WindowsNTFS下硬盘格式化数据恢复技术研究

WindowsNTFS下硬盘格式化数据恢复技术研究 王娟 (石家庄工商职业学院，河北石家庄 050091) 摘要:随着信息技术的发展，计算机的应用范围也越来越广泛，随之计算机信息安全也越来越被人所重视，本文着重对Windows NTFS下硬盘 格式化数据的恢复技术进行了研究，其它不同格式的磁盘数据恢复技术与其类似 关键词:Windows NTFS;数据恢复 中图分类号:TP309.3 文献标识码:A 文章编号:1003-9767(2011)02-0019-02 1. 引 言 随着信息技术的发展，计算机的应用越来越广泛，在人们生活中所扮演的角色也日益重要。目前，计算机已经渗透到了文教、军事、 政府与日常生活中的各个方面，一些非常重要的信息都存储在计算机 中。随着技术的进步，信息安全的保障已经上升到了国家战略安全的 层面，“电脑有价，而数据无价”的说法是对数据重要性的肯定。数据的价值非常大，一旦数据丢失或者破坏，将带来难以想象的 1998年的CIH病毒事件，到911事件，花旗银行390万用户信 后果，从IDC的统 息丢失事件等，这些都给人们带来了巨大的财产损失，根据 2000年以来，在数据被破坏的公司中，有54%立即倒闭， 计，美国自28%的公司在两年内倒闭，仅剩下18%的公司依然生存下来。 有 在这些数据灾难中，有很大一部分是因为人为不小心所造成的。 硬盘是数据存取的核心部件。通常硬盘被分成了很多个分区，数据都 保存在这些分区中。一旦不小心，误操作将这些分区格式化，分区中 的数据也会被格式化，造成数据损失，如何正确、迅速的恢复这些硬 图二 目录结点生成 Windows NTFS格式 盘上的数据也是一个非常重要的问题，本文就以 下的硬盘误格式化为例，介绍硬盘误格式化后数据的快速恢复问题。 统中对磁盘进行快速格式化或者非快速格式化都不会将卷从头到尾进行某个数字的填充。据此，本文提出了Windows NTFS下的数据恢复 2. Windows NTFS下格式化数据恢复 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 设计MFT区域、文件名属性、目录树结构以及数据属性的恢复 方案。其中 当客户将一个NTFS卷进行高级格式化时，程序将Bitmap元数据 对数据的恢复至关重要。以下分别就这几个方面的设计进行介绍。中的内容以及根目录下的索引都清空掉。但是其上的数据、MFT以及 (1)获取MFT区域起始位置 在NTFS中，MFT的前面16项存储MFT上记载着该文件的文件 除根目录以外的索引并没有被清除，而且16个元数据文件，在这16项 着名、创建时间、所存储的簇号等信息。因此，在数据被覆盖之前进行 之后才是用户用来建立文件或者文件夹的MFT。并且在MFT元数据中 100%。并且，目前Windows操作系 数据的恢复从理论上来说可以达到FILE”开始，这样，就可以很容易的获取MFT区域的起 文件总是用“ 始位置，其设计的方案如图一所示: (2)目录节点生成 每个文件都必须找到与其相关的目录。在 MFT中，便宜 每一个2H的地方有这个文件的MFT记录编号，在30H属性中，便宜18H处是 其上一级目录的文件参考号，如果没有找到其父目录，就可以寻找 DIR的根目录作为其父目录，目录节点的生成方案如图二所 目录名为 示: (3)目录树重构 NTFS文件系统中采用了B+树形的目录结构，在A0H处保存有目 录结构中所有节点的地址信息。因此，可以根据索引分配属性来重 MFT中便宜2CH的地方有文件的MFT记录 构目录树。但是在每一个30H属性便宜18H的地方有父目录的参考号。因此可以通过 编号，在MFT号和父目录的文件参考号来寻找与文件相关的目录，从而实现目 录树的重构，其实现可以采用递归的方法。 3. 关键代码 (1)GetDiskInfo()GetDiskInfo( )函数可以获取DBR扇区、文件系统、扇区字节数、 MFT记录的簇号和每个索引的簇数等信息。 每簇的扇区数、以及(2)GetFileItemFromMFT() 这个函数可以从缓冲区中获取硬 MFT项，然 盘上文件和文件夹的 void GetFileItemFromMFTP(BYTE *buff) 4. 结束语 { offset=(*LPWORD)(buff+20); 本章介绍了Window NTFS下格式化磁盘的数据恢复技术，其实现的重点在于获取文件系统中的MFT起始位置，然后根据这个起始位置 attrib=(*LPDWORD)(buff+offset); 信息来构建文件系统的目录树，并根据文件系统的目录树中的数据存 while(attrib!=0xFFFFFFFF) 取地址，将其中的内容读取出来存放到新建的文件或者文件夹中，从 { Window NTFS 而实现了数据的恢复，出于篇幅所限，文中重点介绍了if(attrib==0x30) 下格式化磁盘的数据恢复方案设计，其具体的实现只是进行了简单的 {//找到30H，则获取文件名称 分析。m_fileItems.push(fileItem); } if(attrib==0x80) 参考文献:{//找到80H，则获取文件内容所在位置信息 [1]EMC-Disk-Based Data Protection The New Data Backup and m_fileItems.push(fileItem); Recovery Imperative [DB/OL].2005.2. [2]方成亮.数据恢复市场探寻[J].软} offset+=(*LPDWORD)(buff+offset+4)//获取下一个属性的偏移件世界,2007.6. [3]张京生,汪中夏,刘伟.数据恢复方法及 案例分析 安全事故典型案例分析生活中谈判案例分析管理沟通的案例分析股改案例分析刑法学案例分析 attrib=(*LPDWORD)(buff+offset); 量 [M].北京:电子工 } 业出版社2008.7:57. } [4] 于淼 . 计算机取证综述 [M]. 北京联合大学学报 ( 自然科学 版).2007.06月第21卷第2期 (上接第18页) 4、企业信息安全技术管理 计算机、 协议 离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载 和资源，也可进行普遍扫描。漏洞扫描可以扫描网络并得到非常详细的信息。可以识别暴露的用户名和组，显示开放的 我们所构建的信息安全管理体系中，不能忽视技术的作用， 虽然只使用技术控制不能保证一个信息安全环境，但是在通常情况 网络共享，并暴露配置问题和其他服务器漏洞。内容过滤器也能有 1 )密码服务技术。密码服 下，它是信息安全项目的基础部分。(效地保护机构系统，使其不受误用和无意的拒绝服务。务技术为密码的有效应用提供技术支持。通常密码服务系统由密码 5、企业信息安全培训的必要性 公司目前很多岗位和部门的员工 都从事涉密数据相关工作，有很芯片、密码模块、密码机或软件，以及密码服务接口构成。通常， 多数据和信息涉及到公司的机密和知识产权，但是大多数员工信息安 企业会涉及以下几个方面的密码应用:数字证书运算、密钥加密运 2 )故障恢复 全意识差，在平时的工作中在意识上和实际工作中存在很多问题，导 算、数据传输、数据储存、数字签名、数字信封。(技术。故障恢复的主要 措施 《全国民用建筑工程设计技术措施》规划•建筑•景观全国民用建筑工程设计技术措施》规划•建筑•景观软件质量保证措施下载工地伤害及预防措施下载关于贯彻落实的具体措施 有:群集配置，由多台计算机组成群集 致涉密数据的外漏，给公司的生产经营造成不可挽回的损失。在有管 结构，尽可能消除整个系统可能存在的单点故障;双机热备份，在 理组织、政策 制度 关于办公室下班关闭电源制度矿山事故隐患举报和奖励制度制度下载人事管理制度doc盘点制度下载 和技术保障的情况下，通过对涉密数据相关工作人 任何一台设备失效的情况下，按照预先定义的规则快速切换至相应 员的信息安全意识和信息安全操作培训是非常必要的。的备份设备，维持业务的正常运行;故障恢复管理，由专门的集群 三、结语软件进行管理和监控，使应用系统在任何软硬件组成单元发生故障 总之，企业信息安全管理体系是一个企业日常经营和持续发展的3)恶意代码防范技术:恶 时，能够根据故障情况重新分配任务。(基本保证，也是企业战略和管理的重要环节。建立信息安全管理体系 意代码防范技术包括四大系统:病毒查杀系统、网关防毒系统、群 的目的就是降低信息风险对企业的危害。并将企业信息系统投资和商 件防毒系统、集中管理系统。(4 )入侵检测技术。入侵检测系统 业利益最大化。信息安全不只是个技术问题，而更多的是商业、管理 是实现入侵检测功能的一系列的软件、硬件的组合。入侵检测系统 和法律问题。实现信息安全不仅仅需要采用技术措施，还需要更多地 以实时方式监测网络通信，对其进行分析并实时安全预警，从而使 借助于技术以外的其他手段。企业能够有效管理内部人员和资源，并对外部攻击进行早期预警和 跟踪，有效保障系统安全。基于主机的入侵检测系统通常以系统日 志、应用程序日志等审计记录文件作为数据源。通过比较这些审计 .基于网 记录文件与攻击签名是否匹配，如果匹配立即报警采取行动络的入侵检测系统把原始的网络数据包作为数据源。它是利用网络 5) 适配器来实时监视并分析通过网络进行传输的所有通信业务。( 参考文献:扫描与分析技术。端口扫描工具能识别网络上活动的计算机，同样 [1]刘仁勇，王卫平.企业信息安全管理研究[J].信息安全与通信保 也可以识别这些计算机上的活动端口和服务。可以扫描特定类型的 密，2007(6) [2]林东岱，曹天杰.企业信息系统安全——威胁与对策[M].北京: 电子工业出版社，20043、冯登国，孙锐，张阳.信息安全体系结构[M]. 北京:清华大学出版社，2008 file:///D|/我的资料/Desktop/新建文本文 档.txt Appliance Error (configuration_error) Your request could not be processed because of a configuration error: "Could not connect to LDAP server." For assistance, contact your network support team. file:///D|/我的资料/Desktop/新建文本文档.txt2012-07-12 20:42:52