CN111414280A - 针对ntfs文件系统的数据备份系统及方法 - Google Patents
针对ntfs文件系统的数据备份系统及方法 Download PDFInfo
- Publication number
- CN111414280A CN111414280A CN202010233205.XA CN202010233205A CN111414280A CN 111414280 A CN111414280 A CN 111414280A CN 202010233205 A CN202010233205 A CN 202010233205A CN 111414280 A CN111414280 A CN 111414280A
- Authority
- CN
- China
- Prior art keywords
- data block
- data
- ntfs
- file
- file system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 26
- 238000005516 engineering process Methods 0.000 title description 6
- 230000007547 defect Effects 0.000 abstract description 3
- 230000006870 function Effects 0.000 description 4
- 230000006399 behavior Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000005336 cracking Methods 0.000 description 1
- 230000006378 damage Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/14—Error detection or correction of the data by redundancy in operation
- G06F11/1402—Saving, restoring, recovering or retrying
- G06F11/1446—Point-in-time backing up or restoration of persistent data
- G06F11/1458—Management of the backup or restore process
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/16—File or folder operations, e.g. details of user interfaces specifically adapted to file systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0602—Interfaces specially adapted for storage systems specifically adapted to achieve a particular effect
- G06F3/0614—Improving the reliability of storage systems
- G06F3/0619—Improving the reliability of storage systems in relation to data integrity, e.g. data losses, bit errors
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0628—Interfaces specially adapted for storage systems making use of a particular technique
- G06F3/0638—Organizing or formatting or addressing of data
- G06F3/0643—Management of files
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0628—Interfaces specially adapted for storage systems making use of a particular technique
- G06F3/0646—Horizontal data movement in storage systems, i.e. moving data in between storage devices or systems
- G06F3/065—Replication mechanisms
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Human Computer Interaction (AREA)
- Data Mining & Analysis (AREA)
- Databases & Information Systems (AREA)
- Computer Security & Cryptography (AREA)
- Quality & Reliability (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
一种针对NTFS文件系统的数据备份系统及方法,该方法包括读取NTFS卷中特殊文件$Bitmap,并根据$Bitmap文件的内容判断出给定偏移的数据块的有效性,然后在备份过程中仅复制有效的数据块,从而实现NTFS卷的快速镜像而不丢失正常文件。这样能够在针对NTFS文件系统的条件下仅备份有效数据的情况下提高数据备份的速度,有效避免了现有技术中针对NTFS文件系统的整个介质镜像会直接降低备份的性能的缺陷。
Description
技术领域
本发明涉及电子数据取证技术领域,具体涉及一种针对NTFS文件系统的数据备份系统及方法,尤其涉及一种适用于Windows操作系统的存储介质中NTFS文件系统的快速备份系统及方法。
背景技术
随着计算机犯罪个案数字不断上升和犯罪手段的数字化,搜集电子证据的工作成为提供重要线索及破案的关键。恢复已被破坏的计算机数据及提供相关的电子资料证据就是电子取证,电子取证是指利用计算机软硬件技术,以符合法律规范的方式对计算机入侵、破坏、欺诈、攻击等犯罪行为进行证据获取、保存、分析和出示的过程。从技术方面看,计算机犯罪取证是一个对受侵计算机系统进行扫描和破解,对入侵事件进行重建的过程。具体而言,是指把计算机看作犯罪现场,运用先进的辨析技术,对计算机犯罪行为进行解剖,搜寻罪犯及其犯罪证据。
由于电子证据的特殊性,在收集电子证据时需要采用相应的方式予以提取固定。为确保电子证据的原始性、真实性、合法性,在电子证据的收集时应采用专业的数据复制备份设备将电子证据文件复制备份,要求数据复制设备需具备只读设计以及自动校准等功能。而由于计算机磁盘容量较大,在取证过程中需要一种磁盘复制技术快速地固定犯罪证据。
目前对于大容量存储介质的备份方式是整个介质完全镜像,对存储介质中无效数据和未分配簇的部分也一起复制,这样特别是在现场取证的过程中要求快速完成存储介质的备份时增加了备份时间。同时在不关心文件系统中无效数据块和未分配空间时,整个介质镜像会直接降低备份的性能。目前NTFS是使用比较广泛的文件系统,特别在计算机、移动硬盘和移动存储卡等介质中,介质的空间使用率通常在80%以下,这样整个介质的备份速度就取决于介质空间使用率,空间使用率越低,备份耗时就越短。
发明内容
为解决上述问题,本发明提供了一种针对NTFS文件系统的数据备份系统及方法,能够在针对NTFS文件系统的条件下仅备份有效数据的情况下提高数据备份的速度,有效避免了现有技术中针对NTFS文件系统的整个介质镜像会直接降低备份的性能的缺陷。
为了克服现有技术中的不足,本发明提供了一种针对NTFS文件系统的数据备份系统及方法的解决方案,具体如下:
一种针对NTFS文件系统的数据备份系统,包括:
包括用于数据备份的终端;
运行在所述用于数据备份的终端上的模块包括读取模块、确定模块和记录模块。
所述读取模块用于根据偏移量和大小读取数据块在NTFS文件系统中表示使用情况的bit值;
所述确定模块用于根据读取的bit值,确定其有效性;
所述记录模块用于跳过无效数据块,仅在日志中记录数据块的位置和大小信息。
一种针对NTFS文件系统的数据备份系统的方法,包括:
步骤1:根据偏移量和大小读取数据块在NTFS文件系统中表示使用情况的bit值;
步骤2:根据步骤1中读取的bit值,确定其有效性;
步骤3:跳过无效数据块,仅在日志中记录数据块的位置和大小信息。
进一步的,所述步骤1包括:根据数据块在NTFS卷中的偏移量和大小,计算出数据块的簇编号,并从NTFS文件系统的$Bitmap文件中读取表示数据块的簇对应的若干个bit的值。
进一步的,所述$Bitmap文件是Windows操作系统下的NTFS文件系统中的一个文件,在$MFT文件中的记录号为6;所述$Bitmap文件的内容是一个bitset结构,其中每个bit记录了一个簇的使用情况,正常的NTFS文件系统的文件所占用的bit值为1,未使用的簇对应的bit值为0;簇是NTFS文件系统的文件存储的基本单元,所述文件的内容占用若干个簇;使用windows系统函数DeviceIoControl,传入FSCTL_GET_VOLUME_BITMAP控制码和STARTING_LCN_INPUT_BUFFER结构可以读取到对应的bitset,其中STARTING_LCN_INPUT_BUFFER参数指定了bitmap开始的逻辑簇的编号,具体值是所述数据块的偏移量除以文件系统簇的字节数所得的结果,这样就计算出数据块的簇编号。
进一步的,所述步骤2包括:根据从步骤1中读取到的bitset中包含数据块的使用情况,即所述bit的值,确定数据块的有效性,如果所有的bit值为0表示数据块的所有簇未被使用,该数据块为无效的数据块,否则表示数据块的簇被使用过,该数据块是有效的数据块。
进一步的,所述步骤3包括:在备份NTFS文件系统中的整个卷的数据过程中,首先传入该卷中的数据块的位置和大小,通过步骤2所判断的结果而检查出的数据块的有效性,如果数据块有效,则复制出该数据块的数据并在日志文件中记录数据块原始位置,大小和有效的标志;如果数据块判断为无效,不复制该数据块的数据,则还在日志文件中记录数据块原始位置,大小和无效标志。
进一步的,所述步骤3还包括:如果数据块判断为无效,该数据块的所有字节默认为0。
发明对于已有的技术,具有以下创新点:
1.通过NTFS的$Bitmap文件内容判断文件系统的簇是否有效;
2.仅复制正常文件所使用的数据块,省去了无效数据块复制的时间和存储空间;
3.基于簇的数据复制,保证文件数据的完整性。
本发明的有益效果为:
1.备份整个文件系统而不丢失文件系统的任何细节;
2.过滤掉了无效数据,提高率备份的速度。
附图说明
图1是本发明的针对NTFS文件系统的数据备份系统的方法的流程图。
具体实施方式
本发明对于已有的技术,具有以下创新点:
1.通过NTFS的$Bitmap文件内容判断文件系统的簇是否有效;
2.仅复制正常文件所使用的数据块,省去了无效数据块复制的时间和存储空间;
3.基于簇的数据复制,保证文件数据的完整性。
下面将结合附图和实施例对本发明做进一步地说明。
如图1所示,针对NTFS文件系统的数据备份系统,包括:
包括用于数据备份的终端;运行在所述用于数据备份的终端上的模块包括读取模块、确定模块和记录模块。所述用于数据备份的终端能够是PC机、笔记本电脑或者服务器。所述读取模块用于根据偏移量和大小读取数据块在NTFS文件系统中表示使用情况的bit值;所述确定模块用于根据读取的bit值,确定其有效性;所述记录模块用于跳过无效数据块,仅在日志中记录数据块的位置和大小信息。
针对NTFS文件系统的数据备份系统的方法,包括:
步骤1:根据偏移量和大小读取数据块在NTFS文件系统中表示使用情况的bit值;
步骤2:根据步骤1中读取的bit值,确定其有效性;
步骤3:跳过无效数据块,仅在日志中记录数据块的位置和大小信息。
所述步骤1包括:根据数据块在NTFS卷中的偏移量和大小,计算出数据块的簇编号,并从NTFS文件系统的$Bitmap文件中读取表示数据块的簇对应的若干个bit的值。
所述$Bitmap文件是Windows操作系统下的NTFS文件系统中的一个特殊文件,在$MFT文件中的记录号为6;所述$Bitmap文件的内容是一个bitset结构,其中每个bit记录了一个簇(cluster)的使用情况,正常的NTFS文件系统的文件所占用的bit值为1,未使用的簇对应的bit值为0;簇是NTFS文件系统的文件存储的基本单元,所述文件的内容占用若干个簇;使用windows系统函数DeviceIoControl,传入FSCTL_GET_VOLUME_BITMAP控制码和STARTING_LCN_INPUT_BUFFER结构可以读取到对应的bitset,其中STARTING_LCN_INPUT_BUFFER参数指定了bitmap开始的逻辑簇的编号,具体值是所述数据块的偏移量除以文件系统簇的字节数所得的结果,这样就计算出数据块的簇编号。
所述步骤2包括:根据从步骤1中读取到的bitset中包含数据块的使用情况,即所述bit的值,确定数据块的有效性,如果所有的bit值为0表示数据块的所有簇未被使用,该数据块为无效的数据块,否则表示数据块的簇被使用过,该数据块是有效的数据块。
所述步骤3包括:在备份NTFS文件系统中的整个卷的数据过程中,首先传入该卷中的数据块的位置和大小,通过步骤2所判断的结果而检查出的数据块的有效性,如果数据块有效,则复制出该数据块的数据并在日志文件中记录数据块原始位置,大小和有效的标志;如果数据块判断为无效,不复制该数据块的数据,则还在日志文件中记录数据块原始位置,大小和无效标志。
所述步骤3还包括:如果数据块判断为无效,该数据块的所有字节默认为0。
发明对于已有的技术,具有以下创新点:
1.通过NTFS的$Bitmap文件内容判断文件系统的簇是否有效;
2.仅复制正常文件所使用的数据块,省去了无效数据块复制的时间和存储空间;
3.基于簇的数据复制,保证文件数据的完整性。
下面进一步对本发明实施例中的技术方案进行清楚,完整地描述,显然所描述的实施例仅仅是本发明一部实施例,而不是全部的实施例。基于本发明的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都是属于本发明保护的范围。
为使本发明实施的技术手段、创作特征、达成的目的与功效易于明白了解,下面结合具体的实施方式进一步阐述本发明。
本发明的实施例中,NTFS文件系统是Windows系统使用的文件存储与管理机制,根据存储介质的特征,扇区是最小块单位,在NTFS文件系统中若干个扇区组成一个簇,簇是文件存储的基本单元,一个文件由若干个簇组成。NTFS文件系统中,所有数据都以文件的方式存储,包括正常文件和元数据。这些文件的属性和内容($Data属性)都统一存放在介质的簇中。
本发明的实施例中,备份过程是将原始NTFS卷的第一个扇区到最后一个扇区复制到另外一个文件或存储设备中。复制时按照固定大小从原始NTFS卷中顺序地读取数据块,然后顺序地写入目标中。数据块是按照簇大小对齐的,即一次读取的大小是簇的整数倍,数据块的逻辑块号就是簇的编号。
本发明的实施例中,NTFS的$Bitmap文件中每个bit表示一个簇,bit的0和1表示簇的有效和无效。复制一个数据块的具体步骤如下:
1.使用函数DeviceIoControl读取数据块在$Bitmap中对应bitset;
2.依次检查bitset中每个bit的值,如果全为0,数据块有效,否则数据块无效;
3.如果数据块有效,则读取原始数据块写入到目标存储空间中,如果无效,则跳过;
4.在备份的日志文件中记录上一步复制的结果;
5.读取下一个数据块,返回1中执行。
以上以用实施例说明的方式对本发明作了描述,本领域的技术人员应当理解,本公开不限于以上描述的实施例,在不偏离本发明的范围的情况下,可以做出各种变化、改变和替换。
Claims (8)
1.一种针对NTFS文件系统的数据备份系统,其特征在于,包括:
包括用于数据备份的终端;
运行在所述用于数据备份的终端上的模块包括读取模块、确定模块和记录模块。
2.根据权利要求1所述的针对NTFS文件系统的数据备份系统,其特征在于,所述读取模块用于根据偏移量和大小读取数据块在NTFS文件系统中表示使用情况的bit值;
所述确定模块用于根据读取的bit值,确定其有效性;
所述记录模块用于跳过无效数据块,仅在日志中记录数据块的位置和大小信息。
3.一种针对NTFS文件系统的数据备份系统的方法,其特征在于,包括:
步骤1:根据偏移量和大小读取数据块在NTFS文件系统中表示使用情况的bit值;
步骤2:根据步骤1中读取的bit值,确定其有效性;
步骤3:跳过无效数据块,仅在日志中记录数据块的位置和大小信息。
4.根据权利要求3所述的针对NTFS文件系统的数据备份系统的方法,其特征在于,所述步骤1包括:根据数据块在NTFS卷中的偏移量和大小,计算出数据块的簇编号,并从NTFS文件系统的$Bitmap文件中读取表示数据块的簇对应的若干个bit的值。
5.根据权利要求4所述的针对NTFS文件系统的数据备份系统的方法,其特征在于,所述$Bitmap文件是Windows操作系统下的NTFS文件系统中的一个文件,在$MFT文件中的记录号为6;所述$Bitmap文件的内容是一个bitset结构,其中每个bit记录了一个簇的使用情况,正常的NTFS文件系统的文件所占用的bit值为1,未使用的簇对应的bit值为0;簇是NTFS文件系统的文件存储的基本单元,所述文件的内容占用若干个簇;使用windows系统函数DeviceIoControl,传入FSCTL_GET_VOLUME_BITMAP控制码和STARTING_LCN_INPUT_BUFFER结构可以读取到对应的bitset,其中STARTING_LCN_INPUT_BUFFER参数指定了bitmap开始的逻辑簇的编号,具体值是所述数据块的偏移量除以文件系统簇的字节数所得的结果,这样就计算出数据块的簇编号。
6.根据权利要求4所述的针对NTFS文件系统的数据备份系统的方法,其特征在于,所述步骤2包括:根据从步骤1中读取到的bitset中包含数据块的使用情况,即所述bit的值,确定数据块的有效性,如果所有的bit值为0表示数据块的所有簇未被使用,该数据块为无效的数据块,否则表示数据块的簇被使用过,该数据块是有效的数据块。
7.根据权利要求4所述的针对NTFS文件系统的数据备份系统的方法,其特征在于,所述步骤3包括:在备份NTFS文件系统中的整个卷的数据过程中,首先传入该卷中的数据块的位置和大小,通过步骤2所判断的结果而检查出的数据块的有效性,如果数据块有效,则复制出该数据块的数据并在日志文件中记录数据块原始位置,大小和有效的标志;如果数据块判断为无效,不复制该数据块的数据,则还在日志文件中记录数据块原始位置,大小和无效标志。
8.根据权利要求7所述的针对NTFS文件系统的数据备份系统的方法,其特征在于,所述步骤3还包括:如果数据块判断为无效,该数据块的所有字节默认为0。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010233205.XA CN111414280A (zh) | 2020-03-29 | 2020-03-29 | 针对ntfs文件系统的数据备份系统及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010233205.XA CN111414280A (zh) | 2020-03-29 | 2020-03-29 | 针对ntfs文件系统的数据备份系统及方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN111414280A true CN111414280A (zh) | 2020-07-14 |
Family
ID=71491527
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010233205.XA Pending CN111414280A (zh) | 2020-03-29 | 2020-03-29 | 针对ntfs文件系统的数据备份系统及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111414280A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112380071A (zh) * | 2020-12-09 | 2021-02-19 | 成都傲梅科技有限公司 | 一种快速备份ntfs文件系统的方法 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1707439A (zh) * | 2004-12-21 | 2005-12-14 | 西安三茗科技有限责任公司 | 一种硬盘ntfs文件系统的数据备份还原与权限控制方法 |
CN104461783A (zh) * | 2014-12-10 | 2015-03-25 | 上海爱数软件有限公司 | 一种跟踪扇区数据变化虚拟机备份方法 |
-
2020
- 2020-03-29 CN CN202010233205.XA patent/CN111414280A/zh active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1707439A (zh) * | 2004-12-21 | 2005-12-14 | 西安三茗科技有限责任公司 | 一种硬盘ntfs文件系统的数据备份还原与权限控制方法 |
CN104461783A (zh) * | 2014-12-10 | 2015-03-25 | 上海爱数软件有限公司 | 一种跟踪扇区数据变化虚拟机备份方法 |
Non-Patent Citations (1)
Title |
---|
张剑: "信息安全技术(第二版)", 31 May 2015, 电子科学大学出版社, pages: 181 * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112380071A (zh) * | 2020-12-09 | 2021-02-19 | 成都傲梅科技有限公司 | 一种快速备份ntfs文件系统的方法 |
CN112380071B (zh) * | 2020-12-09 | 2023-10-27 | 成都傲梅科技有限公司 | 一种快速备份ntfs文件系统的方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7487400B2 (en) | Method for data protection in disk array systems | |
CN109496292B (zh) | 一种磁盘管理方法、磁盘管理装置及电子设备 | |
CN115292266B (zh) | 一种基于存储器的高可靠日志存储方法 | |
CN111382126B (zh) | 删除文件及阻碍文件恢复的系统和方法 | |
CN114416431B (zh) | 基于kvm的无代理持续性数据保护方法、系统及存储介质 | |
US20080250189A1 (en) | Circuit and Method for Improving Operation Life of Memory | |
Geier | The differences between SSD and HDD technology regarding forensic investigations | |
CN112527694A (zh) | 碎片化程度告警方法及装置 | |
US8074046B2 (en) | Semiconductor memory device and operation method thereof | |
CN111414280A (zh) | 针对ntfs文件系统的数据备份系统及方法 | |
Suthar et al. | An Approach to Data Recovery from Solid State Drive: Cyber Forensics | |
CN114155906A (zh) | 一种数据块修复方法、装置、设备及存储介质 | |
Marupudi | Solid State Drive: New Challenge for Forensic Investigation | |
US20110107056A1 (en) | Method for determining data correlation and a data processing method for a memory | |
US9235352B2 (en) | Datastore for non-overwriting storage devices | |
CN112286720B (zh) | Sm2246en主控的固态硬盘启用trim命令后提取被删除数据的方法 | |
US7206893B2 (en) | Linking method under mother and child block architecture for building check area and logic page of the child block | |
CN115373608A (zh) | 数据存储方法及装置 | |
CN115114239A (zh) | 分布式系统数据处理方法、装置、设备及介质 | |
EP3674876B1 (en) | System and method of deletion of files and counteracting their restoration | |
Kuts et al. | Deleted Data Recovery on Solid-State Drives by Software Based Methods | |
CN111143110A (zh) | 一种逻辑卷管理中基于元数据的raid数据恢复方法 | |
KR102432530B1 (ko) | 대상 디스크의 데이터 선별 수집을 통한 전자증거목록 리포팅 시스템 | |
CN112286718B (zh) | Ps3111主控的固态硬盘启用trim命令后恢复被删除数据的方法 | |
CN115373607A (zh) | 数据存储方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |