我要完成一项家庭作业,我需要以可能的方式使用NTFS从计算机中恢复已删除的文件。作业要求我考虑可能对取证至关重要的任何信息。但是,我不知道NTFS如何首先保存,删除和覆盖文件!
以下是我们在课堂上学到的类似内容:
在课堂上我们了解到FAT32将文件保存在块集群中。当我们保存文件时,它会占用群集中的扇区,但该文件可能不会使用群集中的所有扇区,甚至不会使用块中的所有扇区。
当文件被“删除”时,目录中的文件名将其第一个字母更改为sigma,然后存储文件的位置被视为未分配(也可能被覆盖)。所以我们仍然可以搜索这个文件(使用某些技术)并恢复它!即使在该地址中写入了新文件,新文件也可能比以前的文件小。在这种情况下,存储在那里的先前文件的残余仍然是因为它们没有被覆盖。我们也可以恢复它,假设它没有碎片化。
嗯,这就是我们在课堂上学到的东西。我必须为NTFS写一篇类似的文章,但我找不到一个简单的网站,它首先专门解释了如何在NTFS中保存和删除文件。任何人都可以给我一些有价值的阅读材料吗?
编辑:我找到了一个完美的网站,可以准确地解释我的需求。我会在这里发布给未来的读者: http://wiki.sleuthkit.org/index.php?title=NTFS_File_Recovery答案 0 :(得分:3)
可能最好的起点是微软Technet。请查看how NTFS works上的以下文章。
您最有可能想要深入研究的是主文件表,日记,以及可能有关已删除数据恢复的一些主题。
我可以通过sleuthkit了解取证工具的文件。
您可能还想查看NIST Publication SP 800-86: Guide to Integrating Forensic Techniques into Incident Response。
最后,关于在NTFS中“隐藏”数据非常酷的事情是替代数据流。替代数据流通常对Windows操作系统不可见,但仍占用磁盘空间。他们来自Mac世界。 IronGeek's Guide是开始了解ADS的好地方。