4-1 Основи цифрової криміналістики / ЛБ - 02 ДОСЛIДЖЕННЯ ФАЙЛОВОЙ СИСТЕМИ NTFS

Міністерство освіти і науки України

Харківський національний університет радіоелектроніки

Факультет Інфокомунікацій .

Кафедра Інфокомунікаційної інженерії імені В.В. Поповського .

ЗВІТ

з лабораторного заняття №2

з дисципліни

Основи цифрової криміналістики

Тема заняття: ДОСЛIДЖЕННЯ ФАЙЛОВОЙ СИСТЕМИ NTFS

Харків 2020 р.

МЕТА РОБОТИ

Метою роботи є дослідження файлової системи NTFS. Аналіз особливостей файлової системи NTFS, при відновленні інформації. Встановлення інформації після швидкого та глибокого форматування та форматування зі зміною розміру кластера.

ХІД ВИКОНАННЯ

1. Аналіз секторів файлової системи NTFS

Рисунок 1 – Форматування накопичувача

На рис. 1 зображено флеш накопичувач який був відформатований у NTFS з розміром кластеру вказаним за вмовчуванням (4096 Б).

2. Записати на диск файл розміром більше 100КБ

Рисунок 2 – Аналіз даних на накопичувачі

На рис. 2 зображено, що на флеш накопичувачу э три файлів, та мають розширення .png, .docx, .txt. Також показана інформація, що записана до файлу .txt.

3. Відкрити диск в Active file Recovery в hex вигляді

Рисунок 3 – Властивості диска

На рис. 3 показана master boot sector для флеш накопичувача. Використовуючи програму Active@DiskEditor показано, що в розділі знаходиться загальна службова інформація, що зчитується загрузці. Інформація про данні що знаходиться на носію знаходиться у таблиці MFT. MFT це база даних, у якій зберігається інформація про файли. NTFS представляє собою таблицю, рядки якої відповідають файлам.

4. Провести Аналіз загрузочного сектора

Рисунок 4 – Службова інформація загрузочного сектора

На рис. 4 показана NTFS boot sector для флеш накопичувача. Використовуючи програму Active@DiskEditor показано, що в розділі NTFS знаходиться таблиця с записаною інформацією про кластери та сектори. В даному випадку кількість байт на сектор складає 512, кількість секторів в кластері 8, а розмір кластера 4096 байт. Також вказана кількість секторів. За службовою інформацією ідуть основні метафайли NTFS, а потім призначені для користувача файли і каталоги. Метафайли в NTFS можуть бути і додатковими або необов'язковими. Такі файли зберігаються в директорії $Extend і за ними строго не закріплені індекси в MFT. До додаткових метафайли відносяться $Quota - інформація про дискових квоти, $Reparse - використовується для точок розбору (reparse point), $ObjId - дозволяє пов'язувати ідентифікатор об'єкта файлу із записом MFT.

5. Аналіз таблиці

Рисунок 5 – Інформація про файли

На рис. 5 показана стандартна інформація о файле (час, права доступу) – атрибут $10. Атрибут $30 показує повне ім’я файлу, він зберігає ім'я файлу у відповідній просторі імен. Атрибут $80 показує основні данні файлу. Цей атрибут сберігає інформацію про data run. Відрізком називається послідовність суміжних кластерів, що характеризується номером початкового кластера і довжиною.

Таблиця 5.1. Атрибути файлів.

$10	$STANDARD_INFORMATION	Стандартна інформація про файл (час, права доступу)
$30	$FILE_NAME	Повне ім'я файлу
$80	$DATA	Основні дані файлу

6. Аналіз інформації, що міститься у файлі через hex редактор

Рисунок 6 – Інформація файлу

На рис. 6 показано інформацію атрибута $DATA. Поле size вказує номер першого кластера в 16річній системі, cluster count вказує це ж значення але в 10річній системі. Розмір кожного кластера стандартний, 4096 байт. Дані про розміри та розташування файлів представлені в таблиці 6.1.

Таблиця 6.1 Дані про розташування файлів.

Файл	Кластерів використовує	Розмір	№ першого байту	№ останнього байту
PNG	33	135168	1249280	1384488
DOCX	61	249856	1266176	1516032
TXT	33	135168	1297408	1432576

7. Відновлення видалених файлів

Рисунок 7 – Відновлена інформація

На рис. 8 показано копіювання інформації в HxD HexEditor після зберігання якого вдалось відновити файли.

8. Відновлення файлів при форматуванні без зміни розміру блоку

Рисунок – 8 Інформація про видалені файли

На рис. 8 показано, що інформація про розташування файлів була швидко видалена. Але самі дані залишились.

9. Відновлення файлів при глибокому форматуванні

При повному форматуванні всі дані та записи файлів видалились повністю. Відновити файли після цього неможливо.

ВИСНОВКИ

Під час проведення лабораторної роботи було проведено дослідження файлової системи NTFS. Аналіз особливостей файлової системи NTFS, при відновленні інформації. Встановлення інформації після швидкого та глибокого форматування та форматування.

Для дослідження властивостей використовувалась файлова система NTFS. У ході виконання роботи я встановив, що дані після швидкого форматування без зміни розміру блока можна відновити тому що, інформація в MFT таблиці не перезаписується, для цього створюється новий запис, а дані залишаються, а якщо провести повне форматування, то всі дані будуть стерті.

Завдання з лабораторної роботи виконано у повному обсязі.