Восстановление данных. Практическое руководство

Касперски Крис

Прежде чем продолжать чтение, попробуйте поэкспериментировать с файлами MFT (особенно фрагментированными). Посмотрите, как создаются и удаляются записи MFT. Лучше всего это делать на диске, содержащем небольшое количество файлов и каталогов. Чтобы не форматировать логический диск, создайте виртуальный (благо количество оперативной памяти современных компьютеров это позволяет).

Файловые записи

Благодаря наличию утилиты DiskExplorer от Runtime Software с файловыми записями практически никогда не приходится работать вручную. Тем не менее, знание их структуры нам не помешает.

Структурно файловая запись состоит из заголовка (header) и одного или нескольких атрибутов (attributes) произвольной длины, завершаемых маркером конца (end marker) — четырехбайтным шестнадцатеричным значением

FFFFFFFFh

(см. листинг 6.1). Несмотря на то, что количество атрибутов и их длина меняются от одной файловой записи

к другой, размер самой структуры

FILE Record

строго фиксирован. В большинстве случаев он равен 1 Кбайт (это значение хранится в файле

$boot

, причем первый байт файловой записи всегда совпадает с началом сектора).

Внимание!

Не следует путать файл

$boot

с загрузочным сектором (boot sector).

Если реальная длина атрибутов меньше размеров файловой записи, то ее "хвост" просто не используется. Если же атрибуты не умещаются в отведенное им пространство, создается дополнительная файловая запись (extra FILE Record), ссылающаяся на свою предшественницу.

Листинг 6.1. Структура файловой записи

FILE Record

Header ; Заголовок

Attribute 1 ; Атрибут 1

Attribute 2 ; Атрибут 2

... ; ...

Attribute N ; Атрибут N

End Marker (FFFFFFFFh) ; Маркер конца

Первые четыре байта заголовка заняты "магической последовательностью"

FILE

, сигнализирующей о том, что мы имеем дело с файловой записью типа

FILE Record

. При восстановлении сильно фрагментированного файла

$MFT

это обстоятельство играет решающую роль, поскольку позволяет отличить сектора, принадлежащие MFT, от всех остальных секторов.

Следом за сигнатурой идет 16-разрядный указатель, содержащий смещение последовательности обновления (update sequence). Под "указателем" здесь и до конца раздела подразумевается смещение от начала сектора, отсчитываемое от нуля и выраженное в байтах. В Windows NT и Windows 2000 это поле всегда равно

002Ah

, поэтому для поиска файловых записей можно использовать сигнатуру

FILE*\x00

, что уменьшает вероятность ложных срабатываний. В Windows XP и более новых версиях последовательность обновления хранится по смещению

002Dh

, и поэтому сигнатура приобретает следующий вид:

FILE-\x00

.

Размер заголовка также варьируется от одной операционной системы к другой, и в явном виде нигде не хранится. Вместо этого в заголовке присутствует указатель на первый атрибут, содержащий его смещение в байтах относительно начала файловой записи и расположенный по смещению

14h

байт от начала сектора. Смещения последующих атрибутов (если они есть) определяются путем сложения размеров всех предыдущих атрибутов (размер каждого из атрибутов содержится в его заголовке) со смещением первого атрибута. За концом последнего атрибута находится маркер конца — значение

FFFFFFFFh

.

Длина файловой записи хранится в двух полях. Тридцатидвухразрядное поле реального размера (real size), находящееся по смещению

18h

байт от начала сектора, содержит совокупный размер заголовка, всех его атрибутов и маркера конца, округленный по 8-байтной границе. Тридцатидвухразрядное поле выделенного размера (allocated size), находящееся по смещению

1Ch

байт от начала сектора, содержит действительный размер файловой записи в байтах, округленный по размеру сектора. Документация Linux-NTFS Project (версия 0.4) утверждает, что выделенный размер должен быть кратен размеру кластера, но на практике это не так. Например, на моей машине длина поля выделенного размера равна четверти кластера.

16-разрядное поле флагов, находящееся по смещению

16h

байт от начала сектора, в подавляющем большинстве случаев принимает одно из следующих трех значений:

00h

— данная файловая запись не используется или ассоциированный с ней файл или каталог удален,

01h

— файловая запись используется и описывает файл,

02h

— файловая запись используется и описывает каталог.

64-разрядное поле, находящееся по смещению

20h

байт от начала сектора, содержит индекс базовой файловой записи. Для первой файловой записи это поле всегда равно нулю, а для всех последующих, расширенных записей — индексу первой файловой записи. Расширенные файловые записи могут находиться в любых областях MFT, не обязательно расположенных рядом с основной записью. Следовательно, необходим какой-то механизм, обеспечивающий быстрый поиск расширенных файловых записей, принадлежащих данному файлу (просматривать всю MFT было бы слишком нерационально). Этот механизм существует, и основан он на ведении списков атрибутов (

$ATTRIBUTE_LIST

). Список атрибутов представляет собой специальный атрибут, добавляемый к первой файловой записи и содержащий индексы расширенных записей. Формат списка атрибутов будет подробно описан далее в этой главе.

Основные поля заголовка файловой записи описаны в табл. 6.3. Остальные поля заголовка файловой записи не столь

важны, и поэтому здесь они не рассматриваются. При необходимости обращайтесь к документации "Linux-NTFS Project".

Таблица 6.3. Структура заголовка файловой записи (FILE Record)

Смещение	Размер (байт)	ОС	Описание
00h	4	Любая	Сигнатура FILE
04h	2	Любая	Смещение номера последовательности обновления (update sequence number)
06h	2	Любая	Размер (в словах) номера последовательности обновления и массива обновления (Update Sequence Number & Array), условно S
08h	8	Любая	Номер последовательности файла транзакций ( $LogFile Sequence Number или LSN)
10h	2	Любая	Номер последовательности (sequence number)
12h	2	Любая	Счетчик жестких ссылок (hard link)
14h	2	Любая	Смещение первого атрибута
16h	2	Любая	Флаги
Значение	Описание
0x00	Файловая запись не используется
0x01	Файловая запись используется и описывает файл
0x02	Файловая запись используется и описывает каталог
0x04	За справками обращайтесь к Биллу Гейтсу — вероятно, только он это знает
0x08	За справками обращайтесь к Биллу Гейтсу — вероятно, только он это знает
18h	4	Любая	Реальный размер (real size) файловой записи
1Ch	4	Любая	Выделенный размер (allocated size) файловой записи
20h	8	Любая	Ссылка (file reference) на базовую файловую запись (base FILE record) или ноль, если данная файловая запись является базовой
28h	2	Любая	Идентификатор следующего атрибута (next attribute ID)
2Ah	2	Windows XP	Используется для выравнивания
2Ch	4	Windows XP	Индекс данной файловой записи (number of this MFT record)
	2	Любая	Номер последовательности обновления (update sequence number)
	2 S – 2	Любая	Массив последовательности обновления (update sequence array)

Последовательность обновления

Будучи очень важными компонентами файловой системы,

$MFT

,

INDEX

и

$LogFile

нуждаются в механизме контроля целостности своего содержимого. Традиционно для этого используются коды обнаружения и коррекции ошибок (ECC/EDC codes). Однако на тот момент, когда проектировалась NTFS, процессоры были не настолько быстрыми, как теперь, и расчет корректирующих кодов занимал значительное время, существенно снижающее производительность файловой системы. Именно поэтому от использования корректирующих кодов пришлось отказаться. Вместо них разработчики NTFS применили так называемые последовательности обновления (update sequences), также называемые fix-ups.