Windows系统FAT32和NTFS分区文件删除的恢复方法的研究

Windows系统FAT32和NTFS分区文件删除的恢复方法的研
究
SYS PRACTICE 系统实践
当前，Windows操作系统占据了计算机的90%以上的份额，其文件系统类型有两类，FAT32格式和NTFS格式，本文针对这两种文件系统下的数据恢复进行分析和讨论。

一、数据恢复基础
（一）?文件系统。

文件系统是操作系统用于组织文件的方法，主要用来记录存储设备已用和未用的空间，维护目录与文件信息，文件系统与其文件组织形式息息相关，不同的文件系统，其逻辑组织方式也是不同的。

（二）?簇。

操作系统将簇作为文件存储的基本分配单位，簇的大小是在对硬盘进行格式化过程中由程序自动分配的，一个簇包含2n个扇区，不论文件有多小，其所占用的空间都是1簇。

二、 FAT32文件系统的数据恢复
（一）?基本概念。

FAT32文件系统由DBR，FAT表和数据区构成，采用簇的管理方式管理，和FAT16文件系统相比，不再有固定的根目录区域，而是将根目录与其他目录、文件等一同视为“数据”。

1.?DBR扇区。

FAT32的DBR扇区位于分区所在扇区的首扇区，其数据结构由跳转指令（EB?58?90）、BPB参数值等参数构成。

重要的数值包含每扇区字节数、每簇扇区数、保留扇区数、FAT表个数等。

2.?FAT表。

FAT32文件系统的FAT表以“F8?FF?FF?0F”为FAT 表起始标志，以“FF?FF?FF?0F”为簇链结束标记。

FAT表记录着文件在分区中的分布情况，每个FAT表项占用4字节，如果该簇未被占用，则为“00?00?00?00”，如果该簇为文件的最后一簇，则为“FF?FF?FF?0F”，否则该簇就是文件所占用的下一个簇的簇号，如果该簇为坏簇，则为“F7?FF?FF?FF”。

3.FAT32文件目录项。

FAT32文件系统将根目录归入数据区进行管理，这样做的好处是不受限于目录项数，在需要增加空间时可以为其
分配后续簇实现[1]。

FAT32文件系统中使用4个字节描述簇地址，为此FAT32使用0x14-15两个字节作为数据起始簇号高位，0x0A-0B两个字姐作为起始簇号的低位，在读取的时候采用低位在前高位在后的顺序进行读取，然后再转换为十进制数，即可得到目录的起始簇号。

（二）?FAT32文件系统文件删除后的恢复方法。

FAT32文件系统下对文件进行删除时，将被删除文件的目录项首字节改为“E5”作为已删除标记，同时清空该文件的FAT表链及文件目录项中簇地址的高位。

这就意味着，在文件目录项中如果一个文件存储位置没有超出2字节所表示的簇号范围，它的目录项中的簇地址仍然指向文件真正起始地址,对于这种情况，可以采取以下方法进行恢复。

根据DBR的BPB参数中的FAT表大小及首簇号找到根目录扇区，根据被删除文件的文件名及所在的子目录名称，找到该文件所在的目录项，通过目录项中记录的文件起始簇号及文件大小，跳转到相对应的扇区位置，复制文件大小并写入新文件，从而将文件恢复回来。

三、 NTFS文件系统的数据恢复
（一）基本概念。

NTFS文件系统可以分为引导区、MFT区、MFT备份区、数据区和DBR备份区几个部分。

MFT是主文件表的简称，由文件记录构成，每个MFT项前部有固定的头结构，描述MFT 项相关信息，后面字节用于存放“属性”。

属性分为常驻属性和非常驻属性。

常驻属性可以在MFT项内记录，不会另外分配存储空间。

非常驻属性需要在MFT之外另外为其分配足够的簇空间进行存储。

存储非常驻属性值的区域称为DATA?RUN，DATA?RUN的开始簇号，占用簇数等信息记录在MFT项中的RUN?LIST信息中。

如果RUN?LIST 中只有一个DATA?RUN信息，则表示文件数据是连续的，而如果有多个DATA?RUN信息，则从第二个DATA?RUN信息开始[2]。

（二）NTFS系统文件删除后的恢复方法。

删除文件后，记录头被清零，其他属性不会发生改变，可通过搜索MFT项中文件记录，判断记录头特征值找到删除后的MFT项，通过查找文件名属性获取要恢复的文件名，分析其数据属性，如果为常驻属性，则属性值为文件内容，
如果为非常驻属性，则通过RUN?LIST找到文件内容生成新文件。

四、结语
通过分析FAT32及NTFS文件系统的特点给出不同文件系统下恢复文件的方案，通过比较可知，NTFS由于其系统结构等方面的优势，在数据可恢复性上更为容易。

H 参考文献
[1]汪中夏，刘伟.数据恢复高级技术[M].电子工业出版社,2007.
[2]刘伟.数据恢复技术深度揭秘[M].电子工业出版社,2016.
（作者单位：大连市轻工业学校）
Windows系统FAT32和NTFS分区文件
删除的恢复方法的研究
耿丰
◆摘要：论文通过研究Windows系统中两种文件格式：FAT32和NTFS，根据两种文件系统的不同
文件存储特点，提出了FAT32文件系统和NTFS文件系统中分区文件删除后的恢复方法及步骤。

关键词：Windows系统；FAT32；NTFS；数据恢复
信息系统工程│ 2019.3.2057。