[发明专利]基于NTFS文件系统的数据无痕删除方法及系统

权利要求书

1.基于NTFS文件系统的数据无痕删除方法，其特征是，包括：

读取NTFS卷头信息；对NTFS卷头信息进行解析；定位$MFT文件的起始地址；定位根目录的MFT表的起始地址；

根据根目录的MFT表，获取根目录文件内容的起始地址；根据根目录文件内容的起始地址，对根目录进行解析，获取根目录下文件夹和文件的文件记录号；

根据根目录下文件夹和文件的文件记录号，计算文件记录号的个数，对文件记录号对应的文件名依次循环遍历，判断文件记录号对应的文件名与待无痕删除的文件名是否相同；

如果文件名相同，则删除与文件相关的所有痕迹；如果文件名不同，则对下一个文件记录号对应的文件名进行判断；

其中，所述方法还包括：

根据根目录下文件夹和文件的文件记录号，计算文件记录号的个数，对文件记录号对应的文件名依次循环遍历，判断文件记录号对应的目录名与待无痕删除的目录名是否相同；

如果目录名相同，则进入下一步；如果目录名不同，则对下一个文件记录号对应的目录名进行判断；

根据目录的文件记录号，获取目录下所有的文件和/或文件夹的文件记录号，如果目录下所有的文件和/或文件夹中存在文件，则删除与文件相关的所有痕迹；否则，将与此文件名或者目录名相关的数据用数字0或者随机数字填写N遍；N为正整数，N为设定值；

所述删除与文件相关的所有痕迹的具体步骤包括：

根据文件记录号和文件名，获取文件MFT的起始地址，并分析属性0x10、0x30、0x80、0x90、0xA0，从0x30中获取到文件名的起始地址；从0x80处获取常驻或者非常驻标记；

若是常驻属性，则把MFT文件全部用0或者随机数字填写5遍；

若是非常驻属性，则对属性0x80、0x90、0xA0进一步分析，针对数据运行列表存在标准属性0x80、0xA0属性中，当属性不能存放完数据，系统就会在NTFS数据区域开辟一个空间存放，这个区域是以簇为单位的；Run List记录这个数据区域的起始簇号和大小；

分析出所有的数据运行，其中运行的前两位分别表示：起始簇所占的位数和簇所占的位数，后面是两个位加起来所占的长度，根据运行起始簇地址A1和运行占的簇大小，计算这段运行的起始地址和大小，即对这段运行所占的存储空间用0或者随机数字填写；

进一步分析运行，上一段运行所占的逻辑簇地址+下一段运行起始簇地址+运行所占的簇数，用0或者随机数字填写此段运行大小的数据段；

依次对下一段数据运行列表进行遍历，直至遍历完数据运行结束，即把文件内容所占的所有存储空间用0或随机数字填写。

2.如权利要求1所述的方法，其特征是，删除与文件相关的所有痕迹，具体步骤包括：

根据文件或者目录的文件记录号，获取MFT表；分析出文件名、创建、修改访问时间、MFT更新时间、获取文件内容所占的各个数据运行；依次获取各个数据运行的起始地址和对应的运行所占的簇数，用随机数字填写N遍，直至删除与文件相关的所有痕迹，结束循环。

3.如权利要求1所述的方法，其特征是，读取NTFS卷头信息步骤之前还包括：

解析待无痕删除文件所在的根目录，获取待无痕删除文件所在逻辑磁盘符号，适用CreateFile加载驱动，以文件的形式打开磁盘；首先判断此磁盘分区是NTFS格式还是Fat格式：若获取的0x00-0x02获取的十六进制值是“EB5290”，则是NTFS格式，此时以MTF文件的格式进行分析。

4.如权利要求1所述的方法，其特征是，读取NTFS卷头信息；具体步骤包括：

以驱动的形式加载磁盘驱动器，使磁盘以文件的方式打开，读取存储介质中的NTFS卷头信息。

5.如权利要求1所述的方法，其特征是，对NTFS卷头信息进行解析；具体步骤包括：

以文件的方式，打开磁盘驱动符，读取前两个扇区内容，NTFS文件系统的DBR扇区占用第一个扇区，包括跳转指令、OEM代号、BPB信息、引导程序和结束标志；从BPB结构体中可以分析出元数据文件$MFT文件的起始地址。