NTFS文件系统中常驻文件的可恢复性分析

赵广晔

摘 要：NTFS文件系统是目前Windows系列操作系统使用的主流文件系统。在该文件系统中，使用MFT文件管理其他文件，文件的内容被作为文件的数据属性进行管理。一些小文件的数据流被直接存放在MFT中，这些文件也被叫做常驻文件。文章旨在研究这些常驻文件在被删除后是否存在被恢复的可能。

关键词：NTFS；MFT；常驻文件；数据恢复

1 常驻文件及其意义

NTFS文件系统是微软公司为了替代传统的FAT 16和FAT 32文件系统而开发的。目前是包括Windows XP到Windows 8.1等各版本Windows操作系统使用的默认文件系统。NTFS文件系统也经过了多个版本的演化，目前被使用的主要是在2001年随Windows XP一起发布的NTFS v3.1版本。

NTFS文件系统使用$MFT（主文件表）来管理文件和文件夹。主文件表示一个对应的数据库，由一系列的文件记录组成--卷中每一个文件都有一个文件记录1。MFT中的文件记录大小一般是固定的，不管簇的大小是多少，均为1KB。

MFT中每个文件或文件夹记录中都包含多个属性，包括MFT记录头、MFT记录属性、文件名属性、数据运行（DataRun）属性等。数据运行属性用来指出文件在磁盘中实际存储的位置。为了节省磁盘空间，对于一些数据流很小的文件，NTFS系统将其数据流直接保存在MFT记录中，这些文件也被称为常驻文件。

常见的常驻文件包括一些软件的配置文件、日志文件、记录文件、压缩文件等。有时用户误删这些文件可能会导致某些软件无法正常运行等。而由于这些文件的数据是存在于MFT中的，所以对其的恢复与普通文件不同。

2 常驻文件可恢复性的研究方法设计

在本文中使用的研究方法主要是进行比对实验。为了验证常驻文件是否可以被恢复，或在什么情况下可以被恢复，需要考虑各种可能的影响因素，如文件的类型、文件中数据流的大小、文件是如何删除的、文件被删除后又做了哪些操作等。图1展示了各种需要考虑到的因素，也就是比对实验的参照条件。

操作系统选用从Windows XP到Windows 8的各个版本。不考虑Windows 2000是因为Windows 2000使用的是NTFS v3.0版本，与v3.1版本有一定差异性，同时Windows 2000不支持GPT分区。

文件类型考虑了几种常见的小文件类型：纯文本文件，包括txt文本文档、ini配置文件、xml描述文件、js脚本文件等；图片文件，包括bmp、jpg、png、gif等；压缩文件，包括zip、rar、cab、7z等。

3 实验过程简述

在验证过程中，将两块512 MB大小U盘量产为硬盘类型，并分别初始化为MBR分区和GPT分区磁盘。在图1中所示的六种操作系统中分别对两块磁盘进行相同的操作。因为Windows XP系统原生不支持GPT分区，故没有进行对GPT分区磁盘的操作实验。每次开始新实验前都会将U盘中的数据置零，并重新初始化以防止影响实验结论。

验证过程中使用了三种类型的常驻文件：扩展名为txt的文本文档；扩展名为bmp的图像文件；扩展名为zip的压缩文件。每个类型的文件都设计了两个数据流大小不同的比对文件，具体文件信息见表1。

在实验磁盘中新建一个名称为30个字符的文件夹，并将上述六个文件复制到磁盘根目录。之后利用WinHex记录整个磁盘的状态，通过观察发现名称为short的三个文件包括属性流和记录流在内都只占据MFT记录的第一个扇区，第二个扇区除最末两字节外均为0；而三个名称为long的文件都几乎占满了MFT记录的两个扇区。

验证步骤：

（1）将long.txt删入回收站。

（2）将long.txt从回收站删除。

（3）将long.zip直接从磁盘删除，不经过回收站。

（4）向磁盘中复制short2.txt，内容与short.txt一致。

（5）在磁盘中新建文件夹test。

（6）将long.bmp移动到长名称文件夹中再进行删除操作。

因为在不同操作系统和磁盘分区下验证步骤相同，在此就不再一一描述。

4 研究结论

通过实验发现，在前文列出的六个操作系统以及两种不同类型的磁盘分区上，进行相同的操作产生的结果完全一致。NTFS文件系统中常驻文件由于其不具备独立的数据流，所以对其恢复与普通文件不同。具体情况总结见表2。

参考文献

[1]戴士剑，涂彦晖.数据恢复技术（第2版）[M].电子工业出版社，2006.