阅读完本章并完成练习之后,您将能够:
•说明文件系统的用途和结构
•描述Microsoft文件结构
•说明NTFS磁盘的结构
•列出一些用于解密使用全盘加密加密的驱动器的选项
•说明Windows注册表如何工作
•描述Microsoft启动任务
•说明虚拟机的用途
一、了解文件系统
要有效地调查数字证据,必须了解最常用的操作系统是如何工作的,以及它们是如何存储文件的。文件系统为操作系统提供了磁盘上数据的路线图。操作系统使用的文件系统类型决定了数据在磁盘上的存储方式。当需要访问嫌疑人的计算机以获取或检查与您的调查相关的数据时,应该熟悉计算机的操作系统和文件系统,以便在必要时可以访问和修改系统设置。
1、了解引导顺序
2、了解磁盘驱动器
3、固态存储设备
二、探索Microsoft文件结构
由于大多数PC使用Microsoft软件产品,因此应该了解Microsoft文件系统,以便了解Windows和DOS计算机如何存储文件。尤其需要了解集群、文件分配表(FAT)和NT文件系统(NTFS)。操作系统用于存储文件的方法决定了数据可以隐藏的位置。在检查计算机以获取数字证据时,需要探索这些隐藏位置,以确定它们是否包含可能是犯罪或违反策略证据的文件或部分文件。
1、磁盘分区
2、检查FAT盘
3、删除FAT文件
三、检查NTFS磁盘
NT文件系统(NTFS)是在Microsoft创建Windows NT时引入的,它仍然是Windows 8中的主要文件系统。自NT以来的每一代Windows都包含了NTFS配置和功能上的细微变化。NTFS的设计部分基于微软的IBM项目和OS/2操作系统,并结合了该项目的许多特性;在这个操作系统中,文件系统是高性能文件系统(HPFS)。当微软创建WindowsNT时,它提供了向后兼容性,这样NT就可以读取OS/2HPFS磁盘驱动器。自Windows2000发布以来,这种向后兼容性不再可用。
1、NTFS系统文件
2、MFT和文件属性
3、文件数据的MFT结构
4、MFT头字段
5、属性0x10:标准信息
6、属性0x30:文件名
7、属性0x40:对象ID
8、属性0x80:常驻文件的数据
9、属性0x80:非驻留文件的数据
10、解释数据运行
11、NTFS数据交互流
12、NTFS压缩文件
13、NTFS加密文件系统
14、EFS恢复密钥代理
15、删除NTFS文件
16、弹性文件系统
四、了解全磁盘
1、检查Microsoft BitLocker
2、检查第三方磁盘加密工具
