2

NTFS を使用してコンピュータから削除されたファイルを復元できる方法を示す必要がある宿題があります。この課題では、フォレンジックに不可欠な情報について考えることを私に求めています。しかし、そもそもNTFSがどのようにファイルを保存、削除、上書きするのかわかりません!

クラスで学んだ似たようなことを次に示します。

クラスでは、FAT32 がファイルをブロックのクラスターに保存することを学びました。ファイルを保存すると、クラスター内のセクターがすべて使用されますが、ファイルはクラスター内のすべてのセクターを使用したり、ブロック内のすべてのスペースを使用したりするとは限りません。

ファイルが「削除」されると、ディレクトリ内のファイル名の最初の文字が sigma に変更され、保存されたファイルの場所は割り当てられていないと見なされます (上書きされる可能性があります)。したがって、このファイルを (特定の手法を使用して) 検索し、復元することができます! そのアドレスに新しいファイルを書き込んだとしても、新しいファイルは以前のファイルよりも小さい場合があります。このような場合、上書きされていないため、そこに保存されていた以前のファイルの残りの部分が残ります。断片化されていないと仮定すると、これも回復できます。

さて、それは私たちがクラスで学んだことです。NTFS についても同様の記事を作成する必要がありますが、そもそも NTFS でファイルを保存および削除する方法を具体的に説明している簡単なサイトが見つかりません。貴重な読み物へのリンクを誰か教えてくれませんか?

編集: 必要なものを正確に説明する完璧なサイトを見つけました。今後の読者のためにここに投稿します: http://wiki.sleuthkit.org/index.php?title=NTFS_File_Recovery

4

1 に答える 1

3

おそらく、Microsoft Technet から始めるのが最適でしょう。NTFS のしくみについては、次の記事をご覧ください。

マスター ファイル テーブル、ジャーナリング、および場合によっては、削除されたデータの回復に関するいくつかのトピックについて、さらに掘り下げたいと思うでしょう。

sleuthkitなどのフォレンジック ツールのドキュメントを参照すると、かなりの量を学ぶことができます。

また、 NIST Publication SP 800-86: Guide to Integrating Forensic Techniques into Incident Responseも確認してください。

最後に、NTFS でデータを「隠す」ことについて非常に優れているのは、代替データ ストリームです。代替データ ストリームは通常、Windows オペレーティング システムには表示されませんが、それでもディスク領域を占有します。彼らはMacの世界から来ました。IronGeek のガイドは、ADS を理解し始めるのに適した場所です。

于 2013-02-23T19:31:26.653 に答える