首页 >  vb/vc毕业设计  > 正文

邮件文件系统的恢复取证技术分析与验证Winhex

程序用C++实现,界面用MFT框架写的对话框界面。为了能同时进行多项操作,在主界面线程中,我们开辟新的线程来进行搜索和恢复操作,采用多线程技术。
最后我们使用一款十六进制的磁盘编辑工具——Winhex,来对我们的恢复系统进行测试,结果表明,两种恢复方案都能正确的恢复出被删除后的邮件文件,并且没有发生什么重大的错误,两种恢复方案都是可行的。
 
 
基于MFT文件描述项的恢复方案
第一种方案:在NTFS文件系统中MFT文件描述项没有被覆盖的情况下,对MFT区域进行扫描,以期找到邮件文件的文件MFT文件记录项。
我们首先得初始化我们需要的元文件,在这个恢复方案中,我们需要的元文件起始只有$MFT一个而已。在获取了文件内容后,我们开始解析它的每一项,一般来说,在NTFS文件系统中,每一项只占2个扇区,也就是1024个字节。在获取了描述项的内容后,得将其属性解析出来。主要的属性是文件名属性和数据属性。我们可以根据文件名属性的文件后缀或这数据属性的文件头判断其是否属于邮件文件。对于符合的MFT项,我们得将它们保存起来,便于后期的恢复。
 
NTFS卷中从指定目录中搜索已删除文件的方法:
A. 用户通过输入设备输入需要恢复文件所在路径。
B. 分解用户输入的路径得到第一层目录名。
C. 访问根目录的MFT并遍历其0x90属性或0xA0属性得到上述第一层目录的MFT参考号。
D. 判断是否已经分解到用户所输入路径的最后一层子目录,如果是进入过程G,否则进入过程E。
E. 进一步分解用户输入的路径得到下一层目录的目录名
F. 根据得到的上一层目录的MFT参考号访问其MFT并遍历其0x90属性或0xA0属性得到过程E中所述下一层目录的MFT参考号,然后进入过程D。
G. 遍历NTFS卷的$MFT文件中的所有MFT并访问一个删除文件,得到其父目录的MFT参考号。
H. 判断是否遍历完$MFT文件中的所有MFT,如果是转入过程K,如果否进入过程I。
I. 判断该删除文件父目录或者其任意上层目录的MFT参考号是否和过程F中确定的用户选择的最后一层子目录MFT参考号相等,如果是进入过程J,否则返回过程G。
J. 确定该文件为搜索目标文件。
K. 结束。
 

以上是本题目部分介绍,若需要完整版或不符合您的要求,请联系客服QQ:242219979

上一篇:智能停车场收费管理系统

下一篇:小区停车库管理系统

相关文章: