來源:Unit 6: Windows File Systems and Registry 6.1 Windows File Systems and Registry Windows NTFS File System
現在預覽的是Windows 7圖像 帶美元符号的檔案都是系統檔案 這裡C槽高亮是自己設定的,隻想看看C槽中的情況,屏蔽了其他盤的資訊
往後托是時間戳,有趣的地方在于時間都是一樣的。這些是在格式化NTFS檔案系統時生成的。
永遠不會發送改變。這個地方可以明确的用來當成一種法醫學證據,系統是什麼時候被格式化的(民用的時候通常格式化發生在裝系統時,買新電腦時,電腦預裝系統出廠時)
現在,重點關注一下美元符号MFT和美元符号MFTMirror,這兩個檔案。美元符号MFTMirror是美元符号MFT中的檔案數量的鏡像。
所有的windows7檔案,在$MFTMirr中都有自己的記錄,術語叫做MFT記錄。每個檔案使用一個或多個MFT記錄存儲中繼資料資訊。NTFS(win7使用的檔案系統)的關鍵元件是主檔案表(MFT)。如果你學習過前面提到的FAT系統(dos系統)你會發現從分區的第一個扇區開始,與dos系統中的結構是驚人的相似。這又進一步驗證了學習思維,學習老舊的dos系統(使用于大約1990年前),其實就是在學習與掌握最新的系統(windows7)。
這個學習思維的資訊,如果沒有高人指點,你将永遠無法判斷什麼時候學舊的沒毛病,什麼時候學舊的會出現問題。這種現象,意味着我們需要時刻關注哪裡會出現優質的教育和引導。比如,目前知道的edx和SANS社群,這兩個平台有歎為觀止的引導視訊以外,hackone的世界級社群也在緻力于釋出教育類視訊(它們通常出現在youtube上)。我們的任務是找到這樣的學習環境。你不關注花,花永遠隻是花;你若關注花,它将五顔六色。隻要你關注它,英文考試得8分,都阻止不了你的觀察力與思考力。
這裡面很多都是不可讀的,但是但是我們可以看到檔案名。$MFT,這是我們看見的。
往下翻,可以發現另一個檔案名。$MFTMirr 再往下翻還可以發現幾個檔案名,這裡不貼圖了。
接下來看一下,桌面的一個檔案,它叫做FTK Password,檔案内容非常小,就放了幾個帳号密碼,小的檔案很有可能直接駐留在美元符号MFT條目中。這裡看看是不是駐留在$MFT中
選擇路徑到桌面,發現了檔案以及檔案内容都是一緻的,但仍然無法看見是不是駐留在了$MFT中
試着找出它是否在MFT中。點選第一個字元,然後再切換一下視角。就可以定位到指定的扇區。
往下翻,會發現file0特征值,這表示$MFT記錄,還有檔案内容。這說明檔案内容都在$MFT裡面。
是以在這種情況下,在$MFT條目内, Windows不需要儲存大量資訊,因為它隻是一點點内容。是以資料直接放入了$MFT内儲存。700位元組的内容直接可以放進來。通過工具的使用,以及工具的互動顯示,可以給你這些位元組的長度以及檔案内容占了多少。5分鐘時間,點一點,看一看,掌握這裡的一切。
是以,這證明了小檔案的資料内容駐留在美元符号MFT條目中。
最後,$MFT還有一個能力,就是恢複資料,通過它可以把資料區與檔案名之間的關系再聯系起來。有的檔案删除了,實際上儲存資料的扇區還在,隻是它們失去了檔案名。
轉載于:https://www.cnblogs.com/sec875/p/10176290.html