我有一个家庭作业要做,我需要说明我们可以使用 NTFS 从计算机中恢复已删除文件的可能方法。该任务要求我考虑任何可能对取证至关重要的信息。但是,我不知道 NTFS 一开始是如何保存、删除和覆盖文件的!
这是我们在课堂上学到的类似内容:
在课堂上,我们了解到 FAT32 将文件保存在块簇中。当我们保存文件时,它会用完簇中的扇区,但文件可能不会使用簇中的所有扇区,甚至不会使用块中的所有空间。
当文件被“删除”时,目录中的文件名的第一个字母更改为 sigma,然后存储文件的位置被视为未分配(也可能被覆盖)。所以我们仍然可以搜索这个文件(使用某些技术)并恢复它!即使在该地址写入了新文件,新文件也可能比前一个文件小。在这种情况下,存储在那里的先前文件的剩余部分仍然存在,因为它们没有被覆盖。我们也可以恢复它,假设它没有碎片化。
嗯,这就是我们在课堂上学到的。我必须为 NTFS 写一篇类似的文章,但我找不到一个简单的网站首先专门解释如何在 NTFS 中保存和删除文件。谁能给我一些有价值的阅读材料的链接?
编辑:我找到了一个完美的网站,可以准确地解释我需要什么。我会把它贴在这里给未来的读者: http ://wiki.sleuthkit.org/index.php?title=NTFS_File_Recovery