CN105740103B - 一种基于日志的ntfs删除文件恢复方法和装置 - Google Patents

Abstract

本发明属于信息安全技术领域，具体涉及一种基于日志的NTFS删除文件恢复方法和装置。该方法通过分析MFT相关的日志信息并结合MFT自身信息，能够重组被覆盖的文件记录，从而更好的恢复出相应的删除文件。该方法解决现有技术方案在文件记录被覆盖情况下无法恢复的问题，使得NTFS删除文件的恢复技术得到进一步的完善。

Description

一种基于日志的NTFS删除文件恢复方法和装置

技术领域

本发明属于信息安全技术领域，具体涉及一种基于日志的NTFS删除文件恢复方法和装置。

背景技术

NTFS文件系统是windows操作系统下最主流使用、范围最广的文件系统，其删除文件的恢复技术在信息安全领域一直是一个备受关注的热点。目前，已有很多NTFS删除文件相关的技术资料和恢复软件，这些技术和软件都是基于MFT进行数据恢复。

参考专利文献CN100429628C公开了NTFS卷中重建目录结构和恢复数据的方法，该方法包括文件扫描过程和文件恢复过程，文件扫描过程主要是遍历磁盘的$MFT(主文件表文件)，通过扫描MFT中的各种属性信息，得到全部文件的数据属性、文件路径、文件大小、文件各种时间等信息，并将这些信息记录在一个新建的文件信息表中，文件恢复过程主要是利用上述文件信息表，重新建立文件，恢复文件。

现有的NTFS恢复算法通过在MFT中查找删除文件的文件记录并解析达到恢复删除文件的目的。但是，由于操作系统会产生一些临时文件，很容易将删除后的文件记录覆盖。因此，采用基于MFT的恢复方法甚至无法恢复最近删除的一些文件。

发明内容

针对现有的NTFS删除文件恢复技术，不能处理文件记录被覆盖情况下的数据恢复，而传统的特征恢复又无法处理碎片文件的恢复。本发明提出了一种基于日志的NTFS删除文件恢复方法。该方法通过分析MFT相关的日志信息并结合MFT自身信息，能够重组被覆盖的文件记录，从而更好的恢复出相应的删除文件。该方法解决现有技术方案在文件记录被覆盖情况下无法恢复的问题，使得NTFS删除文件的恢复技术得到进一步的完善。

本发明采用如下技术方案：

一种基于日志的NTFS删除文件恢复方法，它包括以下步骤，

S1，解析NTFS卷头信息定位$MFT文件的位置，通过$MFT文件定位$LogFile文件的位置；

S2，解析$LogFile文件获取与$MFT文件操作相关的操作记录列表RS＝{R₁,R₂,R₃,....,R_n}，R_i包括日志序列号LSN、回滚类型undo_op_type、操作类型redo_op_type、操作后数据redo_data、操作后数据长度redo_length、操作目标位置target_pos、记录偏移record_offset和记录长度record_length，i＝1,2,3，…，n；

S3，遍历$MFT中的文件记录结合解析到的操作记录列表RS进行删除文件的恢复。

进一步的，步骤S1中定位$MFT文件的位置包括以下步骤，

S101，解析NTFS卷头信息，获取$MFT文件的起始位置MFTstart；

S102，读取偏移MFTstart位置的文件记录信息，并做解析获取$MFT文件在分区中占用的区域范围列表DS_m＝{D₁,D₂,D₃,....,D_m}，其中D_i包括扇区偏移sectoroffset_i和占用的扇区数setsectorcount_i，i＝1,2,3，…，m；

更进一步的，步骤S1中定位$LogFile文件的位置包括以下步骤，

S103，通过$MFT文件的区域范围列表DS_m获取MFT号为2的文件记录的起始位置LogFile_RecordOffset；

S104，读取偏移LogFile_RecordOffset位置的文件记录信息并做解析获取$LogFile文件的区域范围列表DS_L。

更进一步的，步骤S2具体包括以下步骤，

S201，当前解析的页号CURRENT_PAGE_NUM等于4，跨页数据长度CROSS_LENGTH等于0，操作记录在页中偏移RECORD_OFFSET等于0且根据$LogFile文件的区域范围列表DS_L获取日志文件的总页数TOTAL_PAGE_COUNT；

S202，解析第CURRENT_PAGE_NUM页的头部，获取最后一个操作记录偏移last_record_offset；

S203，判断CURRENT_PAGE_NUM是否等于4，若CURRENT_PAGE_NUM等于4，将RECORD_OFFSET赋值为last_record_offset,若否则将RECORD_OFFSET赋值为CROSS_LENGTH+64；

S204，解析RECORD_OFFSET处的操作记录信息R_i，并设target_pos为操作记录的操作目标位置，判断相应操作目标位置即第target_pos个扇区是否属于DS_m，若是则将R_i元素加入到操作记录列表RS中；

S205，判断RECORD_OFFSET是否等于last_record_offset，若否转到步骤S210，若是则继续下一步；

S206，判断RECORD_OFFSET+record_length是否大于4096，若否将CROSS_LENGTH赋值为0，若是则将CROSS_LENGTH赋值为RECORD_OFFSET+record_length-4096；

S207，判断是否第二次解析第4页，若是则结束，若否则CURRENT_PAGE_NUM＝CURRETN_PAGE_NUM+1；

S208，判断CURRENT_PAGE_NUM是否等于TOTAL_PAGE_COUNT，若否则转到步骤S202，若是则将CURRENT_PAGE_NUM赋值为4；

S209，解析第CURRENT_PAGE_NUM页的头部，获取最后一个操作记录偏移last_record_offset，将RECORD_OFFSET赋值为CROSS_LENGTH+64，转到步骤S204；

S210，RECORD_OFFSET等于RECORD_OFFSET+record_length，转到步骤S204。

更进一步的，步骤S204中判断第target_pos个扇区是否属于DS_m条件，

DS_m是否存在一个元素D_i满足target_pos大于等于sectoroffset_i且n小于sectoroffset_i加上setsectorcount_i，存在则属于，否则不属于。更进一步的，

步骤S3包括以下步骤，

S301，当前MFT号CURRENT_FILERECORD_NUMBER等于24并根据$MFT文件的区域范围列表DS_m获取总的文件记录数TOTAL_FILERECORD_COUNT；

S302，判断CURRENT_FILERECORD_NUMBER是否比TOTAL_FILERECORD_COUNT小，若否则结束，若是则继续下一步；

S303,判断CURRENT_FILE_RECORD_NUMBER对应的$MFT中的文件记录是否是具有删除的标识，若是则解析相应的文件记录并恢复删除的文件；

S304，根据$MFT文件的区域范围列表DS_m计算出MFT号为CURRENT_FILE_RECORD_NUMBER的文件记录对应的扇区号SECTOR_NUM；

S305，在操作记录列表RS中查找target_pos为SECTOR_NUM的所有元素，得到新操作记录列表RS_k＝{R₁,R₂,R₃,....,R_k}，k为新操作记录列表RS_k元素总数，RS_k中元素按照LSN从小到大或从大到小排序；

S306，从新操作记录列表RS_k中的LSN最大的元素往前查找第一个undo_op_type等于3或者redo_op_type等于2的元素；

S307，若查找成功，查找到的元素为第i个元素，否则转到步骤S314；

S308，从新操作记录列表RS_k中的第i个元素开始往前查找第一个undo_op_type等于2或者redo_op_type等于3的元素；

S309，若查找成功，假设查找到的元素为第j个元素，否则转到步骤S314；

S310，从新操作记录列表RS_k中的第j个元素开始往前查找第一个redo_op_type等于2的元素；

S311，若查找成功，假设查找到的元素为第h个元素，否则转到步骤S314；

S312，设LPFILERECORD为一个文件记录块，针对新操作记录列表RS_k中的第h到(j-1)个元素，按顺序将相应的redo_data数据应用到LPFILERECORD中；

S313，解析LPFILERECORD文件记录块并恢复删除的文件并将i赋值为h，转到步骤S308；

S314，CURRENT_FILE_RECORD_NUMBER的值加1转到步骤S302。

一种基于日志的NTFS删除文件恢复装置，它包括，

定位单元，用于解析NTFS卷头信息定位$MFT文件的位置，通过$MFT文件定位$LogFile文件的位置；

操作记录单元，用于解析$LogFile文件获取与$MFT文件操作相关的操作记录列表RS＝{R1,R2R3,....,Rn}，R_i包括日志序列号LSN、回滚类型undo_op_type、操作类型redo_op_type、操作后数据redo_data、操作后数据长度redo_length、操作目标位置target_pos、记录偏移record_offset和记录长度record_length，i＝1,2,3，…，n；

恢复单元，用于遍历$MFT中的文件记录结合解析到的操作记录列表RS进行删除文件的恢复。

进一步的，定位单元中定位$MFT文件的位置包括以下步骤，

S101，解析NTFS卷头信息，获取$MFT文件的起始位置MFTstart；

S102，读取偏移MFTstart位置的文件记录信息，并做解析获取$MFT文件在分区中占用的区域范围列表DS_m＝{D₁,D₂,D₃,....,D_m}，其中D_i包括扇区偏移sectoroffset_i和占用的扇区数setsectorcount_i，i＝1,2,3，…，m。

更进一步的，定位单元中定位$LogFile文件的位置包括以下步骤，

S103，通过$MFT文件的区域范围列表DS_m获取MFT号为2的文件记录的起始位置LogFile_RecordOffset；

S104，读取偏移LogFile_RecordOffset位置的文件记录信息并做解析获取$LogFile文件的区域范围列表DS_L。

更进一步的，操作记录单元中获取与$MFT文件操作相关的操作记录列表RS具体包括以下步骤，

S201，当前解析的页号CURRENT_PAGE_NUM等于4，跨页数据长度CROSS_LENGTH等于0，操作记录在页中偏移RECORD_OFFSET等于0且根据$LogFile文件的区域范围列表DS_L获取日志文件的总页数TOTAL_PAGE_COUNT；

S202，解析第CURRENT_PAGE_NUM页的头部，获取最后一个操作记录偏移last_record_offset；

S203，判断CURRENT_PAGE_NUM是否等于4，若CURRENT_PAGE_NUM等于4，将RECORD_OFFSET赋值为last_record_offset,若否则将RECORD_OFFSET赋值为CROSS_LENGTH+64；

S204，解析RECORD_OFFSET处的操作记录信息R_i，并设target_pos为操作记录的操作目标位置，判断相应操作目标位置即第target_pos个扇区是否属于DS_m，若是则将R_i元素加入到操作记录列表RS中；

S205，判断RECORD_OFFSET是否等于last_record_offset，若否转到步骤S210，若是则继续下一步；

S206，判断RECORD_OFFSET+record_length是否大于4096，若否将CROSS_LENGTH赋值为0，若是则将CROSS_LENGTH赋值为RECORD_OFFSET+record_length-4096；

S207，判断是否第二次解析第4页，若是则结束，若否则CURRENT_PAGE_NUM＝CURRETN_PAGE_NUM+1；

S208，判断CURRENT_PAGE_NUM是否等于TOTAL_PAGE_COUNT，若否则转到步骤S202，若是则将CURRENT_PAGE_NUM赋值为4；

S209，解析第CURRENT_PAGE_NUM页的头部，获取最后一个操作记录偏移last_record_offset，将RECORD_OFFSET赋值为CROSS_LENGTH+64，转到步骤S204；

S210，RECORD_OFFSET等于RECORD_OFFSET+record_length，转到步骤S204。

更进一步的，步骤S204中判断第target_pos个扇区是否属于DS_m条件，

DS_m是否存在一个元素D_i满足target_pos大于等于sectoroffset_i且n小于sectoroffset_i加上setsectorcount_i，存在则属于，否则不属于。

更进一步的，恢复单元中删除文件的恢复包括以下步骤，

S301，当前MFT号CURRENT_FILERECORD_NUMBER等于24并根据$MFT文件的区域范围列表DS_m获取总的文件记录数TOTAL_FILERECORD_COUNT；

S302，判断CURRENT_FILERECORD_NUMBER是否比TOTAL_FILERECORD_COUNT小，若否则转到步骤S314，若是则继续下一步；

S303,判断CURRENT_FILE_RECORD_NUMBER对应的$MFT中的文件记录是否是具有删除的标识，若具有删除的标识则解析相应的文件记录并恢复删除的文件；

S304，根据$MFT文件的区域范围列表DS_m计算出MFT号为CURRENT_FILE_RECORD_NUMBER的文件记录对应的扇区号SECTOR_NUM；

S305，在操作记录列表RS中查找target_pos为SECTOR_NUM的所有元素，得到新操作记录列表RS_k＝{R₁,R₂,R₃,....,R_k}，k为新操作记录列表RS_k元素总数，RS_k中元素按照LSN从小到大或从大到小排序；

S306，从新操作记录列表RS_k中的LSN最大的元素往前查找第一个undo_op_type等于3或者redo_op_type等于2的元素；

S307，若查找成功，查找到的元素为第i个元素，否则转到步骤S314；

S308，从新操作记录列表RS_k中的第i个元素开始往前查找第一个undo_op_type等于2或者redo_op_type等于3的元素；

S309，若查找成功，假设查找到的元素为第j个元素，否则转到步骤S314；

S310，从新操作记录列表RS_k中的第j个元素开始往前查找第一个redo_op_type等于2的元素；

S311，若查找成功，假设查找到的元素为第h个元素，否则转到步骤S314；

S312，设LPFILERECORD为一个文件记录块，针对新操作记录列表RS_k中的第h到(j-1)个元素，按顺序将相应的redo_data数据应用到LPFILERECORD中；

S313，解析LPFILERECORD文件记录块并恢复删除的文件并将i赋值为h，转到步骤S308；

S314，CURRENT_FILE_RECORD_NUMBER的值加1转到步骤S302。

本发明提出了一种基于日志的NTFS删除文件恢复方法。该方法能够解决现有技术在文件记录被覆盖的情况下，无法恢复文件以及处理文件记录被覆盖多次的问题。经实验验证，该方法的恢复效果比现有恢复软件的效果更好。

附图说明

图1是基于日志的NTFS删除文件恢复方法的流程图；

图2是定位$MFT文件和$LogFile文件位置的流程图；

图3是获取与$MFT文件操作相关的操作记录列表的流程图；

图4是删除文件恢复的流程图；

图5是采用R-Studio软件对分区Z进行恢复的效果；

图6是采用本发明对分区Z进行恢复的效果。

具体实施方式

为进一步说明各实施例，本发明提供有附图。这些附图为本发明揭露内容的一部分，其主要用以说明实施例，并可配合说明书的相关描述来解释实施例的运作原理。配合参考这些内容，本领域普通技术人员应能理解其他可能的实施方式以及本发明的优点。图中的组件并未按比例绘制，而类似的组件符号通常用来表示类似的组件。

现结合附图和具体实施方式对本发明进一步说明。

本发明提出了一种基于日志的NTFS删除文件恢复方法，在该方法中包括以下定义：

1)、假设RS＝{R₁,R₂,R₃,....,R_n}表示操作记录的列表。其中，列表中的每个元素R_i包含十个属性：日志序列号LSN、回滚类型undo_op_type、操作前数据undo_data、操作前数据长度undo_length、操作类型redo_op_type、操作后数据redo_data、操作后数据长度redo_length、操作目标位置target_pos(以扇区为单位)、记录偏移record_offset(以字节为单位相对于target_pos)、记录长度record_length。

2)、假设DS＝{D₁,D₂D₃,....,D_n}表示一个文件在分区中占用的区域范围列表，该列表中的元素按对应区域在文件中的偏移从小到大排序。其中，列表中的每个元素D_i包含两个属性：扇区偏移sectoroffset、占用的扇区数sectorcount。由于，文件可能存在碎片，因此一个文件占用的区域范围可能是一个列表，如果没有碎片则列表只有一个元素。

参阅图1所示，为一种基于日志的NTFS删除文件恢复方法的流程图。它包括以下步骤：

S1，解析NTFS卷头信息定位$MFT文件的位置，通过$MFT文件定位$LogFile文件的位置。

文件/文件夹被删除后，相应的元信息在$MFT只是做了标识并没有清除且$LogFile日志中也会记录相应的元信息改变情况。但$MFT和$LogFile属于系统元文件，无法像普通文件一样直接做访问，需要通过解析卷结构来获取两个文件在分区中占用的区域范围。$MFT和$LogFile文件的获取以及$LogFile文件操作记录的获取，是实现删除数据恢复的基础。

参阅图2所示，为定位$MFT文件和$LogFile文件位置的流程图。其中，$MFT文件的区域范围定位分为如下两个步骤：

S101，解析NTFS卷头信息，获取$MFT文件的起始位置MFTstart；

S102，读取偏移MFTstart位置的文件记录信息，并做解析获取$MFT文件在分区中占用的区域范围列表DS_m，其中D_i包括扇区偏移sectoroffset_i和占用的扇区数setsectorcount_i，i＝1,2,3，…，m；

$LogFile文件的区域范围定位在DS_m定位之后,包括以下步骤，

S103，通过$MFT文件的区域范围列表DS_m获取MFT号为2的文件记录的起始位置LogFile_RecordOffset；

S104，读取偏移LogFile_RecordOffset位置的文件记录信息并做解析获取$LogFile文件的区域范围列表DS_L。

$LogFile文件记录了文件的创建/删除/修改等信息，这些信息以操纵记录的形式存在日志文件中。由于，文件的元数据信息存在$MFT文件中，因此本文只解析与$MFT文件有关的操作记录。

S2，解析$LogFile文件获取与$MFT文件操作相关的操作记录列表RS。

参阅图3所示，为获取与$MFT文件操作相关的操作记录列表的流程图，具体包括以下步骤：

S201，当前解析的页号CURRENT_PAGE_NUM等于4，跨页数据长度CROSS_LENGTH等于0，操作记录在页中偏移RECORD_OFFSET等于0且根据$LogFile文件的区域范围列表DS_L获取日志文件的总页数TOTAL_PAGE_COUNT。

S202，解析第CURRENT_PAGE_NUM页的头部，获取最后一个操作记录偏移last_record_offset。

S203，判断CURRENT_PAGE_NUM是否等于4，若CURRENT_PAGE_NUM等于4，将RECORD_OFFSET赋值为last_record_offset,若否则将RECORD_OFFSET赋值为CROSS_LENGTH+64。

S204，解析RECORD_OFFSET处的操作记录信息R_i，并设target_pos为操作记录的操作目标位置，判断相应操作目标位置即第target_pos个扇区是否属于DS_m，若是则将R_i元素加入到操作记录列表RS中。

其中，判断第target_pos个扇区是否属于DS_m条件，

DS_m是否存在一个元素D_i满足target_pos大于等于sectoroffset_i且n小于sectoroffset_i加上setsectorcount_i，存在则属于，否则不属于。

S205，判断RECORD_OFFSET是否等于last_record_offset，若否转到步骤S210，若是则继续下一步。

S206，判断RECORD_OFFSET+record_length是否大于4096，若否将CROSS_LENGTH赋值为0，若是则将CROSS_LENGTH赋值为RECORD_OFFSET+record_length-4096。

S207，判断是否第二次解析第4页，若是则转到步骤S211，若否则CURRENT_PAGE_NUM＝CURRETN_PAGE_NUM+1。

S208，判断CURRENT_PAGE_NUM是否等于TOTAL_PAGE_COUNT，若否则转到步骤S202，若是则将CURRENT_PAGE_NUM赋值为4。

S209，解析第CURRENT_PAGE_NUM页的头部，获取最后一个操作记录偏移last_record_offset，将RECORD_OFFSET赋值为CROSS_LENGTH+64，转到步骤S204。

S210，RECORD_OFFSET等于RECORD_OFFSET+record_length，转到步骤S204。

S211，对操作记录列表RS中的记录，按照LSN属性从小到大进行排序。

S3，遍历$MFT中的文件记录结合解析到的操作记录列表RS进行删除文件的恢复。

定位到$MFT文件和获取操作记录RS后，即可对$MFT和操作记录RS中的删除文件记录进行分析并恢复出删除的文件。参阅图4所示，为删除文件恢复的流程图。包括以下步骤，

S301，当前文件记录号即MFT号CURRENT_FILERECORD_NUMBER等于24并根据$MFT文件的区域范围列表DS_m获取总的文件记录数TOTAL_FILERECORD_COUNT。

S302，判断CURRENT_FILERECORD_NUMBER是否比TOTAL_FILERECORD_COUNT小，若否则结束，若是则继续下一步。

S303,判断CURRENT_FILE_RECORD_NUMBER对应的$MFT中的文件记录是否是具有删除的标识，若是则解析相应的文件记录并恢复删除的文件。

S304，根据$MFT文件的区域范围列表DS_m计算出MFT号为CURRENT_FILE_RECORD_NUMBER的文件记录对应的扇区号SECTOR_NUM。

S305，在操作记录列表RS中查找target_pos为SECTOR_NUM的所有元素，得到新操作记录列表RS_k＝{R₁,R₂,R₃,....,R_k}，k为新操作记录列表RS_k元素总数，RS_k中元素按照LSN从小到大排序。由于RS里面元素按LSN从小到大排序过，因此按顺序查找RS_k得到的目标元素序列也是按LSN从小到大排序的

S306，从新操作记录列表RS_k中的LSN最大的元素(即第n个元素)往前查找第一个undo_op_type等于3或者redo_op_type等于2的元素。该查找顺序为从大到小查找。

S307，若查找成功，查找到的元素为第i个元素，否则转到步骤S314。

S308，从新操作记录列表RS_k中的第i个元素开始往前查找第一个undo_op_type等于2或者redo_op_type等于3的元素。

S309，若查找成功，假设查找到的元素为第j个元素，否则转到步骤S314。

S310，从新操作记录列表RS_k中的第j个元素开始往前查找第一个redo_op_type等于2的元素。

S311，若查找成功，假设查找到的元素为第h个元素，否则转到步骤S314。

S312，设LPFILERECORD为一个文件记录块(大小为1024字节)，针对新操作记录列表RS_k中的第h到(j-1)个元素，按顺序将相应的redo_data数据应用到LPFILERECORD中；针对RS_k中的元素R_x，将R_x中的redo_data数据应用到LPFILERECORD中的过程为：将redo_data数据拷贝的LPFILERECORD数据块的record_offset位置，拷贝长度为redo_length。

S313，解析LPFILERECORD文件记录块并恢复删除的文件并将i赋值为h，转到步骤S308；

S314，CURRENT_FILE_RECORD_NUMBER的值加1转到步骤S302。

本发明还提出了一种基于日志的NTFS删除文件恢复装置，它包括，

定位单元，用于解析NTFS卷头信息定位$MFT文件的位置，通过$MFT文件定位$LogFile文件的位置；

操作记录单元，用于解析$LogFile文件获取与$MFT文件操作相关的操作记录列表RS＝{R1,R2R3,....,Rn}，R_i包括日志序列号LSN、回滚类型undo_op_type、操作类型redo_op_type、操作后数据redo_data、操作后数据长度redo_length、操作目标位置target_pos、记录偏移record_offset和记录长度record_length，i＝1,2,3，…，n；

恢复单元，用于遍历$MFT中的文件记录结合解析到的操作记录列表RS进行删除文件的恢复。

其中，定位单元中定位$MFT文件的位置包括以下步骤，

S101，解析NTFS卷头信息，获取$MFT文件的起始位置MFTstart；

S102，读取偏移MFTstart位置的文件记录信息，并做解析获取$MFT文件在分区中占用的区域范围列表DS_m＝{D₁,D₂,D₃,....,D_m}，其中D_i包括扇区偏移sectoroffset_i和占用的扇区数setsectorcount_i，i＝1,2,3，…，m。

而定位单元中定位$LogFile文件的位置包括以下步骤，

S103，通过$MFT文件的区域范围列表DS_m获取MFT号为2的文件记录的起始位置LogFile_RecordOffset；

S104，读取偏移LogFile_RecordOffset位置的文件记录信息并做解析获取$LogFile文件的区域范围列表DS_L。

操作记录单元中获取与$MFT文件操作相关的操作记录列表RS具体包括以下步骤，

S201，当前解析的页号CURRENT_PAGE_NUM等于4，跨页数据长度CROSS_LENGTH等于0，操作记录在页中偏移RECORD_OFFSET等于0且根据$LogFile文件的区域范围列表DS_L获取日志文件的总页数TOTAL_PAGE_COUNT；

S202，解析第CURRENT_PAGE_NUM页的头部，获取最后一个操作记录偏移last_record_offset；

S203，判断CURRENT_PAGE_NUM是否等于4，若CURRENT_PAGE_NUM等于4，将RECORD_OFFSET赋值为last_record_offset,若否则将RECORD_OFFSET赋值为CROSS_LENGTH+64；

S204，解析RECORD_OFFSET处的操作记录信息R_i，并设target_pos为操作记录的操作目标位置，判断相应操作目标位置即第target_pos个扇区是否属于DS_m，若是则将R_i元素加入到操作记录列表RS中；

S205，判断RECORD_OFFSET是否等于last_record_offset，若否转到步骤S210，若是则继续下一步；

S206，判断RECORD_OFFSET+record_length是否大于4096，若否将CROSS_LENGTH赋值为0，若是则将CROSS_LENGTH赋值为RECORD_OFFSET+record_length-4096；

S207，判断是否第二次解析第4页，若是则结束，若否则CURRENT_PAGE_NUM＝CURRETN_PAGE_NUM+1；

S208，判断CURRENT_PAGE_NUM是否等于TOTAL_PAGE_COUNT，若否则转到步骤S202，若是则将CURRENT_PAGE_NUM赋值为4；

S209，解析第CURRENT_PAGE_NUM页的头部，获取最后一个操作记录偏移last_record_offset，将RECORD_OFFSET赋值为CROSS_LENGTH+64，转到步骤S204；

S210，RECORD_OFFSET等于RECORD_OFFSET+record_length，转到步骤S204。

其中，步骤S204中判断第target_pos个扇区是否属于DS_m条件，

DS_m是否存在一个元素D_i满足target_pos大于等于sectoroffset_i且n小于sectoroffset_i加上setsectorcount_i，存在则属于，否则不属于。

恢复单元中删除文件的恢复包括以下步骤，

S301，当前MFT号CURRENT_FILERECORD_NUMBER等于24并根据$MFT文件的区域范围列表DS_m获取总的文件记录数TOTAL_FILERECORD_COUNT；

S302，判断CURRENT_FILERECORD_NUMBER是否比TOTAL_FILERECORD_COUNT小，若否则转到步骤S314，若是则继续下一步；

S303,判断CURRENT_FILE_RECORD_NUMBER对应的$MFT中的文件记录是否是具有删除的标识，若具有删除的标识则解析相应的文件记录并恢复删除的文件；

S304，根据$MFT文件的区域范围列表DS_m计算出MFT号为CURRENT_FILE_RECORD_NUMBER的文件记录对应的扇区号SECTOR_NUM；

S305，在操作记录列表RS中查找target_pos为SECTOR_NUM的所有元素，得到新操作记录列表RS_k＝{R₁,R₂,R₃,....,R_k}，k为新操作记录列表RS_k元素总数，RS_k中元素按照LSN从小到大或从大到小排序；

S306，从新操作记录列表RS_k中的LSN最大的元素往前查找第一个undo_op_type等于3或者redo_op_type等于2的元素；

S307，若查找成功，查找到的元素为第i个元素，否则转到步骤S314；

S308，从新操作记录列表RS_k中的第i个元素开始往前查找第一个undo_op_type等于2或者redo_op_type等于3的元素；

S309，若查找成功，假设查找到的元素为第j个元素，否则转到步骤S314；

S310，从新操作记录列表RS_k中的第j个元素开始往前查找第一个redo_op_type等于2的元素；

S311，若查找成功，假设查找到的元素为第h个元素，否则转到步骤S314；

S312，设LPFILERECORD为一个文件记录块，针对新操作记录列表RS_k中的第h到(j-1)个元素，按顺序将相应的redo_data数据应用到LPFILERECORD中；

S313，解析LPFILERECORD文件记录块并恢复删除的文件并将i赋值为h，转到步骤S308；

S314，CURRENT_FILE_RECORD_NUMBER的值加1转到步骤S302。

本发明的发明人做了如下实验，实验过程为：

1)新建一个NTFS的格式的分区Z；

2)往分区Z中拷贝两个文件夹名称为“文档”和“图片”，其中两个文件夹中各包含若干文件；

3)删除文件夹“图片”；

4)往分区Z中拷贝一个文件夹，名称为“测试数据”；

5)采用本发明和R-Studio(V7.5)软件对Z分区做数据恢复并进行结果的对比。

参阅图5所示，为采用R-Studio软件对分区Z进行恢复的效果，参阅图6所示，为采用本发明对分区Z进行恢复的效果。

从实验结果可得，本发明的恢复效果较R-Studio软件好。原因分析：新加入一个“测试数据”文件夹以及文件夹中文件对应的文件记录覆盖了“图片”文件夹以及文件夹中文件的文件记录，而现有恢复软件在文件记录被覆盖的情况下无法恢复。

尽管结合优选实施方案具体展示和介绍了本发明，但所属领域的技术人员应该明白，在不脱离所附权利要求书所限定的本发明的精神和范围内，在形式上和细节上可以对本发明做出各种变化，均为本发明的保护范围。

Claims (10)

1.一种基于日志的NTFS删除文件恢复方法，其特征在于：它包括以下步骤，

S1，解析NTFS卷头信息定位$MFT文件的位置，通过$MFT文件定位$LogFile文件的位置；

S2，解析$LogFile文件获取与$MFT文件操作相关的操作记录列表RS＝{R₁,R₂,R₃,....,R_n}，R_i包括日志序列号LSN、回滚类型undo_op_type、操作类型redo_op_type、操作后数据redo_data、操作后数据长度redo_length、操作目标位置target_pos、记录偏移record_offset和记录长度record_length，i＝1,2,3，…，n；

步骤S2具体包括以下步骤:

S201，当前解析的页号CURRENT_PAGE_NUM等于4，跨页数据长度CROSS_LENGTH等于0，操作记录在页中偏移RECORD_OFFSET等于0且根据$LogFile文件的区域范围列表DS_L获取日志文件的总页数TOTAL_PAGE_COUNT；

S202，解析第CURRENT_PAGE_NUM页的头部，获取最后一个操作记录偏移last_record_offset；

S203，判断CURRENT_PAGE_NUM是否等于4，若CURRENT_PAGE_NUM等于4，将RECORD_OFFSET赋值为last_record_offset,若否则将RECORD_OFFSET赋值为CROSS_LENGTH+64；

S204，解析RECORD_OFFSET处的操作记录信息R_i，并设target_pos为操作记录的操作目标位置，判断相应操作目标位置即第target_pos个扇区是否属于DS_m，若是则将R_i元素加入到操作记录列表RS中；

S205，判断RECORD_OFFSET是否等于last_record_offset，若否转到步骤S210，若是则继续下一步；

S206，判断RECORD_OFFSET+record_length是否大于4096，若否将CROSS_LENGTH赋值为0，若是则将CROSS_LENGTH赋值为RECORD_OFFSET+record_length-4096；

S207，判断是否第二次解析第4页，若是则结束，若否则CURRENT_PAGE_NUM＝CURRETN_PAGE_NUM+1；

S208，判断CURRENT_PAGE_NUM是否等于TOTAL_PAGE_COUNT，若否则转到步骤S202，若是则将CURRENT_PAGE_NUM赋值为4；

S209，解析第CURRENT_PAGE_NUM页的头部，获取最后一个操作记录偏移last_record_offset，将RECORD_OFFSET赋值为CROSS_LENGTH+64，转到步骤S204；

S210，RECORD_OFFSET等于RECORD_OFFSET+record_length，转到步骤S204；

S3，遍历$MFT中的文件记录并结合解析到的操作记录列表RS进行删除文件的恢复。

2.如权利要求1所述的基于日志的NTFS删除文件恢复方法，其特征在于：所述步骤S1中定位$MFT文件的位置包括以下步骤，

S101，解析NTFS卷头信息，获取$MFT文件的起始位置MFTstart；

S102，读取偏移MFTstart位置的文件记录信息，并做解析获取$MFT文件在分区中占用的区域范围列表DS_m＝{D₁,D₂,D₃,....,D_m}，其中D_i包括扇区偏移sectoroffset_i和占用的扇区数setsectorcount_i，i＝1,2,3，…，m。

3.如权利要求2所述的基于日志的NTFS删除文件恢复方法，其特征在于：所述步骤S1中定位$LogFile文件的位置包括以下步骤，

S103，通过$MFT文件的区域范围列表DS_m获取MFT号为2的文件记录的起始位置LogFile_RecordOffset；

S104，读取偏移LogFile_RecordOffset位置的文件记录信息并做解析获取$LogFile文件的区域范围列表DS_L。

4.如权利要求3所述的基于日志的NTFS删除文件恢复方法，其特征在于：所述步骤S204中判断第target_pos个扇区是否属于DS_m条件，

DS_m是否存在一个元素D_i满足target_pos大于等于sectoroffset_i且n小于sectoroffset_i加上setsectorcount_i，存在则属于，否则不属于。

5.如权利要求3所述的基于日志的NTFS删除文件恢复方法，其特征在于：所述步骤S3包括以下步骤，

S301，当前MFT号CURRENT_FILERECORD_NUMBER等于24并根据$MFT文件的区域范围列表DS_m获取总的文件记录数TOTAL_FILERECORD_COUNT；

S302，判断CURRENT_FILERECORD_NUMBER是否比TOTAL_FILERECORD_COUNT小，若否则结束，若是则继续下一步；

S303,判断CURRENT_FILE_RECORD_NUMBER对应的$MFT中的文件记录是否是具有删除的标识，若是则解析相应的文件记录并恢复删除的文件；

S304，根据$MFT文件的区域范围列表DS_m计算出MFT号为CURRENT_FILE_RECORD_NUMBER的文件记录对应的扇区号SECTOR_NUM；

S305，在操作记录列表RS中查找target_pos为SECTOR_NUM的所有元素，得到新操作记录列表RS_k＝{R₁,R₂,R₃,....,R_k}，k为新操作记录列表RS_k元素总数，RS_k中元素按照LSN从小到大或从大到小排序；

S306，从新操作记录列表RS_k中的LSN最大的元素往前查找第一个undo_op_type等于3或者redo_op_type等于2的元素；

S307，若查找成功，查找到的元素为第i个元素，否则转到步骤S314；

S308，从新操作记录列表RS_k中的第i个元素开始往前查找第一个undo_op_type等于2或者redo_op_type等于3的元素；

S309，若查找成功，假设查找到的元素为第j个元素，否则转到步骤S314；

S310，从新操作记录列表RS_k中的第j个元素开始往前查找第一个redo_op_type等于2的元素；

S311，若查找成功，假设查找到的元素为第h个元素，否则转到步骤S314；

S312，设LPFILERECORD为一个文件记录块，针对新操作记录列表RS_k中的第h到(j-1)个元素，按顺序将相应的redo_data数据应用到LPFILERECORD中；

S313，解析LPFILERECORD文件记录块并恢复删除的文件并将i赋值为h，转到步骤S308；

S314，CURRENT_FILE_RECORD_NUMBER的值加1转到步骤S302。

6.一种基于日志的NTFS删除文件恢复装置，其特征在于：它包括，

定位单元，用于解析NTFS卷头信息定位$MFT文件的位置，通过$MFT文件定位$LogFile文件的位置；

操作记录单元，用于解析$LogFile文件获取与$MFT文件操作相关的操作记录列表RS＝{R1,R2R3,....,Rn}，R_i包括日志序列号LSN、回滚类型undo_op_type、操作类型redo_op_type、操作后数据redo_data、操作后数据长度redo_length、操作目标位置target_pos、记录偏移record_offset和记录长度record_length，i＝1,2,3，…，n；

所述操作记录单元执行获取与$MFT文件操作相关的操作记录列表RS具体包括以下步骤:

S201，当前解析的页号CURRENT_PAGE_NUM等于4，跨页数据长度CROSS_LENGTH等于0，操作记录在页中偏移RECORD_OFFSET等于0且根据$LogFile文件的区域范围列表DS_L获取日志文件的总页数TOTAL_PAGE_COUNT；

S202，解析第CURRENT_PAGE_NUM页的头部，获取最后一个操作记录偏移last_record_offset；

S203，判断CURRENT_PAGE_NUM是否等于4，若CURRENT_PAGE_NUM等于4，将RECORD_OFFSET赋值为last_record_offset,若否则将RECORD_OFFSET赋值为CROSS_LENGTH+64；

S204，解析RECORD_OFFSET处的操作记录信息R_i，并设target_pos为操作记录的操作目标位置，判断相应操作目标位置即第target_pos个扇区是否属于DS_m，若是则将R_i元素加入到操作记录列表RS中；

S205，判断RECORD_OFFSET是否等于last_record_offset，若否转到步骤S210，若是则继续下一步；

S206，判断RECORD_OFFSET+record_length是否大于4096，若否将CROSS_LENGTH赋值为0，若是则将CROSS_LENGTH赋值为RECORD_OFFSET+record_length-4096；

S207，判断是否第二次解析第4页，若是则结束，若否则CURRENT_PAGE_NUM＝CURRETN_PAGE_NUM+1；

S208，判断CURRENT_PAGE_NUM是否等于TOTAL_PAGE_COUNT，若否则转到步骤S202，若是则将CURRENT_PAGE_NUM赋值为4；

S209，解析第CURRENT_PAGE_NUM页的头部，获取最后一个操作记录偏移last_record_offset，将RECORD_OFFSET赋值为CROSS_LENGTH+64，转到步骤S204；

S210，RECORD_OFFSET等于RECORD_OFFSET+record_length，转到步骤S204；

恢复单元，用于遍历$MFT中的文件记录结合解析到的操作记录列表RS进行删除文件的恢复。

7.如权利要求6所述的基于日志的NTFS删除文件恢复装置，其特征在于：所述定位单元执行定位$MFT文件的位置包括以下步骤，

S101，解析NTFS卷头信息，获取$MFT文件的起始位置MFTstart；

S102，读取偏移MFTstart位置的文件记录信息，并做解析获取$MFT文件在分区中占用的区域范围列表DS_m＝{D₁,D₂,D₃,....,D_m}，其中D_i包括扇区偏移sectoroffset_i和占用的扇区数setsectorcount_i，i＝1,2,3，…，m。

8.如权利要求7所述的基于日志的NTFS删除文件恢复装置，其特征在于：所述定位单元执行定位$LogFile文件的位置包括以下步骤，

S103，通过$MFT文件的区域范围列表DS_m获取MFT号为2的文件记录的起始位置LogFile_RecordOffset；

S104，读取偏移LogFile_RecordOffset位置的文件记录信息并做解析获取$LogFile文件的区域范围列表DS_L。

9.如权利要求8所述的基于日志的NTFS删除文件恢复装置，其特征在于：所述步骤S204中判断第target_pos个扇区是否属于DS_m条件，

DS_m是否存在一个元素D_i满足target_pos大于等于sectoroffset_i且n小于sectoroffset_i加上setsectorcount_i，存在则属于，否则不属于。

10.如权利要求8所述的基于日志的NTFS删除文件恢复装置，其特征在于：所述恢复单元执行删除文件的恢复包括以下步骤，

S301，当前MFT号CURRENT_FILERECORD_NUMBER等于24并根据$MFT文件的区域范围列表DS_m获取总的文件记录数TOTAL_FILERECORD_COUNT；

S302，判断CURRENT_FILERECORD_NUMBER是否比TOTAL_FILERECORD_COUNT小，若否则转到步骤S314，若是则继续下一步；

S303,判断CURRENT_FILE_RECORD_NUMBER对应的$MFT中的文件记录是否是具有删除的标识，若具有删除的标识则解析相应的文件记录并恢复删除的文件；

S304，根据$MFT文件的区域范围列表DS_m计算出MFT号为CURRENT_FILE_RECORD_NUMBER的文件记录对应的扇区号SECTOR_NUM；

S305，在操作记录列表RS中查找target_pos为SECTOR_NUM的所有元素，得到新操作记录列表RS_k＝{R₁,R₂,R₃,....,R_k}，k为新操作记录列表RS_k元素总数，RS_k中元素按照LSN从小到大或从大到小排序；

S306，从新操作记录列表RS_k中的LSN最大的元素往前查找第一个undo_op_type等于3或者redo_op_type等于2的元素；

S307，若查找成功，查找到的元素为第i个元素，否则转到步骤S314；

S308，从新操作记录列表RS_k中的第i个元素开始往前查找第一个undo_op_type等于2或者redo_op_type等于3的元素；

S309，若查找成功，假设查找到的元素为第j个元素，否则转到步骤S314；

S310，从新操作记录列表RS_k中的第j个元素开始往前查找第一个redo_op_type等于2的元素；

S311，若查找成功，假设查找到的元素为第h个元素，否则转到步骤S314；

S312，设LPFILERECORD为一个文件记录块，针对新操作记录列表RS_k中的第h到(j-1)个元素，按顺序将相应的redo_data数据应用到LPFILERECORD中；

S313，解析LPFILERECORD文件记录块并恢复删除的文件并将i赋值为h，转到步骤S308；

S314，CURRENT_FILE_RECORD_NUMBER的值加1转到步骤S302。