一种NTFS分区的数据恢复方法、装置及电子设备与流程

计算;推算;计数设备的制造及其应用技术一种ntfs分区的数据恢复方法、装置及电子设备技术领域1.本说明书一个或多个实施例涉及数据恢复技术领域，尤其涉及一种ntfs分区的数据恢复方法、装置及电子设备。背景技术：2.ntfs分区中，簇大小有多种取值（从512字节到2048kb），在格式化时，可以选择簇大小，分区中仅记录当前的簇大小。簇大小变化后，存储信息的计算方式会发生变化，当需要进行数据恢复时，如果按照当前簇大小来计算文件存储信息会出错，导致被删除的文件无法找回。技术实现要素：3.有鉴于此，本说明书一个或多个实施例的目的在于提出一种ntfs分区的数据恢复方法、装置及电子设备，能够有效的解决上述背景技术中的技术问题。4.基于上述目的，本说明书一个或多个实施例提供了一种ntfs分区的数据恢复方法，包括：根据ntfs的卷头信息获取$mft文件的起始位置；基于所述$mft文件的起始位置，获取所述$mft文件的存储信息；以扇区为单位遍历整个ntfs分区，查找记录有文件记录信息的目标扇区；按照文件记录的特征对所述目标扇区中的文件记录信息进行解析，获得起始簇号和簇链信息；若所述目标扇区的扇区位置信息未存储于所述$mft文件的存储信息内，则对所述目标扇区中的文件记录信息执行猜簇大小操作，以获得所述文件记录信息在格式化之前的簇大小；基于所述簇大小、起始簇号和簇链信息，计算出格式化之前的文件存储信息；基于所述格式化之前的文件存储信息，查找并恢复丢失数据。5.作为一种可选的实施方式，所述若所述目标扇区的扇区位置信息未存储于所述$mft文件的存储信息内，则对所述目标扇区中的文件记录信息执行猜簇大小操作，以获得所述文件记录信息在格式化之前的簇大小，包括：若所述目标扇区中的文件记录信息的簇个数为1，文件大小≤簇大小，根据可能的簇大小计算出可能的存储位置，基于所述存储位置，读取文件内容，若所述文件内容具有特定的文件类型的特征，则所述存储位置对应的簇大小为所述文件记录信息在格式化之前的簇大小；若所述目标扇区中的文件记录信息的簇个数＞1，根据簇大小*簇个数≥文件大小，簇大小*(簇个数-1)《 文件大小,计算获得簇大小，其中，文件大小由按照文件记录的特征对所述目标扇区中的文件记录信息进行解析获得。6.作为一种可选的实施方式，所述基于所述$mft文件的起始位置，获取所述$mft文件的存储信息，包括：基于所述$mft文件的起始位置，获取所述$mft文件的第一个文件记录；从所述第一个文件记录中的0x80h属性中获取到$mft的存储信息。7.作为一种可选的实施方式，所述以扇区为单位遍历整个ntfs分区，查找记录有文件记录信息的目标扇区，包括：以扇区为单位遍历整个ntfs分区，查找头5个字节依次为0x46、0x49、0x4c、0x45及0x30的扇区，该扇区即为记录有文件记录信息的目标扇区。8.作为本发明的第二个方面，提供了一种ntfs分区的数据恢复装置，包括：第一获取单元，用于根据ntfs的卷头信息获取$mft文件的起始位置；第二获取单元，用于基于所述$mft文件的起始位置，获取所述$mft文件的存储信息；查找单元，用于以扇区为单位遍历整个ntfs分区，查找记录有文件记录信息的目标扇区；解析单元，用于按照文件记录的特征对所述目标扇区中的文件记录信息进行解析，获得起始簇号和簇链信息；猜测单元，用于若所述目标扇区的扇区位置信息未存储于所述$mft文件的存储信息内，则对所述目标扇区中的文件记录信息执行猜簇大小操作，以获得所述文件记录信息在格式化之前的簇大小；计算单元，用于基于所述簇大小、起始簇号和簇链信息，计算出格式化之前的文件存储信息；恢复单元，用于基于所述格式化之前的文件存储信息，查找并恢复丢失数据。9.作为一种可选的实施方式，所述猜测单元用于：若所述目标扇区中的文件记录信息的簇个数为1，文件大小≤簇大小，根据可能的簇大小计算出可能的存储位置，基于所述存储位置，读取文件内容，若所述文件内容具有特定的文件类型的特征，则所述存储位置对应的簇大小为所述文件记录信息在格式化之前的簇大小；若所述目标扇区中的文件记录信息的簇个数＞1，根据簇大小*簇个数≥文件大小，簇大小*(簇个数-1)《 文件大小,计算获得簇大小，其中，文件大小由按照文件记录的特征对所述目标扇区中的文件记录信息进行解析获得。10.作为一种可选的实施方式，所述第二获取单元用于：基于所述$mft文件的起始位置，获取所述$mft文件的第一个文件记录；从所述第一个文件记录中的0x80h属性中获取到$mft的存储信息。11.作为一种可选的实施方式，所述查找单元用于：以扇区为单位遍历整个ntfs分区，查找头5个字节依次为0x46、0x49、0x4c、0x45及0x30的扇区，该扇区即为记录有文件记录信息的目标扇区。12.作为本发明的第三个方面，提供了一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如上所述的方法。13.从上面所述可以看出，本说明书一个或多个实施例提供的一种ntfs分区的数据恢复方法、装置及电子设备，查找记录有文件记录信息的目标扇区，通过解析获得起始簇号和簇链信息，当判断出目标扇区的扇区位置信息未存储于$mft文件的存储信息内，则执行猜簇大小操作，通过猜簇大小获得所述文件记录信息在格式化之前的簇大小，最终基于所述簇大小、起始簇号和簇链信息，计算出格式化之前的文件存储信息，从而查找并恢复丢失数据，有效提高了文件恢复的精度。附图说明14.为了更清楚地说明本说明书一个或多个实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本说明书一个或多个实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。15.图1为本说明书一个或多个实施例的ntfs分区的数据恢复方法的逻辑示意图；图2为本说明书一个或多个实施例的ntfs分区的数据恢复装置的逻辑示意图；图3为本说明书一个或多个实施例的电子设备的示意图。具体实施方式16.为使本公开的目的、技术方案和优点更加清楚明白，以下结合具体实施例，并参照附图，对本公开进一步详细说明。17.为实现上述发明目的，本发明提供了一种ntfs分区的数据恢复方法，包括：根据ntfs的卷头信息获取$mft文件的起始位置；基于所述$mft文件的起始位置，获取所述$mft文件的存储信息；以扇区为单位遍历整个ntfs分区，查找记录有文件记录信息的目标扇区；按照文件记录的特征对所述目标扇区中的文件记录信息进行解析，获得起始簇号和簇链信息；若所述目标扇区的扇区位置信息未存储于所述$mft文件的存储信息内，则对所述目标扇区中的文件记录信息执行猜簇大小操作，以获得所述文件记录信息在格式化之前的簇大小；基于所述簇大小、起始簇号和簇链信息，计算出格式化之前的文件存储信息；基于所述格式化之前的文件存储信息，查找并恢复丢失数据。18.本发明实施例中，查找记录有文件记录信息的目标扇区，通过解析获得起始簇号和簇链信息，当判断出目标扇区的扇区位置信息未存储于$mft文件的存储信息内，则执行猜簇大小操作，通过猜簇大小获得所述文件记录信息在格式化之前的簇大小，最终基于所述簇大小、起始簇号和簇链信息，计算出格式化之前的文件存储信息，从而查找并恢复丢失数据，有效提高了文件恢复的精度。19.可选的，如图1所示，本说明书一个或多个实施例提供了一种ntfs分区的数据恢复方法，包括：s100、根据ntfs的卷头信息获取$mft文件的起始位置。20.s200、基于所述$mft文件的起始位置，获取所述$mft文件的存储信息。21.可选，所述s200包括：基于所述$mft文件的起始位置，获取所述$mft文件的第一个文件记录；从所述第一个文件记录中的0x80h属性中获取到$mft的存储信息。22.s300、以扇区为单位遍历整个ntfs分区，查找记录有文件记录信息的目标扇区。23.可选的，所述以扇区为单位遍历整个ntfs分区，查找记录有文件记录信息的目标扇区，包括：以扇区（512字节）为单位遍历整个ntfs分区，查找头5个字节依次为0x46、0x49、0x4c、0x45及0x30（即：文件记录的头部标志“file0”）的扇区，该扇区即为记录有文件记录信息的目标扇区。24.s400、按照文件记录的特征对所述目标扇区中的文件记录信息进行解析，获得起始簇号和簇链信息。25.可选的，所述目标扇区中的文件记录信息的0x30h属性中可以获取文件大小，0x80h属性中可以获取存储的起始簇号和簇链信息；s500、若所述目标扇区的扇区位置信息未存储于所述$mft文件的存储信息内，则对所述目标扇区中的文件记录信息执行猜簇大小操作，以获得所述文件记录信息在格式化之前的簇大小。26.若所述目标扇区的文件记录信息存储的扇区位置信息为a，根据$mft文件的存储信息存储的扇区实际存储区域为s（起始位置，存储块大小等），判断a是否在区域s中，如果在，则文件记录属于$mft中的内容，说明该ntfs分区格式化前后簇大小没有变化，直接查找并恢复丢失数据即可；如果不在，说明该文件记录信息是格式化之前残留的，需要执行猜簇大小操作，才能获得所述文件记录信息在格式化之前的簇大小。27.可选的，s500包括：若所述目标扇区中的文件记录信息的簇个数为1，文件大小≤簇大小，根据可能的簇大小计算出可能的存储位置，基于所述存储位置，读取文件内容，若所述文件内容具有特定的文件类型的特征，则所述存储位置对应的簇大小为所述文件记录信息在格式化之前的簇大小；windows系统有一些可选的簇大小，512b（字节）、1kb、2kb、4kb、8kb、16kb、32kb、64kb、128kb、256kb、512kb、1mb、2mb等，从这些取值中，选出符合“文件大小≤簇大小”条件的簇大小值，算出对应的文件存储位置，读取文件的内容，若所述文件内容具有特定的文件类型的特征（例如：有些jpg头部会固定几种标志头等），则所述存储位置对应的簇大小为所述文件记录信息在格式化之前的簇大小；即认为找到了正确的簇大小。28.若所述目标扇区中的文件记录信息的簇个数＞1，根据簇大小*簇个数≥文件大小，簇大小*(簇个数-1)《 文件大小,计算获得簇大小，其中，文件大小由按照文件记录的特征对所述目标扇区中的文件记录信息进行解析获得。29.其中，簇个数、文件大小均为已知，即可计算出正确的簇大小。30.s600、基于所述簇大小、起始簇号和簇链信息，计算出格式化之前的文件存储信息。31.s700、基于所述格式化之前的文件存储信息，查找并恢复丢失数据。32.需要说明的是，本说明书一个或多个实施例的方法可以由单个设备执行，例如一台计算机或服务器等。本实施例的方法也可以应用于分布式场景下，由多台设备相互配合来完成。在这种分布式场景的情况下，这多台设备中的一台设备可以只执行本说明书一个或多个实施例的方法中的某一个或多个步骤，这多台设备相互之间会进行交互以完成所述的方法。33.需要说明的是，上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下，在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外，在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中，多任务处理和并行处理也是可以的或者可能是有利的。34.与所述方法相对应的，本发明实施例还提供了一种ntfs分区的数据恢复装置，如图2所示，包括：第一获取单元10，用于根据ntfs的卷头信息获取$mft文件的起始位置；第二获取单元20，用于基于所述$mft文件的起始位置，获取所述$mft文件的存储信息；查找单元30，用于以扇区为单位遍历整个ntfs分区，查找记录有文件记录信息的目标扇区；解析单元40，用于按照文件记录的特征对所述目标扇区中的文件记录信息进行解析，获得起始簇号和簇链信息；猜测单元50，用于若所述目标扇区的扇区位置信息未存储于所述$mft文件的存储信息内，则对所述目标扇区中的文件记录信息执行猜簇大小操作，以获得所述文件记录信息在格式化之前的簇大小；计算单元60，用于基于所述簇大小、起始簇号和簇链信息，计算出格式化之前的文件存储信息；恢复单元70，用于基于所述格式化之前的文件存储信息，查找并恢复丢失数据。35.本发明实施例中，查找记录有文件记录信息的目标扇区，通过解析获得起始簇号和簇链信息，当判断出目标扇区的扇区位置信息未存储于$mft文件的存储信息内，则执行猜簇大小操作，通过猜簇大小获得所述文件记录信息在格式化之前的簇大小，最终基于所述簇大小、起始簇号和簇链信息，计算出格式化之前的文件存储信息，从而查找并恢复丢失数据，有效提高了文件恢复的精度。36.作为一种可选的实施方式，所述猜测单元用于：若所述目标扇区中的文件记录信息的簇个数为1，文件大小≤簇大小，根据可能的簇大小计算出可能的存储位置，基于所述存储位置，读取文件内容，若所述文件内容具有特定的文件类型的特征，则所述存储位置对应的簇大小为所述文件记录信息在格式化之前的簇大小；若所述目标扇区中的文件记录信息的簇个数＞1，根据簇大小*簇个数≥文件大小，簇大小*(簇个数-1)《 文件大小,计算获得簇大小，其中，文件大小由按照文件记录的特征对所述目标扇区中的文件记录信息进行解析获得。37.作为一种可选的实施方式，所述第二获取单元用于：基于所述$mft文件的起始位置，获取所述$mft文件的第一个文件记录；从所述第一个文件记录中的0x80h属性中获取到$mft的存储信息。38.作为一种可选的实施方式，所述查找单元用于：以扇区为单位遍历整个ntfs分区，查找头5个字节依次为0x46、0x49、0x4c、0x45及0x30的扇区，该扇区即为记录有文件记录信息的目标扇区。39.为了描述的方便，描述以上装置时以功能分为各种模块分别描述。当然，在实施本说明书一个或多个实施例时可以把各模块的功能在同一个或多个软件和/或硬件中实现。40.需要说明的是，除非另外定义，本说明书一个或多个实施例使用的技术术语或者科学术语应当为本公开所属领域内具有一般技能的人士所理解的通常意义。本说明书一个或多个实施例中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性，而只是用来区分不同的组成部分。“包括”或者“包含”等类似的词语意指出现该词前面的元件或者物件涵盖出现在该词后面列举的元件或者物件及其等同，而不排除其他元件或者物件。41.基于同一发明构思，与上述任意实施例方法相对应的，本说明书一个或多个实施例还提供了一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现上任意一实施例所述的方法。42.图3示出了本实施例所提供的一种更为具体的电子设备硬件结构示意图，该设备可以包括：处理器1010、存储器1020、输入/输出接口1030、通信接口1040和总线 1050。其中处理器1010、存储器1020、输入/输出接口1030和通信接口1040通过总线1050实现彼此之间在设备内部的通信连接。43.上述实施例的电子设备用于实现前述任一实施例中相应的方法，并且具有相应的方法实施例的有益效果，在此不再赘述。44.所属领域的普通技术人员应当理解：以上任何实施例的讨论仅为示例性的，并非旨在暗示本公开的范围（包括权利要求）被限于这些例子；在本公开的思路下，以上实施例或者不同实施例中的技术特征之间也可以进行组合，步骤可以以任意顺序实现，并存在如上所述的本说明书一个或多个实施例的不同方面的许多其它变化，为了简明它们没有在细节中提供。









图片声明：本站部分配图来自人工智能系统AI生成,觅知网授权图片,PxHere摄影无版权图库。本站只作为美观性配图使用,无任何非法侵犯第三方意图,一切解释权归图片著作权方,本站不承担任何责任。如有恶意碰瓷者,必当奉陪到底严惩不贷!




内容声明：本文中引用的各种信息及资料（包括但不限于文字、数据、图表及超链接等）均来源于该信息及资料的相关主体（包括但不限于公司、媒体、协会等机构）的官方网站或公开发表的信息。部分内容参考包括:(百度百科,百度知道,头条百科,中国民法典,刑法,牛津词典,新华词典,汉语词典,国家院校,科普平台)等数据,内容仅供参考使用,不准确地方联系删除处理！本站为非盈利性质站点,发布内容不收取任何费用也不接任何广告!




免责声明：我们致力于保护作者版权，注重分享，被刊用文章因无法核实真实出处，未能及时与作者取得联系，或有版权异议的，请联系管理员，我们会立即处理，本文部分文字与图片资源来自于网络，部分文章是来自自研大数据AI进行生成,内容摘自(百度百科,百度知道,头条百科,中国民法典,刑法,牛津词典,新华词典,汉语词典,国家院校,科普平台)等数据,内容仅供学习参考,不准确地方联系删除处理!的,若有来源标注错误或侵犯了您的合法权益，请立即通知我们，情况属实，我们会第一时间予以删除，并同时向您表示歉意,谢谢!