Файловая система NTFS (New Technology File System), разработанная компанией Microsoft, является стандартной файловой системой в Microsoft Windows NT, Windows 2000, Windows XP и Windows Server. На момент написания книги компания Microsoft прекратила продажу систем Windows 98 и ME, а место фактического стандарта среди новых систем потребительского уровня сейчас отводится Windows ХР. Система FAT продолжает существовать в мобильных устройствах и портативных носителях информации, но, скорее всего, во всех расследованиях, относящихся к Windows, вам придется иметь дело именно с NTFS. Эта система гораздо сложнее FAT, поскольку она обладает гораздо большими возможностями и отлично масштабируется. Из-за сложности NTFS для ее рассмотрения нам потребуются три главы. Эта глава посвящена основным концепциям NTFS и их аналогам среди пяти категорий нашей модели. В главе 12 рассматривается анализ NTFS, а модель с пятью категориями демонстрирует возможности поиска улик. Наконец, в главе 13 описываются структуры данных, связанные с NTFS.

Введение

Основными целями при проектировании NTFS были надежность, безопасность и поддержка носителей информации большой емкости. Масштабируемость обеспечивается применением универсальных структур данных, инкапсулирующих другие структуры с конкретным содержимым. Внутренние структуры данных могут изменяться в соответствии с новыми требованиями, предъявляемыми к файловой системе, а универсальная «оболочка» останется неизменной.

Файловая система NTFS достаточно сложна. К сожалению, компания Microsoft не опубликовала официальной спецификации с описанием структуры диска. Высокоуровневое описание компонентов файловой системы найти можно, но низкоуровневая информация весьма скудна. Впрочем, другие группы опубликовали описания дисковых структур со своей точки зрения [Linux NTFS, 2004]; эти описания включены в книгу и будут использоваться для ручного анализа диска. Однако я еще раз подчеркиваю: нет полной уверенности в том, что представленные структуры точно отражают содержимое диска.

Система NTFS стала стандартной в семействе Windows и получает все большее распространение во многих бесплатных дистрибутивах UNIX. Из-за отсутствия официальной спецификации и доминирующей роли одного приложения, создающего файловую систему, довольно трудно отличить свойства, специфические для приложения, от общих свойств файловой системы. Например, существуют другие методы инициализации файловых систем NTFS, не используемые Microsoft; неясно, в какой степени полученная система может считаться «действительной файловой системой NTFS». В каждой новой версии Windows компания Microsoft вносила изменения в файловую систему; такие различия будут особо упоминаться в тексте.

Записи каталогов для длинных имен файлов | Криминалистический анализ файловых систем | Все данные - файлы


Криминалистический анализ файловых систем



Новости за месяц

  • Апрель
    2020
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31