[发明专利]重建NTFS文件目录树的方法、设备及存储介质

说明书

本发明公开一种重建NTFS文件目录树的方法，步骤包括：遍历目标分区磁盘，提取特征值为“FILE”的文件记录项；对特征值为“FILE”的文件记录项进行分析处理；根据处理得到的文件记录项信息，构建文件目录树。本发明还公开了一种电子设备和存储介质。本发明的技术方案能解决现有技术方案存在难以根据NTFS分区丢失文件数据后的不同分区储存场景，难以高效、准确的还原文件目录树结构的技术问题。

技术领域

本发明涉及数据恢复技术领域，尤其涉及一种重建NTFS文件目录树的方法、设备及存储介质。

背景技术

NTFS(NewTechnologyFileSystem，新技术文件系统)丢失数据恢复的过程中，需要根据每个文件记录项的MFT(MasterFileTable，主文件表)文件记录号与父目录文件记录号来构建原分区的目录树结构，以还原原分区的文件目录树状态。

对于新找到的文件记录项，现有技术中一般是在已找到的文件记录项中搜索该文件记录项的父节点。但对于先找到子文件记录项，后找到父文件记录项的情景，则不能将子文件记录项与父文件记录项正确关联。

现有技术还需通过计算父文件记录项所在位置，获取父文件记录项信息。但在实践过程中，计算父文件记录项所在位置需要更多的磁盘和处理器进行随机读取，提高了数据处理的成本和时间，降低了数据处理的效率准确性。并且若$MFT文件的DataRuns(文件数据碎片块链表)信息不正确，则无法正确获取父文件记录项所在位置、准确的还原文件目录树结构。

综上所述，现有技术方案存在难以根据NTFS分区丢失文件数据后的不同分区储存场景，高效、准确的还原文件目录树结构的技术问题。

发明内容

本发明提供一种重建NTFS文件目录树的方法、系统及存储介质，旨在解决现有技术中难以高效、准确的还原文件目录树结构的技术问题。

为实现上述目的，根据本发明的第一方面，本发明提出了一种重建NTFS文件目录树的方法，步骤包括：

遍历目标分区磁盘，提取具有预设特征值的文件记录项作为目标文件记录项；

对所有目标文件记录项进行分析处理，得到文件记录项信息；

根据处理得到的文件记录项信息，构建文件目录树。

优选地，所述预设特征值为FILE，所述提取具有预设特征值的文件记录项作为目标文件记录项的步骤，包括：

提取所述目标分区磁盘中，0x00地址起的4个字节为FILE的扇区和\或簇，为目标文件记录项。

优选地，所述对所有目标文件记录项进行分析处理，得到文件记录项信息的步骤，包括：

确定所有目标文件记录项的类型；

解析目标文件记录项的属性以提取$FILE_NAME文件名，以及通过$FILE_NAME文件名获取父目录的MFT记录号。

优选地，所述确定所有目标文件记录项的类型的步骤，包括：

根据地址为0x16的标记确定所有目标文件记录项的类型。

优选地，所述解析所述目标文件记录项的属性以提取$FILE_NAME文件名，以及通过$FILE_NAME文件名获取父目录的MFT记录号的步骤，包括：

解析属性地址中序号为0x30的数据，从而获得$FILE_NAME文件名；

通过解析$FILE_NAME文件名中序号为0x00的数据获取父目录文件引用，并从所述父目录文件引用中获取所述父目录的MFT记录号。

优选地，所述根据处理得到的文件记录项信息，构建文件目录树的步骤包括：