基于NTFS下硬盘格式化数据恢复技术研究

张东旭

摘要：随着新兴工业化发展和信息化技术的不断推进，信息技术已成为人们生活中不可缺少的重要组成部分，它给人们带来方便的同时，也给我们带来很多不安全因素，如短信被拦截、密码被盗、信息泄密等，一旦数据丢失掉，给人们带来的损失非常大。笔者就NTFS磁盘出现问题或文件丢失后如何安全的恢复文件进行了深入地分析，更好的解决在硬盘格式化过程中造成数据丢失的问题。

关键词：NTFS 硬盘格式化恢复技术 研究

中图分类号：TP309.3 文献标识码：A 文章编号：1007-9416（2016）07-0080-01

NTFS全称为“NT File System”，是Windows NT操作系统的主要分区。计算机硬盘系统是由几个分区组成的，主要是起数据储存功能。人们在使用中不小心将硬盘中的文件进行格式化或者丢失掉，所在分区的文件内容也被格式掉，一旦计算机硬盘出现问题，使得整个数据就会丢失掉，无法恢复，进而会带来很大麻烦和不可挽回的损失。所以研发一款专门针对硬盘格式化数据恢复的软件显得尤为重要。

1 NTFS文件系统格式化数据恢复设计

NTFS是Windows系统中一种数据存储结构， NTFS文件系统安全性和稳定性好，在使用的过程中不易产生碎片，它可以提供容错结构日志，并对错误的结构系统进行记录，可以有效地保护系统的安全，恢复数据文件系统。NTFS存放很方便，同普通文件一样可存放在硬盘的某个部位，NTFS可作为一种共享资源，对文件及文件夹有压缩功能。NTFS文件随着Windows NT4.0跨入主力分区格式化的行列，它可以支持64GB的文件，性能远远超过了FAT32。

当用户将硬盘格式化的方式分为NTFS时，计算机就会自动建立一个NTFS文件系统结构，自动建立时间，并对该文件目录下的数据进行一一记录清楚。在Windows平台下操作，人们普遍应用的是高级格式化系统，本文主要从以下几个方面分析Windows操作系统格式化数据恢复技术。如图1所示。

1.1 NTFS文件名和数据属性值

NTFS文件系统各自都有自己的类型和名称相对独立，且每个文件记录中都有多个属性，每个属性分为属性头和属性值，不同的属性它的结构和含义不同。MFT是NTFS卷结构的核心主控件，它可以清楚地记录磁盘的位置和文件的所有属性，并存放在一个适合的区域内，在数据丢失后，如果找到了MFT控件文件，就会获取到所有文件属性名及相关数据。在格式化数据恢复时，10H标准信息的属性值记录着文件的创建时间、最后修改时间、硬盘链接数、这些信息是常驻的。30H文件名和80H数据在恢复过程中起着至关重要的作用。

1.2 MFT 区域起始位置数据属性获取

NTFS文件系统是有备份功能，如果磁盘上的某个扇数据丢失了， NTFS依然可以找到关键数据。在进行数据格式化时，就会变成FAT32文件，建立一个主文件表MFT，它扫描的位置是从16扇区开始，把 MFT前16项元数据储存下来，如果MFT中数据丢失，NTFS自动将MFT转移到文件系统的其他硬盘上，保证操作系统正常运行。

1.3 目录结点生成

在对格式化的数据进行恢复时，首先查找到目录名，即：文件记录头、标准属性、文件名属性和数据流属性，需要查找出与每个文件相关的目录名，用以恢复操作。MFT文件能自动备份，一般是存储MFT前16项的内容，数据丢失后，我们可以通过查找MFT有关的信息数据和根目录名称找到丢失的数据，还可以将根目录设置成父目录存储下来，一般以DIR形式的目录名进行查找。

1.4 目录树的重构

NTFS要将一个目录MFT记录进行重新排序，记录下目录中文件名和子目录名，并保存在索引根属性中。在NTFS系统中，它会有一个文件名索引，存放在4KB的索引缓冲区中，通过平衡树存储磁盘上的数据，把时间和文种复制下来。目前想达到理想的状态是非常困难的，只能是提高目录浏览速度来解决此类问题。

1.5 NTFS数据恢复技术的实现

对丢失的数据查找到信息后，需要重新建立一个与原程序向对应的文件目录，执行物理地址的读取，NTFS文件系统是按簇来分配，每文件都有一个文件记录。MFT是一个文件表，通过它来确定硬盘存储的位置、属性、大小等信息，找到压缩文件在MFT中的记录，查看磁盘文件的大小和位置，文件所在的区域，在读取文件时时从头至尾进行读取的，信息会自动找到，文件也会提取出来。这样，丢失的数据得以恢复，文件会一一查找到。

2 程序恢复中数据结构的介绍

2.1 DBR程序结构

Typedef striTFS_DBR{

BYTEE LogDr；

WORD BPSector；

BYTEE SPCluster；

BYTEE MDescriptor；

LARGRE_INTEGER TSectors；

LARGRE_INTEGER MCluster；

LARGRE_ INTEGER MSSector；

LARGRE_ INTEGER MESector；

LARGRE_ INTEGER MSize；

DWORD CPMFT；

DWORD CPIndex；

BYTE FileSystem[5]；

}NTFS_DBR；

2.2 文件存储结构

Typeaef struit DataRin{

DWORD ClusterNums；

LARGE _INTENER StartCluster；

} DATARUN

3 结语

本文主要论述了NTFS环境下格式化磁盘数据恢复技术分析与实践，目的是获取文件系统中的MFT起始位置，生成文件系统的目录树，读取文件系统中目录树的数据存储地址，查找出详细的数据记录，写入新的文件中，从而实现丢失数据的恢复操作。

参考文献

[1]郑平泰.《磁盘数据安全技术与编程实例》.中国水利水电出版社，2007.

[2]张丽.《Windows NTFS下硬盘格式化数据恢复技术研究》.计算机光盘软件与应用，2012.