CN114579525B - 面向ext4文件系统的数据无痕删除方法及系统 - Google Patents

Abstract

本发明涉及数据安全技术领域，公开了面向EXT4文件系统的数据无痕删除方法及系统，方法包括：以物理文件方式加载硬盘；读取硬盘中的卷头信息；判断卷头信息的分区类型是否为MBR；判断目标分区文件系统格式是否为EXT4格式；如果上述两个判断结果均为是，则对0号块组的超级块的结构进行解析，查看块组描述符表；根据块组描述符定位根目录索引节点inode，确定索引节点inode的起始地址；根据待删除文件的路径，依次获取待删除文件所在目录的索引点inode号，进而获取当前目录下所有文件或文件夹名称；将获取的文件或文件夹名称，与待删除的文件名称进行比较，如果名称相同，则将目标的文件或文件夹进行无痕删除。

Description

面向EXT4文件系统的数据无痕删除方法及系统

技术领域

本发明涉及数据安全技术领域，特别是涉及面向EXT4文件系统的数据无痕删除方法及系统。

背景技术

本部分的陈述仅仅是提到了与本发明相关的背景技术，并不必然构成现有技术。

数据是重要的基础性战略资源，对提高生产效率的倍增作用不断凸显，已成为最具时代特征的生产要素。作为数字经济发展的核心引擎，数据正不断催生新的产业形态，为经济社会快速发展注入了强劲的动力。大数据时代，数据共享和数据流转变得更加频繁，数据安全和隐私泄露风险也更加严峻。随着网络信息技术的飞速发展，网络攻击和非法窃取信息的手段也层出不穷。包含了大量的商业秘密、工作秘密和个人隐私信息的数据面临着信息泄露风险，可能会给个人、机构和国家带来经济、政治、军事等方面的巨大损失。

计算机和移动终端设备是目前广泛使用的信息处理和存储设备，存储着大量的工作信息和个人信息。一旦发生以信息窃取为目标的网络攻击行为，硬盘等终端存储设备上的文件数据可能就会泄露。如果发生了存储设备被盗或者丢失的事故，即使是已经删除的文件数据，如果没有彻底清除，也可能会通过技术手段恢复。因此，我们在删除电脑等存储设备上的重要文件数据时，一定要做到彻底删除，且不留删除操作痕迹，让数据窃取者无法察觉到之前删除数据的痕迹，从而达到数据安全删除的目的。EXT4文件系统是一个健壮、稳定的文件系统，也是目前Linux操作系统默认采用的文件系统格式，并广泛应用于采用安卓操作系统的移动终端设备。EXT4文件系统在将数据写入硬盘之前对存储块的分配方式进行了大量改进，显著提高读写性能。它使用48位的内部寻址，理论上可以在文件系统上分配高达16TB大小的文件。通常情况下，EXT4文件系统删除文件实际上是删除文件名和inode节点编号的关联以及inode节点内的指针信息，标记该硬盘扇区为未使用。这种删除方法删除后的文件，由于在系统日志中留下痕迹，仍可以通过对系统日志对文件数据进行恢复。

中国发明专利CN111581163B-基于NTFS文件系统的数据无痕删除方法及系统，虽然也提及了数据无痕删除技术，但是仅针对NTFS文件系统，未涉及EXT4文件系统。

中国发明专利CN113190178A-一种FAT32文件系统中数据无痕删除方法及系统，虽然也提及了数据无痕删除技术，但是仅针对FAT32文件系统，未涉及EXT4文件系统。

上述两种方法均未涉及Linux/安卓操作系统下的EXT4文件系统。EXT4文件系统完全不同于Windows操作系统常用的FAT和NTFS文件系统，未使用文件分配表方式管理磁盘空间，而是采用块组方式管理磁盘空间。

发明内容

为了解决现有技术的不足，本发明提供了面向EXT4文件系统的数据无痕删除方法及系统；绕过操作系统访问控制权限，将文件彻底删除，不留删除操作痕迹，不但使得数据无法恢复，而且让数据窃取者检测不到文件的删除记录。

第一方面，本发明提供了面向EXT4文件系统的数据无痕删除方法；

面向EXT4文件系统的数据无痕删除方法，包括：

以物理文件方式加载硬盘；读取硬盘中的卷头信息；

判断卷头信息的分区类型是否为主引导记录区MBR（Master Boot Record）；判断目标分区文件系统格式是否为第四代文件扩展系统EXT4格式；如果上述两个判断结果均为是，则进入下一步；

对0号块组的超级块的结构进行解析，查看块组描述符表；根据块组描述符定位根目录索引节点inode，确定索引节点inode的起始地址；

根据待删除文件的路径，依次获取待删除文件所在目录的索引点inode号，进而获取当前目录下所有文件或文件夹名称；

将获取的文件或文件夹名称，与待删除的文件名称进行比较，如果名称相同，则将目标的文件或文件夹进行无痕删除，如果名称不同，就继续遍历下一个目录。

第二方面，本发明提供了面向EXT4文件系统的数据无痕删除系统；

面向EXT4文件系统的数据无痕删除系统，包括：

信息读取模块，其被配置为：以物理文件方式加载硬盘；读取硬盘中的卷头信息；

判断模块，其被配置为：判断卷头信息的分区类型是否为主引导记录区MBR（Master Boot Record）；判断目标分区文件系统格式是否为第四代文件扩展系统EXT4格式；如果上述两个判断结果均为是，则进入下一步；

解析模块，其被配置为：对0号块组的超级块的结构进行解析，查看块组描述符表；根据块组描述符定位根目录索引节点inode，确定索引节点inode的起始地址；

获取模块，其被配置为：根据待删除文件的路径，依次获取待删除文件所在目录的索引点inode号，进而获取当前目录下所有文件或文件夹名称；

比较模块，其被配置为：将获取的文件或文件夹名称，与待删除的文件名称进行比较，如果名称相同，则将目标的文件或文件夹进行无痕删除，如果名称不同，就继续遍历下一个目录。

与现有技术相比，本发明的有益效果是：

1. 基于硬盘直接访问方式EXT4文件系统数据无痕删除方法以物理文件方式加载硬盘能够绕过操作系统访问控制权限，不会操作系统中留下数据删除的操作痕迹，可以抗取证分析，使得数据窃取者在使用特殊取证工具的情况下也无法获取到删除数据的操作痕迹，反而认为没有删除文件数据，实现了用户文件数据的无痕安全删除，适用于军工、企事业单位和个人彻底删除重要文件数据。

2. 基于硬盘直接访问方式EXT4文件系统数据无痕删除方法彻底删除了数据块中的文件数据及其在根目录、子目录中的关联信息，删除了对应的inode，彻底清除了文件数据及其关联信息，并重构inode和数据对应块的位图，标记为该位置未使用，达到了文件彻底删除、无法恢复的目的。可以在需要的情况下，彻底删除重要文件数据，即使在使用专用数据恢复软件的情况下，也不能恢复。适用于存在网络安全威胁的情况下彻底删除重要文件数据。

3. 基于硬盘直接访问方式EXT4文件系统数据无痕删除方法彻底无痕删除了存储在磁硬盘上的工作秘密、商业秘密和个人重要文件数据，使得数据窃取者在使用专用数据恢复软件的情况下也不能恢复文件，在使用专用取证工具的情况下也无法发现文件数据的删除痕迹，实现重要文件数据的安全清除和应急响应的目标。

附图说明

构成本发明的一部分的说明书附图用来提供对本发明的进一步理解，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。

图1为实施例一的EXT4文件系统结构；

图2位实施例一的EXT4文件系统数据无痕删除流程。

具体实施方式

应该指出，以下详细说明都是示例性的，旨在对本发明提供进一步的说明。除非另有指明，本文使用的所有技术和科学术语具有与本发明所属技术领域的普通技术人员通常理解的相同含义。

需要注意的是，这里所使用的术语仅是为了描述具体实施方式，而非意图限制根据本发明的示例性实施方式。如在这里所使用的，除非上下文另外明确指出，否则单数形式也意图包括复数形式，此外，还应当理解的是，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

在不冲突的情况下，本发明中的实施例及实施例中的特征可以相互组合。

本实施例所有数据的获取都在符合法律法规和用户同意的基础上，对数据的合法应用。

术语解释

EXT4，全称为Fourth extended file system，是EXT3文件系统的后续版本，即第四代文件扩展系统。它在EXT3的基础之上做了很多改进，引入了大量新功能，具有向前兼容性和向后兼容性。EXT4的文件系统容量达到1EB，文件容量则达到16TB。

DBR，全称为 Driver Boot Record，俗称分区引导扇区。在 DBR 中包含跳转指令、厂商标识和版本号、BPB（Bios Parameter Block）、引导程度、结束标志5个部分，比如跳转指令(EB 58 90)、结束标志（55AA）。

MBR，全称Master Boot Record，主引导记录，也被称为主引导扇区，位于硬盘的第一物理扇区，也是计算机开机后访问硬盘时所必须要读取的第一个扇区，记录着硬盘本身的相关信息以及硬盘各个分区的大小及位置信息。

实施例一

本实施例提供了面向EXT4文件系统的数据无痕删除方法；

如图1和图2所示，面向EXT4文件系统的数据无痕删除方法，包括：

S101：以物理文件方式加载硬盘；读取硬盘中的卷头信息；

S102：判断卷头信息的分区类型是否为主引导记录区MBR（Master Boot Record）；判断目标分区文件系统格式是否为第四代文件扩展系统EXT4格式；如果上述两个判断结果均为是，则进入下一步；

S103：对0号块组的超级块的结构进行解析，查看块组描述符表；根据块组描述符定位根目录索引节点inode，确定索引节点inode的起始地址；

S104：根据待删除文件的路径，依次获取待删除文件所在目录的索引点inode号，进而获取当前目录下所有文件或文件夹名称；

S105：将获取的文件或文件夹名称，与待删除的文件名称进行比较，如果名称相同，则将目标的文件或文件夹进行无痕删除，如果名称不同，就继续遍历下一个目录。

进一步地，所述S102：主引导记录区MBR里前面446字节是引导程序，中间的4×16字节的空间存储分区表信息的位置，最后以55AA这两个字节结束。主引导记录区的分区信息，包括：分区号、分区的起始位置和分区大小。

进一步地，所述S103：对0号块组的超级块的结构进行解析，找到0号块组的起始块号、块大小、每块组所含块数、每块组inode数、第一个非保留inode、每个inode大小。

进一步地，所述S103：通过查看块组描述符表，找到块位图块、inode位图块、inode表起始块号、块组目录数。

进一步地，所述S103：根据块组描述符定位根目录索引节点inode，确定索引节点inode的起始地址；具体包括：

块组描述符表中每个块组使用32个字节来描述，第一个32字节描述的就是0号块组。0x00-0x04是块位图块起始块号，0x05-0x07是inode位图块起始块号，0x08-0x0b是inode表起始块号，0x10-0x11是该块组的目录数。

例如：0x02表示2号节点是存储的是根目录inode号，因此读取inode表的2号表项值就可以找到根目录所在块号。

某个inode表项起始字节=inode起始块号*每块所占字节数+(该inode号-1)*每个inode表项所占字节数。

进一步地，所述S104：根据待删除文件的路径，依次获取待删除文件所在目录的索引点inode号，进而获取当前目录下所有文件或文件夹名称；具体包括：

计算根目录的起始偏移字节；

找到并查看根目录内容；

从inode表中找到子目录所在块号；

根据找到指向子目录的inode号(也是逻辑inode号)，先找到当前inode所在块组；并找到当前inode所在inode表号；

从块组描述符表中找到对应块组的inode表起始块号，并找到子目录所在块号。

读取该偏移字节开始的32字节，找到inode表起始块号；接着读取该块组inode表的对应的表项号的inode表项值。

其中，根目录的起始偏移字节=根目录所在块号*每块所占字节数；

所述查看根目录内容，包括：待删除文件内容所在inode号(2字节)、当前目录项长度(2字节)、当前目录项名字长度(1字节)、当前文件类型(1字节，0x02表示目录)、文件名的ASCCI码(16字节)。

某个inode所在块组=该inode号/每块组inode个数，

某个inode所在inode表号=该inode号%每块组inode个数。

其中，%表示求余数运算符。

例如，指向子目录的inode号为0x7f01，那么所在块组为0x7f01/0x7f0=0x10(表示十进制数字16)，因此0x7f01在16号块组的inode表中；其inode表号为0x7f01%0x7f0=0x01，即在在该inode表的1号表项中。

某块组在块组描述符表中偏移字节=块组描述符表起始字节+块组号*每块组描述符表项字节数；

例如，16号块组的inode表起始块组号为2048+16*32=2560字节。

例如，获得16号块组对应的inode表起始块号及inode表的1号inode表项值。

进一步地，所述S105：将获取的文件或文件夹名称；具体包括：

如果使用了extent结构，文件子目录的搜索就按照extent结构来读取；

从子目录对应的inode号得到目标文件块号，同样目标文件的inode表项也启用了extent结构，按照同样的方法分析得到目标文件所在块号，读取该块内容即可。

例如，如果读到了4个字节的标志内容为“00 00 08 00”就表示使用了extent结构。

进一步地，所述将目标的文件或文件夹进行无痕删除；具体包括：

七轮复写操作和inode重构操作；

其中，第一轮复写操作：将目标文件或文件夹从父目录的目录项中覆盖掉，使用指定字符串复写文件数据对应的数据块；

第二轮复写操作：使用指定字符串补码复写文件数据对应的数据块；

第三轮复写操作：使用随机数复写文件数据对应的数据块；

第四轮复写操作：使用16进制随机数据复写方式复写对应数据块；

第五轮复写操作：使用指定字符串复写文件数据对应的数据块；

第六轮复写操作：使用指定字符串补码复写文件数据对应的数据块；

第七轮复写操作：使用随机数复写文件数据对应的数据块；实现文件数据的彻底清除；

inode重构操作：删除文件或文件夹对应的索引节点inode，设置对应的索引节点inode和数据对应块的位图为未使用，并更新块组描述符和超级块中的空闲块数，彻底消除对应数据块的使用痕迹，将其标记为未使用状态，不留任何数据存储及擦除痕迹；删除待删除文件的关联信息，不留待删除文件的任何使用痕迹。

即使使用住在专业数据恢复工具也无法恢复（符合US DoD 5220.22-M (8–306./ECE)数据安全删除标准要求）；达到抗取证分析的效果，即使使用专业取证工具也无法检测到已删除文件曾经在硬盘上存储和使用的痕迹。

进一步的，所述面向EXT4文件系统的数据无痕删除方法，还包括：

对于目标文件的关联备份文件关联信息也使用S101~ S105的方式进行删除。

本发明以系统驱动的形式直接对硬盘数据进行访问，通过分析inode数据信息获取文件使用情况和文件数据信息；根据数据信息定位文件数据区，多次复写inode和数据区文件数据等关联信息，实现文件数据的彻底无痕删除，且不留删除操作痕迹，即使使用技术手段也不能恢复原文件。

实施例二

本实施例提供了面向EXT4文件系统的数据无痕删除系统；

面向EXT4文件系统的数据无痕删除系统，包括：

信息读取模块，其被配置为：以物理文件方式加载硬盘；读取硬盘中的卷头信息；

判断模块，其被配置为：判断卷头信息的分区类型是否为主引导记录区MBR（Master Boot Record）；判断目标分区文件系统格式是否为第四代文件扩展系统EXT4格式；如果上述两个判断结果均为是，则进入下一步；

解析模块，其被配置为：对0号块组的超级块的结构进行解析，查看块组描述符表；根据块组描述符定位根目录索引节点inode，确定索引节点inode的起始地址；

获取模块，其被配置为：根据待删除文件的路径，依次获取待删除文件所在目录的索引点inode号，进而获取当前目录下所有文件或文件夹名称；

比较模块，其被配置为：将获取的文件或文件夹名称，与待删除的文件名称进行比较，如果名称相同，则将目标的文件或文件夹进行无痕删除，如果名称不同，就继续遍历下一个目录。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (9)

1.面向EXT4文件系统的数据无痕删除方法，其特征是，包括：

以物理文件方式加载硬盘；读取硬盘中的卷头信息；

判断卷头信息的分区类型是否为主引导记录区MBR；判断目标分区文件系统格式是否为第四代文件扩展系统EXT4格式；如果上述两个判断结果均为是，则进入下一步；

对0号块组的超级块的结构进行解析，查看块组描述符表；根据块组描述符定位根目录索引节点inode，确定索引节点inode的起始地址；

根据待删除文件的路径，依次获取待删除文件所在目录的索引点inode号，进而获取当前目录下所有文件或文件夹名称；

将获取的文件或文件夹名称，与待删除的文件名称进行比较，如果名称相同，则将目标的文件或文件夹进行无痕删除，如果名称不同，就继续遍历下一个目录；

所述将目标的文件或文件夹进行无痕删除；具体包括：

七轮复写操作和inode重构操作；

其中，第一轮复写操作：将目标文件或文件夹从父目录的目录项中覆盖掉，使用指定字符串复写文件数据对应的数据块；

第二轮复写操作：使用指定字符串补码复写文件数据对应的数据块；

第三轮复写操作：使用随机数复写文件数据对应的数据块；

第四轮复写操作：使用十六进制随机数据复写方式复写对应数据块；

第五轮复写操作：使用指定字符串复写文件数据对应的数据块；

第六轮复写操作：使用指定字符串补码复写文件数据对应的数据块；

第七轮复写操作：使用随机数复写文件数据对应的数据块；实现文件数据的彻底清除；

inode重构操作：删除文件或文件夹对应的索引节点inode，设置对应的索引节点inode和数据对应块的位图为未使用，并更新块组描述符和超级块中的空闲块数，彻底消除对应数据块的使用痕迹，将其标记为未使用状态，不留任何数据存储及擦除痕迹；删除待删除文件的关联信息，不留待删除文件的任何使用痕迹。

2.如权利要求1所述的面向EXT4文件系统的数据无痕删除方法，其特征是，主引导记录区MBR，前面446字节是引导程序，中间的4×16字节的空间存储分区表信息的位置，最后以55AA这两个字节结束；主引导记录区的分区信息，包括：分区号、分区的起始位置和分区大小。

3.如权利要求1所述的面向EXT4文件系统的数据无痕删除方法，其特征是，对0号块组的超级块的结构进行解析，找到0号块组的起始块号、块大小、每块组所含块数、每块组inode数、第一个非保留inode、每个inode大小。

4.如权利要求1所述的面向EXT4文件系统的数据无痕删除方法，其特征是，查看块组描述符表，找到块位图块、inode位图块、inode表起始块号、块组目录数。

5.如权利要求1所述的面向EXT4文件系统的数据无痕删除方法，其特征是，根据块组描述符定位根目录索引节点inode，确定索引节点inode的起始地址；具体包括：

块组描述符表中每个块组使用32个字节来描述，第一个32字节描述的就是0号块组；0x00-0x04是块位图块起始块号，0x05-0x07是inode位图块起始块号，0x08-0x0b是inode表起始块号，0x10-0x11是该块组的目录数；

某个inode表项起始字节=inode起始块号*每块所占字节数+(该inode号-1)*每个inode表项所占字节数。

6.如权利要求1所述的面向EXT4文件系统的数据无痕删除方法，其特征是，根据待删除文件的路径，依次获取待删除文件所在目录的索引点inode号，进而获取当前目录下所有文件或文件夹名称；具体包括：

计算根目录的起始偏移字节；

找到并查看根目录内容；

从inode表中找到子目录所在块号；

根据找到指向子目录的inode号，先找到当前inode所在块组；并找到当前inode所在inode表号；

从块组描述符表中找到对应块组的inode表起始块号，并找到子目录所在块号；

读取该偏移字节开始的32字节，找到inode表起始块号；接着读取该块组inode表的对应的表项号的inode表项值。

7.如权利要求1所述的面向EXT4文件系统的数据无痕删除方法，其特征是，将获取的文件或文件夹名称；具体包括：

如果使用了extent结构，文件子目录的搜索就按照extent结构来读取；

从子目录对应的inode号得到目标文件块号，同样目标文件的inode表项也启用了extent结构，按照同样的方法分析得到目标文件所在块号，读取该块内容即可。

8.如权利要求6所述的面向EXT4文件系统的数据无痕删除方法，其特征是，某个inode所在块组=该inode号/每块组inode个数，

某个inode所在inode表号=该inode号%每块组inode个数；

其中，%表示求余数运算符。

9.面向EXT4文件系统的数据无痕删除系统，其特征是，包括：

信息读取模块，其被配置为：以物理文件方式加载硬盘；读取硬盘中的卷头信息；

判断模块，其被配置为：判断卷头信息的分区类型是否为主引导记录区MBR；判断目标分区文件系统格式是否为第四代文件扩展系统EXT4格式；如果上述两个判断结果均为是，则进入下一步；

解析模块，其被配置为：对0号块组的超级块的结构进行解析，查看块组描述符表；根据块组描述符定位根目录索引节点inode，确定索引节点inode的起始地址；

获取模块，其被配置为：根据待删除文件的路径，依次获取待删除文件所在目录的索引点inode号，进而获取当前目录下所有文件或文件夹名称；

比较模块，其被配置为：将获取的文件或文件夹名称，与待删除的文件名称进行比较，如果名称相同，则将目标的文件或文件夹进行无痕删除，如果名称不同，就继续遍历下一个目录；

所述将目标的文件或文件夹进行无痕删除；具体包括：

七轮复写操作和inode重构操作；

其中，第一轮复写操作：将目标文件或文件夹从父目录的目录项中覆盖掉，使用指定字符串复写文件数据对应的数据块；

第二轮复写操作：使用指定字符串补码复写文件数据对应的数据块；

第三轮复写操作：使用随机数复写文件数据对应的数据块；

第四轮复写操作：使用十六进制随机数据复写方式复写对应数据块；

第五轮复写操作：使用指定字符串复写文件数据对应的数据块；

第六轮复写操作：使用指定字符串补码复写文件数据对应的数据块；

第七轮复写操作：使用随机数复写文件数据对应的数据块；实现文件数据的彻底清除；

inode重构操作：删除文件或文件夹对应的索引节点inode，设置对应的索引节点inode和数据对应块的位图为未使用，并更新块组描述符和超级块中的空闲块数，彻底消除对应数据块的使用痕迹，将其标记为未使用状态，不留任何数据存储及擦除痕迹；删除待删除文件的关联信息，不留待删除文件的任何使用痕迹。

Images