中文摘要

NTFS文件系统是安全、高效的文件管理系统，它主要由BOOT引导扇区、MFT和文件存储区组成。在NTFS中，数据以文件的形式进行存储，每个文件都有与之相对应的FILE记录。MFT是NTFS文件系统的核心，它存放了所有文件的FILE记录，本文研究NTFS文件系统中数据的存储方式。DiskProbe工具是专门的电子取证工具，它具有浏览扇区、搜索删除的文件等功能，本文就DiskProbe工具对NTFS文件系统数据恢复方面的技术原理进行了分析。

关键词 NTFS  MFT  DiskProbe  数据恢复
目   次

1 引言 1
2 NTFS分区中的有关重要概念 2
3 NTFS分区的结构 4
3.1 NTFS分区引导扇区结构 5
3.2 MFT主文件表结构 6
3.2.1 文件的FILE记录结构 6
3.2.2 文件夹的FILE记录结构 12
4 DiskProbe工具技术分析 19
4.1 恢复分区类型和参数 19
4.2 搜索删除的文件 21
4.3 NTFS分区文件操作痕迹 22
结  论 25
致  谢 26
参 考 文 献 27

1 引言

在Windows NT 3.1推出前，微软公司就采用了两种文件格式，一种是FAT文件系统，另一种是用于和IBM公司合作的OS/2文件系统上的高性能文件系统。随着Windows NT系统的推出，微软公司需一种新的文件系统来支持操作系统的更高安全性的要求，而当时所具有的文件系统都不能满足这种要求，于是就有了一种安全性和可靠性都非常强的文件系统——NTFS文件系统。

NTFS文件系统与FAT16、FAT32文件系统相比具有许多新的特性，这主要体现在以下几个方面^[1]。

（1）可恢复性：NTFS不仅提供了基于原子事务概念的文件系统可恢复性，还对关键的数据采用冗余存储。

（2）更高的安全性：NTFS有很多出于安全方面的技术，可以对指定的文件和文件夹进行加密，并支持加密文件系统，可以阻止任何没有授权的用户访问加密文件。

（3）数据冗余和容错：为了保证用户数据不会因为掉电或磁盘故障而受损，Windows2000、Windows XP采用了分层驱动模型来实现数据冗余存储，提供了数据容错性的支持。

（4）支持文件压缩功能：NTFS文件系统支持文件压缩功能，而且使用非常方便。

（5）磁盘配额：磁盘配额功能允许系统管理员管理分配给各个用户的磁盘空间，合法用户只能访问属于自己的文件。

（6）记录坏簇：当一个簇中有一个以上坏扇区时，整个簇中的数据是不能读取的。如果用户试图访问这个簇中的数据时就会引发一个异常处理，提示读写失败。对于NTFS文件系统，可以将有坏扇区的簇的簇号做一个映射，这样在用户建立文件时就屏蔽了这些坏簇的使用，这样就能够防止用户数据的丢失。

基于其高效、安全的强大功能，NTFS受到了越来越多的用户的青睐，得到越来越普及的应用。随着硬件的发展，其优势也越来越明显，已经成为文件系统的主流。文件系统是操作系统的子系统，它负责数据的存储管理。现在已经进入计算机时代，人们的学习、生活、娱乐越来越离不开计算机，电子数据也因此不断丰富，所以对电子数据的维护得到越来越多的用户的重视。研究文件系统是维护数据管理的基础，因此本课题具有实际意义，有研究的价值。经查阅资料，目前关于NTFS文件系统结构的文章比较少，有参考价值的只有一些英文资料。现有的这些英文资料虽然理论讲述的比较完整，但缺乏实例验证。针对目前存在的缺陷，本文利用了DiskProbe工具的扇区读取功能着重对NTFS分区的文件存储结构进行实验，并在此基础上对我校的理论研究成果——DiskProbe工具的工作原理进行分析。