[发明专利]一种基于日志的NTFS删除文件恢复方法和装置

摘要

本发明属于信息安全技术领域，具体涉及一种基于日志的NTFS删除文件恢复方法和装置。该方法通过分析MFT相关的日志信息并结合MFT自身信息，能够重组被覆盖的文件记录，从而更好的恢复出相应的删除文件。该方法解决现有技术方案在文件记录被覆盖情况下无法恢复的问题，使得NTFS删除文件的恢复技术得到进一步的完善。

主权项

1.一种基于日志的NTFS删除文件恢复方法，其特征在于：它包括以下步骤，S1，解析NTFS卷头信息定位$MFT文件的位置，通过$MFT文件定位$LogFile文件的位置；S2，解析$LogFile文件获取与$MFT文件操作相关的操作记录列表RS＝{R1,R2,R3,....,Rn}，Ri包括日志序列号LSN、回滚类型undo_op_type、操作类型redo_op_type、操作后数据redo_data、操作后数据长度redo_length、操作目标位置target_pos、记录偏移record_offset和记录长度record_length，i＝1,2,3，…，n；步骤S2具体包括以下步骤:S201，当前解析的页号CURRENT_PAGE_NUM等于4，跨页数据长度CROSS_LENGTH等于0，操作记录在页中偏移RECORD_OFFSET等于0且根据$LogFile文件的区域范围列表DSL获取日志文件的总页数TOTAL_PAGE_COUNT；S202，解析第CURRENT_PAGE_NUM页的头部，获取最后一个操作记录偏移last_record_offset；S203，判断CURRENT_PAGE_NUM是否等于4，若CURRENT_PAGE_NUM等于4，将RECORD_OFFSET赋值为last_record_offset,若否则将RECORD_OFFSET赋值为CROSS_LENGTH+64；S204，解析RECORD_OFFSET处的操作记录信息Ri，并设target_pos为操作记录的操作目标位置，判断相应操作目标位置即第target_pos个扇区是否属于DSm，若是则将Ri元素加入到操作记录列表RS中；S205，判断RECORD_OFFSET是否等于last_record_offset，若否转到步骤S210，若是则继续下一步；S206，判断RECORD_OFFSET+record_length是否大于4096，若否将CROSS_LENGTH赋值为0，若是则将CROSS_LENGTH赋值为RECORD_OFFSET+record_length‑4096；S207，判断是否第二次解析第4页，若是则结束，若否则CURRENT_PAGE_NUM＝CURRETN_PAGE_NUM+1；S208，判断CURRENT_PAGE_NUM是否等于TOTAL_PAGE_COUNT，若否则转到步骤S202，若是则将CURRENT_PAGE_NUM赋值为4；S209，解析第CURRENT_PAGE_NUM页的头部，获取最后一个操作记录偏移last_record_offset，将RECORD_OFFSET赋值为CROSS_LENGTH+64，转到步骤S204；S210，RECORD_OFFSET等于RECORD_OFFSET+record_length，转到步骤S204；S3，遍历$MFT中的文件记录并结合解析到的操作记录列表RS进行删除文件的恢复。