摘要：作為針對移動存儲設備開發(fā)的新一代的文件系統(tǒng)，exFAT文件系統(tǒng)正在被愈來愈廣泛應用。該文第一部分對exFAT文件系統(tǒng)做了介紹，包括exFAT文件系統(tǒng)的由來、優(yōu)點以及DBR及其保留區(qū)、FAT、簇位圖等系統(tǒng)結構內(nèi)容；第二部分結合實例，對exFAT文件系統(tǒng)的文件刪除進行了分析，并提出了恢復原理。
　　關鍵詞：exFAT；文件系統(tǒng)；數(shù)據(jù)恢復
　　中圖分類號：TF391 文獻標識碼：A 文章編號：1009-3044（2015）18-0073-02
　　隨著信息時代的高速發(fā)展，人們對信息依賴性的提高，信息量爆炸式增長，以數(shù)據(jù)為載體的信息安全越來越受到人們的重視。人們在享受信息所帶來方便的同時，也發(fā)現(xiàn)了數(shù)據(jù)丟失所帶來的風險。在工作生活中，由于誤操作、病毒人侵、硬件故障、黑客攻擊等多種原因?qū)е聰?shù)據(jù)被破壞或丟失，一旦重要數(shù)據(jù)被破壞或丟失，就會對個人、企業(yè)造成重大的影響，甚至是難以彌補的損失。而近年來，可移動存儲設備的發(fā)展、普及迅猛，為適應電腦終端與移動設備互操作能力而生的exFAT文件系統(tǒng)正被廣泛應用。在數(shù)據(jù)恢復研究領域，國內(nèi)研究較多的是基于FAT32文件系統(tǒng)和NTFS文件系統(tǒng)的數(shù)據(jù)恢復，針對exFAT文件系統(tǒng)的數(shù)據(jù)恢復研究尚少。針對這一需求，本文將對exFAT文件系統(tǒng)進行解析，并針對exFAT文件系統(tǒng)數(shù)據(jù)恢復技術的原理進行探究。
　　1.exFAT文件系統(tǒng)解析
　　1.1exFAT文件系統(tǒng)的誕生
　　exFAT（ExtendedFileAllocationTableFileSystem，擴展FAT）是Microsoft在WindowsEmbeded5.0以上（包括WindowsCE5.0、6.0、WindowsMobile5、6、6.1）中引入的一種適合于閃存的文件系統(tǒng)。傳統(tǒng)的FAT文件系統(tǒng)能夠管理的空間有限，而NTFS文件系統(tǒng)又不適合使用在閃存介質(zhì)上（NTFS文件系統(tǒng)是日志式文件系統(tǒng)，需要記錄詳細的讀寫操作，不斷的讀寫對閃存芯片損耗較大）。為了解決這些問題，微軟推出了exFAT文件系統(tǒng)。
　　1.2exFAT文件系統(tǒng)的優(yōu)點
　　1）增強了臺式電腦與移動設備的互操作能力；
　　2）單文件理論大小最大可達16EB（16x1024x1024TB）；
　　3）簇大小可高達32MB；
　　4）采用了剩余空間分配表，剩余空間分配性能改進；
　　5）同一目錄下最大文件數(shù)可達2，796，202個；
　　6）支持訪問控制；
　　7）支持TFAT。
　　1.3exFAT文件系統(tǒng)結構總覽
　　exFAT文件系統(tǒng)由DBR及保留扇區(qū)、FAT、簇位圖文件、大寫字符文件、用戶數(shù)據(jù)區(qū)五個部分組成。
　　1）DBR及其保留扇區(qū)
　　DBR的全稱為DOSBootRecord，含義是DOS引導記錄，也稱為操作系統(tǒng)引導記錄。在DBR之后往往有一些保留扇區(qū)，其中12號扇區(qū)為DBR的備份。exFAT文件系統(tǒng)的DBR由6部分組成，分別為跳轉(zhuǎn)指令、OEM代碼、保留扇區(qū)、BPB參數(shù)、引導程序和結束標志。
　　2）FAT
　　FAT的全稱為FileAllocationTable，含義是文件分配表。exFAT文件系統(tǒng)一般只有一份FAT，它們由格式化程序在對分區(qū)進行格式化時創(chuàng)建。FAT表是由FAT表項（簡稱FAT項）構成的，exFAT的每個FAT項由4字節(jié)（即32位）構成。FAT項編號從0開始，F(xiàn)AT表的前兩個FAT項有專門的用途，0號FAT項通常用來存放分區(qū)所在的介質(zhì)類型，1號FAT項一般都是4字節(jié)的“FF”。分區(qū)的數(shù)據(jù)區(qū)中的每一個簇都會映射到FAT表中的唯一一個FAT項，exFAT文件系統(tǒng)FAT表的功能主要是登記不連續(xù)存儲的文件的簇鏈。
　　3）簇位圖文件
　　簇位圖文件是exFAT文件系統(tǒng)中的一個元文件，用來管理分區(qū)中簇的使用情況。簇位圖文件中的每一個位，映射到數(shù)據(jù)區(qū)中的每一個簇。如果某個簇分配給了文件，該簇在簇位圖文件中對應的位就會被填入“1”，表示該簇已經(jīng)占用；如果沒有使用的空簇，它們在簇位圖文件中對應的位就是“0”。
　　4）大寫字符文件
　　大寫字符文件是exFAT文件系統(tǒng)中的第二個元文件，類似于NTFS文件系統(tǒng)中的元文件$UpCase，Unicode字母表中的每一個字符在這個文件中都有一個對應的條目，用于比較、排序、計算Hash值等方面。大寫字符文件固定大小為5836字節(jié)。
　　5）用戶數(shù)據(jù)區(qū)
　　用戶數(shù)據(jù)區(qū)是exFAT文件系統(tǒng)的主要區(qū)域，用來存放用戶的文件及目錄。
　　1.4exFAT文件系統(tǒng)的目錄項
　　分區(qū)中的每個文件及文件夾（也稱為目錄）都被分配多個大小為32字節(jié)的目錄項，用以描述文件及文件夾的名稱、屬性、大小、起始簇號和時間、日期等信息。exFAT文件系統(tǒng)目錄項的第一個字節(jié)用來描述目錄項的類型，剩下的31個字節(jié)用來記錄文件的相關信息，不同類型的目錄項結構也不一樣，類型包含0x81，0x82，0x83，0x85，OxCO，OxCl。
　　1）$Bitmap存儲簇的使用情況，極大地降低了分配磁盤空間時需要處理的數(shù)據(jù)量，加快了分配速度。FAT表不再用來代表空間使用情況，而僅用來存儲簇鏈接信息。當文件在磁盤上的存儲空間連續(xù)時，其簇鏈接信息也不再寫入FAT表，減少了寫人數(shù)據(jù)的操作。
　　2）$CharUpperTable文件是用于轉(zhuǎn)換字符大小寫的，和NT—FS中的$UpCase文件類似。
　　3）0xC0跟在0x85類型的目錄項之后，存儲部分文件屬性信息。
　　4）0xCl跟在0xC0類型的目錄項之后，存儲部分文件屬性信息。
　　2.exFAT文件系統(tǒng)數(shù)據(jù)恢復原理
　　2.1刪除文件分析
　　此處以一實例了解在exFAT文件系統(tǒng)中，文件被刪除前后的變化。在以exFAT作為文件系統(tǒng)的u盤里創(chuàng)建一個文本文檔“課程論文TEST-2.txt”。
　　在WinHex先查看其目錄項和數(shù)據(jù)區(qū)，然后將其刪除后，再次使用WinHex進行查看。在文件“課程論文TEST-2.txt”被刪除后，其在WinHex里面查看時文件名前的圖片變?yōu)椤�？”。在目錄項里只是每個目錄項的首字節(jié)發(fā)生了變化，由原來的“85H”、“”COH、“C1H”改變?yōu)椤?5H”、“40H”、“41H”，其它字節(jié)沒有任何變化，文件的起始簇號、大小、文件名這些關鍵信息都完好地存在。在數(shù)據(jù)區(qū)，該文件刪除前后沒有變化。
　　2.2數(shù)據(jù)恢復原理分析
　　從刪除文件分析可以看出，在exFAT中，文件被刪除后，沒有新的數(shù)據(jù)存儲，或者新的數(shù)據(jù)存儲對被刪除后的目錄項、數(shù)據(jù)區(qū)沒有影響的情況下，被刪除的文件只是在目錄項進行了變動，該文件可以很容易的被修復。即便是新的數(shù)據(jù)存儲把被刪除的目錄項占用了，而數(shù)據(jù)區(qū)未被占用，通過不同文件類型的特征，確定了文件數(shù)據(jù)區(qū)的位置，一般文件任然可以恢復。在進行數(shù)據(jù)恢復時，需要對被刪除文件的目錄項進行修改或重構。對于不能夠完整恢復的刪除文件，殘留數(shù)據(jù)區(qū)可能包含用戶感興趣的信息，則以十六進制的形式提取出文件殘留數(shù)據(jù)區(qū)的內(nèi)容，從中獲取敏感信息。
　　3.結論
　　通過對exFAT文件系統(tǒng)的分析，可以看出，該文件系統(tǒng)與FAT32系統(tǒng)有很高的相似度，但是又有許多FAT32文件系統(tǒng)無法比及的優(yōu)點。在文中通過實驗的方法，觀察刪除文件前后文件目錄項和數(shù)據(jù)區(qū)的變化，分析了exFAT文件系統(tǒng)下文件刪除后恢復的原理。在實踐中，可以使用EasyRecovery等軟件進行恢復。但在本文實驗中使用的文件為一個僅20B大小的文件，故而只涉及到文件連續(xù)存儲的恢復情況，在這種情況下，文件的刪除不會對FAT表有任何的操作。如果文件是碎片式存儲的，文件刪除后FAT表將可能被破壞，這樣數(shù)據(jù)恢復起來的難度更大。

相關熱詞搜索：探究 文件系統(tǒng) 數(shù)據(jù)恢復 解析 原理