gpt4 book ai didi

save - 在哪里可以阅读有关 NTFS 如何保存和删除文件的信息?

转载 作者:行者123 更新时间:2023-12-04 05:09:33 25 4
gpt4 key购买 nike

关闭。这个问题不满足Stack Overflow guidelines .它目前不接受答案。












想改善这个问题吗?更新问题,使其成为 on-topic对于堆栈溢出。

4年前关闭。



Improve this question




我有一个家庭作业要做,其中我需要说明我们可以使用 NTFS 从计算机中恢复已删除文件的可能方法。作业要求我考虑可能对取证至关重要的任何信息。但是,我不知道NTFS最初是如何保存、删除和覆盖文件的!

这是我们在类里面学到的类似内容:

在类里面我们了解到 FAT32 将文件保存在块簇中。当我们保存一个文件时,它会用完一个簇中的扇区,但该文件可能不会使用一个簇中的所有扇区,甚至一个块中的所有空间。

当文件被“删除”时,目录中的文件名的第一个字母更改为 sigma,然后存储文件的位置被视为未分配(也可能被覆盖)。所以我们仍然可以搜索这个文件(使用某些技术)并恢复它!即使在该地址中写入了新文件,新文件也可能比前一个文件小。在这种情况下,存储在那里的前一个文件的残余部分仍然存在,因为它们没有被覆盖。我们也可以恢复它,假设它没有碎片化。

嗯,这就是我们在类里面学到的。我必须为 NTFS 写一篇类似的文章,但我找不到一个简单的网站,首先专门解释如何在 NTFS 中保存和删除文件。谁能给我一些有值(value)的阅读 Material 的链接?

编辑:我找到了一个完美的网站,可以准确地解释我的需要。我将在这里发布给 future 的读者:
http://wiki.sleuthkit.org/index.php?title=NTFS_File_Recovery

最佳答案

最好的起点可能是 Microsoft Technet。查看以下关于 how NTFS works 的文章.

您最有可能想要深入研究的内容是主文件表、日志,可能还有一些有关已删除数据恢复的主题。

您可以从我查看取证工具的文档中学到很多,例如 sleuthkit .

您可能还想查看 NIST Publication SP 800-86: Guide to Integrating Forensic Techniques into Incident Response .

最后,在 NTFS 中“隐藏”数据非常酷的是替代数据流。替代数据流通常对 Windows 操作系统不可见,但仍会占用磁盘空间。他们来自 Mac 世界。 IronGeek's Guide是开始了解 ADS 的好地方。

关于save - 在哪里可以阅读有关 NTFS 如何保存和删除文件的信息?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/15044434/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com