Во второй главе, посвященной NTFS, мы приступим к обсуждению методов и различных аспектов анализа на базе модели с пятью категориями, представленной в главе 8. NTFS сильно отличается от других файловых систем, поэтому перед тем, как излагать этот материал, я представил важнейшие концепции NTFS в отдельной главе. Если вы недостаточно хорошо разбираетесь в NTFS pi пропустили главу 11, я рекомендую вернуться к ней. В главе 13 описываются структуры данных NTFS. Большая часть книги организована таким образом, чтобы главы с анализом файловых систем и описаниями структур данных можно было читать параллельно. С NTFS это сделать сложнее, потому что в этой системе все служебные данные ассоциируются с файлами, и было бы трудно показать файлы метаданных в категории данных файловой системы перед рассмотрением атрибутов в категории метаданных. Соответственно, вам же будет проще, если вы прочитаете эту главу перед тем, как браться за главу 13.

Категория данных файловой системы

Категория данных файловой системы включает данные, описывающие файловую систему в целом, причем эти данные обычно не соответствуют конкретному пользовательскому файлу. В NTFS эти данные хранятся в файлах метаданных файловой системы, представленных именами в корневом каталоге. За исключением загрузочного кода, эти данные могут храниться в файловой системе в любом месте диска.

У этих файлов есть одна интересная особенность: с ними, как и с обычными файлами, могут ассоциироваться пометки даты и времени. Мои эксперименты показали, что временные штампы соответствуют времени создания файловой системы, что иногда может пригодиться при анализе. В этом разделе рассматриваются все файлы метаданных файловой системы, а в главе 13 будут подробно описаны их структуры данных.

Программы анализа | Криминалистический анализ файловых систем | Файл $mft


Криминалистический анализ файловых систем



Новости за месяц

  • Апрель
    2020
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31