CN106055990A - 一种ntfs文件系统的数据彻底粉碎方法和装置 - Google Patents

一种ntfs文件系统的数据彻底粉碎方法和装置 Download PDF

Info

Publication number
CN106055990A
CN106055990A CN201610373770.XA CN201610373770A CN106055990A CN 106055990 A CN106055990 A CN 106055990A CN 201610373770 A CN201610373770 A CN 201610373770A CN 106055990 A CN106055990 A CN 106055990A
Authority
CN
China
Prior art keywords
file
data
record
mft
fileinfo
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201610373770.XA
Other languages
English (en)
Other versions
CN106055990B (zh
Inventor
沈长达
吴少华
黄志炜
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Xiamen Meiya Pico Information Co Ltd
Original Assignee
Xiamen Meiya Pico Information Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xiamen Meiya Pico Information Co Ltd filed Critical Xiamen Meiya Pico Information Co Ltd
Priority to CN201610373770.XA priority Critical patent/CN106055990B/zh
Publication of CN106055990A publication Critical patent/CN106055990A/zh
Application granted granted Critical
Publication of CN106055990B publication Critical patent/CN106055990B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2143Clearing memory, e.g. to prevent the data from being stolen

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本发明属于计算机取证安全领域,具体涉及一种NTFS文件系统的数据彻底粉碎方法和装置。一种NTFS文件系统的数据彻底粉碎方法,包括以下步骤,S1,解析NTFS卷头信息,定位$MFT文件的位置;S2,解析$MFT文件获取相应的文件信息,文件信息包括日志文件信息,通过解析日志文件获取与文件相关联的日志信息;S3,根据要粉碎的文件或文件夹路径获取相应的文件信息和相关的日志信息,删除文件或文件夹,以及清除相应的文件信息和相关的日志信息。通过本发明的粉碎方法,可以彻底消除数据恢复带来的隐患,为涉密文件的安全管理提供了强有力的支持。

Description

一种NTFS文件系统的数据彻底粉碎方法和装置
技术领域
本发明属于计算机取证安全领域,具体涉及一种NTFS文件系统的数据彻底粉碎方法和装置。
背景技术
NTFS作为windows操作系统下最主流使用范围最广的文件系统,不管是数据恢复技术还是文件粉碎技术都已经有非常多的研究,国内外有着非常多相关的资料和软件。在文件粉碎方面,现有的一个技术主要是通过定位待粉碎文件的MFT记录,在填充完数据区域删除文件后同时清空相应的MFT记录,从而实现文件的粉碎。
参考专利文献CN102693387A公开了一种NTFS 文件系统的数据擦除方法,包括以下步骤:一、在Windows下打开X盘即NTFS的卷;然后读取该卷的前512 字节,即起始扇区;二、根据所要删除文件的路径,查找该文件ID ;三、擦除文件相关信息。该方法没有完全粉碎与文件相关的信息,存在着被恢复的风险。
由于NTFS是一个日志型的文件系统且具有索引查找机制,所以采用上述专利文献公开的方法进行文件粉碎,只能够处理掉大部分的文件信息,并不能不留痕迹的彻底粉碎。
很多情况下现有技术对NTFS文件粉粹过后,通过一些日志恢复或者索引恢复技术还是可以到一些文件名称等文件属性信息,针对一些内容存在常驻属性的文件甚至可以完整的把文件恢复回来,无法满足一些高保密系统的要求。
发明内容
针对现有技术存在的不足之处,本发明提出了一种NTFS文件系统的数据彻底粉碎方法,该方法通过获取与文件关联的MFT记录信息、索引信息、日志信息,并在文件被删除之后清空这些区域,从而达到了彻底删除的目的。
本发明采用如下技术方案:
一种NTFS文件系统的数据彻底粉碎方法,包括以下步骤,
S1,解析NTFS卷头信息,定位$MFT文件的位置;
S2,解析$MFT文件获取相应的文件信息,文件信息包括日志文件信息,通过解析日志文件获取与文件相关联的日志信息;
S3,根据要粉碎的文件或文件夹路径获取相应的文件信息和相关的日志信息,删除文件或文件夹,以及清除相应的文件信息和相关的日志信息。
进一步的,步骤S1中定位$MFT文件的位置包括以下步骤,
S101,解析NTFS卷头信息,获取$MFT文件的起始位置MFTStartOffset;
S102,读取偏移MFTStartOffset位置的文件记录信息,并做解析获取$MFT文件的区域范围列表DSm={D1,D2,D3,…,Dm},其中Di包括起始偏移startoffseti和占用的字节数bytecounti,i=1,2,3,…,m。
更进一步的,步骤S2具体包括以下步骤,
S201, 通过获取到的$MFT文件的区域范围列表DSm.,解析$MFT中的文件记录信息获取相应的文件信息列表FS={F1,F2,F3,…,Fn},其中Fi包括文件记录号MFTNumi、父节点文件记录号ParentMFTNumi、文件名称FileNamei、文件记录数据区域MFT_DSi、文件数据区域Data_DSi,i=1,2,3,…,n;
S202,从FS列表中获取文件记录号MFTNumk为2的元素Fk并从Fk中获取对应的文件数据区域Data_DSk;
S203,按照NTFS日志结构解析Data_DSk对应的数据区域,获取相应的日志操作记录列表JS={J1,J2,J3,…,Jt},Ji包括日志记录操作的起始偏移targetoffseti和操作记录数据区域record_DSi,i=1,2,3,…,t。
更进一步的,还包括步骤S204,对日志操作记录列表JS中的元素,按照targetoffseti升序或降序进行排序。
更进一步的,步骤S3具体包括以下步骤,
S301,在FS中查找要粉碎的文件或文件夹的文件信息Fh,若查找待粉碎文件或文件夹的文件信息失败,则转到步骤S305,否则转到步骤S302;
S302,粉碎查找到的文件或文件夹;
S303,文件信息Fh中的MFT_DSh列表属性的第一个元素(startoffseth,bytecounth),在JS中查找targetoffsetk等于startoffseth的元素Jk,如果查找失败转到步骤S305,否则转到步骤S304;
S304,将Jk中操作记录数据区域为record_DSk对应的区域清除为0;
S305,将Fh中文件记录数据区域MFT_DSh和文件数据区域Data_DSh对应的区域清除为0。
更进一步的,步骤S302中粉碎查找到的文件或文件夹包括调用DELETEFOLDER删除文件夹或/和调用DELETEFILE删除文件。
一种NTFS文件系统的数据彻底粉碎装置,它包括,
定位单元,用于解析NTFS卷头信息,定位$MFT文件的位置;
解析单元,用于解析$MFT文件获取相应的文件信息,文件信息包括日志文件信息,通过解析日志文件获取与文件相关联的日志信息;
粉碎单元,根据要粉碎的文件或文件夹路径获取相应的文件信息和相关的日志信息,删除文件或文件夹,以及清除相应的文件信息和相关的日志信息。
进一步的,定位单元执行以下步骤,
S101,解析NTFS卷头信息,获取$MFT文件的起始位置MFTStartOffset;
S102,读取偏移MFTStartOffset位置的文件记录信息,并做解析获取$MFT文件的区域范围列表DSm={D1,D2,D3,…,Dm},其中Di包括起始偏移startoffseti和占用的字节数bytecounti,i=1,2,3,…,m。
更进一步的,解析单元执行以下步骤,
S201, 通过获取到的$MFT文件的区域范围列表DSm.,解析$MFT中的文件记录信息获取相应的文件信息列表FS={F1,F2,F3,…,Fn},其中Fi包括文件记录号MFTNumi、父节点文件记录号ParentMFTNumi、文件名称FileNamei、文件记录数据区域MFT_DSi、文件数据区域Data_DSi,i=1,2,3,…,n;
S202,从FS列表中获取文件记录号MFTNumk为2的元素Fk并从Fk中获取对应的文件数据区域Data_DSk;
S203,按照NTFS日志结构解析Data_DSk对应的数据区域,获取相应的日志操作记录列表JS={J1,J2,J3,…,Jt},Ji包括日志记录操作的起始偏移targetoffseti和操作记录数据区域record_DSi,i=1,2,3,…,t。
更进一步的,还包括步骤S204,对日志操作记录列表JS中的元素,按照targetoffseti升序或降序进行排序。
更进一步的,粉碎单元执行以下步骤,
S301,在FS中查找要粉碎的文件或文件夹的文件信息Fh,若查找待粉碎文件或文件夹的文件信息失败,则转到步骤S305,否则转到步骤S302;
S302,粉碎查找到的文件或文件夹;
S303,文件信息Fh中的MFT_DSh列表属性的第一个元素(startoffseth,bytecounth),在JS中查找targetoffsetk等于startoffseth的元素Jk,如果查找失败转到步骤S305,否则转到步骤S304;
S304,将Jk中操作记录数据区域为record_DSk对应的区域清除为0;
S305,将Fh中文件记录数据区域MFT_DSh和文件数据区域Data_DSh对应的区域清除为0。
更进一步的,步骤S302中粉碎查找到的文件或文件夹包括调用DELETEFOLDER删除文件夹或/和调用DELETEFILE删除文件。
本发明通过获取与文件关联的MFT记录信息、索引信息、日志信息,然后删除文件并在之后清空相应的关联区域,达到了彻底粉碎文件的目的。通过本发明的粉碎方法,可以彻底消除数据恢复带来的隐患,为涉密文件的安全管理提供了强有力的支持。
附图说明
图1是NTFS文件系统的数据彻底粉碎方法流程一结构图;
图2是NTFS文件系统的数据彻底粉碎方法流程二结构图;
图3是采用现有数据粉碎技术粉碎文件后用R-studio的恢复效果图;
图4是采用本发明粉碎文件后用R-studio的恢复效果图。
具体实施方式
为进一步说明各实施例,本发明提供有附图。这些附图为本发明揭露内容的一部分,其主要用以说明实施例,并可配合说明书的相关描述来解释实施例的运作原理。配合参考这些内容,本领域普通技术人员应能理解其他可能的实施方式以及本发明的优点。图中的组件并未按比例绘制,而类似的组件符号通常用来表示类似的组件。
现结合附图和具体实施方式对本发明进一步说明。参阅图1至图2所示,本发明优选一实施例的NTFS文件系统的数据彻底粉碎方法。该粉碎方法包括以下步骤,
S1,解析NTFS卷头信息,定位$MFT文件的位置;
S2,解析$MFT文件获取相应的文件信息,文件信息包括日志文件信息,通过解析日志文件获取与文件相关联的日志信息;
S3,根据要粉碎的文件或文件夹路径获取相应的文件信息和相关的日志信息,删除文件或文件夹,以及清除相应的文件信息和相关的日志信息。
该实施例将上述步骤分为两个流程,其中步骤S1和步骤S2为流程一,步骤S3为流程二。在叙述具体的方法前,先进行一些相关定义:
1)FS={F1, F2,F3, ...., Fn}表示文件信息的列表,其中,Fi包括文件记录号MFTNumi(整型)、父节点文件记录号ParentMFTNumi(整型)、文件名称FileNamei(字符串)、文件记录数据区域MFT_DSi(列表)、文件数据区域Data_DSi(列表),i=1,2,3,…,n。
2)DSm={D1,D2,D3,…,Dm}表示一个数据区域范围列表。其中, Di包括起始偏移startoffseti(整型)和占用的字节数bytecounti(整型),i=1,2,3,…,m。
3)JS={J1,J2,J3,…,Jt}表示日志操作记录列表,Ji包括日志记录操作的起始偏移targetoffseti(整型)和操作记录数据区域record_DSi(列表),i=1,2,3,…,t。
参阅图1所示,为该实施例流程一的结构图,流程一为文件/文件夹关联信息获取,粉碎文件之前,需要定位到需要粉碎的文件信息在磁盘中的位置。该流程一通过解析文件分配表获取相应的文件信息(包括日志文件信息),并通过解析日志文件获取与文件相关联的日志操作记录所在的区域,为流程二的文件粉碎做准备。具体的流程如下:
S101,解析NTFS卷头信息,获取$MFT文件的起始位置MFTStartOffset;
S102,读取偏移MFTStartOffset位置的文件记录信息,并做解析获取$MFT文件的区域范围列表DSm,转到步骤S201;
S201, 通过获取到的$MFT文件的区域范围列表DSm.,解析$MFT中的文件记录信息获取相应的文件信息列表FS;
S202,对文件信息列表FS中的元素,按照ParentMFTNumi从小到大进行排序;
S203,从FS列表中获取文件记录号MFTNumk为2的元素Fk并从Fk中获取对应的文件数据区域Data_DSk
S204,按照NTFS日志结构解析Data_DSk对应的数据区域,获取相应的日志操作记录列表JS;
S205,对日志操作记录列表JS中的元素,按照targetoffseti从小到大进行排序(便于流程二进行查找)。
参阅图2所示,为该实施例流程二的结构图,流程二为文件/文件夹彻底粉碎,该流程二通过流程一获取到的FS和JS两个列表信息,查找待粉碎文件/文件夹的关联系信息并将这些关联系信息清除,从而达到粉碎的效果。具体的流程如下:
S301,在FS中查找要粉碎的文件/文件夹的文件信息Fh,若查找待粉碎文件/文件夹的文件信息失败,则转到步骤S306,否则转到步骤S302;
在FS中查找要粉碎的文件/文件夹的文件信息Fh的步骤如下:
a)、假设待粉碎的文件路径为“D:\document\test.txt”;
b)、在FS中查找ParentMFTNum等于0并且FileName为“document”的文件信息Fh,如果查找失败则转到步骤e,否则转到步骤c;
c)、在FS中查找ParentMFTNum等于MFTNumh并且FileName为“test.txt”的文件信息Fh,如果查找失败则转到步骤e,否则转到步骤d;
d)、则Fh为待粉碎文件的文件信息;
e)、查找结束。
S302,若待粉碎的是文件,粉碎该文件,转到步骤S304;
S303,若待粉碎的是文件夹,粉碎该文件夹下所有子文件和文件夹;
需要说明的是,粉碎文件和粉碎文件夹调用的命令不同,调用DELETEFOLDER删除相应的文件夹,调用DELETEFILE删除相应的文件。
S304,文件信息Fh中的MFT_DSh列表属性的第一个元素(startoffseth,bytecounth),在JS中查找targetoffsetk等于startoffseth的元素Jk,如果查找失败转到步骤S306,否则转到步骤S305;
S305,将Jk中操作记录数据区域为record_DSk对应的区域清除为0;
S306,将Fh中文件记录数据区域MFT_DSh和文件数据区域Data_DSh对应的区域清除为0。
为了证明本发明的方法比现有NTFS数据粉碎技术具有更强的可靠性,进行了如下实验。实验过程为:在windows操作系统下,建立了一个简单的NTFS分区。在分区下新建了一个test文件夹并在文件夹中新建了两个文件DOCUMENT.TXT和READMINE.TXT。
分别采用现有的数据粉碎技术以及本发明的文件粉碎方法对DOCUMENT.TXT进行粉碎操作,再采用恢复软件进行恢复,恢复效果如图3和图4所示。
本发明还提出一种NTFS文件系统的数据彻底粉碎装置,它包括,
定位单元,用于解析NTFS卷头信息,定位$MFT文件的位置;
解析单元,用于解析$MFT文件获取相应的文件信息,文件信息包括日志文件信息,通过解析日志文件获取与文件相关联的日志信息;
粉碎单元,根据要粉碎的文件或文件夹路径获取相应的文件信息和相关的日志信息,删除文件或文件夹,以及清除相应的文件信息和相关的日志信息。
需要说明的是,定位单元执行以下步骤,
S101,解析NTFS卷头信息,获取$MFT文件的起始位置MFTStartOffset;
S102,读取偏移MFTStartOffset位置的文件记录信息,并做解析获取$MFT文件的区域范围列表DSm={D1,D2,D3,…,Dm},其中Di包括起始偏移startoffseti和占用的字节数bytecounti,i=1,2,3,…,m。
此外,解析单元执行以下步骤,
S201, 通过获取到的$MFT文件的区域范围列表DSm.,解析$MFT中的文件记录信息获取相应的文件信息列表FS;
S202,对文件信息列表FS中的元素,按照ParentMFTNumi从小到大进行排序;
S203,从FS列表中获取文件记录号MFTNumk为2的元素Fk并从Fk中获取对应的文件数据区域Data_DSk
S204,按照NTFS日志结构解析Data_DSk对应的数据区域,获取相应的日志操作记录列表JS;
S205,对日志操作记录列表JS中的元素,按照targetoffseti从小到大进行排序。
更进一步的,粉碎单元执行以下步骤,
S301,在FS中查找要粉碎的文件/文件夹的文件信息Fh,若查找待粉碎文件/文件夹的文件信息失败,则转到步骤S306,否则转到步骤S302;
在FS中查找要粉碎的文件/文件夹的文件信息Fh的步骤如下:
a)、假设待粉碎的文件路径为“D:\document\test.txt”;
b)、在FS中查找ParentMFTNum等于0并且FileName为“document”的文件信息Fh,如果查找失败则转到步骤e,否则转到步骤c;
c)、在FS中查找ParentMFTNum等于MFTNumh并且FileName为“test.txt”的文件信息Fh,如果查找失败则转到步骤e,否则转到步骤d;
d)、则Fh为待粉碎文件的文件信息;
e)、查找结束。
S302,若待粉碎的是文件,粉碎该文件,转到步骤S304;
S303,若待粉碎的是文件夹,粉碎该文件夹下所有子文件和文件夹;
需要说明的是,粉碎文件和粉碎文件夹调用的命令不同,调用DELETEFOLDER删除相应的文件夹,调用DELETEFILE删除相应的文件。
S304,文件信息Fh中的MFT_DSh列表属性的第一个元素(startoffseth,bytecounth),在JS中查找targetoffsetk等于startoffseth的元素Jk,如果查找失败转到步骤S306,否则转到步骤S305;
S305,将Jk中操作记录数据区域为record_DSk对应的区域清除为0;
S306,将Fh中文件记录数据区域MFT_DSh和文件数据区域Data_DSh对应的区域清除为0。
尽管结合优选实施方案具体展示和介绍了本发明,但所属领域的技术人员应该明白,在不脱离所附权利要求书所限定的本发明的精神和范围内,在形式上和细节上可以对本发明做出各种变化,均为本发明的保护范围。

Claims (12)

1.一种NTFS文件系统的数据彻底粉碎方法,其特征在于:包括以下步骤,
S1,解析NTFS卷头信息,定位$MFT文件的位置;
S2,解析$MFT文件获取相应的文件信息,文件信息包括日志文件信息,通过解析日志文件获取与文件相关联的日志信息;
S3,根据要粉碎的文件或文件夹路径获取相应的文件信息和相关的日志信息,删除文件或文件夹,以及清除相应的文件信息和相关的日志信息。
2.如权利要求1所述的NTFS文件系统的数据彻底粉碎方法,其特征在于:所述步骤S1中定位$MFT文件的位置包括以下步骤,
S101,解析NTFS卷头信息,获取$MFT文件的起始位置MFTStartOffset;
S102,读取偏移MFTStartOffset位置的文件记录信息,并做解析获取$MFT文件的区域范围列表DSm={D1,D2,D3,…,Dm},其中Di包括起始偏移startoffseti和占用的字节数bytecounti,i=1,2,3,…,m。
3.如权利要求2所述的NTFS文件系统的数据彻底粉碎方法,其特征在于:所述步骤S2具体包括以下步骤,
S201, 通过获取到的$MFT文件的区域范围列表DSm.,解析$MFT中的文件记录信息获取相应的文件信息列表FS={F1,F2,F3,…,Fn},其中Fi包括文件记录号MFTNumi、父节点文件记录号ParentMFTNumi、文件名称FileNamei、文件记录数据区域MFT_DSi、文件数据区域Data_DSi,i=1,2,3,…,n;
S202,从FS列表中获取文件记录号MFTNumk为2的元素Fk并从Fk中获取对应的文件数据区域Data_DSk
S203,按照NTFS日志结构解析Data_DSk对应的数据区域,获取相应的日志操作记录列表JS={J1,J2,J3,…,Jt},Ji包括日志记录操作的起始偏移targetoffseti和操作记录数据区域record_DSi,i=1,2,3,…,t。
4.如权利要求3所述的NTFS文件系统的数据彻底粉碎方法,其特征在于:还包括步骤S204,对日志操作记录列表JS中的元素,按照targetoffseti升序或降序进行排序。
5.如权利要求3所述的NTFS文件系统的数据彻底粉碎方法,其特征在于:所述步骤S3具体包括以下步骤,
S301,在FS中查找要粉碎的文件或文件夹的文件信息Fh,若查找待粉碎文件或文件夹的文件信息失败,则转到步骤S305,否则转到步骤S302;
S302,粉碎查找到的文件或文件夹;
S303,文件信息Fh中的MFT_DSh列表属性的第一个元素(startoffseth,bytecounth),在JS中查找targetoffsetk等于startoffseth的元素Jk,如果查找失败转到步骤S305,否则转到步骤S304;
S304,将Jk中操作记录数据区域为record_DSk对应的区域清除为0;
S305,将Fh中文件记录数据区域MFT_DSh和文件数据区域Data_DSh对应的区域清除为0。
6.如权利要求5所述的NTFS文件系统的数据彻底粉碎方法,其特征在于:所述步骤S302中粉碎查找到的文件或文件夹包括调用DELETEFOLDER删除文件夹或/和调用DELETEFILE删除文件。
7.一种NTFS文件系统的数据彻底粉碎装置,其特征在于:它包括,
定位单元,用于解析NTFS卷头信息,定位$MFT文件的位置;
解析单元,用于解析$MFT文件获取相应的文件信息,文件信息包括日志文件信息,通过解析日志文件获取与文件相关联的日志信息;
粉碎单元,根据要粉碎的文件或文件夹路径获取相应的文件信息和相关的日志信息,删除文件或文件夹,以及清除相应的文件信息和相关的日志信息。
8.如权利要求7所述的NTFS文件系统的数据彻底粉碎装置,其特征在于:所述定位单元执行以下步骤,
S101,解析NTFS卷头信息,获取$MFT文件的起始位置MFTStartOffset;
S102,读取偏移MFTStartOffset位置的文件记录信息,并做解析获取$MFT文件的区域范围列表DSm={D1,D2,D3,…,Dm},其中Di包括起始偏移startoffseti和占用的字节数bytecounti,i=1,2,3,…,m。
9.如权利要求8所述的NTFS文件系统的数据彻底粉碎装置,其特征在于:所述解析单元执行以下步骤,
S201, 通过获取到的$MFT文件的区域范围列表DSm.,解析$MFT中的文件记录信息获取相应的文件信息列表FS={F1,F2,F3,…,Fn},其中Fi包括文件记录号MFTNumi、父节点文件记录号ParentMFTNumi、文件名称FileNamei、文件记录数据区域MFT_DSi、文件数据区域Data_DSi,i=1,2,3,…,n;
S202,从FS列表中获取文件记录号MFTNumk为2的元素Fk并从Fk中获取对应的文件数据区域Data_DSk
S203,按照NTFS日志结构解析Data_DSk对应的数据区域,获取相应的日志操作记录列表JS={J1,J2,J3,…,Jt},Ji包括日志记录操作的起始偏移targetoffseti和操作记录数据区域record_DSi,i=1,2,3,…,t。
10.如权利要求9所述的NTFS文件系统的数据彻底粉碎装置,其特征在于:还包括步骤S204,对日志操作记录列表JS中的元素,按照targetoffseti升序或降序进行排序。
11.如权利要求9所述的NTFS文件系统的数据彻底粉碎装置,其特征在于:粉碎单元执行以下步骤,
S301,在FS中查找要粉碎的文件或文件夹的文件信息Fh,若查找待粉碎文件或文件夹的文件信息失败,则转到步骤S305,否则转到步骤S302;
S302,粉碎查找到的文件或文件夹;
S303,文件信息Fh中的MFT_DSh列表属性的第一个元素(startoffseth,bytecounth),在JS中查找targetoffsetk等于startoffseth的元素Jk,如果查找失败转到步骤S305,否则转到步骤S304;
S304,将Jk中操作记录数据区域为record_DSk对应的区域清除为0;
S305,将Fh中文件记录数据区域MFT_DSh和文件数据区域Data_DSh对应的区域清除为0。
12.如权利要求11所述的NTFS文件系统的数据彻底粉碎装置,其特征在于:所述步骤S302中粉碎查找到的文件或文件夹包括调用DELETEFOLDER删除文件夹或/和调用DELETEFILE删除文件。
CN201610373770.XA 2016-05-30 2016-05-30 一种ntfs文件系统的数据彻底粉碎方法和装置 Active CN106055990B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610373770.XA CN106055990B (zh) 2016-05-30 2016-05-30 一种ntfs文件系统的数据彻底粉碎方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610373770.XA CN106055990B (zh) 2016-05-30 2016-05-30 一种ntfs文件系统的数据彻底粉碎方法和装置

Publications (2)

Publication Number Publication Date
CN106055990A true CN106055990A (zh) 2016-10-26
CN106055990B CN106055990B (zh) 2018-11-27

Family

ID=57171469

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610373770.XA Active CN106055990B (zh) 2016-05-30 2016-05-30 一种ntfs文件系统的数据彻底粉碎方法和装置

Country Status (1)

Country Link
CN (1) CN106055990B (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111459890A (zh) * 2020-03-10 2020-07-28 奇安信科技集团股份有限公司 基于国产操作系统的文件粉碎方法、装置及电子设备
CN111581163A (zh) * 2020-05-12 2020-08-25 山东省计算中心(国家超级计算济南中心) 基于ntfs文件系统的数据无痕删除方法及系统
CN116909992A (zh) * 2023-09-12 2023-10-20 创云融达信息技术(天津)股份有限公司 一种通过ntfs符号链接实现系统与对象存储通信的方法

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2002084482A1 (en) * 2001-04-12 2002-10-24 W. Quinn, Inc. System and method for using memory mapping to scan a master file table
CN1920816A (zh) * 2006-07-28 2007-02-28 珠海金山软件股份有限公司 Ntfs卷中从指定目录中搜索已删除文件的方法
CN1928870A (zh) * 2006-09-28 2007-03-14 珠海金山软件股份有限公司 彻底粉碎ntfs卷中文件数据的方法
CN1959649A (zh) * 2006-09-19 2007-05-09 珠海金山软件股份有限公司 Ntfs卷中重建目录结构和恢复数据的方法
US20090063570A1 (en) * 2007-08-28 2009-03-05 Anthony Lynn Nichols Method and system for counting files and directories in a new-technology-file-system (ntfs) volume that are relevant to a computerized process
CN102693387A (zh) * 2012-06-01 2012-09-26 北京理工大学 一种ntfs文件系统的数据擦除方法
CN102902672A (zh) * 2011-07-25 2013-01-30 腾讯科技(深圳)有限公司 清理文件系统的方法和装置
CN103544443A (zh) * 2013-10-28 2014-01-29 电子科技大学 一种ntfs文件系统下应用层文件隐藏方法

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2002084482A1 (en) * 2001-04-12 2002-10-24 W. Quinn, Inc. System and method for using memory mapping to scan a master file table
CN1920816A (zh) * 2006-07-28 2007-02-28 珠海金山软件股份有限公司 Ntfs卷中从指定目录中搜索已删除文件的方法
CN1959649A (zh) * 2006-09-19 2007-05-09 珠海金山软件股份有限公司 Ntfs卷中重建目录结构和恢复数据的方法
CN1928870A (zh) * 2006-09-28 2007-03-14 珠海金山软件股份有限公司 彻底粉碎ntfs卷中文件数据的方法
US20090063570A1 (en) * 2007-08-28 2009-03-05 Anthony Lynn Nichols Method and system for counting files and directories in a new-technology-file-system (ntfs) volume that are relevant to a computerized process
CN102902672A (zh) * 2011-07-25 2013-01-30 腾讯科技(深圳)有限公司 清理文件系统的方法和装置
CN102693387A (zh) * 2012-06-01 2012-09-26 北京理工大学 一种ntfs文件系统的数据擦除方法
CN103544443A (zh) * 2013-10-28 2014-01-29 电子科技大学 一种ntfs文件系统下应用层文件隐藏方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
龚勇: "Windows下数据恢复的研究", 《中国优秀硕士学位论文全文数据库 信息科技辑》 *

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111459890A (zh) * 2020-03-10 2020-07-28 奇安信科技集团股份有限公司 基于国产操作系统的文件粉碎方法、装置及电子设备
CN111459890B (zh) * 2020-03-10 2023-12-15 奇安信科技集团股份有限公司 基于国产操作系统的文件粉碎方法、装置及电子设备
CN111581163A (zh) * 2020-05-12 2020-08-25 山东省计算中心(国家超级计算济南中心) 基于ntfs文件系统的数据无痕删除方法及系统
CN111581163B (zh) * 2020-05-12 2022-03-08 山东省计算中心(国家超级计算济南中心) 基于ntfs文件系统的数据无痕删除方法及系统
CN116909992A (zh) * 2023-09-12 2023-10-20 创云融达信息技术(天津)股份有限公司 一种通过ntfs符号链接实现系统与对象存储通信的方法
CN116909992B (zh) * 2023-09-12 2023-11-24 创云融达信息技术(天津)股份有限公司 一种通过ntfs符号链接实现系统与对象存储通信的方法

Also Published As

Publication number Publication date
CN106055990B (zh) 2018-11-27

Similar Documents

Publication Publication Date Title
CN101937377B (zh) 数据恢复方法和装置
US8484737B1 (en) Techniques for processing backup data for identifying and handling content
CN105740103B (zh) 一种基于日志的ntfs删除文件恢复方法和装置
CN106055990A (zh) 一种ntfs文件系统的数据彻底粉碎方法和装置
US20120041957A1 (en) Efficiently indexing and searching similar data
KR101547466B1 (ko) 오라클 데이터베이스에서 데이터를 복원하는 방법 및 장치
CN101763394B (zh) 计算机系统涉密文件搜索方法
KR20110020051A (ko) 증거 수집 방법 및 장치
Mahlous et al. Private Browsing Forensic Analysis: A Case Study of Privacy Preservation in the Brave Browser.
CN105068761A (zh) 一种便于检索的视频截图存储方法和系统
CN111176901B (zh) 一种hdfs删除文件恢复方法、终端设备及存储介质
Wyllie et al. Melting in the earth's crust
Lundelius et al. The Mammalian Fauna of Madura Cave, Western Australia
CN111563256A (zh) 一种安全的大数据收集存放方法
Khader et al. HDFS file operation fingerprints for forensic investigations
CN102194071B (zh) 基于时域的数据取证及交叉分析方法
CN111459890B (zh) 基于国产操作系统的文件粉碎方法、装置及电子设备
CN102662981A (zh) 基于特征扫描的Windows回收站删除记录取证方法
CN108563751A (zh) 数据库碎片提取方法
Naiqi et al. Computer forensics research and implementation based on NTFS file system
CN104166723A (zh) 弹性文件系统的数据粉碎方法和装置
Chang A Secure Erasure Method for Fragmented JPEG Images
CN105718334A (zh) 基于特征的多个文件提取方法
CN106528332A (zh) 注册表删除数据恢复方法
Fazzini Tagging and tracking of multi-level host events for transparent computing

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant