CN104199909B - VMware场景中恢复NTFS高级加密文件的方法 - Google Patents

Abstract

本发明涉及一种VMware场景中恢复NTFS高级加密文件的方法，该方法对VMware中完成备份的虚拟机，采用VDDK直接读取加密文件的数据，重新组织后生成再生文件，完成加密文件数据的提取和恢复，所述数据包括密钥属性数据和内容属性数据。与现有技术相比，本发明通过解析VMDK文件来识别NTFS高级加密文件来提取密钥数据和加密数据，并将提取的数据重新组织恢复到新建文件，并赋予恢复文件备份时的安全属性，进而使新建的EFS加密文件和备份前的文件相同，具有恢复快速、高效、安全等优点。

Description

VMware场景中恢复NTFS高级加密文件的方法

技术领域

本发明涉及一种加密文件恢复方法，尤其是涉及一种VMware场景中恢复NTFS高级加密文件的方法，对NTFS高级加密文件进行安全、正确地恢复。

背景技术

服务器虚拟化已成为IT界现在的热门话题之一，目前服务器虚拟化应用市场的领先者是VMware，其产品占据了半数以上的市场份额，其VMware ESX Server虚拟化产品是其虚拟化平台应用管理的主要角色之一，VMware ESX Server将每个虚拟机与服务器硬件及其他虚拟机相隔离，确保在某个虚拟机崩溃时不会影响其他虚拟机。虚拟机相互之间不会泄露数据，而且应用程序只能通过配置的网络连接进行通信，VMware ESX Server将虚拟机环境封装为一组文件包括虚拟机存储文件VMDK和配置文件VMX等，以便备份、移动和复制。

现有的VMware虚拟化保护技术主要采用的vStorage API接口来完成，VMware ESXServer提供了方便的vStorage API接口，其中的虚拟磁盘开发工具包(VDDK：VMware’sVirtual Disk Development Kit)用于对虚拟机的数据存储文件VMDK和配置文件VMX进行读取。

VMware的虚拟机备份主要通过三个步骤完成：静默应用、对虚拟机做快照，对虚拟机的数据文件和配置文件进行复制迁移，而对于虚拟机的数据恢复则可以通过多种技术完成，一般根据恢复粒度的大小分为以下三种应用：

1.整台虚拟机粒度恢复，即恢复时将备份时的所有VMDK和VMX文件恢复到指定位置；

2.文件级粒度恢复，即通过读取VMDK文件的二进制数据来解析虚拟机的文件系统，识别文件系统中某个文件的数据存储的位置，从VMDK中读取该位置的二进制数据恢复到指定的位置；

3.应用级粒度恢复，即通过解析虚拟机的文件系统对应用注册表和配置信息进行识别，比如判断Exchange应用的恢复将会分析文件系统下该应用包含的应用程序文件和用户数据文件，将这些文件通过文件级粒度恢复的方式来完成应用级的恢复。

EFS使用PKI(Public Key Infrastructure)公钥基制的加密系统。EFS加密文件时，系统会先生成FEK(File Encryption Key)加密密钥，然后结合FEK和数据扩展标准X算法创建加密后的文件，文件系统利用该系统的公钥加密FEK并存储在同一个加密文件中，最终对该文件进行存盘。用户访问加密的文件时，文件系统首先利用当前用户的私钥解密FEK，然后利用FEK解密文件内容。

NTFS(New Technology File System)为Microsoft的Windows系列操作系统提供文件系统，其中基于Windows2000及以上版本操作系统集成了EFS(Encrypting FileSystem)加密文件系统来提供基于文件系统级的文件加密方法，通过在Windows文件的属性中提供的高级选项来控制启用或关闭该文件的加密，加密了文件或文件夹以后，用户可以像使用普通文件或者文件夹一样使用它，也就是说，对于合法用户来说，加密对于该用户是透明的，但是对于未授权用户，则就无法打开这些经过加密的文件或文件夹，所以EFS加密是一种绑定用户方式的加密，其表现为用户访问加密文件时文件系统首先判断该用户的合法性(其中包含该用户的UserID系统依序分配，用户名称等用户信息)然后才能打开文件，但是如果该用户不是加密文件的合法用户那么将会收到“访问拒绝”的错误提示。

目前已知的VWware虚拟机使用文件级粒度恢复方式EFS加密文件时，采用的方式是将已备份的虚拟机通过挂载或注册的方式将虚拟机启动，然后使用合法的用户进入NTFS文件系统后使用Windows API(Application Programming Interface，应用程序编程接口)读取文件，此时读取的数据都是经过解密以后的数据，再将该读取的数据恢复到指定的位置完成恢复。该种方式需要内置虚拟机平台并且需要启动虚拟机的文件系统然后使用合法用户登录才能正常读取到数据和恢复数据，该方式在操作系统重装或者磁盘被完全格式化的时候可以满足恢复的需求，而对于EFS加密文件被删除以后操作系统并没有重新安装或者使用EFS加密后有备份用户证书的情况下，则使用上述的方式将造成虚拟机平台需要占用额外的空间，启动虚拟机的文件系统需要占用CPU和内存资源，其整机恢复数据量大或者流程繁杂也使得恢复效率极低。

发明内容

本发明的目的就是为了克服上述现有技术存在的缺陷而提供一种VMware场景中恢复NTFS高级加密文件的方法，该方法采用解析VMDK文件的方式来完成文件的恢复，而不需要对整台虚拟机进行操作(比如挂载到虚拟机、启动虚拟机、用户登录或者整机恢复)，实现了在VMware虚拟机备份后的文件级粒度恢复中能够快速、高效、安全地恢复出NTFS高级加密文件等优点。

本发明的目的可以通过以下技术方案来实现：

一种VMware场景中恢复NTFS高级加密文件的方法，该方法对VMware中完成备份的虚拟机，采用VDDK直接读取加密文件的数据，重新组织后生成再生文件，完成加密文件数据的提取和恢复，所述数据包括密钥属性数据和内容属性数据。

该方法具体包括：

1)读取并解析备份虚拟机中的VMDK文件；

2)识别文件分区格式；

3)查找和读取NTFS分区下的副本文件及文件属性；

4)在原生系统中新建指定大小的恢复文件，即再生文件；

5)为再生文件添加高级加密属性；

6)读取当前副本文件的密钥属性数据；

7)恢复密钥属性数据到再生文件；

8)读取副本文件内容属性数据；

9)恢复内容属性数据到再生文件；

10)读取下一个副本文件，返回步骤6)，直至读取的数据结束，完成文件的完整恢复。

VMware虚拟机组织一台虚拟机的方式包括11种文件：

.vmx：配置文件；

.vmxf：附件的配置文件；

.vmdk：主硬盘文件；

.flat.vmdk：预先分配的二进制格式的硬盘文件；

.vswp：交换文件；

.nvram：保存虚拟机的BIOS信息；

.vmss：虚拟机挂起时产生的suspend文件；

.log：日志文件；

.vmsd：存放快照的元数据和其他信息；

.vmsn：快照数据文件；

.delta.vmdk：快照文件；

其中，配置文件中记录了.vmdk，通过VDDK来读取.vmdk时，VMWare将为该操作找到.vmdk的附属硬盘文件，VDDK读取vmdk所得到的块数据就相当于读取一块硬盘的块数据。

所述步骤2)具体为：

读取步骤1)获得的VMDK文件中的硬盘分区表信息，并根据该硬盘分区表信息判断各分区的文件格式，所述文件格式包括FAT32、NTFS和EXT3。

所述步骤3)中，读取NTFS分区下的文件属性具体为：

对步骤2)中识别出的NTFS分区，根据其分区启动位置读取文件记录信息，并进一步读取文件记录信息中的文件属性信息。

所述步骤3)中，NTFS分区下的副本文件为用于记录分区各个文件记录信息的MFT文件，磁盘分区中的所有文件都由至少一个文件记录来描述。

所述文件属性信息是指通过MFT属性列表获取的MFT属性，包括常驻属性和非常驻属性，其中常驻属性是指数据存放在文件记录信息中，非常驻属性是指数据存放在文件记录信息外部。

所述步骤4)中，再生文件的大小和原生文件的大小保持一致。

读取副本文件的密钥属性数据或内容属性数据时，通过MFT属性列表判断相应属性的数据是否为常驻属性，若否，则通过运行流记录查找该数据。

所述步骤7)中，恢复密钥属性数据到再生文件时，读取再生文件的MFT文件，获取MFT属性列表，判断密钥属性是否为常驻属性，若是，则在写入密钥数据后、存盘前将恢复的MFT文件中的更新序列数组的值都更新为更新序列号，并将每个扇区的倒数两个字节替换为更新序列号，若否，则直接将数据写入密钥属性运行流指定的数据块区。

所述步骤10)中，读取的数据结束后，还包括校验步骤：

判断文件的写入数据量和再生文件真实数据大小是否一致，若是，则关闭再生文件完成整个恢复过程，若否，则恢复失败，返回步骤1)。

所述高级加密文件为EFS加密文件。

与现有技术相比，本发明具有以下优点：

1)在VMware中的虚拟机完成备份以后，通过使用VDDK而无需虚拟平台或者启动虚拟机的文件系统便可以直接读取到文件高级加密后的密钥数据和加密文件内容，并通过重新组织数据后完成数据的完整提取和恢复，提高恢复效率并降低了恢复环境的要求，对非原生系统授权用户恢复出来的文件不可进行读取或者恢复失败，有效地提高了EFS加密文件的安全性。

2)将提取的数据重新组织恢复到新建文件，并赋予恢复文件备份时的安全属性，进而使新建的EFS加密文件和备份前的文件相同，从而恢复在操作系统未重装的情况或已备份用户私钥的情况下因为误删或者格式化等原因丢失或无法使用的EFS加密文件，并且防止用户在非原生文件系统授权的情况下读取文件信息。

附图说明

图1为本发明的流程示意图；

图2为本发明实施例中NTFS高级加密文件的备份恢复结构示意图；

图3为MBR磁盘分区示意图。

具体实施方式

下面结合附图和具体实施例对本发明进行详细说明。本实施例以本发明技术方案为前提进行实施，给出了详细的实施方式和具体的操作过程，但本发明的保护范围不限于下述的实施例。

本发明实施例提供一种VMware场景中恢复NTFS高级加密文件的方法，旨在对VMware中的虚拟机完成备份以后，通过使用VDDK而无需虚拟平台或者启动虚拟机的文件系统便可以直接读取到文件EFS加密后的数据，并通过重新组织数据后完成数据的完整提取和恢复，其恢复后的文件需要原生系统授权用户方可访问的特性保证了恢复数据的安全，其具体流程如图1所示：

步骤101：读取并解析备份虚拟机中的VMDK文件。

步骤102：识别文件分区格式，根据步骤101获得的VMDK文件中的硬盘分区表信息判断各分区的文件格式，文件格式包括FAT32、NTFS和EXT3。

步骤103：读取分区。

步骤104：查找和读取NTFS分区下的副本文件及文件属性。NTFS分区下的副本文件为用于记录分区各个文件记录信息的MFT(Master File Table，主文件表)文件，磁盘分区中的所有文件都由至少一个文件记录(File Record)来描述。读取NTFS分区下的文件属性具体为：对步骤102中识别出的NTFS分区，根据其分区启动位置读取文件记录信息，并进一步读取文件记录信息中的文件属性信息，文件属性信息是指通过MFT属性列表获取的MFT属性，包括常驻属性和非常驻属性，其中常驻属性是指数据存放在文件记录信息中，非常驻属性是指数据存放在文件记录信息外部。

步骤105：在原生系统中新建指定大小的恢复文件，即再生文件，并为再生文件添加高级加密属性，对的预分配大小的数据进行加密，从而为再生文件构建出和原生文件一样的数据存储结构。再生文件的大小和原生文件的大小保持一致，所以需从副本文件的基本信息属性$STANDARD_INFORMATION中进行获取。

步骤106：读取当前副本文件的密钥属性$LOGGED_UNTILITY_STREAM(或$EFS)数据。

步骤107：恢复密钥属性数据到再生文件，读取再生文件的MFT文件，获取MFT属性列表，判断$LOGGED_UNTILITY_STREAM(或$EFS)属性是否为常驻属性，若是，则在写入密钥数据后、存盘前将恢复的MFT文件中的更新序列数组的值都更新为更新序列号，并将每个扇区的倒数两个字节替换为更新序列号，若否，则直接将数据写入密钥属性运行流指定的数据块区。

步骤108：读取副本文件内容属性$DATA数据。

步骤109：恢复$DATA属性数据到再生文件，$DATA属性数据位置根据MFT文件记录的位置进行存储便可完成恢复。

步骤110：读取下一个副本文件，返回步骤106，直至读取的数据结束，完成文件的完整恢复。读取的数据结束后，还包括校验步骤：

判断文件的写入数据量和再生文件真实数据大小是否一致，若是，则关闭再生文件完成整个恢复过程，若否，则恢复失败，返回步骤101。

步骤106和109中，读取副本文件的密钥属性数据或内容属性数据时，通过MFT属性列表判断相应属性的数据是否为常驻属性，若否，则通过RunList(运行流记录或运行流列表)查找该数据，其中RunList中保存了多个Run(运行流)，通过读取Run获取到偏移并取出数据。

步骤107和108中，$LOGGED_UNTILITY_STREAM(或$EFS)属性和$DATA属性的数据写入不分前后。

上述步骤中，副本文件：备份副本中的文件；原生文件：原生系统中的文件；再生文件：在原生系统中新建的文件。EFS加密文件在删除以后，其用户信息都仍然存在于原生文件系统中，只要通过从备份副本文件中恢复被删除文件的密钥和加密数据内容便可以在恢复文件后通过合法用户正常访问恢复后的EFS加密文件。

本发明中实施例中拟定一个代理客户端Client从VMWare虚拟平台中备份名称为Windows-NTFS的虚拟机VM，备份的数据存储到介质服务端MediaServer中，为了恢复备份副本VM分区1中的带高级加密属性的副本文件1.txt恢复到VM分区2中的再生文件2.txt，Client从MediaServer读取备份的VMDK文件，来将虚拟机中的文件1.txt密钥数据和加密数据读取出来并写入到名称为2.txt的再生文件中。

其实施例整体结构如图2所示，代理客户端Client1通过VMWare提供的接口vStorage API和VDDK中的vixMntapi来将需要备份的VMWare中的虚拟机VM1进行应用静默，然后对VM1做快照，然后将VM通过TCP/IP协议挂载到Client1中，再通过VDDK中的vixDiskLib将VM以二进制块数据的读取方式将VM读取出来并通过网络转存到介质服务端。

介质服务端MediaServer对接收到的数据以VM中的原样格式写到本地磁盘上，其中包括VM的主数据文件VM.VMDK、附属数据文件VM-001.VMDK和配置文件VM.VMX文件等。

恢复客户端Client2需要恢复介质服务端的VM备份副本中的1.txt文本文件，则Client2通过网络读取介质服务端的配置文件VM.VMX获取到其主VMDK文件为VM.VMDK文件，Client2通过VDDK工具将MediaServer中的VM.VMDK打开进行读取。

对于主VM.VMDK打开以后相当于一个硬盘的方式在读取硬盘的二进制数据，根据硬盘分区格式MBR或GPT的标示要求，可以判别该硬盘分区格式为MBR或GPT格式，本实施例中以MBR说明，首先MBR位于整个硬盘的0柱面0磁头1扇区位置即读取硬盘的第一个扇区512个字节时即为主引导记录MBR，MBR的引导程序占了其中的446个字节，随后的64个字节为硬盘分区表DPT，总共4个DPT，每个DPT占用16字节其结构如图3所示，其中第4个DPT为扩展分区表，MBR的最后两个字节为“55AA”来标识分区的有效结束。

DPT中记录了该分区是否为活动分区、分区格式的类型、分区起始扇区位置信息，其中分区格式类型分为NTFS、FAT32或EXT3等类型，其分区格式类型决定了，当跳转到分区起始位置时该以何种格式来读取相应的文件存储信息，DPT1中记录的分区格式为NTFS类型，起始扇区位置为63，那么跳转到硬盘扇区63位置时，起始数据将以DBR格式读取NTFS的文件系统引导记录信息，BPB(BIOS Parameter Block，BIOS分区参数块)用于指示NTFS分区中起始MFT文件位置、扇区大小、每簇扇区数和一个File Record占用的扇区数。

MFT文件的$DATA属性一般是非常驻属性，其RunList指示了所有File Record所在位置，每个File Record都是依次排列着，每个File Record占用的扇区数通过BPB可以获取到，所以在使用RunList取到数据后通过公式：File Record N＝首个File Record+(N-1)*每个File Record占用的扇区数，根据NTFS文件的组织结构前24个File Record为系统FileRecord文件，而第5号File Record文件为根目录(.)文件，因为NTFS是以B+树进行索引的，文件是B+树中的Root结点，通过该结点可以检索到该目录下的文件。

使用Root结点找到副本文件1.txt文件所在的文件号以后，通过该索引记录中指示的File Record Number再以公式1计算跳转到该1.txt的File Record位置，NTFS中每个File Record都是由属性组成。每个属性由相同的格式构成如表1所示，第一个是标准属性记录头，然后存放属性的专用数据，标准属性记录头中存着该文件的高级属性如压缩、加密、归档、隐藏，通过该属性可以获得1.txt是否带有加密属性。

表1 File Record中的各种属性

类型	操作系统	描述
			0x10		STANDARD_INFORMATION
0x20		ATTRIBUTE_LIST
			0x30		FILE_NAME
0x40	NT	VOLUME_VERSION
			0x40	2K	OBJECT_ID
0x50		SECURITY_DESCRIPTOR
			0x60		VOLUME_NAME
0x70		VOLUME_INFORMATION
			0x80		DATA
0x90		INDEX_ROOT
			0xA0		INDEX_ALLOCATION

0xB0		BITMAP
			0xC0	NT	SYMBOL_LINK
0xC0	2K	REPARSE_POINT
			0xD0		EA_INFORMATION
0xE0		EA
			0xF0	NT	PROPERTY_SET
0x100	2K	LOGGED_UNTILITY_STREAM(EFS)

如表1所示，其中$DATA属性中存储了1.txt的文件大小和加密数据内容，其中$LOGGED_UNTILITY_STREAM(或$EFS)属性中存储了1.txt的密钥数据，根据属性数据量大小分为常驻属性和非常驻属性，常驻属性通过$LOGGED_UNTILITY_STREAM和$DATA属性中记录的数据偏移位置可以直接取出数据，非常驻属性需要读取RUNLIST中的RUN才能找到真正的数据所在位置并进行读取。

表2 Run运行流中的结构

RUN运行流中的结构如表2所示，一个流描述之后紧随着下一个流描述，如果下一个描述的SD_Desc为0则表示当前描述是最后一个，下面是数据流表示包括普通数据流和压缩数据流，针对高级压缩属性和高级加密属性不能同时存在于一个文件的原因，此处不涉及压缩数据流。

通常情况

流描述：2120ED522 48 7 48 22 21 28 C8 DB 0

流1：SD_Desc＝21-偏移占2个字节，尺寸占1个字节。

SD_Size＝20(1字节)

SD_Off＝5ED(2字节)

Offset＝5ED

Length＝20

流2：SD_Desc＝22-偏移占2个字节，尺寸占2个字节。

SD_Size＝748(2字节)

SD_Off＝2248(2字节)

Offset＝2835(2248+5ED)

Length＝748

流3：SD_Desc＝21-偏移占2个字节，尺寸占1个字节。

SD_Size＝28(1字节)

SD_Off＝DBC8(2字节)

Offset＝3FD(2835+FFFFDBC8)

Length＝28

流4：SD_Desc＝0。描述结束标志

小计：

0x20 个簇存放在簇号 0x5ED开始处

0x748 个簇存放在簇号 0x2853开始处

0x28 个簇存放在簇号 0x3FD开始处

在本实施例中，MediaServer找到的1.txt文件信息和属性数据组织成发送单元，逐步发送给Client2，Client2首先根据1.txt的文件大小在分区2中创建指定大小的原生文件2.txt文件并使用Windows API添加高级加密属性，Client2通过Windows API打开分区句柄，检索和定位2.txt文件的MFT文件，找到再生文件2.txt的MFT中的属性列表，分别读取$LOGGED_UNTILITY_STREAM(或$EFS)属性和$DATA属性，将Client2接收到的数据和读取的属性数据进行替换写入，并进行保存。

对于再生文件MFT中的$LOGGED_UNTILITY_STREAM(或$EFS)属性，在写入属性数据前需判断该属性是否为常驻属性，若是常驻属性则在写入密钥数据以后，存盘前将恢复的MFT文件中的更新序列数组(Update Sequence Array)的值都更新为更新序列号(UpdateSequence Number)，并将每个扇区的倒数两个字节进行替换为更新序列号(UpdateSequence Number)；若属性不是常驻属性则直接将数据写入$LOGGED_UNTILITY_STREAM属性运行流指定的数据块区。

最后，Client2将先后接收到的数据统计和文件实际内容大小进行校验，如果一致则成功完成整个恢复过程；如果不一致，则可能恢复到的是非原生系统或安全属性存在问题，恢复结果为失败。

Claims (7)

1.一种VMware场景中恢复NTFS高级加密文件的方法，其特征在于，该方法对VMware中完成备份的虚拟机，采用VDDK直接读取加密文件的数据，重新组织后生成再生文件，完成加密文件数据的提取和恢复，所述数据包括密钥属性数据和内容属性数据；

该方法具体包括：

1)读取并解析备份虚拟机中的VMDK文件；

2)识别文件分区格式；

3)查找和读取NTFS分区下的副本文件及文件属性；

4)在原生系统中新建指定大小的恢复文件，即再生文件；

5)为再生文件添加高级加密属性；

6)读取当前副本文件的密钥属性数据；

7)恢复密钥属性数据到再生文件；

8)读取副本文件内容属性数据；

9)恢复内容属性数据到再生文件；

10)读取下一个副本文件，返回步骤6)，直至读取的数据结束，完成文件的完整恢复；

所述步骤7)中，恢复密钥属性数据到再生文件时，读取再生文件的MFT文件，获取MFT属性列表，判断密钥属性是否为常驻属性，若是，则在写入密钥数据后、存盘前将恢复的MFT文件中的更新序列数组的值都更新为更新序列号，并将每个扇区的倒数两个字节替换为更新序列号，若否，则直接将数据写入密钥属性运行流指定的数据块区。

2.根据权利要求1所述的一种VMware场景中恢复NTFS高级加密文件的方法，其特征在于，所述步骤2)具体为：

读取步骤1)获得的VMDK文件中的硬盘分区表信息，并根据该硬盘分区表信息判断各分区的文件格式，所述文件格式包括FAT32、NTFS和EXT3。

3.根据权利要求1所述的一种VMware场景中恢复NTFS高级加密文件的方法，其特征在于，所述步骤3)中，读取NTFS分区下的文件属性具体为：

对步骤2)中识别出的NTFS分区，根据其分区启动位置读取文件记录信息，并进一步读取文件记录信息中的文件属性信息。

4.根据权利要求3所述的一种VMware场景中恢复NTFS高级加密文件的方法，其特征在于，所述步骤3)中，NTFS分区下的副本文件为用于记录分区各个文件记录信息的MFT文件，磁盘分区中的所有文件都由至少一个文件记录来描述。

5.根据权利要求1所述的一种VMware场景中恢复NTFS高级加密文件的方法，其特征在于，所述步骤4)中，再生文件的大小和原生文件的大小保持一致。

6.根据权利要求1所述的一种VMware场景中恢复NTFS高级加密文件的方法，其特征在于，读取副本文件的密钥属性数据或内容属性数据时，通过MFT属性列表判断相应属性的数据是否为常驻属性，若否，则通过运行流记录查找该数据。

7.根据权利要求1所述的一种VMware场景中恢复NTFS高级加密文件的方法，其特征在于，所述步骤10)中，读取的数据结束后，还包括校验步骤：

判断文件的写入数据量和再生文件真实数据大小是否一致，若是，则关闭再生文件完成整个恢复过程，若否，则恢复失败，返回步骤1)。