NTFS文件系统中文件的安全擦除7页word
无影无踪5.0使用说明
无影无踪〖WYWZ〗V5.0使用说明无影无踪WYWZ是一个保护你的计算机隐私的小型绿色软件,如果你不注册为开机自动启动以及右键关联、native启动清理等则为绿色软件,所有配置都记录在配置文件中,可以方便的在移动磁盘中保存使用。
WYWZ能够全面、快速、自动地擦除WINDOWS中常用软件使用痕迹以及你自己定义的擦除,并且经过她“擦除”的数据是无法恢复的。
特别说明:由于本软件采用的是彻底“擦除”数据的方法,因此擦除的数据将无法恢复,请使用时详细阅读使用说明并谨慎使用!此外NTFS分区比FAT32分区清理要彻底,通过执行命令行“convert C:/FS:NTFS”将磁盘分区转换为NTFS文件系统。
“NTFS转换.bat”为文件系统转换BA T文件,默认转换C,D 两个分区。
一、软件安装1、安装方法:〖WYWZ〗软件无需特别安装,只需将压缩包wywz.zip解压在任何一个磁盘上的任意一个文件夹中即可(当然也可以在U盘、软盘等中运行使用)。
2、卸载方法:将设置“开机自动运行〖WYWZ〗”以及“鼠标右键方式”那几个选项(所有带※选项)、native启动清理项全部去掉,保存设置,直接手动删除文件就可以,如果不能删除,请从新启动计算机之后再删除,或者采用任务管理器终止進程explorer.exe再启动explorer.exe,之后删除全部文件。
3、更新以前的版本:先卸载旧版本,之后安装新版本,从新设置。
请注意,如果你需要保留以前的配置,请保留ini配置文件。
小技巧:如果文件不能删除,且你是需要更新,可以将前一个版本的eraser.dll、 Erasext.dll和filed.dll任意改一下文件名,比如改为deraser.dll、dErasext.dll和fileddd.dll,然后将新版本压缩包解压在当前的文件夹中,就可以使用新版本了。
从新启动计算机或者从新启动资源管理器explorer.exe 后,再删除刚才改名的原版本的deraser.dll、dErasext.dll和filed.dll即可。
基于NTFS的计算机反取证研究与实现
快速 发展 的阶段 ,反取证技术随之兴起 。通过研究 反取证技 术以保证计算机取证 的科学性和有效性具有重要意义 _。 j J 反取证主要是针对证据的收集 与分析 。罪犯利用取证调 查开始 时影响判断的因素来干扰、阻扰取证 ,导致 调查取证 偏 离真实犯罪活动。这些 因素包括数据集的信息异常、失效 甚至产 生转嫁于合法 实体 的结果。 目前 ,反取 证的主要技术 有数据 隐藏、人工擦除、源追踪混淆和针对计算机取证缺陷 进 行 攻 击 等 。 j 数据擦除技术采用多次覆写或零位填充等手段 ,可有效 擦 除数据 , 但很多情况下入侵者需要保留窃取 的信息,因此,
作者倚介 : 李步升( 7 一) 男 , 18 , 9 讲师 , 主研方向 : 计算机 网络与通 信 ,网络安全 收稿 日期 :21- —6 00 51 0 Em i hndw r i o - a :sany @g a. r l nl n c
入侵者通常会对 文件进行加密或隐写处理 。但单纯 的加密技
术或隐写技术都存在不足l。例如,加密技 术在算法选定后, 、 J 其安全性依赖于 密码 的长度和随机性 。另一方面,当待 隐藏 文件较大时 ,传统 的隐写技术需要大量开销去选择合适大小 的载体 ,且一旦被对 方识破此 ,该 方法将完全失效 _。 0 J
为 了克服上述缺点 ,本文提 出一种基于文件系统 的反取 证 方法 。此方法通过循环遍 历分区下所有的文件 ,计算 出每
不是一种简单 的相对偏移 关系 。设某一文件的数据运行列表
中某一结构 的首簇号为 Ⅳ,则若 Ⅳ 占 1 个字节且 Ⅳ>0 8 H, x0 则取负值 ,Ⅳ ( mo x 0一 x 0 。Ⅳ _ d 0 8 )0 8 。若 Ⅳ 占 2个字节且 Ⅳ> 0 80 ,则 | ( x00 v Ⅳmo x 00一0 8 0 。若 Ⅳ占 3 = d0 8 0 ) x0 0 个字节且
4t硬盘格式化注意事项
4t硬盘格式化注意事项硬盘格式化是将硬盘上的数据删除并重新进行分区和文件系统的操作,以便更好地管理和利用硬盘空间。
然而,在进行硬盘格式化之前,我们需要注意一些重要的事项,以避免造成数据丢失或硬件损坏等问题。
1.备份重要数据:在进行硬盘格式化之前,务必将重要的数据备份到其他存储设备上。
因为格式化会完全删除硬盘上的数据,这意味着您将无法恢复被删除的文件。
因此,备份是保证数据安全的重要步骤,尤其是对于存储有重要文件和数据的硬盘。
2.选择正确的格式化方式:在进行硬盘格式化时,有两种常见的格式化方式可供选择,即快速格式化和完全格式化。
快速格式化只是将硬盘标记为可用状态,并删除文件系统表,而不是真正地擦除硬盘上的数据。
快速格式化更加迅速,但可能会留下一些数据的痕迹。
相比之下,完全格式化会擦除硬盘上的所有数据,包括文件系统表和文件内容,以确保数据的安全。
因此,如果您希望彻底清除硬盘上的数据,请选择完全格式化方式。
3.选择合适的文件系统:在格式化硬盘时,您需要选择适合您的需求的文件系统。
常见的文件系统包括FAT32、NTFS和exFAT等。
FAT32是一种支持大多数操作系统和设备的文件系统,但它有文件大小4GB的限制。
而NTFS是Windows系统中常用的文件系统,支持大文件和文件权限等高级功能。
exFAT则是一种跨平台的文件系统,支持大文件和传输速度较快。
根据您的操作系统和使用需求选择合适的文件系统。
4.格式化之后进行分区:硬盘格式化完成后,您可以选择对硬盘进行分区操作。
分区可以将硬盘分割成多个逻辑驱动器,每个驱动器可以独立使用文件系统进行管理。
通过分区,您可以更好地组织和管理硬盘上的文件和数据,提高数据访问效率。
5.注意电源和磁盘状态:在进行硬盘格式化时,确保计算机连接的电源稳定,以防在格式化过程中断电而导致数据丢失或硬件损坏。
此外,检查硬盘自身的状态也非常重要。
如果硬盘有坏道或其他硬件问题,格式化可能会失败或导致数据丢失。
电脑硬盘格式化方法与技巧
电脑硬盘格式化方法与技巧电脑硬盘格式化是一项常见的操作,它可以清除硬盘上的数据并重新分配存储空间。
然而,许多人对硬盘格式化的方法和技巧知之甚少。
在本文中,我们将探讨电脑硬盘格式化的各种方法和一些技巧,帮助读者更好地进行硬盘格式化。
一、了解硬盘格式化的基本概念在开始讨论具体的格式化方法和技巧之前,我们先来了解一下硬盘格式化的基本概念。
硬盘格式化是指将硬盘分区并安装文件系统的过程。
它可以清除硬盘上的所有数据,并为操作系统和应用程序提供一个可用的存储空间。
二、常见的硬盘格式化方法1. 快速格式化快速格式化是一种常见的格式化方法,它只会删除硬盘上的文件索引,并标记所有的存储空间为可用。
这种格式化方法速度较快,适用于需要快速清除硬盘数据并重新分配存储空间的情况。
然而,快速格式化并不会对硬盘进行彻底的擦除,所以被删除的数据仍然可以通过一些恢复软件来恢复。
2. 完全格式化完全格式化是一种更彻底的格式化方法,它会彻底删除硬盘上的所有数据,并重新分配存储空间。
这种格式化方法速度较慢,但可以确保被删除的数据无法被恢复。
完全格式化通常用于处理包含敏感数据的硬盘,如企业服务器或个人电脑中的个人信息。
3. 快速格式化与完全格式化的选择在进行硬盘格式化时,我们需要根据具体情况选择适合的格式化方法。
如果您只是想快速清除硬盘数据并重新分配存储空间,那么快速格式化是一个不错的选择。
但如果您需要确保被删除的数据无法被恢复,那么完全格式化是更好的选择。
三、硬盘格式化的技巧1. 备份重要数据在进行硬盘格式化之前,一定要备份重要的数据。
因为格式化会彻底删除硬盘上的所有数据,一旦格式化完成,这些数据将无法恢复。
所以,在进行格式化之前,务必将重要的文件和文件夹备份到其他存储介质上,如移动硬盘或云存储。
2. 选择适当的文件系统在进行硬盘格式化时,我们还需要选择适当的文件系统。
文件系统决定了硬盘上数据的组织方式和访问方式。
常见的文件系统有FAT32、NTFS和exFAT等。
存储介质信息消除工具
针对NTFS分区系列格式下文件存储,一般分以下几 个部分存放,文件名称索引、记录数据流、数据运 行。针对文件的上属性列表,采用特别的数据算法, 对此数据做统一清除,以达到任何软硬件设备无法 恢复。
4.2.2 粉碎目录 整体目录粉碎,根据不同的分区格式需要对目录下的文件、 子目录进行递归清除,达到目录下的数据及目录名称本身 在磁介质不存在任何数据信息,形成彻底的数据粉碎。
4.2.4 粉碎整个磁介质分区 对整个磁介质分区从第0扇区开始,到最后一个结束 扇区为止,根据物理磁盘读写技术,对所清除的扇区,簇, 进行逐一的清除,使之整个磁盘分区同时被规定的数据擦 写算法,清除达9次,清除后的磁介质分区无法被任何软 硬件所恢复。
4.2.5 一键清除上网记录 首先清除常规上网记录包括收藏夹、近文件夹、临时 文件、cookies、历史记录,第二步清除用户先前通过系 统命令删除的上网记录,第三步清除重新安装系统后,遗 留在硬盘上的用户不可见的上网记录
22425一键清除上网记录首先清除常规上网记录包括收藏夹近文件夹临时文件cookies历史记录第二步清除用户先前通过系统命令删除的上网记录第三步清除重新安装系统后遗留在硬盘上的用户不可见的上网记录23426选择性清除usb插拔记录首先对操作系统中正常存在的usb插拔记录进行查询并将记录按存储与非存储进行分类
3.2.3. 单个及多个磁盘空间的清除
存储介质信息消除工具可以一次实现一个及多个磁盘 空间的清除,并且选择的磁盘分区格式可以不同的,实 现对磁盘空间残留数据的清除
3.2.4. 单个及多个磁盘的清除
存储介质信息消除工具可以一次实现一个及多个磁盘 的清除,并且选择的磁盘分区格式可以不同的,实现对磁 盘分区所有数据的清除。
3.2.1. 单个文件及多个文件清除
关于磁盘的知识
∙电脑硬盘分区概况∙电脑硬盘分区简单操作概述∙如何使用分区助手分区一个硬盘∙动态磁盘概述∙动态磁盘无效∙动态磁盘不可读∙动态磁盘应用范围∙基本磁盘概述∙Windows磁盘管理器转换基本磁盘到动态磁盘∙转换动态磁盘到基本磁盘—三种方法介绍电脑硬盘分区概况新买回来的硬盘相当于一张“白纸”,而为了能够更好地使用它,我们要在“白纸”上划分出若干小块,然后打上格子。
如此一来,用户在“白纸”上写字或作画时,不仅有条有理,而且可以充分利用资源。
我们从以下三点介绍中让大家对电脑硬盘分区有个基本认识:A.主分区、扩展分区、逻辑分区一个硬盘的主分区也就是包含操作系统启动所必需的文件和数据的硬盘分区,要在硬盘上安装操作系统,则该硬盘必须得有一个主分区。
扩展分区也就是除主分区外的分区,但它不能直接使用,必须再将它划分为若干个逻辑分区才行。
逻辑分区也就是我们平常在操作系统中所看到的D、E、F等盘。
B.分区格式“格式化就相当于在白纸上打上格子”,而这分区格式就如同这“格子”的样式,不同的操作系统打“格子”的方式是不一样的,目前Windows所用的分区格式主要有FAT16、FAT32、NTFS,其中几乎所有的操作系统都支持FAT16。
但采用FAT16分区格式的硬盘实际利用效率低,因此如今该分区格式已经很少用了。
FAT32采用32位的文件分配表,使其对磁盘的管理能力大大增强,它是目前使用得最多的分区格式,Win98/Me/2000/XP都支持它。
一般情况下,在分区时,阿King建议大家最好将分区都设置为FAT32的格式,这样可以获得最大的兼容性。
NTFS的优点是安全性和稳定性极其出色。
不过除了WinNT/2000/XP外,其它的操作系统都不能识别该分区格式,因此在DOS、Win9X中是看不到采用该格式的分区的。
C.分区原则> 不管使用哪种分区软件,我们在给新硬盘上建立分区时都要遵循以下的顺序:建立主分区→建立扩展分区→建立逻辑分区→激活主分区→格式化所有分区(图1)。
解决复制文件或文件夹时出错的方法介绍
解决复制文件或文件夹时出错的方法介绍-U〃复制文件或文件夹时出错〃这种提示,是用户将文件从电脑上复制到外部设备(如SD卡,USB设备等)里时最常见的一种错误提示。
而跨设备复制文件或文件夹时会出错,原因是有很多的,例如文件损坏,文件大小限制等这些。
其中比较常见的原因可以归纳为以下这些:1、复制的文件正在使用;2、前置USB供电不足;3、复制文件的目的地使用的是FAT 32文件系统,而FAT 32无法复制4GB或更大的文件或文件夹;4、损坏或加密了目标驱动器;5、目标驱动器处于写保护状态;6、外部磁盘空间不足;7、文件夹的访问权限为只读模式那么我们如何才能修复错误提示呢?可以尝试一下下面的办法。
退出相应的文件程序尝试把访问的相应文件程序退出来,一般来说就可以复制文件了。
如果我们想要确认以下是否是这个原因导致的文件或者文件夹无法复制,我们首先可以尝试新建一个文档,然后输入一些内容,待保存后,再将它复制到别的盘符,看看是否能够正常复制粘贴。
更换USB设备的插口某些兼容台式机由于电源质量较差,可能导致前置USB供电不足,然后出现无法复制的问题,此时我们可以尝试将外部设备,比如U盘或其他可移动磁盘换到机箱背后的USB插口上试试。
转换文件系统通过将驱动器重新格式化为其他文件系统(例如NTFS或exFAT ),也就是将FAT32文件系统格式化为NTFS或ex FAT文件系统。
我们需要注意的是,由于格式化操作会擦除目标驱动器上的所有文件,所以我们最好先备份好数据,然后再尝试转换文件系统。
转换文件系统的具体步骤为:首先点击〃这台电脑〃,然后右键单击USB驱动器,选择点击菜单中的〃格式化〃,为驱动器选择兼容的文件系统,最后单击〃开始〃,待弹出警告消息的时候,再单击〃确定〃就可以了。
格式化损坏的目标驱动器如果目标驱动器已损坏,格式化驱动器是解决问题的最简单方法。
此时我们按照之前的步骤来格式化驱动器就可以了,如果我们不想更改文件系统,就选择直接格式化就可以了。
怎样将系统盘重新分区格式化?
重新分区和格式化系统盘是一项复杂而危险的操作,可能会导致数据丢失或系统无法启动。
在执行此操作之前,请务必备份重要的数据并确保您具备足够的专业知识和经验。
以下是一般步骤,但请注意具体操作可能因系统和工具的差异而有所不同:
1. 备份数据:在重新分区和格式化系统盘之前,务必备份系统中的所有重要数据。
可以将数据复制到外部存储设备、云存储或其他分区中。
2. 创建可引导的安装介质:准备一个可引导的操作系统安装介质,比如Windows 安装盘或USB。
确保您具有正确的安装文件和许可证。
3. 进入系统安装环境:将安装介质插入计算机,在BIOS设置中将启动选项设置为从安装介质启动。
通过按下相应的键(如F2、F10或Delete键)进入BIOS设置。
4. 运行磁盘分区工具:根据安装介质中的提示,选择“自定义安装”或类似选项,进入磁盘分区工具。
根据需求,可以删除、创建、调整分区大小等操作。
5. 格式化分区:选择要格式化的分区,使用磁盘分区工具提供的格式化选项(如NTFS、FAT32等)格式化分区。
请注意,此操作将擦除该分区上的所有数据。
6. 安装操作系统:完成分区和格式化后,按照安装介质中的指引继续安装操作系统。
选择相应的分区作为系统安装位置,完成安装过程。
请注意,重新分区和格式化系统盘会擦除该盘上的所有数据。
如果您不确定操作步骤或无法正确执行操作,请寻求专业人士的帮助,以避免不可逆转的损失。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
NTFS文件系统中文件的安全擦除NTFS(New Technology File System)是微软开发的具有较好容错性和安全性的文件系统。
NTFS将磁盘卷中的所有数据都以文件的方式,而数据类型,大小等信息都作为文件的属性,记录在主文件表(Main File Table, MFT)记录中,每条MFT记录都分配同样大小的空间描述文件(夹)。
当文件放入回收站并被清空删除时,操作系统将文件MFT记录相应字段置为删除标志(在MFT中0x16偏移处),同时文件MF记录号在$MFT的Bitmap属性中对应位置0标志该MFT记录号可供重新分配,将文件占用的数据簇在$Bitmap中的对应位置0标志空闲可供再分配。
虽然删除文件,在操作系统用户视图中无法获取,但通过数据恢复手段,该文件仍然可以再现。
本文对NTFS的主文件表记录及位图文件进行分析,研究了NTFS文件系统下文件的安全擦除。
1 NTFS 卷文件管理1.1 簇管理NTFS以簇为基本单位分配回收存储空间[1],与FAT结构不同,NTFS卷(volume)从0扇区开始划分簇,每簇为1,2,4或8个扇区,根据分区的大小不同,最大值不超过8扇区,格式化时可以以格式化参数的形式设定。
而在FAT中,由于卷管理空间的限制,只能通过增加簇大小来管理大容量硬盘,较NTFS文件系统,容易造成存储空间的浪费。
NTFS簇大小,即每簇扇区数保存在BOOT扇区(0扇区)。
同时,NTFS通过Bitmap文件记录所有簇的使用情况,1个bit对应一个簇,值为1表示已经分配,为0表示未分配。
FAT文件系统中的FAT表不仅记录了数据簇的使用情况,还标明了数据簇的链接关系。
NTFS使用逻辑簇号(logical cluster number, LCN)和虚拟簇号(virtual cluster number, VCN)来对簇进行定位。
LCN是对卷中所有簇头到尾进行简单编号,VCN则是对属于特定文件的簇从头到尾进行编号,以便访问文件中的数据,LCN是无符号整数,而VCN则是带符号整数,VCN 可以映射成LCN,由Data Runs数组完成这个映射。
NTFS数据区管理不是采用链接存储,而是采用索引存储[2],文件通过自己的Data Runs数据建立索引表,一个Run就是一个连续存储块,Data Runs数组由若干Run 组成,以0x00结束。
每个Run包括3部分,即头部,占用簇数,起始簇号。
簇号用VCN,第一个VCN是相对于0簇。
头部占用1个字节,存放占用簇数和起始簇号的字节数根据头部确定。
如对于以下十六进制数据表示的如下Data Runs数组。
0x12 D4 38 04 00其中,根据头部0x12取其高4位可知1字节(值为随后D4)表示占用簇数,取低4位可知2字节(值为3804),即表示0x0438簇开始的0xD4个簇。
而随后的0x00表示Data Runs数组已到数组尾部。
假设一个文件的存储分布的Data Runs数组如下:0x12 D4 38 04 31 28 D0 49 01 21 CB FF 00则分解成4个Run:12 D4 38 04,31 28 D0 49 01,21 23 CB FF,00即文件存储在3个连续块:1)Run 1: 0x0438簇开始的0xD4个簇。
2)Run 2: 0x0149D0+0x0438=0x014E08簇开始的0x28个簇。
3)Run 3: 这里VCN为0xFFCB=-0x35,则与前面Run的起始簇号累计为0x014E08-0x35=0x014DD3开始的0x23个簇,这里将VCN 0xFFCB换算成LCN,它相对于前一起始地址0x014E08。
4)Run 4: 0x00,Data Runs数组到达尾部。
由上可知,文件的存储地址并不是完全依次连续增加的,而是依据数据簇的分配算法得出的。
1.2 主文件表和位图属性NTFS卷上的任何事物都是文件[2],文件在卷上的位置都是通过主文件表(master file table, MFT)记录来确定的,其组织结构图如图1所示。
MFT是一个对应的数据库,由一系列的文件记录组成,以下称其为MFT记录。
卷中每一个文件都有一个MFT记录(对于大型文件还可能有多个MFT记录与之对应),同时,MFT自身也有一个文件,也有其文件记录。
MFT的每个MFT记录都有一个ID号,这个ID号从0开始,以递增的方式顺序编号。
MFT自身是NTFS系统的第一个文件$MFT,其开始簇号在BOOT扇区中保存,与其他23个系统文件,他们组成系统的元文件(Metafiles),其中根目录占用ID号为5的文件记录。
用户的文件MFT记录ID号从24开始分配,用户每添加一个文件ID号加1。
当某个文件被删除时,其所对应的MFT记录由系统回收,该ID号记录为空闲。
在$MFT(系统元文件)的Bitmap属性中,维护各个MFT号的占用情况,可以视其为位数组。
$MFT的Bitmap位数组中,每1bit代表一个文件MFT号的使用情况。
如果文件MFT号对应在该数组中的标志bit为1,则表示正在使用,如果其标志bit为0,则表示该MFT号空闲并可以被系统再分配,也是文件MFT号是否使用的依据。
当某个文件被删除时,其所对应的MFT记录由系统回收,该ID号记录为空闲。
在$MFT(系统元文件)的Bitmap属性中,维护各个MFT号的占用情况,可以视其为位数组。
$MFT的Bitmap位数组中,每1bit代表一个文件MFT号的使用情况。
如果文件MFT号对应在该数组中的标志bit为1,则表示正在使用,如果其标志bit为0,则表示该MFT号空闲并可以被系统再分配,也是文件MFT号是否使用的依据。
当需要给新文件分配MFT记录时,系统则优先给该文件分配ID号小的MFT记录,即查找$MFT:Bitmap数组中第一个不为0xFF的元素,找到第一个为0的bit到$MFT:Bitmap头的bit偏移(该空闲bit相对于$MFT:Bitmap头的bit偏移即为空闲的MFT记录号)。
1.3 位图元文件在元文件中,除了$MFT文件还有一个位图文件十分重要。
文件$Bitmap 标识的是该卷中簇的占用情况。
与$MFT:Bitmap类似,$Bitmap位数组中每bit代表卷中特定位置一簇。
为0代表此簇空闲,为1代表此簇已使用。
这样可以更合理的分配磁盘空间。
当文件被删除,它所占用的簇对应的为会被清空(置0)。
NTFS通过这个文件管理卷的使用情况,这也是文件安全擦除的重要依据。
如前所述根据解析元文件$Bitmap中的0x80属性的Data Runs数组,可以得到该文件的数据。
2 文件安全擦除2.1 删除文件的残留信息当NTFS卷中文件被删除(清空回收站操作),系统回收其文件MFT记录,其对应MFT记录被置为删除标记,该标记录位于偏移0x16两个字节(相对于MFT记录头),0x0001表示正常文件,删除后被置为0x0000标记为删除。
另外,在$MFT:Bitmap中对应位置0,标记该文件MFT记录号为空闲。
如果该文件数据较少,可以在文件MFT记录中常驻,则数据不占用额外簇;如果该文件数据大于文件MFT记录长度,则以非常驻方式占用额外簇来存储数据,此时,文件被删除时,系统在回收该文件MFT号同时会将该文件所占用数据簇在元文件$Bitmap的对应位置0标记为空闲。
同时,删除文件后,系统会清除该文件所属的文件夹下该文件的目录项。
在NTFS文件系统中系统在删除文件在文件夹下的目录项时,和FAT文件系统的处理有很大区别。
在FAT文件系统中,当删除文件夹下的文件时,系统将该文件目录项(一般为32字节)首字节置删除标记0xE5;而在NTFS文件系统中系统是将该目录下的目录项记录前移覆盖该删除文件目录项。
由上可知,在清空回收站如果无新增文件操作后,虽然系统回收其文件MFT号、数据簇及目录项;但其包含文件名、文件大小、创建时间等重要信息仍完整保留在文件MFT记录中。
尤其是包含关键信息的数据的索引也完整的保存在文件的MFT记录中,可以通过数据恢复的手段完整或部分取回该文件。
而对于涉密文件的安全造成了极大的威胁,因此要完全清除具有高保密级的文件时,就必须粉碎以上残存在磁盘卷中的所有关键信息。
2.2 基于位图文件的数据擦除在NTFT文件系统中,文件的数据以0x80属性(Data attribute)存在于文件的MFT记录中,当数据较小能容纳于文件的MFT记录(一般大小为2KB)中时,清除该文件的MFT记录即清除了该文件数据。
而对于用户文件数据信息,大多数都大于文件的MFT记录本身大小。
对于不能以常驻方式(即直接存放于MFT记录的0x080属性中)的文件数据,则文件的MFT 记录的0x80记录中存放的是索引到外部簇的索引,通常以Data Run的形式索引到外部数据簇。
综上所述,可将文件数据擦除分为以下步骤。
1)如果文件的MFT记录不存在,则读取$Bitmap位数组将磁盘卷中所有空闲簇的卷偏移并记录其卷偏移至擦除队列,执行步骤3。
否则,如果文件的MFT记录存在,定位至文件的MFT记录,执行下一步。
2)读取该文件MFT记录的数据0x80属性,如果该属性为常驻标志,则执行步骤4。
否则,该文件MFT记录的0x80属性为非常驻标志,定位其Data Runs数组,如前面所述进行解析,将数据簇的卷偏移记录至擦除队列,执行下一步。
3)如果队列空则数据擦除结束,否则跳至队列下一条记录得到簇偏移位置,定位至卷中该簇,并读取元文件$Bitmap位数组中对应位,如果为1则表明该簇已被占用执行步骤3,否则以填充标志(通常写全0)填充该簇,执行步骤(3)。
2.3 文件的安全擦除删除文件经过以上安全擦除步骤后,没有破坏卷中原有文件分布,且消除了高保密文件的信息安全隐患。
3 结束语NTFS以其优越的安全性和稳定性,已经成为主流的文件系统,同时,随着越来越多涉密单位对涉密文件管理的制度化,需要相关文件管理工具的支持。
本文研究了基于NTFS文件系统的安全文件擦除方法,为涉密文件安全管理提供了有力的支持。
希望以上资料对你有所帮助,附励志名言3条:1、有志者自有千计万计,无志者只感千难万难。
2、实现自己既定的目标,必须能耐得住寂寞单干。
3、世界会向那些有目标和远见的人让路。