一种NTFS文件系统下应用层文件隐藏方法

摘要

本发明公开了一种NTFS文件系统下应用层文件隐藏方法，属于信息安全领域。该方法基于应用层，不涉及系统内核，只需要在欲隐藏文件的主机上运行控制端程序。主要有两个模块，文件隐藏模块和文件恢复模块。其中，文件隐藏模块用于隐藏基于NTFS文件系统的文件储存介质中的文件，隐藏之后文件便独立于文件系统；文件恢复模块用于将隐藏的文件恢复到NTFS文件系统之中，显示出文件。本发明实现了NTFS文件系统下的轻量级文件隐藏，可操作性高，可以极大地提高信息的安全性以及保护数据的完整性。

主权项

一种NTFS文件系统下应用层文件隐藏方法，其特征在于，包括数据隐藏方法以及用于隐藏数据恢复的数据恢复方法,所述的文件隐藏方法具体步骤为：第一步，遍历NTFS文件系统的MFT表，找到需要隐藏的文件的MTF表记录项； 第二步，根据上述第一步找到的文件记录信息，找到Data Run的数据；第三步，将Data Run的数据写入一个自定义的Index索引文件，这个文件将用来进行文件数据的恢复；第四步，将找到的文件记录信息的Header‑Flag标志置为0，表示该文件已被文件系统删除；第五步，破坏该文件记录信息，将该文件记录的信息清空；第六步，根据Data Run的数据，修改$Bitmap元文件；第七步，伪造文件记录信息，新建若干个虚假的文件记录，通过一定的算法合理设置DataRuns，使这些虚假记录的扇区包括欲要隐藏的文件扇区；第八步，取得并加密Index索引文件，返回执行结果；所述数据恢复方法具体步骤为：第一步，根据Index索引文件，找到需要恢复的文件信息，包括文件名，文件大小，Data Run的数据；第二步，根据Data Run的数据以及文件大小从硬盘中读取数据；第三步，根据Data Run的数据中的信息，修改$Bitmap元文件，将相应位置置为0； 第四步，修改Index索引文件中的相应记录；第五步，取得恢复的文件，返回执行结果;所有操作均是在应用层完成;文件的隐藏是将原本属于NTFS文件系统的文件独立于文件系统，并将文件信息存到Index索引文件，其文件中的数据存留在硬盘中;文件隐藏以及文件恢复的核心都是文件的Data Run的数据，该信息包括了文件数据在储存介质的起始逻辑扇区，以及占用扇区大小，通过该信息从存储介质上直接读取数据;文件的MTF表记录项被删除后，NTFS文件系统会将该文件在存储介质扇区数据视为可用，修改$Bitmap元文件，将隐藏文件的扇区的相应删除的位置为1，表示扇区已被占用。