NTFS被快速格式化成NTFS后數據恢復的研究

陳培德，王麗清，吳建平

(1.云南大學 信息學院，云南 昆明 650223；2.云南省高校數字媒體技術重點實驗室，云南 昆明 650223)

0 引 言

格式化是指對磁盤或磁盤中的分區進行初始化的一種操作，這種操作通常會導致現有的磁盤或分區中所有的文件被清除。格式化通常分為低級格式化和高級格式化[1]。如果沒有特別指明，對硬盤的格式化通常是指高級格式化。

外存儲器在生產出來后，一般要經過低級格式化、分區和高級格式操作后，才能用來存儲數據[1]。低級格式化針對的是整個硬盤，一般由外存儲器生產廠商來完成；而對外存儲器的分區和高級格式化一般由銷售商或者用戶來完成，高級格式化針對的是某個分區。

對邏輯盤進行高級格式化后數據能否恢復,取決于格式化操作對原來文件系統中數據的破壞程度[2]。而快速格式化則是高級格式化的一種特殊形式。文中對NTFS文件系統的邏輯盤被快速格式化成NTFS文件系統后的數據恢復進行了大量實驗。結果表明，在Windows 7平臺下，NTFS的邏輯盤被快速格式化成NTFS后，除被元文件$MFT覆蓋后的記錄無法恢復外，其他未被覆蓋的記錄均可全部恢復。

1 NTFS文件系統

從整體結構上講，NTFS文件系統由元文件、用戶文件以及數據等組成。NTFS文件系統在創建時，會將一些重要的系統信息以文件的形式分散地存儲在NTFS卷中[3]，存儲這些重要系統信息所對應的文件就是元文件[4]，它是NTFS文件系統最重要的組成部分。除根目錄外，元文件的名稱均以“$”符號開頭[5]；元文件是隱藏的系統文件[6]，用戶不能直接對元文件進行訪問，在資源管理器中也查看不到元文件。

2 元文件$MFT

在NTFS文件系統中，最重要的元文件就是$MFT[7-8]，它是NTFS文件系統中所有文件和文件夾(目錄)的集合[9]。它記錄著NTFS文件系統中所有文件和文件夾的基本情況[10]，包括卷的信息、引導記錄、元文件$MFT本身等的重要信息，以及文件名(或文件夾名)、文件安全屬性、文件大小、數據運行列表等等[11]。元文件$MFT由許許多多記錄組成[12]，每條記錄的大小固定為1 024字節[13]，一般情況下，每個文件或文件夾在元文件$MFT中只占用一條記錄[14]。每條記錄以“FILE”作為開始標記，一般以第1個“FF FF FF FF 00 00 00 00”或者“FF FF FF FF 82 79 47 11”(存儲形式)為結束標志[15]。元文件$MFT的結構大致如圖1所示[15]。

圖1 元文件$MFT結構示意圖

(注：假設元文件$MFT的0號記錄B0H屬性值存放在元文件$MFT記錄之前)

3 實驗環境及制作實驗素材

3.1 實驗環境

(1)操作系統：Windows 7；

(2)邏輯盤容量：5.99 GB；

(3)分區形式：MBR；

(4)數據恢復工具：WinHex 15.08。

3.2 制作實驗素材

制作實驗素材步驟如下：

(1)在Windows 7操作系統下，使用計算機管理功能中的磁盤管理功能建立一個虛擬磁盤文件，文件名為abcd.vhd，文件大小為6.0 GB，將該虛擬磁盤文件abcd.vhd附加成虛擬盤；

(2)將虛擬盤初始化，分區形式選擇MBR，分區大小為5.99 GB，假設對應的盤符為G盤；

(3)將G盤格式化，文件系統選擇NTFS，每個簇的扇區數選擇“默認配置大小”；

(4)格式化完成后，復制125 000多個文件(夾)到G盤中，復制完成后；G盤的基本情況如下：

文件系統：NTFS；

總容量：6 439 301 120字節(5.99 GB)；

已用空間：1 552 965 632字節(1.44 GB)；

可用空間：4 886 335 488字節(4.54 GB)；

每個簇的扇區數：8；

元文件$MFT記錄范圍：0～125 183。

(5)快速格式化前，NTFS主要元文件在G盤分布情況如表1所示。

表1 NTFS主要元文件在G盤分布情況(快速格式化前)

(6)將G盤進行快速格式化，文件系統選擇NTFS，每個簇的扇區數選擇“默認配置大小”；快速格式化后，G盤的基本情況如下：

文件系統：NTFS；

總容量：6 439 301 120字節(5.99 GB)；

已用空間：61 476 864字節(58.60 MB)；

可用空間：6 377 824 256字節(5.93 GB)；

每個簇的扇區數：8；

元文件$MFT記錄范圍：0～255。

(7)快速格式化后，NTFS主要元文件在G盤分布情況如表2所示。

表2 NTFS主要元文件在G盤分布情況(快速格式化后)

至此，在Windows 7平臺下，G盤由NTFS文件系統被快速格式化NTFS文件系統實驗素材已制作完成。

4 快速格式化對G盤NTFS元文件的影響

從快速格式化前、后，G盤NTFS主要元文件分布對比情況來看，G盤NTFS主要元文件變化情況如下：

(1)元文件$MFT所占簇數由31 296個縮小為64個，元文件$MFT的記錄號范圍由0～125 183縮小為0～255，而快速格式化前元文件$MFT的256～125 183號記錄均完好保存；由于快速格式化后元文件$MFT的記錄號范圍為0～255，所以，快速格式化前元文件$MFT的256～125 183號記錄已不再起作用。

(2)快速格式化前，元文件$MFT的0號記錄B0H屬性值記錄了125 184條記錄(記錄號范圍為0～125 183)的使用情況，而快速格式化后，只記錄了256條記錄的使用情況，其中35～255號記錄為空記錄。

(3)元文件$MFTMirr所占簇數和位置未發生變化，但是，元文件$MFTMirr的0號記錄已被快速格式化后元文件$MFTMirr的0號記錄所取代。

(4)元文件$Bitmap所占簇數和位置未發生變化，但是，元文件$Bitmap的內容已被快速格式化后元文件$Bitmap的內容所取代，即快速格式化前用戶文件和文件夾所占據的位圖已被全部釋放。

而G盤MBR分區表、元文件$Boot、$LogFile、$Attrdef、$UpCase和元文件$MFT的開始簇號等均未發生任何變化。

5 恢復數據的基本思路

從快速格式化操作對NTFS元文件$MFT的影響可知，恢復數據的關鍵在于重建快速格式化前G盤的NTFS元文件$MFT，即將快速格式化后元文件$MFT的記錄號范圍由0～255恢復為快速格式化前的0～125 183。

要實現這一目標，只需要修改元文件$MFT的0號記錄80H屬性中的如下值：

(1)元文件$MFT所占簇數；

(2)元文件$MFT結束VCN；

(3)系統分配給元文件$MFT的空間；

(4)元文件$MFT實際占用空間；

(5)元文件$MFT初始化空間。

將上述屬性值修改完成并存盤。

回到DOS提示符下，使用CHKDSK命令[13]以元文件$MFT中的記錄作為依據對G盤受損的NTFS文件系統進行自動修復；修復完成后，便恢復出快速格式化前G盤中的大部分數據。恢復快速格式前的數據流程如圖2所示。

圖2 恢復快速格式化前數據流程

6 恢復數據的基本方法

計算元文件$MFT所占簇數、元文件$MFT結束VCN和系統分配給元文件$MFT的空間等的具體方法如下：

(1)元文件$MFT所占簇數=(元文件$MFT結束扇區號-元文件$MFT開始扇區號+1)/每個簇的扇區數；

(2)元文件$MFT結束VCN=元文件$MFT所占簇數-1；

(3)系統分配給元文件$MFT的空間=元文件$MFT所占簇數×每個簇的扇區數×512字節；

(4)元文件$MFT實際占用空間=元文件$MFT所占簇數×每個簇的扇區數×512字節；

(5)元文件$MFT初始化空間=元文件$MFT記錄所占簇數×每個簇的扇區數×512字節。

每個簇的扇區數從NTFS_DBR中獲得。

將以上5個值轉換成在元文件$MFT的0號記錄80H屬性中的存儲形式，并替換快速格式化后元文件$MFT的0號記錄80H屬性中的這5個值，從而達到恢復快速格式化前元文件$MFT的目的。

7 恢復數據基本步驟

7.1 計算元文件$MFT的0號記錄80H屬性值

計算快速格式化前，元文件$MFT的0號記錄80H屬性值步驟如下：

1.計算快速格式化前，元文件$MFT所占簇數。

操作步驟如下：

(1)啟動WinHex軟件。

(2)工具→邏輯硬盤→選擇G盤，將光標移動到24號扇區(注：16～23號扇區被元文件$MFTMirr所占據，共計8個扇區)。

(3)搜索→查找文本→在查找文本窗口的文本框中輸入元文件$MFT記錄的特征值“FILE”，扇區偏移地址為“0”，查找方向選擇“向下”；在2 097 152號扇區找到，經確認為元文件$MFT的0號記錄所在扇區。

(4)將光標移動到邏輯盤的最后一個扇區；搜索→查找文本→在查找文本窗口的文本框中輸入元文件$MFT記錄的特征值“FILE”，扇區偏移地址為“0”，查找方向選擇“向上”；在2 347 518號扇區找到，經確認為元文件$MFT最后一條記錄的開始扇區號；所以，元文件$MFT結束扇區號為2 347 519。

(5)從NTFS_DBR中獲得每個簇的扇區數為8。

元文件$MFT所占簇數=(元文件$MFT結束扇區號-元文件$MFT開始扇區號+1)/每個簇的扇區數=(2 347 519-2 097 152+1)/8=31 296(即0X7A40)

2．計算元文件$MFT結束VCN。

元文件$MFT結束VCN=元文件$MFT所占簇數-1=31 296-1=31 295(即0X7A3F)

3．計算系統分配給元文件$MFT的空間。

系統分配給元文件$MFT記錄空間=元文件$MFT所占簇數×每個簇的扇區數×512字節=31 296×8×512字節=128 188 416(即0X7A40000) 字節

4．計算元文件$MFT實際占用空間。

元文件$MFT實際占用空間=元文件$MFT所占簇數×每個簇的扇區數×512字節=31 296×8×512字節=128 188 416(即0X7A40000) 字節

5．計算元文件$MFT初始化空間。

元文件$MFT初始化空間=元文件$MFT所占簇數×每個簇的扇區數×512字節=31 296×8×512字節=128 188 416(即0X7A40000) 字節

將元文件$MFT所占簇數、元文件$MFT結束VCN、系統分配給元文件$MFT的空間、元文件$MFT實際占用空間和元文件$MFT初始化空間轉換為在元文件$MFT的0號記錄80H屬性中的存儲形式，如下所示：

(1)元文件$MFT所占簇數:40 7A；

(2)元文件$MFT結束VCN: 3F7A00000000 0000；

(3)系統分配給元文件$MFT空間:00 00 A4 07 00 00 00 00；

(4)元文件$MFT實際占用空間: 00 00 A4 07 00 00 00 00；

(5)元文件$MFT初始化空間:00 00 A4 07 00 00 00 00。

7.2 恢復元文件$MFT的0號記錄80H屬性值

恢復快速格式化前元文件$MFT的0號記錄80H屬性中元文件$MFT所占簇數、元文件$MFT結束VCN等5個值，操作步驟如下：

1.啟動WinHex軟件。

2.工具→邏輯硬盤→選擇G盤，將光標移動到2 097 152號扇區，即快速格式化后，元文件$MFT的0號記錄80H屬性處，如圖3所示。

3.修改元文件的0號記錄80H屬性中的以下5個值。

(1)將元文件$MFT的0號記錄80H屬性中的數據運行列表由“31 40 00 00 04 00 FF FF”修改為“32 40 7A 00 00 04 00 FF”，即元文件$MFT所占簇數由0X40修改為0X7A40，也就是將元文件$MFT的記錄號范圍由0～255恢復為快速格式化前元文件$MFT的記錄號范圍0～125 183；

(2)將元文件$MFT結束VCN由0X3F修改為“0X7A3F”，即將快速格式化后元文件$MFT的虛擬簇號范圍由0～63修改為快速格式化前的0～31 295；

(3)將系統分配給元文件$MFT的空間由“0X040000”修改為“0X07A40000”；即將快速格式化后系統分配給元文件$MFT的空間由262 144字節修改為快速格式化前的128 188 416字節；

(4)將元文件$MFT實際占用空間由“0X040000”修改為“0X07A40000”；即將快速格式化后元文件$MFT實際占用空間由262 144字節修改為快速格式化前的128 188 416字節；

(5)將元文件$MFT初始化空間由“0X040000”修改為“0X07A40000”；即將快速格式化后元文件$MFT初始化空間由262 144字節修改為快速格式化前的128 188 416字節。

4.修改完成后，元文件$MFT的0號記錄80H屬性的值如圖4所示，即快速格式化前，元文件$MFT的0號記錄80H屬性值，然后存盤并退出WinHex。

圖4 快速格式化前，元文件$MFT的0號記錄80H屬性

至此，元文件$MFT的0號記錄已恢復到快速格式化前的狀態。

5.在DOS提示符下，使用“CHKDSK G:/F/I”[14]命令完成如下NTFS文件系統的自動修改：

(1)通過元文件$MFT的0號記錄自動修復受損的元文件$MFT和元文件$MFT的B0H屬性值；

(2)通過元文件$MFT自動修復受損的元文件$Bitmap；

(3)通過元文件$MFT自動修復受損的根目錄、其他索引目錄以及其他元文件等。

經過半個多小時，G盤的元文件$MFT、元文件$Bitmap、根目錄、索引目錄以及其他元文件等已修復完成。G盤的基本情況如下所示：

(1)文件系統:NTFS；

(2)總容量:6 439 301 120字節(5.99 GB)；

(3)已用空間:1 561 186 304字節(1.44 GB)；

(4)可用空間:4 878 114 816字節(4.54 GB)；

(5)每個簇的扇區數:8；

(6)元文件$MFT記錄范圍: 0～125 183。

到資源管理器中，可以查看到G盤中的文件和文件夾。

8 結束語

在Windows 7平臺下，將NTFS文件系統快速格式化成NTFS文件系統后，在每個簇的扇區數沒有變化的情況下，只要正確修復元文件$MFT的0號記錄80H屬性相應值，并在DOS下使用CHKDSK[16]命令對受損的元文件以及索引目錄進行自動修復，便可恢復快速格式化前NTFS文件系統中的大部分數據。但是由于元文件$MFT的38～255之間的記錄已被填充為有效記錄，這218條記錄對應的文件內容可以通過WinHex軟件的“按類型恢復文件”進行恢復。

綜上所述，在Windows 7平臺下，NTFS文件系統被快速格式化成NTFS文件系統后，數據恢復的核心在于恢復快速格式化前元文件$MFT的0號記錄80H屬性中的相應值。通過實踐證明，該方法方便快捷、簡單實用，并且用戶在資源管理器中可以看到所恢復出來的大部分數據。