[发明专利]一种NTFS文件格式化参数分析方法、终端设备及存储介质

说明书

本发明涉及一种NTFS文件格式化参数分析方法、终端设备及存储介质，该方法中通过对格式化后的MFT记录进行综合假设验证分析，基于MFT记录中的总簇数和物理占用大小确定簇大小，基于文件多级索引结合假设验证分析确定分区起始扇区。本发明能够较为准确的获得NTFS数据恢复所需的格式化参数，可为后续的NTFS数据恢复提供较好的技术支撑，提升恢复准确性。

技术领域

本发明涉及文件技术领域，尤其涉及一种NTFS文件格式化参数分析方法、终端设备及存储介质。

背景技术

NTFS文件系统被格式化后，当前的数据恢复技术主要依靠被格式化后分区的参数进行相应的数据恢复。由于，格式化参数容易被修改且分区空间也容易被重新分配。因此，当前恢复技术在一些情况下，无法较好的保证恢复结果的准确性。传统采用格式化后参数作为NTFS文件系统格式化恢复参数，格式化参数被修改、分区空间重新分配以及分区交错等情况下，会导致恢复的文件数据或者文件索引定位出错，从而使得恢复效果不准确。

发明内容

为了解决上述问题，本发明提出了一种NTFS文件格式化参数分析方法、终端设备及存储介质。

具体方案如下：

一种NTFS文件格式化参数分析方法，包括以下步骤：

S1：逐扇区在被格式化的分区中查找MFT文件记录，并对查找到的MFT文件记录进行解析，将解析结果加入到第一集合内；

S2：逐扇区在被格式化的分区中查找索引缓冲区记录，并对查找到的索引缓冲区记录进行解析，将解析结果加入到第二集合内；

S3：初始化设定序号i＝1、分区起始扇区为0，第二集合中元素个数m，簇大小为被格式化的分区的簇大小；

S4：判断i≥m是否成立，如果是，结束；否则，进入S5；

S5：判断第一集合中是否存在一元素，使得该元素的文件MFT号与第二集合中第i个元素的文件MFT号相等，如果存在，设定该元素为元素j，进入S6；如果不存在，令i自加1后，返回S4；

S6：判断第一集合中的元素j对应的链表元素个数是否等于1，如果是，进入S7；否则，令i自加1后，返回S4；

S7：在第一集合中查找所有满足父目录MFT号与第二集合中第i个元素的父目录MFT号相等的元素，如果查找结果不为空，进入S8；如果查找结果为空，令i自加1后，返回S4；

S8：针对查找结果中的任意元素，判断是否均满足该元素的文件MFT号与第二集合中第i个元素的子目录索引链表中的一链表元素的文件MFT号相同，如果均满足，进入S9；如果存在有元素不满足的情况，令i自加1后，返回S4；

S9：判断第一集合中是否存在一元素，使得该元素的物理大小大于512，且簇链表不为空，如果存在，进入S10；如果不存在，结束；

S10：根据步骤S9中判断存在的第一集合中元素对应的物理大小和簇链表中所有链表元素所占的簇数据的和，更新簇大小的值；

S11：根据第二集合中第i个元素对应的索引缓冲区头所在的扇区号、第一集合中元素j对应的簇起始和更新后的簇大小，更新分区起始扇区的值。

进一步的，步骤S1中查找MFT文件记录时，判断查找到的数据块是否属于MFT文件记录块的方法为：

按照NTFS文件记录的结构对数据块DataBuff进行解析，以获得MFT标识MFTMagic、文件记录时间长度FileRecordRealLenth以及文件记录分配长度FileRecordAllocLenth；当同时满足以下三个条件时，则判断数据块DataBuff属于MFT文件记录块；