低位代表是否未刪，第二位代表是否目錄。接下來的數據是屬性列表，每個屬性也包含兩部分，屬性頭和屬性體。

屬性頭的信息很豐富。有屬性類型、屬性長度、常駐標志、屬性名、存儲方式（壓縮、加密、稀疏）標志、屬性內容等等。屬性類型一共有十幾種，比較重要的屬性類型有30H文件名屬性、80H文件內容屬性。當一個屬性內容很小，可以存放在1KB的文件記錄中時，就稱為常駐屬性，反之則稱為非常駐屬性，非常駐屬性的屬性體會存放到文件記錄之外的Data Run（數據流）中。屬性頭有四個類型：常駐有屬性名的屬性頭、常駐無屬性名的屬性頭、非常駐有屬性名的屬性頭、非常駐無屬性名的屬性頭。前兩者18H字節長，后兩者40H字節長。

表1 文件記錄的結構

4 誤刪除的文件恢復

下面以實例來說明如何恢復已刪除的文件。NTFS分區的根目錄中有兩個文件“數字微波IP組網筆記.txt”和“數字微波IP組網筆記.docx”。刪除txt文件后，根據文件名的Unicode編碼定位到MFT中相應的文件記錄。

文件記錄頭中的Flag標志（偏移16H）已由01H變為00H，表示已刪除。不過之后的屬性列表的數據并沒有被清除。10H屬性包含基本信息，如只讀、系統、存檔，文件創建時間、修改時間等。30H屬性為文件名，總是常駐的，最大容納255個Unicode編碼的字符。40H屬性是對象ID，也就是這個文件的GUID，長16字節。它還可能包含原始卷ID、原始對象ID和域ID三個GUID，大多時候都沒用到，本例中就只有對象ID。80H屬性是文件的內容，屬性頭中偏移8H的字節的值是0H，表示常駐屬性，說明文件的內容很短，就包含在這個文件記錄中。偏移4H的四字節表示本屬性長度是D0H，是一個對齊后的長度，偏移10H的四字節表示屬性體的長度是B3H，偏移14H的雙字節表示屬性體位于偏移18H，也可以表示屬性頭的長度，因為屬性頭后緊接著屬性體。可以推算出文件內容是位于C007D950H至C007DA03H共B3H個字節。選中這一段數據右鍵編輯->復制選塊->至新文件就可以了。

再刪除docx文件，搜索到文件記錄，直接關注80H屬性。

屬性頭偏移8H的字節的值是1H，表示非常駐屬性。偏移4H的四字節表示本屬性長度是48H，偏移10H的八字節表示屬性體（文件內容）的起始VCN是0H，偏移18H的八字節表示結束VCN是15H。所以內容占用的0到15H一共16個簇，乘以4KB（4096）等于16000H字節，與偏移28H的八字節為屬性值分配大小16000H相同。偏移30H的八字節表示屬性值實際大小1522EH，偏移38H的八字節表示屬性值壓縮大小也是1522EH，說明未壓縮。接下來是Data List（數據流表），值為“41 16 0C 71 9E 00”，只有一個數據流，說明是連續存儲的文件。第一個字節41H是一個壓縮字節，高四位4表示高四個字節“0C 71 9E 00”為數據起始簇號。低4位1表示低一個字節“16”為數據占用簇的數目。

圖4 數字微波IP組網筆記.txt的文件記錄

從9E710CH簇號所在的扇區開始，往后連續的1522EH字節，就是這個docx的所有數據。以“PK”開頭，和zip文件一樣，因為docx本質上是一個壓縮包文件，里面有各種xml格式化文檔和單獨的圖片文件等等。

5 總結

NTFS文件系統比FAT32的復雜度提高了非常多，底層用于管理的數據量十分龐大，NTFS的16個元文件中，每個元文件都有最少三個、最多十幾個屬性不等。對于不同元文件中相同類型的屬性，大部分的意義是一樣的。其中有一些屬性可以幫助恢復數據，這些屬性分散在各個元文件中，純手工操作過于復雜，建議使用專門的數據恢復工具進行操作。

[1]戴士劍，涂彥暉.數據恢復技術[M].北京：電子工業出版社;2005

[2]劉偉.數據恢復技術深度揭秘[M].第二版.北京：電子工業出版社;2016

圖5 數字微波IP組網筆記.docx的文件記錄中的80H屬性

圖6 數字微波IP組網筆記.docx的數據內容