本说明书一个或多个实施例涉及ntfs中查找文件删除时间的技术领域,尤其涉及一种ntfs中查找文件删除时间的方法、装置及电子设备。
背景技术:
ntfs是windows上主流的文件系统,该文件系统下,若需要将已删除的文件找回,目前大多是基于文件系统的$mft文件来找。但是,即便能够将已删除文件找到,也只能确定该已删除文件的创建时间和修改时间,无法获知文件的删除时间。而一般在文件删除后,很多人可能并不记得文件是什么时候创建和修改的,仅记得文件什么时候删掉。因此,对于希望将误删除文件进行恢复的用户而言,确定已删除文件的删除时间,有着重要的实际意义。
技术实现要素:
有鉴于此,本说明书一个或多个实施例的目的在于提出一种ntfs中查找文件删除时间的方法、装置及电子设备,能够确定ntfs文件系统中已删除文件的删除时间。
基于上述目的,本说明书一个或多个实施例提供了一种ntfs中查找文件删除时间的方法,包括:
根据ntfs的卷头信息查找$logfile文件;
解析所述$logfile文件,获取其中的记录项,并基于所述记录项的序列号将所述记录项排序;
将排序后的所述记录项划分为多个事务;
针对每个事务,查找所述事务中是否有redo操作为deallocatefilerecordsegmen的记录项,如果有,则所述事务为删除事务;
针对每个删除事务中的记录项,查找redo操作为updatenonresidentvalue,且undo操作为noop的目标记录项;
从所述目标记录项中提取文件名及对应的文件删除时间。
作为一种可选的实施方式,所述根据ntfs的卷头信息定位查找$logfile文件,包括:
根据ntfs的卷头信息定位$mft文件的位置;
通过所述$mft文件查找所述$logfile文件。
作为一种可选的实施方式,所述序列号由所述记录项的头部8个字节组成。
作为一种可选的实施方式,所述基于所述记录项的序列号将所述记录项排序,包括:
按照所述序列号由小到大的顺序将所述记录项排序。
作为一种可选的实施方式,所述将所述记录项序列划分为多个事务,其中,每个事务的第一个记录项为上一序列号为0的记录项,最后一个记录项为redo操作为forgettransaction的记录项。
作为一种可选的实施方式,每个所述记录项的偏移8个字节开始的8个字节组成的整型为上一序列号,每个所述记录项偏移0x30位置的2个字节组成的整型值为redo操作值。
作为一种可选的实施方式,每个记录项偏移0x32位置的2个字节组成的整型值为undo操作值。
作为一种可选的实施方式,所述目标记录项的redo操作的内容区域中,偏移0x20位置开始的8个字节为删除时间的数值,偏移0x52位置开始为删除的文件或者文件夹的名称。
作为本发明的第二个方面,还提供了一种ntfs中查找文件删除时间的装置,包括:
第一查找单元,用于根据ntfs的卷头信息查找$logfile文件;
解析与排序单元,用于解析所述$logfile文件,获取其中的记录项,并基于所述记录项的序列号将所述记录项排序;
划分单元,用于将排序后的所述记录项划分为多个事务;
第二查找单元,用于针对每个事务,查找所述事务中是否有redo操作为deallocatefilerecordsegmen的记录项,如果有,则所述事务为删除事务;
第三查找单元,用于针对每个删除事务中的记录项,查找redo操作为updatenonresidentvalue,且undo操作为noop的目标记录项;
提取单元,用于从所述目标记录项中提取文件名及对应的文件删除时间。
作为本发明的第三个方面,还提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如上所述的方法。
从上面所述可以看出,本说明书一个或多个实施例提供的一种ntfs中查找文件删除时间的方法、装置及电子设备,通过查找文件系统中的$logfile文件,并将找到的$logfile文件中的记录项进行排序,将排序后的记录项分割为多个事务,找出其中的删除事务,针对删除事务中的记录项,基于redo操作及undo操作查找目标记录项,从所述目标记录项中提取文件名及对应的文件删除时间,从而实现对ntfs文件系统中已删除文件的删除时间的确定。
附图说明
为了更清楚地说明本说明书一个或多个实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本说明书一个或多个实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本说明书一个或多个实施例的ntfs中查找文件删除时间的方法的逻辑示意图;
图2为本说明书一个或多个实施例的ntfs中查找文件删除时间的装置的逻辑示意图;
图3为本说明书一个或多个实施例的电子设备的示意图。
具体实施方式
为使本公开的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本公开进一步详细说明。
为实现上述发明目的,本发明提供了一种ntfs中查找文件删除时间的方法,包括:
根据ntfs的卷头信息查找$logfile文件;
解析所述$logfile文件,获取其中的记录项,并基于所述记录项的序列号将所述记录项排序;
将排序后的所述记录项划分为多个事务;
针对每个事务,查找所述事务中是否有redo操作为deallocatefilerecordsegmen的记录项,如果有,则所述事务为删除事务;
针对每个删除事务中的记录项,查找redo操作为updatenonresidentvalue,且undo操作为noop的目标记录项;
从所述目标记录项中提取文件名及对应的文件删除时间。
本发明实施例中,通过查找文件系统中的$logfile文件,并将找到的$logfile文件中的记录项进行排序,将排序后的记录项分割为多个事务,找出其中的删除事务,针对删除事务中的记录项,基于redo操作及undo操作查找目标记录项,从所述目标记录项中提取文件名及对应的文件删除时间,从而实现对ntfs文件系统中已删除文件的删除时间的确定。
如图1所示,本发明提供了一种ntfs中查找文件删除时间的方法,包括:
s100、根据ntfs的卷头信息查找$logfile文件。
可选的,所述根据ntfs的卷头信息定位查找$logfile文件,包括:
根据ntfs的卷头信息定位$mft文件的位置;
通过所述$mft文件查找所述$logfile文件。
s200、解析所述$logfile文件,获取其中的记录项,并基于所述记录项的序列号lsn将所述记录项排序。
其中,所述序列号lsn由所述记录项的头部8个字节组成。
其中,按照所述序列号由小到大的顺序将所述记录项排序。
其中,记录项:record,是对ntfs的元文件的一个操作。
s300、将排序后的所述记录项划分为多个事务。
事务:transaction,由多条记录项组成。
应用程序可以使用事务ntfs(transactionalntfs)将一系列对文件的更改归组到一个事务中。事务能够确保所有更改要么同时生效,要么同时作废,并能确保在事务提交完成前,外部应用程序无法获知任何更改。
其中,每个事务的第一个记录项为上一序列号prelsn为0的记录项,最后一个记录项为redo操作为forgettransaction(值为27)的记录项。
其中,redo操作,对当前记录项进行的操作。
每个记录项中存储有当前记录项的序列号lsn,和紧挨着当前记录项的前一个记录项的序列号,记为上一序列号prelsn。
而对于每个事务的第一个记录项而言,其并不存在前一个记录项,因此第一个记录项的上一序列号prelsn为0。
其中,每个所述记录项的偏移8个字节开始的8个字节组成的整型为上一序列号prelsn,每个所述记录项偏移0x30位置的2个字节组成的整型值为redo操作值。
s400、针对每个事务,查找所述事务中是否有redo操作为deallocatefilerecordsegmen(值为3)的记录项,如果有,则所述事务为删除事务。
s500、针对每个删除事务中的记录项,查找redo操作为updatenonresidentvalue(值为8),且undo操作为noop(值为0)的目标记录项;
其中,undo操作:为撤回当前记录项进行的操作。每个记录项偏移0x38位置的2个字节表示undo操作内容的偏移,0x40位置的2个字节表示undo操作内容的长度。
每个记录项偏移0x32位置的2个字节组成的整型值为undo操作值,在所述undo操作值的内容区域中,偏移0x52位置开始为删除的文件或者文件夹的名称。
s600、从所述目标记录项中提取文件名及对应的文件删除时间。
其中,所述目标记录项的redo操作的内容区域中,偏移0x20位置开始的8个字节为删除时间的数值,偏移0x52位置开始为删除的文件或者文件夹的名称。
其中,目标记录项偏移0x34位置的2个字节表示redo操作内容的偏移,0x36位置的2个字节表示redo操作内容的长度。
需要说明的是,本说明书一个或多个实施例的方法可以由单个设备执行,例如一台计算机或服务器等。本实施例的方法也可以应用于分布式场景下,由多台设备相互配合来完成。在这种分布式场景的情况下,这多台设备中的一台设备可以只执行本说明书一个或多个实施例的方法中的某一个或多个步骤,这多台设备相互之间会进行交互以完成所述的方法。
需要说明的是,上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
与所述ntfs中查找文件删除时间的方法相对应的,本发明还提供了一种ntfs中查找文件删除时间的装置,如图2所示,包括:
第一查找单元10,用于根据ntfs的卷头信息查找$logfile文件;
解析与排序单元20,用于解析所述$logfile文件,获取其中的记录项,并基于所述记录项的序列号将所述记录项排序;
划分单元30,用于将排序后的所述记录项划分为多个事务;
第二查找单元40,用于针对每个事务,查找所述事务中是否有redo操作为deallocatefilerecordsegmen的记录项,如果有,则所述事务为删除事务;
第二查找单元50,用于针对每个删除事务中的记录项,查找redo操作为updatenonresidentvalue,且undo操作为noop的目标记录项;
提取单元60,用于从所述目标记录项中提取文件名及对应的文件删除时间。
本发明实施例中,通过查找文件系统中的$logfile文件,并将找到的$logfile文件中的记录项进行排序,将排序后的记录项分割为多个事务,找出其中的删除事务,针对删除事务中的记录项,基于redo操作及undo操作查找目标记录项,从所述目标记录项中提取文件名及对应的文件删除时间,从而实现对ntfs文件系统中已删除文件的删除时间的确定。
需要说明的是,除非另外定义,本说明书一个或多个实施例使用的技术术语或者科学术语应当为本公开所属领域内具有一般技能的人士所理解的通常意义。本说明书一个或多个实施例中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性,而只是用来区分不同的组成部分。“包括”或者“包含”等类似的词语意指出现该词前面的元件或者物件涵盖出现在该词后面列举的元件或者物件及其等同,而不排除其他元件或者物件。
为了描述的方便,描述以上装置时以功能分为各种模块分别描述。当然,在实施本说明书一个或多个实施例时可以把各模块的功能在同一个或多个软件和/或硬件中实现。
基于同一发明构思,与上述任意实施例方法相对应的,本说明书一个或多个实施例还提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上任意一实施例所述的ntfs中查找文件删除时间的方法。
图3示出了本实施例所提供的一种更为具体的电子设备硬件结构示意图,该设备可以包括:处理器1010、存储器1020、输入/输出接口1030、通信接口1040和总线1050。其中处理器1010、存储器1020、输入/输出接口1030和通信接口1040通过总线1050实现彼此之间在设备内部的通信连接。
处理器1010可以采用通用的cpu(centralprocessingunit,中央处理器)、微处理器、应用专用集成电路(applicationspecificintegratedcircuit,asic)、或者一个或多个集成电路等方式实现,用于执行相关程序,以实现本说明书实施例所提供的技术方案。
存储器1020可以采用rom(readonlymemory,只读存储器)、ram(randomaccessmemory,随机存取存储器)、静态存储设备,动态存储设备等形式实现。存储器1020可以存储操作系统和其他应用程序,在通过软件或者固件来实现本说明书实施例所提供的技术方案时,相关的程序代码保存在存储器1020中,并由处理器1010来调用执行。
输入/输出接口1030用于连接输入/输出模块,以实现信息输入及输出。输入输出/模块可以作为组件配置在设备中(图中未示出),也可以外接于设备以提供相应功能。其中输入设备可以包括键盘、鼠标、触摸屏、麦克风、各类传感器等,输出设备可以包括显示器、扬声器、振动器、指示灯等。
通信接口1040用于连接通信模块(图中未示出),以实现本设备与其他设备的通信交互。其中通信模块可以通过有线方式(例如usb、网线等)实现通信,也可以通过无线方式(例如移动网络、wifi、蓝牙等)实现通信。
总线1050包括一通路,在设备的各个组件(例如处理器1010、存储器1020、输入/输出接口1030和通信接口1040)之间传输信息。
需要说明的是,尽管上述设备仅示出了处理器1010、存储器1020、输入/输出接口1030、通信接口1040以及总线1050,但是在具体实施过程中,该设备还可以包括实现正常运行所必需的其他组件。此外,本领域的技术人员可以理解的是,上述设备中也可以仅包含实现本说明书实施例方案所必需的组件,而不必包含图中所示的全部组件。
上述实施例的电子设备用于实现前述任一实施例中相应的ntfs中查找文件删除时间的方法,并且具有相应的方法实施例的有益效果,在此不再赘述。
所属领域的普通技术人员应当理解:以上任何实施例的讨论仅为示例性的,并非旨在暗示本公开的范围(包括权利要求)被限于这些例子;在本公开的思路下,以上实施例或者不同实施例中的技术特征之间也可以进行组合,步骤可以以任意顺序实现,并存在如上所述的本说明书一个或多个实施例的不同方面的许多其它变化,为了简明它们没有在细节中提供。
本说明书一个或多个实施例旨在涵盖落入所附权利要求的宽泛范围之内的所有这样的替换、修改和变型。因此,凡在本说明书一个或多个实施例的精神和原则之内,所做的任何省略、修改、等同替换、改进等,均应包含在本公开的保护范围之内。
1.一种ntfs中查找文件删除时间的方法,其特征在于,包括:
根据ntfs的卷头信息查找$logfile文件;
解析所述$logfile文件,获取其中的记录项,并基于所述记录项的序列号将所述记录项排序;
将排序后的所述记录项划分为多个事务;
针对每个事务,查找所述事务中是否有redo操作为deallocatefilerecordsegmen的记录项,如果有,则所述事务为删除事务;
针对每个删除事务中的记录项,查找redo操作为updatenonresidentvalue,且undo操作为noop的目标记录项;
从所述目标记录项中提取文件名及对应的文件删除时间。
2.根据权利要求1所述的ntfs中查找文件删除时间的方法,其特征在于,所述根据ntfs的卷头信息查找$logfile文件,包括:
根据ntfs的卷头信息定位$mft文件的位置;
通过所述$mft文件查找所述$logfile文件。
3.根据权利要求1所述的ntfs中查找文件删除时间的方法,其特征在于,所述序列号由所述记录项的头部8个字节组成。
4.根据权利要求1所述的ntfs中查找文件删除时间的方法,其特征在于,所述基于所述记录项的序列号将所述记录项排序,包括:
按照所述序列号由小到大的顺序将所述记录项排序。
5.根据权利要求1所述的ntfs中查找文件删除时间的方法,其特征在于,所述将所述记录项序列划分为多个事务,其中,每个事务的第一个记录项为上一序列号为0的记录项,最后一个记录项为redo操作为forgettransaction的记录项。
6.根据权利要求5所述的ntfs中查找文件删除时间的方法,其特征在于,每个所述记录项的偏移8个字节开始的8个字节组成的整型为上一序列号,每个所述记录项偏移0x30位置的2个字节组成的整型值为redo操作值。
7.根据权利要求1所述的ntfs中查找文件删除时间的方法,其特征在于,每个记录项偏移0x32位置的2个字节组成的整型值为undo操作值。
8.根据权利要求1所述的ntfs中查找文件删除时间的方法,其特征在于,所述目标记录项的redo操作的内容区域中,偏移0x20位置开始的8个字节为删除时间的数值,偏移0x52位置开始为删除的文件或者文件夹的名称。
9.一种ntfs中查找文件删除时间的装置,其特征在于,包括:
第一查找单元,用于根据ntfs的卷头信息查找$logfile文件;
解析与排序单元,用于解析所述$logfile文件,获取其中的记录项,并基于所述记录项的序列号将所述记录项排序;
划分单元,用于将排序后的所述记录项划分为多个事务;
第二查找单元,用于针对每个事务,查找所述事务中是否有redo操作为deallocatefilerecordsegmen的记录项,如果有,则所述事务为删除事务;
第三查找单元,用于针对每个删除事务中的记录项,查找redo操作为updatenonresidentvalue,且undo操作为noop的目标记录项;
提取单元,用于从所述目标记录项中提取文件名及对应的文件删除时间。
10.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至8任意一项所述的方法。
技术总结