当前位置:文档之家 › NTFS系统存储介质上文件操作痕迹分析及数字取证技术算法实现初探

NTFS系统存储介质上文件操作痕迹分析及数字取证技术算法实现初探

  • 格式:pdf
  • 大小:110.79 KB
  • 文档页数:1

下载文档原格式

  / 1

合集下载

NTFS系统存储介质上文件操作痕迹分析

NTFS系统存储介质上文件操作痕迹分析
so a e me i . e e ta e r lt d t l yse . t r g d a Th s r c sa er ae f e s tm NTFS fl y t m l c ts a d r v k st e so a y c u t r I n g sb FT Th sp p r e Oi e s s e a l a e n e o e t r geb l se . t i o h ma a e y M . i a e , fo t e p i to o p t r o n is a a y e h t o fa c s i g fl 0 r m h o n fc m u e r sc . n l z st e me h d o c e s n e f rNTFS fl y t m n h r c s o e fl rf l e p r tn , n fe i e s se a d t e ta e ft e o o d ro e a i g a d i h i
An l sso a e n S o a eM e i a y i f Tr c so t r g d a
b l e a i n f rNTFS Fi y t m y Fi Op r t o e o l S se e
HUANG - e Bu g n
其 中, 0 3 表示 1 头 x1 字节簇数( 值为随后的 0 ) 3 5和 字节簇号 ( 为 f b 2,即表示 0 1b f 簇开始 的 0 0 值 c 01) x 2 0c x 5个簇 。
文件 夹的增加、删除、修改等操作会在 存储介质 上留下痕迹 , 分析这 些痕迹 ,对于信息保密、数据恢复、计算机取 证等都
不可 以调用操作系统提供的文件操作命 令,而需 要直接存取 磁 盘扇 区,也就需要研究文件系统的相 关数据结构 ;文件和

基于NTFS的计算机反取证研究与实现

基于NTFS的计算机反取证研究与实现
文件 与 MF T表 项 均 存 在 一一 对 应 关 系 ,因此 , 过 循 环遍 历 通
快速 发展 的阶段 ,反取证技术随之兴起 。通过研究 反取证技 术以保证计算机取证 的科学性和有效性具有重要意义 _。 j J 反取证主要是针对证据的收集 与分析 。罪犯利用取证调 查开始 时影响判断的因素来干扰、阻扰取证 ,导致 调查取证 偏 离真实犯罪活动。这些 因素包括数据集的信息异常、失效 甚至产 生转嫁于合法 实体 的结果。 目前 ,反取 证的主要技术 有数据 隐藏、人工擦除、源追踪混淆和针对计算机取证缺陷 进 行 攻 击 等 。 j 数据擦除技术采用多次覆写或零位填充等手段 ,可有效 擦 除数据 , 但很多情况下入侵者需要保留窃取 的信息,因此,
作者倚介 : 李步升( 7 一) 男 , 18 , 9 讲师 , 主研方向 : 计算机 网络与通 信 ,网络安全 收稿 日期 :21- —6 00 51 0 Em i hndw r i o - a :sany @g a. r l nl n c
入侵者通常会对 文件进行加密或隐写处理 。但单纯 的加密技
术或隐写技术都存在不足l。例如,加密技 术在算法选定后, 、 J 其安全性依赖于 密码 的长度和随机性 。另一方面,当待 隐藏 文件较大时 ,传统 的隐写技术需要大量开销去选择合适大小 的载体 ,且一旦被对 方识破此 ,该 方法将完全失效 _。 0 J
为 了克服上述缺点 ,本文提 出一种基于文件系统 的反取 证 方法 。此方法通过循环遍 历分区下所有的文件 ,计算 出每
不是一种简单 的相对偏移 关系 。设某一文件的数据运行列表
中某一结构 的首簇号为 Ⅳ,则若 Ⅳ 占 1 个字节且 Ⅳ>0 8 H, x0 则取负值 ,Ⅳ ( mo x 0一 x 0 。Ⅳ _ d 0 8 )0 8 。若 Ⅳ 占 2个字节且 Ⅳ> 0 80 ,则 | ( x00 v Ⅳmo x 00一0 8 0 。若 Ⅳ占 3 = d0 8 0 ) x0 0 个字节且

NTFS系统存储介质上文件操作痕迹分析

NTFS系统存储介质上文件操作痕迹分析

traces
are
related
file system。NTFS file system
allocates
and revokes the storage by cluster.It
traces
manages by MFT.This paper,
or
from the point of compumr forensics,analyzes the method of accessing file for NTFS file system and the
3l Ol fc bO 12 2l 18 bd49 2l 2f7b a7 00
则分解成4个Run:
3l Ol fc的12,2l 18嬲49,2l 2f7b孵,∞ 鼯文件存储在3个连续块:
NTFS卷文件管理
NTFS以簇为撼本单位分配和回收存储空间睇j,与FAT
1.1簇管理 结构不同,NTFS卷(volume)从0扇区开始划分簇,每簇为 l,2,4或8令襄嚣,缀据癸嚣戆大奎褒一默认壤,毽是在格式 化时可以人工选择。每簇扇区数保存在BOOT扇区(O痢区)。 NTFS通过Bitmap文件记淤所有簇的使用情况,1个bit 对应1个簇,值为l表示已经分配,为0袭示未分配。FAT 文箨系绞巾的FAT不仅标骥了数据簇鹣使用情况,还标裙了 数据簇的链接关系。 NTFS使用逻辑簇号(109ical 簇号(virtual
table,MFT)来确定其在卷上的位置日J,每个FILE有固定大小, 一般鸯1KB。FILE记添了文箨翡袋蠢数据,每拿数据渡一个 属性来表永,如文件名、文件长度、文件的时间等都是属性, 文件的内容也是一个属性,每个属性有一个特征码。属性数 据较小时戆够存放在FILE记录孛,豫为驻鍪键震缝,爱之 为菲驻暂的属性,遥过Data Runs来保存其存储索弓l表。途 一点与FAT文件系统不同,FAT文件系统只在目录区保存了 文律昀首簇号,。还要通过FAT表链接关系才能确定文俘酶全 部存放位嚣。Data Runs在一令FILE记录存羧幂下嚣还胃泼 用扩展属性,增加FILE记录来保存,即一个文件可以有多 个FILE记浆。 MFT本身痿息记滚在MFT O(笫|拿FILE记录≥,攀褒 为¥MFT,铉存储了整个MFT的存储分布,¥MFT的开始簇 号在BOOT扇区中保稃。

信息安全(填空)

信息安全(填空)

第一章1、信息安全受到的威胁有人为因素的威胁和非人为因素的威胁,非人为因素的威胁包括自然灾害、系统故障、技术缺陷。

2、广义的信息安全是指网络系统的硬件、软件及其系统中的信息受到保护。

它包括系统连续、可靠、正常地运行,网络服务不中断,系统的信息不因偶然的或恶意的原因而遭到破坏、更改、和泄露。

3、导致网络不安全的根本原因是系统漏洞、协议的无效性和人为因素。

4、OSI安全体系结构中,五大类安全服务是指认证、访问控制、数据保密、数据完整性服务和抗否认性服务。

5、网络通信中,防御信息被窃取的安全措施是加密技术;防御传输消息被篡改的安全措施是完整性技术;防御信息被假冒的安全措施是认证技术;防御信息被抵赖的安全措施是数字签名技术。

6、信息安全保障体系架构由管理体系、组织结构体系和技术体系。

第二章1、密码学是一门关于信息加密和密文破译的科学,包括密码编码学和密码分析学两门分支。

2、对于一个密码体制而言,如果加密密钥和解密密钥相同,则称为对称密码体制;否则,称为非对称密码体制。

前者也称为单密钥体制,后者也称为双密钥体制。

3、柯克霍夫原则是指原密码系统的安全性取决于密钥,而不是密码算法。

这是荷兰密码学家kerckhoff在其名著《军事密码学》中提出的基本假设。

遵循这个假设的好处是,它是评估算法安全性的唯一可用的方式、防止算法设计者在算法中隐藏后门、有助于推广使用。

4、分组密码的应用模式分为电子密码本、密文链接模式、密文反馈模式、输出反馈模式。

5、加密的方式有节点加密、链路加密、端到端加密。

6、DES分组长度是64位,密钥长度是64位,实际密码长度是54位。

第三章1、信息隐藏技术的4个主要分支是信息隐写术、隐通道、匿名通信、版权标识。

2、信息隐藏的特性指安全性、鲁棒性、不可检测性、透明性和自恢复性。

3、数字水印技术是利用人类视觉和听觉的冗余特性,在数字产品中添加某些数字信息,以起到版权保护的作用。

4、通用的数字水印算法包括水印生成算法、水印嵌入和提取检测三个方面。

司法鉴定中的数字取证技术介绍

司法鉴定中的数字取证技术介绍

文件解析与识别技术
文件解析
对数字设备中的各类文件进行深入分 析,提取文件头、元数据、内容等信 息,以确定文件类型、来源和修改历 史等。
文件识别
通过特定算法对文件进行识别和分类 ,如识别图像、音频、视频等文件的 格式和内容,为后续分析提供基础。
时间戳分析与验证技术
时间戳分析
对数字设备中的时间戳信息进行提取和分析,以确定文件创建、修改和访问的 时间,为案件调查提供时间线索。
工作流程
数字取证技术的工作流程通常包括案件受理、现场勘查 、数据提取、数据分析、证据呈现和结案归档等步骤。 其中,案件受理是指接收案件并了解案情;现场勘查是 指对涉案数字设备或存储介质进行现场勘查和收集;数 据提取是指对收集到的数据进行提取和整理;数据分析 是指对提取的数据进行深入分析和挖掘;证据呈现是指 将分析结果以可视化、直观化的方式呈现出来;结案归 档是指将案件相关材料和证据进行整理和归档。
展望未来发展趋势
技术创新
随着人工智能、大数据等技 术的不断发展,数字取证技 术将不断创新,提高自动化 和智能化水平。
法规完善
随着数字技术的广泛应用, 相关法律法规将不断完善, 为数字取证技术的发展提供 有力保障。
国际合作
跨国犯罪和网络犯罪日益猖 獗,数字取证技术的国际合 作将成为未来发展的重要趋 势。
时间戳验证
通过与其他证据或信息进行比对,验证时间戳的真实性和准确性,以确定数字 证据的可靠性和完整性。
加密解密技术应用
加密技术应用
采用加密算法对重要数字信息进行加密处理,确保信息在传 输和存储过程中的安全性,防止未经授权的访问和篡改。
解密技术应用
在合法授权的情况下,利用解密算法对加密信息进行解密处 理,以获取原始信息内容,为案件调查提供证据支持。

信息安全(填空)

信息安全(填空)

第一章1、信息安全受到的威胁有人为因素的威胁和非人为因素的威胁,非人为因素的威胁包括自然灾害、系统故障、技术缺陷。

2、广义的信息安全是指网络系统的硬件、软件及其系统中的信息受到保护。

它包括系统连续、可靠、正常地运行,网络服务不中断,系统的信息不因偶然的或恶意的原因而遭到破坏、更改、和泄露。

3、导致网络不安全的根本原因是系统漏洞、协议的无效性和人为因素。

4、OSI安全体系结构中,五大类安全服务是指认证、访问控制、数据保密、数据完整性服务和抗否认性服务。

5、网络通信中,防御信息被窃取的安全措施是加密技术;防御传输消息被篡改的安全措施是完整性技术;防御信息被假冒的安全措施是认证技术;防御信息被抵赖的安全措施是数字签名技术。

6、信息安全保障体系架构由管理体系、组织结构体系和技术体系。

第二章1、密码学是一门关于信息加密和密文破译的科学,包括密码编码学和密码分析学两门分支。

2、对于一个密码体制而言,如果加密密钥和解密密钥相同,则称为对称密码体制;否则,称为非对称密码体制。

前者也称为单密钥体制,后者也称为双密钥体制。

3、柯克霍夫原则是指原密码系统的安全性取决于密钥,而不是密码算法。

这是荷兰密码学家kerckhoff在其名著《军事密码学》中提出的基本假设。

遵循这个假设的好处是,它是评估算法安全性的唯一可用的方式、防止算法设计者在算法中隐藏后门、有助于推广使用。

4、分组密码的应用模式分为电子密码本、密文链接模式、密文反馈模式、输出反馈模式。

5、加密的方式有节点加密、链路加密、端到端加密。

6、DES分组长度是64位,密钥长度是64位,实际密码长度是54位。

第三章1、信息隐藏技术的4个主要分支是信息隐写术、隐通道、匿名通信、版权标识。

2、信息隐藏的特性指安全性、鲁棒性、不可检测性、透明性和自恢复性。

3、数字水印技术是利用人类视觉和听觉的冗余特性,在数字产品中添加某些数字信息,以起到版权保护的作用。

4、通用的数字水印算法包括水印生成算法、水印嵌入和提取检测三个方面。

基于NTFS文件系统的数字证据收集技术

基于NTFS文件系统的数字证据收集技术
胡琦伟;陈显龙;叶贤良
【期刊名称】《电脑编程技巧与维护》
【年(卷),期】2011(000)004
【摘要】分析了NTFS文件系统的物理结构和逻辑框架,提出了计算机取证软件的开发需要先解决元数据的读取和碎片文件的恢复等问题,并编程实现了信息收集模块,为计算机取证软件的设计提供了一种方案.
【总页数】3页(P98-100)
【作者】胡琦伟;陈显龙;叶贤良
【作者单位】东莞理工学院城市学院,东莞523106;东莞理工学院城市学院,东莞523106;东莞理工学院城市学院,东莞523106
【正文语种】中文
【相关文献】
1.数字时代的电子证据收集 [J], 沈晶
2.基于NTFS文件系统的数据恢复技术 [J], 张明旺
3.基于NTFS文件系统的数据恢复编程技术 [J], 高洪涛;李孟林;赵璇元
4.基于NTFS文件系统的EFS加解密技术及安全机制分析 [J], 乐琴兰;石立农
5.基于NTFS文件系统磁盘扩展分区结构的分析研究 [J], 候付伟;魏兆协
因版权原因,仅展示原文概要,查看原文内容请购买。

数字证据的取证方式与技术研究

数字证据的取证方式与技术研究一、概述随着社会的不断发展,运用计算机和互联网的范围越来越广泛,数字证据的产生也随之增多。

为便于对数字证据进行取证和分析,需要使用相应的技术手段和方法,这就是数字证据的取证方式和技术研究。

数字证据的取证方式包括实物取证和网络取证两种方式。

实物取证通常适用于物理环境下的取证,如现场勘查、道路交通事故等领域。

而网络取证则适用于计算机领域的数据取证,包括存储介质取证、网络数据包取证等。

二、实物取证实物取证是指通过对事发现场和人员进行勘查,搜集和保留与案件有关的实物、文书、录音录像以及其它物品或财物,收集具体的线索,提取和保管相关证据。

实物取证在刑事诉讼中发挥了重要作用。

实物取证中,要求现场保全、勘查、记录等步骤要迅速高效地完成。

而且为了尽可能快地提供案件证据,可以采用相应的实物取证工具,如照相机、录音笔等。

此外,为防止证据被破坏或者丢失,取证人员必须遵守相关法律法规和操作规定,保证现场的证据完整性,并做好证据保全和电子数据备份等工作。

三、网络取证相对于实物取证,网络取证更多指针对计算机系统、软件程序以及网络数据进行分析和取证的一种方法。

目前,计算机和互联网已经成为社会重要的信息交流渠道和日常工作的必需工具。

因此,网络取证的重要性不言而喻。

网络取证是一项庞杂的工作。

在数字证据研究中,网络取证主要包括存储介质取证、网络数据包取证和网络入侵等几方面内容。

1. 存储介质取证存储介质取证是指在计算机系统中获取存储介质上的数据和相关信息的过程。

受取证影响的存储介质包括硬盘、光盘、U盘等。

存储介质取证的主要方式包括磁盘镜像获取法和磁盘实时获得法。

前者是一种完整的磁盘像文件的复制过程,而后者在计算机的操作过程中提取数据。

若需进行写保护取证,可以第一时间进行计算机关机操作,或者使用较为特殊的写保护装置进行取证。

2. 网络数据包取证网络数据包取证是指依靠计算机网络的通信机制,获取计算机网络中传输的数据包信息。

NTFS系统下“小文件”取证软件的设计与实现

善 器 嚣 嚣 嚣 嚣 嚣 嚣 器 嚣 器 嚣 船 溜 嚣 器 嚣 . .量.奠: 筹;
除数 据之 后,除 了数 据 运行属性之 外,其他 属性没有发 生变 化 。数 据运行属性 的结束标 志 0 F F F F x F F F F向前移 动。“ 王 志 8 ”被 MF 7 T记 录结束标志 0 F F F F 8 7 4 1 覆 盖, x F F F F 2 9 7 1 但 “ 8 3 0 扬斌 8 8 5 4 ”仍 然存在 ,这部 分数据是可以 925 79 63
s fw aewa e ci d i t i. e s t ae c ul utm aial s a h l ¥M FT fNTFS s se . tc ud o t r sd s rbe ndeal Th of r o d a o t l c n t ef e w c y i o y tm I o l a oma ial fn h FT e o d ofe c ” m alfl” I n M F r c r o a n t h tc n ber c vee ut tc ly d te M i r c r a h s l e . fa T e o d c nti sda t a a e o rd, i a te t t l er c v rd. h nheda wil e o e e a b K e o ds FT l e o d; m al l F r nsc ; e o e y yw r :M i f erc r s lf e; o e is r c v r i
关键 词 :MF T文件记 录;小文件 ;取证 ;恢 复 中图分 类号 :T 330 文献 标识码6 1 12 2 1 ) 8 03 — 3
TheD e i n a m plm e a i n o Sm al l ¨Fo e is sg nd I e nt to f¨ l e Fi r nsc S fw a ei o t r n NTFS Sy t m se

信息安全(填空)

第一章1、信息安全受到的威胁有人为因素的威胁和非人为因素的威胁,非人为因素的威胁包括自然灾害、系统故障、技术缺陷。

2、广义的信息安全是指网络系统的硬件、软件及其系统中的信息受到保护。

它包括系统连续、可靠、正常地运行,网络服务不中断,系统的信息不因偶然的或恶意的原因而遭到破坏、更改、和泄露。

3、导致网络不安全的根本原因是系统漏洞、协议的无效性和人为因素。

4、OSI安全体系结构中,五大类安全服务是指认证、访问控制、数据保密、数据完整性服务和抗否认性服务。

5、网络通信中,防御信息被窃取的安全措施是加密技术;防御传输消息被篡改的安全措施是完整性技术;防御信息被假冒的安全措施是认证技术;防御信息被抵赖的安全措施是数字签名技术。

6、信息安全保障体系架构由管理体系、组织结构体系和技术体系。

第二章1、密码学是一门关于信息加密和密文破译的科学,包括密码编码学和密码分析学两门分支。

2、对于一个密码体制而言,如果加密密钥和解密密钥相同,则称为对称密码体制;否则,称为非对称密码体制。

前者也称为单密钥体制,后者也称为双密钥体制。

3、柯克霍夫原则是指原密码系统的安全性取决于密钥,而不是密码算法。

这是荷兰密码学家kerckhoff在其名著《军事密码学》中提出的基本假设。

遵循这个假设的好处是,它是评估算法安全性的唯一可用的方式、防止算法设计者在算法中隐藏后门、有助于推广使用。

4、分组密码的应用模式分为电子密码本、密文链接模式、密文反馈模式、输出反馈模式。

5、加密的方式有节点加密、链路加密、端到端加密。

6、DES分组长度是64位,密钥长度是64位,实际密码长度是54位。

第三章1、信息隐藏技术的4个主要分支是信息隐写术、隐通道、匿名通信、版权标识。

2、信息隐藏的特性指安全性、鲁棒性、不可检测性、透明性和自恢复性。

3、数字水印技术是利用人类视觉和听觉的冗余特性,在数字产品中添加某些数字信息,以起到版权保护的作用。

4、通用的数字水印算法包括水印生成算法、水印嵌入和提取检测三个方面。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1 ) N TF S 数据 存 储结 构 N TF S 以簇 为 基本 单 位分 配 和 回收 存储 空 间 , 与F A T结构 不 同 , NT F S 卷
计算 机取 证 , 首 要的 问题是 掌握 什么 时间 发生 了什 么 事情 。 有一 个重 要的 文 件 属性 是 时间 属性 , NT F S 中的时 间属 性有4 项: 文 件 的创建 时 间 , 最后 修 改 时间 , 最 后访 问时 间 以及 ME T r e改时 间 , 全部精 确到 l O O n s 。 最后访 问 时间是 文 件 操 作痕迹 中最敏感 的证 据特 征 。 文件 操作 痕迹 反映在 文件 的增 加 、 删 除和修
开始 编 号 。 MF T仅供 系统 自身构 架 、 组织 文件 系统使 用 , 被称作 元数 据 所有 的 元 文件 名字都 是 以“ ¥ ” 开始 , 其都 是 隐藏文 件 。 M兀 衰 中的前1 6 个元数 据是最 重 要的。 为 了 防止 数据 的丢 失 , 在 卷 存储 区 中 , N T F S 系统 对它 们进 行 了备份 。
据 提 出了 不同 的处 理策 略 。 2 . N T F S 文 件 系统 介 绍 N T F S 和 传统 的F AT 3 2 文 件系 统在 结 构上 几乎 是完 全 不同 的两 种文 件 系 统, N TF SI  ̄ I 身具 有 很多 新 的特 征 , 比如安 全性 、 容错 性 、 文 件压 缩 和磁 盘 配额 等, 都 是 相对 其他 系 统 特 殊 的地 方 。 NTF S 分 区主 要 由引 导 扇 区 、 主 文件 表 ( Ma s t e r F i l e T a b l e , MF T) 、 系统 文件 和 文 件存 储 区域 等4 个 部 分组 成[ 2 】 。
文件 系统 下 访 问文件 ( 夹) 的方法 , 研究N T F S 文件 系统 下文 件和 文件 夹 的操 作痕 迹 , 并 在此 基础 上提 出了一 种基 于NT F S 文件 系统 的数据 恢复 算法 。 该 算法 通过 分 析N T F S 文件 系统 的结 构 , 将 待取 证 的数 据分 为 3 类, 采 取 不 同的策 略进 行 处理 , 通过 数 据恢复 技 术恢 复被 删 除 的数据 并在 此基 础 上实 现计 算机 取证 。 [ 关键词 ] 计 算机 取 证 ; 文 件 系统 ; N T F S ; 数 据 恢 复 中 图分类 号 : P 4 1 3 文献 标识 码 : A
文 章编 号 : 1 0 0 9 - 9 l 4 x( 2 O 1 4 ) 2 4 —0 3 0 9 一 O 1
1 . 引 言 随着信 息化社 会的快罪 的案
详 细信 息 。 MF T文件记 录 数组 中的文 件记 录在 物理 上是 连续 的 , 并 且都 是从 0
3 . NT F S 卷 文件 操作 痕 迹及 对 计算 机取 证 的影 响
件越 来越 多 , 给人们 和社会 造成 了 巨大 的财产 损失 因此 , 如 何迅速 准确 的在 计 算 机上恢 复 出犯 罪证据 , 成为切 实 打击 犯罪 的一个 关 键因素 。 Wi n d o ws  ̄ 作系
理 论广 角
- ■I
NTF S系统 存 储 介 质 上文 件 操 作 痕迹 分析
及 数 字 取 证 技 术 算 法 实 现 初 探
王 俊
( 同济 大学 )
[ 摘 要] 为 了逃 脱 公安 机 关的 打击 , 犯 罪分 子 经常将 计 算机 上 的犯 罪 数据 信 息彻 底 删 除 , 或将 分 区甚 至 整个 硬盘 进 行格 式化 操 作 , 从 而使 得重 要 的犯 的 罪 证据 丢 失 , 给 案件 的取 证带 来极 大 的困难 。 因此 , 如 何 迅速 准确 的在 计 算机 上恢 复 出犯 罪证 据 , 成 为切 实打 击犯 罪 的一 个 关键 因素 本 文通 过对NT F S 文件系 统结 构 的详细 介绍 , 重点分析 了N T F S 文件 系统 的主文 件表MF T、 文件记 录的结 构 和文件 的几 个关键 属性 ( 即文件名 , 标 准信息 , 数 据流等 ) , 从计算机 取证 角度探讨 N T F S
改【 3 】 o 1 ) 删 除文 件 ( 夹) 的痕迹 删 除一 个 文件( 夹) , 系统 回收其 文件 记录 , 加 删 除标记 , 如 果该 文件 ( 夹) 还
统占据了约9 0 %的现有个人桌面系统, 而NT F S 是Wi n d o ws  ̄作系统主要使用 并 大力 发展 的文件 系 统。 从计 算机 取证 的角 度提取 文件 操作 的痕 迹 , 要保 证 取 证 操作 的原 始性 , 就 不可 以调 用操 作系 统提供 的 文件 操作命 令 , 而 需要 直接 存 取磁盘扇区, 也就需要研究文件系统的相关数据结构[ 1 】 ; 文件和文件夹的增加、 删除、 修改 等操 作会 在存 储介 质上 留下痕 迹 , 分 析这 些痕 迹 , 对于 信息 保密 、 数 据 恢复 、 计 算 机取 证等 都 具有 重 要价 值 。 本 文首 先通 过对 N TF S 文 件 系统 的结 构 和 数 据 存储 结 构 进 行 了详 细 介绍 , 重 点 分 析NTF S 文 件 系 统 的 主 文件 表 MF T、 文件 记录 的结 构和 文件 的几个 关键 属性 ( 即文件 名 、 标准 信息 、 数 据流 等 属性) , 并 在此 基 础 上 通 过分 析 文 件 删 除前 后 文 件 属 性值 的 变 化 , 提 出 了 在 NT F S 文件 系统 上进 行计 算 机取 证 的算 法 , 针对 N T F S 的特 点 对不 同 类型 的数