基于Windows的磁盤數(shù)據(jù)清除技術
摘要 在研究Windows操作系統(tǒng)中文件管理系統(tǒng)NTFS的基礎上,提出一種徹底清除磁盤數(shù)據(jù)的方法。NTFS對文件的訪問操作,主要通過與文件相關的MFT表進行,這與FAT系統(tǒng)存在較大差異。通過分析MFT表管理磁盤數(shù)據(jù)的方法,建立一種樹形目錄結(jié)構,并以該樹形目錄作為管理磁盤中所有MFT表的工具。采用遍歷之后立即釋放樹結(jié)點的方法,解決了內(nèi)存過度占用的問題。該技術可以在磁盤扇區(qū)直接清除數(shù)據(jù),還可對數(shù)據(jù)進行更加直接的管理,減少了對操作系統(tǒng)的依賴,可操作性和安全性良好。
關鍵詞 磁盤數(shù)據(jù);NTFS;MFT表;扇區(qū);樹結(jié)構
安全的磁盤清理軟件可以很好地為數(shù)字化信息系統(tǒng)服務。目前大部分磁盤清理軟件未能徹底清除在磁盤中的數(shù)據(jù),對于磁盤上已經(jīng)刪除的文件信息在未重新寫入新的文件時,Windows只是標記,并沒有進行數(shù)據(jù)清理。這就使得可以通過數(shù)據(jù)恢復的手段獲取保密信息,大多數(shù)清理軟件只是采用重新填寫無效文件的方式清除磁盤上的數(shù)據(jù)。而這樣會大大縮短磁盤的使用壽命。文中研究了Windows的文件系統(tǒng)NTFS清除磁盤數(shù)據(jù)的原理,采用直接訪問NTFS的主文件列表找到文件具體存儲的位置,并解碼二進制文件,從而徹底清除文件,減少了對操作系統(tǒng)的依賴,避免了大量盲目填寫無效文件的操作,并保護了磁盤使用壽命。
1 NTFS系統(tǒng)結(jié)構原理
1.1 基本原理
NTFS是Windows NT引入的新型文件系統(tǒng),由于NTFS的結(jié)構復雜,內(nèi)容繁多,這里僅對NTFS卷上的底層結(jié)構做分析。在NTFS格式中,文件以簇的形式分配。最小的單位為扇區(qū),N個扇區(qū)為一簇。其中,N的值由引導扇區(qū)規(guī)定。NTFS格式磁盤的數(shù)據(jù)分為4大部分:引導區(qū)、主文件列表、系統(tǒng)文件和文件數(shù)據(jù)區(qū)。
引導區(qū)(Partition boot sector):所有磁盤格式都有這個區(qū),占用了磁盤第一個扇區(qū)。
主文件列表(Master File List):記錄了卷上所有文件,每個文件對應了表上的一條記錄。
系統(tǒng)文件(System file):NTFS一共有16個系統(tǒng)文件,8個隱藏文件。
文件數(shù)據(jù)區(qū)(File Area):存放文件數(shù)據(jù)。
NTFS跟FAT16,F(xiàn)A332一樣都在引導扇區(qū)中有一些BPB參數(shù),但與FAT32,F(xiàn)AT16并不完全相同。文獻對NTFS引導扇區(qū)一些重要數(shù)據(jù)的含義進行了詳細介紹。
1.2 主控文件表與元數(shù)據(jù)文件
MFT是一個對應的數(shù)據(jù)庫,由一系列的文件記錄組成,卷中每一個文件都有一個文件記錄。主文件表本身也有自己的文件記錄。實際上,MFT自身也是一個文件,因此,主文件列表的第一個記錄就是它自身。MFT的每個記錄都有一個編號,這里稱為ID號,這個ID從0開始。MFT自身是NTFS系統(tǒng)的第一個文件,所以文件$MFT的ID號為0。
MFT和其他23個文件一起,用戶每添加一個文件ID號加1。MFT頭的長度跟偏移處的數(shù)據(jù)含義不變,但屬性列表是可變的,其不同的屬性列表,有著不同的含義,最后能看到MFT表以FFFFFFFFH結(jié)束。
MFT頭的標準信息見文獻,它對MFT表的結(jié)構進行了全面的分析。MFT前16個文件屬于系統(tǒng)文件,也稱為元文件,用于存放系統(tǒng)中的元數(shù)據(jù),元數(shù)據(jù)文件及其作用見文獻。
1.3 文件的MFT記錄及其包含的屬性
一個文件通常占用一條文件記錄。然而當一個文件具有多項屬性值的時候,就可以占用一個以上的文件記錄。這樣的情況下,第一個文件記錄就是基本文件記錄。其中存儲了該文件需要其他文件記錄的位置。小文件和小的文件夾將全部存放在MFT記錄中。
文件記錄包含索引信息,小的文件夾記錄完全存儲在MFT結(jié)構里。然而大文件與文件夾被組織成為B+樹結(jié)構,一個指針指向一個外部簇,該簇用來存放那些MFT內(nèi)存儲不了的文件夾屬性。
在MFT記錄中的每個屬性都有一個屬性頭,這個屬性頭包含一些該屬性的重要信息,如屬性類型、大小、名字以及是否為常駐屬性等。
2 具體實現(xiàn)方法
具體實現(xiàn)分為兩個模塊:(1)索引磁盤中所有文件的數(shù)據(jù)段在磁盤中存放的起始簇號。(2)動態(tài)建立一個與磁盤文件存放相對的文件樹,對子樹進行遍歷查找每個文件數(shù)據(jù)段的簇號,從而可以從扇區(qū)直接清除數(shù)據(jù)信息。最后刪除所建立的子樹,釋放占據(jù)的內(nèi)存空間。
2.1 索引磁盤中未刪除文件的簇號
在NTFS中,文件目錄僅是文件名的一個索引,NTFS使用了一種特殊的方式把文件名組織起來,以便快速訪問。當創(chuàng)建一個目錄時,NTFS必須對目錄中的文件名屬性進行索引。
評論