在哪里可以读到有关NTFS如何保存和删除文件的信息？

Question

我有一个家庭作业要做，其中我需要说明我们可以使用NTFS从计算机中恢复已删除文件的可能方法。这项任务要求我考虑任何可能对取证至关重要的信息。但是，我不知道NTFS最初是如何保存、删除和覆盖文件的！

下面是我们在课堂上学到的类似内容：

在课堂上，我们学习了FAT32将文件保存在块集群中。当我们保存文件时，它会用完集群中的扇区，但该文件可能不会使用集群中的所有扇区，甚至不会使用块中的所有空间。

当一个文件被“删除”时，目录中的文件名将其第一个字母更改为sigma，然后存储的文件的位置被认为是未分配的(也可能被覆盖)。所以我们仍然可以搜索这个文件(使用某些技术)并恢复它！即使在该地址中写入了新文件，新文件也可能比先前的文件小。在这种情况下，存储在那里的前一个文件的残留物仍然存在，因为它们没有被覆盖。我们也可以恢复它，假设它不是碎片。

这就是我们在课堂上学到的。我不得不为NTFS写一篇类似的文章，但我找不到一个简单的网站来专门解释如何在NTFS中首先保存和删除文件。谁能给我一些有价值的阅读材料的链接？

编辑:我找到了一个完美的网站，它确切地解释了我所需要的东西。我将把它发布在这里，供未来的读者使用：http://wiki.sleuthkit.org/index.php?title=NTFS_File_Recovery

Answer 1

也许最好的起点是Microsoft Technet。请查看how NTFS works上的以下文章。

您最想深入研究的内容是主文件表、日志记录，可能还有一些关于已删除数据恢复的主题。

你可以通过查看sleuthkit等取证工具的文档学到很多东西。

您可能还想检查一下NIST Publication SP 800-86: Guide to Integrating Forensic Techniques into Incident Response。

最后，在NTFS中“隐藏”数据非常酷的一点是替代数据流。备用数据流通常对Windows操作系统不可见，但仍会占用磁盘空间。他们来自Mac世界。IronGeek's Guide是一个开始理解广告的好地方。