摘要：作為針對移動(dòng)存儲(chǔ)設(shè)備開發(fā)的新一代的文件系統(tǒng)，exFAT文件系統(tǒng)正在被愈來愈廣泛應(yīng)用。該文第一部分對exFAT文件系統(tǒng)做了介紹，包括exFAT文件系統(tǒng)的由來、優(yōu)點(diǎn)以及DBR及其保留區(qū)、FAT、簇位圖等系統(tǒng)結(jié)構(gòu)內(nèi)容；第二部分結(jié)合實(shí)例，對exFAT文件系統(tǒng)的文件刪除進(jìn)行了分析，并提出了恢復(fù)原理。
　　關(guān)鍵詞：exFAT；文件系統(tǒng)；數(shù)據(jù)恢復(fù)
　　中圖分類號：TF391 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2015）18-0073-02
　　隨著信息時(shí)代的高速發(fā)展，人們對信息依賴性的提高，信息量爆炸式增長，以數(shù)據(jù)為載體的信息安全越來越受到人們的重視。人們在享受信息所帶來方便的同時(shí)，也發(fā)現(xiàn)了數(shù)據(jù)丟失所帶來的風(fēng)險(xiǎn)。在工作生活中，由于誤操作、病毒人侵、硬件故障、黑客攻擊等多種原因?qū)е聰?shù)據(jù)被破壞或丟失，一旦重要數(shù)據(jù)被破壞或丟失，就會(huì)對個(gè)人、企業(yè)造成重大的影響，甚至是難以彌補(bǔ)的損失。而近年來，可移動(dòng)存儲(chǔ)設(shè)備的發(fā)展、普及迅猛，為適應(yīng)電腦終端與移動(dòng)設(shè)備互操作能力而生的exFAT文件系統(tǒng)正被廣泛應(yīng)用。在數(shù)據(jù)恢復(fù)研究領(lǐng)域，國內(nèi)研究較多的是基于FAT32文件系統(tǒng)和NTFS文件系統(tǒng)的數(shù)據(jù)恢復(fù)，針對exFAT文件系統(tǒng)的數(shù)據(jù)恢復(fù)研究尚少。針對這一需求，本文將對exFAT文件系統(tǒng)進(jìn)行解析，并針對exFAT文件系統(tǒng)數(shù)據(jù)恢復(fù)技術(shù)的原理進(jìn)行探究。
　　1.exFAT文件系統(tǒng)解析
　　1.1exFAT文件系統(tǒng)的誕生
　　exFAT（ExtendedFileAllocationTableFileSystem，擴(kuò)展FAT）是Microsoft在WindowsEmbeded5.0以上（包括WindowsCE5.0、6.0、WindowsMobile5、6、6.1）中引入的一種適合于閃存的文件系統(tǒng)。傳統(tǒng)的FAT文件系統(tǒng)能夠管理的空間有限，而NTFS文件系統(tǒng)又不適合使用在閃存介質(zhì)上（NTFS文件系統(tǒng)是日志式文件系統(tǒng)，需要記錄詳細(xì)的讀寫操作，不斷的讀寫對閃存芯片損耗較大）。為了解決這些問題，微軟推出了exFAT文件系統(tǒng)。
　　1.2exFAT文件系統(tǒng)的優(yōu)點(diǎn)
　　1）增強(qiáng)了臺(tái)式電腦與移動(dòng)設(shè)備的互操作能力；
　　2）單文件理論大小最大可達(dá)16EB（16x1024x1024TB）；
　　3）簇大小可高達(dá)32MB；
　　4）采用了剩余空間分配表，剩余空間分配性能改進(jìn)；
　　5）同一目錄下最大文件數(shù)可達(dá)2，796，202個(gè)；
　　6）支持訪問控制；
　　7）支持TFAT。
　　1.3exFAT文件系統(tǒng)結(jié)構(gòu)總覽
　　exFAT文件系統(tǒng)由DBR及保留扇區(qū)、FAT、簇位圖文件、大寫字符文件、用戶數(shù)據(jù)區(qū)五個(gè)部分組成。
　　1）DBR及其保留扇區(qū)
　　DBR的全稱為DOSBootRecord，含義是DOS引導(dǎo)記錄，也稱為操作系統(tǒng)引導(dǎo)記錄。在DBR之后往往有一些保留扇區(qū)，其中12號扇區(qū)為DBR的備份。exFAT文件系統(tǒng)的DBR由6部分組成，分別為跳轉(zhuǎn)指令、OEM代碼、保留扇區(qū)、BPB參數(shù)、引導(dǎo)程序和結(jié)束標(biāo)志。
　　2）FAT
　　FAT的全稱為FileAllocationTable，含義是文件分配表。exFAT文件系統(tǒng)一般只有一份FAT，它們由格式化程序在對分區(qū)進(jìn)行格式化時(shí)創(chuàng)建。FAT表是由FAT表項(xiàng)（簡稱FAT項(xiàng)）構(gòu)成的，exFAT的每個(gè)FAT項(xiàng)由4字節(jié)（即32位）構(gòu)成。FAT項(xiàng)編號從0開始，F(xiàn)AT表的前兩個(gè)FAT項(xiàng)有專門的用途，0號FAT項(xiàng)通常用來存放分區(qū)所在的介質(zhì)類型，1號FAT項(xiàng)一般都是4字節(jié)的“FF”。分區(qū)的數(shù)據(jù)區(qū)中的每一個(gè)簇都會(huì)映射到FAT表中的唯一一個(gè)FAT項(xiàng)，exFAT文件系統(tǒng)FAT表的功能主要是登記不連續(xù)存儲(chǔ)的文件的簇鏈。
　　3）簇位圖文件
　　簇位圖文件是exFAT文件系統(tǒng)中的一個(gè)元文件，用來管理分區(qū)中簇的使用情況。簇位圖文件中的每一個(gè)位，映射到數(shù)據(jù)區(qū)中的每一個(gè)簇。如果某個(gè)簇分配給了文件，該簇在簇位圖文件中對應(yīng)的位就會(huì)被填入“1”，表示該簇已經(jīng)占用；如果沒有使用的空簇，它們在簇位圖文件中對應(yīng)的位就是“0”。
　　4）大寫字符文件
　　大寫字符文件是exFAT文件系統(tǒng)中的第二個(gè)元文件，類似于NTFS文件系統(tǒng)中的元文件$UpCase，Unicode字母表中的每一個(gè)字符在這個(gè)文件中都有一個(gè)對應(yīng)的條目，用于比較、排序、計(jì)算Hash值等方面。大寫字符文件固定大小為5836字節(jié)。
　　5）用戶數(shù)據(jù)區(qū)
　　用戶數(shù)據(jù)區(qū)是exFAT文件系統(tǒng)的主要區(qū)域，用來存放用戶的文件及目錄。
　　1.4exFAT文件系統(tǒng)的目錄項(xiàng)
　　分區(qū)中的每個(gè)文件及文件夾（也稱為目錄）都被分配多個(gè)大小為32字節(jié)的目錄項(xiàng)，用以描述文件及文件夾的名稱、屬性、大小、起始簇號和時(shí)間、日期等信息。exFAT文件系統(tǒng)目錄項(xiàng)的第一個(gè)字節(jié)用來描述目錄項(xiàng)的類型，剩下的31個(gè)字節(jié)用來記錄文件的相關(guān)信息，不同類型的目錄項(xiàng)結(jié)構(gòu)也不一樣，類型包含0x81，0x82，0x83，0x85，OxCO，OxCl。
　　1）$Bitmap存儲(chǔ)簇的使用情況，極大地降低了分配磁盤空間時(shí)需要處理的數(shù)據(jù)量，加快了分配速度。FAT表不再用來代表空間使用情況，而僅用來存儲(chǔ)簇鏈接信息。當(dāng)文件在磁盤上的存儲(chǔ)空間連續(xù)時(shí)，其簇鏈接信息也不再寫入FAT表，減少了寫人數(shù)據(jù)的操作。
　　2）$CharUpperTable文件是用于轉(zhuǎn)換字符大小寫的，和NT—FS中的$UpCase文件類似。
　　3）0xC0跟在0x85類型的目錄項(xiàng)之后，存儲(chǔ)部分文件屬性信息。
　　4）0xCl跟在0xC0類型的目錄項(xiàng)之后，存儲(chǔ)部分文件屬性信息。
　　2.exFAT文件系統(tǒng)數(shù)據(jù)恢復(fù)原理
　　2.1刪除文件分析
　　此處以一實(shí)例了解在exFAT文件系統(tǒng)中，文件被刪除前后的變化。在以exFAT作為文件系統(tǒng)的u盤里創(chuàng)建一個(gè)文本文檔“課程論文TEST-2.txt”。
　　在WinHex先查看其目錄項(xiàng)和數(shù)據(jù)區(qū)，然后將其刪除后，再次使用WinHex進(jìn)行查看。在文件“課程論文TEST-2.txt”被刪除后，其在WinHex里面查看時(shí)文件名前的圖片變?yōu)椤�？”。在目錄�?xiàng)里只是每個(gè)目錄項(xiàng)的首字節(jié)發(fā)生了變化，由原來的“85H”、“”COH、“C1H”改變?yōu)椤?5H”、“40H”、“41H”，其它字節(jié)沒有任何變化，文件的起始簇號、大小、文件名這些關(guān)鍵信息都完好地存在。在數(shù)據(jù)區(qū)，該文件刪除前后沒有變化。
　　2.2數(shù)據(jù)恢復(fù)原理分析
　　從刪除文件分析可以看出，在exFAT中，文件被刪除后，沒有新的數(shù)據(jù)存儲(chǔ)，或者新的數(shù)據(jù)存儲(chǔ)對被刪除后的目錄項(xiàng)、數(shù)據(jù)區(qū)沒有影響的情況下，被刪除的文件只是在目錄項(xiàng)進(jìn)行了變動(dòng)，該文件可以很容易的被修復(fù)。即便是新的數(shù)據(jù)存儲(chǔ)把被刪除的目錄項(xiàng)占用了，而數(shù)據(jù)區(qū)未被占用，通過不同文件類型的特征，確定了文件數(shù)據(jù)區(qū)的位置，一般文件任然可以恢復(fù)。在進(jìn)行數(shù)據(jù)恢復(fù)時(shí)，需要對被刪除文件的目錄項(xiàng)進(jìn)行修改或重構(gòu)。對于不能夠完整恢復(fù)的刪除文件，殘留數(shù)據(jù)區(qū)可能包含用戶感興趣的信息，則以十六進(jìn)制的形式提取出文件殘留數(shù)據(jù)區(qū)的內(nèi)容，從中獲取敏感信息。
　　3.結(jié)論
　　通過對exFAT文件系統(tǒng)的分析，可以看出，該文件系統(tǒng)與FAT32系統(tǒng)有很高的相似度，但是又有許多FAT32文件系統(tǒng)無法比及的優(yōu)點(diǎn)。在文中通過實(shí)驗(yàn)的方法，觀察刪除文件前后文件目錄項(xiàng)和數(shù)據(jù)區(qū)的變化，分析了exFAT文件系統(tǒng)下文件刪除后恢復(fù)的原理。在實(shí)踐中，可以使用EasyRecovery等軟件進(jìn)行恢復(fù)。但在本文實(shí)驗(yàn)中使用的文件為一個(gè)僅20B大小的文件，故而只涉及到文件連續(xù)存儲(chǔ)的恢復(fù)情況，在這種情況下，文件的刪除不會(huì)對FAT表有任何的操作。如果文件是碎片式存儲(chǔ)的，文件刪除后FAT表將可能被破壞，這樣數(shù)據(jù)恢復(fù)起來的難度更大。

相關(guān)熱詞搜索：探究 文件系統(tǒng) 數(shù)據(jù)恢復(fù) 解析 原理