- UID
- 872238
|
测试平台为windows7,测试工具为winhex。清除之前可以看到新建文本文档大小是6.9 kB,所在簇的信息如图2所示。
执行程序后结果如图3所示。可以看到文件的大小归0,并且80H的信息发生变化,原本存储的索引内容全部被清除为0,即文件的数据信息全部被清除。
3 结束语
NTFS文件系统十分复杂,这里主要针对NTFS系统管理磁盘的MFT文件进行分析,解析它的一系列属性,得到每个文件的数据段信息的开始簇号。通过对磁盘建立文件树,标记所有未删除文件的数据段开始的簇号,从而可以直接清除剩余磁盘簇的信息,达到绕过操作系统直接对扇区进行清除的目的,避免了数据恢复的可能。 |
|