FAT、NTFS格式數(shù)據(jù)刪除都是在表頭添加刪除位,在目錄頁對應(yīng)位置置"00",而data位不做修改,只能覆蓋。因此可以被還原(僅限刪除、快速格式化,低格很難還原)
FAT分區(qū)由DBR、FAT、FDT、DATA四個區(qū)域構(gòu)成
DBR 引導(dǎo)分區(qū),接管MBR啟動
FAT 記錄數(shù)據(jù)文件對應(yīng)簇,以及簇的狀態(tài)? 相當(dāng)于簇目錄。FAT有FAT1和FAT2兩個表,F(xiàn)AT2是FAT1的備份
FDT記錄文件和文件夾的名稱、屬性、時間等基本信息,每個文件和文件夾分配一個文件目錄項。
DATA區(qū)儲存具體數(shù)據(jù)
NTFS采用B+樹方式儲存
NTFS主文件表記錄系統(tǒng)數(shù)據(jù),稱為元數(shù)據(jù)(Metadata)文件(元文件),以文件方式儲存。第一個字符都是"$",這些文件是隱藏的。
一共有16個,包括引導(dǎo)文件($Boot)、MFT($Mft)、MFT鏡像($MftMirr)、日志文件($LogFile)、卷文件($Volume)、屬性定義表($AtterDef)、根目錄($Root)、位圖文件($Bitmap)、壞簇文件($BadClus)、安全文件($Secure)、大寫文件($UpCase)、擴(kuò)展元數(shù)據(jù)文件($Extended matadata directory)、重解析點文件($Extend\ $Reparse)、變更日志文件($Extend\ $UsnJrnl)、配額管理文件($Extend\ $Quota)、對象ID文件($Extend\ ObjId)等。 除了$Boot文件外,其他位置都不是固定的。
32位windows、FAT時間精度只能保存偶數(shù)秒
64位時間精度取決于bios時間精度,可以保存1ns
取證應(yīng)注意MAC時間(Modified time/Access time/Created time)
Access time Win7以前 一小時更新一次,Win7之后為了提高性能,除非文件被修改或跨卷移動,否則不會更新。因此最后訪問時間(Access time)不能作為證據(jù)使用。
移動文件,Created time不會改變,復(fù)制文件會更新為復(fù)制的時間。
文件移動或復(fù)制,Modified time不會改變,如果改變文件的屬性或重命名,時間也不變。只有當(dāng)$DATA、$INDEX_ROOT、$INDEX_ALLOCATION屬性發(fā)生變化才會更新。
