本公开属于信息安全
技术领域:
:,尤其涉及一种fat32文件系统中数据无痕删除方法及系统。
背景技术:
::本部分的陈述仅仅是提供了与本公开相关的
背景技术:
:信息,不必然构成在先技术。数字经济时代,数据是新的生产要素,是重要的基础性战略资源。作为重要生产力,数据不断催生新的产业形态,正成为经济社会发展的新动能。然而飞速发展的网络和信息技术给数据安全和隐私保护带来了极大的威胁,信息安全风险不断增长。重要数据被以窃取国家机密信息、重要企业商业信息和个人隐私信息为目标的“黑客”盗取并加以利用,轻则损失数据文件,重则造成经济损失甚至是地区政治冲突。政府信息泄露将会危及地区稳定、社会秩序和公共安全,重要商业泄露将会给企业造成不可估量的经济损失,泄露的个人信息被用于诈骗等非法活动影响了人民群众的财产安全。计算机作为数据存储的主要载体在遭到网络攻击时,硬盘上重要数据和个人隐私信息极易丢失或遭到破坏。存在网络安全威胁的情况下,如果存放在硬盘里的文件数据没有彻底删除,一旦被攻击者给获取,并使用技术手段恢复,后果不堪设想。fat32是一种常用的硬盘文件系统格式。发明人发现,现有技术难以彻底删除fat32文件系统中的数据。通常情况下的数据删除操作,仅修改目录项中的第一个字节和最高位簇和存储在fat表的簇号链,文件的大小和内容并没有发生任何的改变,若没有对文件的数据区进行多次的外部数据覆盖,完全可以通过数据恢复软件恢复出来;而且删除操作也会在系统中留念操作痕迹,给数据恢复留有可乘之机。技术实现要素:本公开为了解决上述问题,提供了一种fat32文件系统中数据无痕删除方法及系统,可以将文件涉及到的相关信息彻底无痕删除,实现文件数据不可恢复,不留痕迹。根据本公开实施例的第一个方面,提供了一种fat32文件系统中数据无痕删除方法,包括:以物理文件方式加载硬盘,定位dbr的起始地址;解析dbr中bios参数表bpb,获取dbr保留扇区数、每一个fat表的扇区数及fat表的个数;定位fat区和根目录区起始地址,并对fdt的文件目录项进行解析,获取根目录下的文件或文件夹;根据指定删除文件的路径,依次获取文件或文件夹名称,定位指定删除文件对应的目录及文件数据起始和结束簇;利用随机数多次复写fdt中对应文件的目录项、fat、文件数据;重构fdt中对应文件的目录项,并将对应fat置零。进一步的,根据根目录的起始地址对文件目录项进行解析,具体包括:在fdt中,0x00-0x07表示文件名,依次遍历指定删除文件的路径,获取文件或文件夹名称,同时判断是否与指定删除文件文件夹或文件名称相同;如果相同,则删除与文件相关的所有痕迹。进一步地,所述删除与文件相关的所有痕迹,具体包括:根据文件或文件夹对应的文件目录项的起始地址和文件大小,计算出的文件的数据区对应位置、指定文件对应的fat和目录项进行随机数字复写预设数量次数,同样的方法对与指定文件相关的日志和注册表文件复写预设数量次数。进一步的,加载硬盘后,预先识别文件系统分区类型和文件系统格式,判断文件系统是否为fat32格式,若是,则继续进行;若否,则退出。进一步的,所述硬盘加载采用物理设备方式进行加载。根据本公开实施例的第二个方面,提供了一种fat32文件系统中数据无痕删除系统,包括:读取模块,其被配置为:加载硬盘,定位dbr的起始地址;解析模块,其被配置为:解析dbr中bios参数表bpb,获取dbr保留扇区数、每一个fat表的扇区数及fat表的个数;定位fat区和根目录区起始地址,并对fdt的文件目录项进行解析,获取根目录下的文件或文件夹;除痕模块,其被配置为:根据指定删除文件的路径,依次获取文件或文件夹名称,定位指定删除文件对应的目录及文件数据起始和结束簇;利用随机数多次复写fdt中对应文件的目录项、fat、文件数据;重构fdt中对应文件的目录项,并将对应fat置零。根据本公开实施例的第三个方面,提供了一种电子设备,包括存储器、处理器及存储在存储器上运行的计算机程序,所述处理器执行所述程序时实现所述的一种fat32文件系统中数据无痕删除方法。根据本公开实施例的第四个方面,提供了一种非暂态计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现所述的一种fat32文件系统中数据无痕删除方法。与现有技术相比,本公开的有益效果是:(1)本公开所述方案以物理文件方式加载硬盘能够绕过系统访问控制权限,不会系统中留下文件数据删除痕迹,可以抗取证分析,使得违反犯罪分子在使用特殊取证工具的情况下也删除文件数据的操作痕迹,反而认为目标文件根本不存在,进一步保障了用户的文件数据安全删除效果,适用于军工、企事业单位和个人彻底删除重要文件数据;(2)所述方案解析mbr,通过解析mbr获取磁盘的各个位置,进一步的解析bpb,查找文件的所在的起始地址和文件的大小,多次复写文件的fdt和data的所有痕迹,最后通过重建fat和fdt,实现数据的无痕彻底删除。使用本发明,可以在需要的情况下,快速彻底无痕的删除重要文件数据,即使在使用特殊恢复数据软件的情况下,也不能恢复。适用于存在网络安全威胁的情况下彻底删除重要文件数据;(3)本公开所述方案在网络安全事件频繁发生的时代,彻底无痕删除存储在磁盘上的国家机密、工作秘密和个人重要文件数据,使得违法分子在使用特殊恢复数据软件的情况下,也不能恢复文件,实现重要文件数据的安全保护应急响应目标。本公开附加方面的优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本公开的实践了解到。附图说明构成本公开的一部分的说明书附图用来提供对本公开的进一步理解,本公开的示意性实施例及其说明用于解释本公开,并不构成对本公开的不当限定。图1为本公开实施例一中所述的一种fat32文件系统中数据无痕删除方法流程图;图2为本公开实施例一中所述的fat文件分配表示例及其运行示意图。具体实施方式下面结合附图与实施例对本公开做进一步说明。应该指出,以下详细说明都是例示性的,旨在对本公开提供进一步的说明。除非另有指明,本文使用的所有技术和科学术语具有与本公开所属
技术领域:
:的普通技术人员通常理解的相同含义。需要注意的是,这里所使用的术语仅是为了描述具体实施方式,而非意图限制根据本公开的示例性实施方式。如在这里所使用的,除非上下文另外明确指出,否则单数形式也意图包括复数形式,此外,还应当理解的是,当在本说明书中使用术语“包含”和/或“包括”时,其指明存在特征、步骤、操作、器件、组件和/或它们的组合。在不冲突的情况下,本公开中的实施例及实施例中的特征可以相互组合。术语解释:fat,全称为fileallocationtable,文件分配表,用来记录硬盘文件位置的一种表格。fat32,全称为fileallocationtable32,一种文件系统格式。注:fat32(fileallocationtable32)是文件系统格式的一种。这种格式采用32位的文件分配表,使其对硬盘的管理能力大大增强,突破了fat16(fileallocationtable16)对每一个分区的容量只有2gb的限制,具有较好的稳定性和兼容性,能够兼容windows和dos操作系统。fat32文件系统一般将硬盘分为主引导记录区(mbr,mainbootrecord)、次引导记录区(dbr,driverbootrecord)、文件分配表(fat)、文件目录表区(fdt,fliesdirectorytable)和数据区。dbr,全称为driverbootrecord,俗称分区引导扇区。在dbr中包含跳转指令、厂商标识和版本号、bpb(biosparameterblock)、引导程度、结束标志5个部分,比如跳转指令(eb5890)、结束标志(55aa)。bpb,全称为biosparameterblock,基本输入输出系统参数块,记录着本分区的起始地址、结束地址、文件存储区格式、硬盘介质描述符、根目录大小、fat个数、分配单元(allocationunit)的大小等重要参数。fdt,全称为fliesdirectorytable,文件目录表,有32个字节包括文件名、扩展名、属性、创建时间、创建日期、访问时间、簇的高位子、最后写日期、簇的低位子、文件长度组成。gpt,全称guidpartitiontable,硬盘分区信息的一种方式,驱动器上的每个分区都有一个全局唯一的标识符(globallyuniqueidentifier,guid),对硬盘大小几乎没有限制,支持几乎无限个分区数量。实施例一:本实施例的目的是提供一种fat32文件系统中数据无痕删除方法。如图1所示,一种fat32文件系统中数据无痕删除方法,包括:步骤1:以物理文件方式加载硬盘,定位dbr的起始地址;解析dbr中bios参数表bpb,获取dbr保留扇区数、每一个fat表的扇区数及fat表的个数;其中,解析待无痕删除文件所在的根目录,获取待无痕删除文件所在逻辑硬盘符号,适用物理硬盘加载驱动;以物理文件的形式打开硬盘,首先识别此硬盘分区类型是mbr,还是gpt;然后识别文件系统格式是是否为fat32格式:若获取十六进制值是“0x0b”,则是fat32格式,此时以fat32文件系统格式进行分析;否则,提示非fat32文件系统,并退出。进一步的,所述定位dbr起始地址,具体包括:以物理文件的方式,打开硬盘驱动符,读取前两个扇区内容,fat32文件系统的dbr扇区占用第一个扇区,包括跳转指令(eb5890)、oem代号,bpb信息、引导程序、结束标志(55aa)。从bpb结构体中可以分析出fat表的起始地址,并获取dbr保留扇区数、每一个fat表的扇区数及fat表的个数。步骤2:定位fat区和根目录区起始地址,并对fdt的文件目录项进行解析,获取根目录下的文件或文件夹;其中,fat区位于文件系统的保留区之后,用于存放fat表,fat表描述文件系统内的簇分配状态,通常有两个fat表;所述定位fat表的起始地址;具体包括:读取磁盘文件,读取前两个扇区的字节,如图2所示0x0b-0x59是bpb信息块,占用79个字节,0x0e-0x0f是保留扇区数,0x10是fat表的个数,0x24-0x27是每个fat表的扇区数,0x2c-0x2f是根目录簇号,通过fat1起始地址=dbr的扇区号+保留扇区数获取fat1起始地址。所述定位根目录起始地址,具体包括:通过读取前两个扇区的字节,再通过根目录起始地址=保留扇区数+隐藏扇区数+一个fat的扇区数×fat表个数+(起始簇号(dbr的0c-0f)-2)x每簇的扇区数获取根目录的起始地址。进一步地,根据根目录的起始地址对文件目录项进行解析,具体包括:在fdt中,0x00-0x07是文件名,依次遍历指定删除文件的路径,获取文件或文件夹名称,同时判断是否与指定删除文件文件夹或文件名称相同;如果相同,则删除与文件相关的所有痕迹。其中,所述删除与文件相关的所有痕迹,具体包括:根据文件或文件夹对应的文件目录项的起始地址和文件大小,计算出的文件的数据区对应位置、指定文件对应的fat和目录项进行随机数字复写n遍,同样的方法对与指定文件相关的日志和注册表文件复写n遍,与此文件相关的日志文件,包括但不限于:文件名、文件内容、文件创建/修改/访问时间、父目录等。步骤3:根据指定删除文件的路径,逐级依次获取文件或文件夹名称,定位指定删除文件对应的目录及文件数据起始和结束簇;通过分析mbr中的bpb(bios参数表)定位根目录,找到指定删除文件或文件夹对应的目录项(如为长文件名,包括长文件名项与短文件名项),通过分析文件32字节目录项,获取该文件的起始簇号(包括高两个字节与低两个字节)、文件长度、日期时间等信息;分析文件夹目录项中的起始簇号定位“.”、“..”目录项(用于下一级目录的定位)、文件夹内文件的目录项信息,进而获取文件夹内文件的起始簇号、文件长度、日期时间等信息。步骤4:使用随机数复写fdt中对应文件的目录项、fat、文件数据n次,n为设定值,n为不小于7的正整数;步骤5:重构fdt中对应文件的目录项,指定目录项首字节置为“e5”,对应fat置零;删除指定删除文件的系统临时备份文件等其他关联信息。具体的,fat32是windows操作系统常用文件系统格式,也是移动存储u盘常用的文件系统格式,可以在linux、mac等多种操作系统下进行读写,在存在网络安全威胁的情况下,实现文件的快速彻底删除,是保护重要文件数据安全的重要手段。本发明从物理存储、文件系统、fat表等方面进行分析,实现了fat32文件系统中重要文件数据的无痕彻底删除,不留删除操作痕迹,即使在使用特殊取证工具的情况下也不能恢复,可用于快速删除工作秘密和个人隐私信息,保障紧急情况下的重要文件数据安全。实施例二:本实施例的目的是提供一种fat32文件系统中数据无痕删除系统。一种fat32文件系统中数据无痕删除系统,包括:读取模块,其被配置为:以物理文件方式加载硬盘,定位dbr的起始地址;解析模块,其被配置为:解析dbr中bios参数表bpb,获取dbr保留扇区数、每一个fat表的扇区数及fat表的个数;定位fat区和根目录区起始地址,并对fdt的文件目录项进行解析,获取根目录下的文件或文件夹;除痕模块,其被配置为:根据指定删除文件的路径,依次获取文件或文件夹名称,定位指定删除文件对应的目录及文件数据起始和结束簇;利用随机数多次复写fdt中对应文件的目录项、fat、文件数据;重构fdt中对应文件的目录项,并将对应fat置零。进一步的,所述除痕模块在将对应fat置零后,删除指定删除文件的相关关联信息。在更多实施例中,还提供:一种电子设备,包括存储器和处理器以及存储在存储器上并在处理器上运行的计算机指令,所述计算机指令被处理器运行时,完成实施例一中所述的方法。为了简洁,在此不再赘述。应理解,本实施例中,处理器可以是中央处理单元cpu,处理器还可以是其他通用处理器、数字信号处理器dsp、专用集成电路asic,现成可编程门阵列fpga或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。存储器可以包括只读存储器和随机存取存储器,并向处理器提供指令和数据、存储器的一部分还可以包括非易失性随机存储器。例如,存储器还可以存储设备类型的信息。一种计算机可读存储介质,用于存储计算机指令,所述计算机指令被处理器执行时,完成实施例一中所述的方法。实施例一中的方法可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器、闪存、只读存储器、可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器,处理器读取存储器中的信息,结合其硬件完成上述方法的步骤。为避免重复,这里不再详细描述。本领域普通技术人员可以意识到,结合本实施例描述的各示例的单元即算法步骤,能够以电子硬件或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。上述实施例提供的一种fat32文件系统中数据无痕删除方法及系统可以实现,具有广阔的应用前景。以上所述仅为本公开的优选实施例而已,并不用于限制本公开,对于本领域的技术人员来说,本公开可以有各种更改和变化。凡在本公开的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本公开的保护范围之内。上述虽然结合附图对本公开的具体实施方式进行了描述,但并非对本公开保护范围的限制,所属领域技术人员应该明白,在本公开的技术方案的基础上,本领域技术人员不需要付出创造性劳动即可做出的各种修改或变形仍在本公开的保护范围以内。当前第1页12当前第1页12