Scribd Logo
Upload

Welcome to Scribd!

  • Конєв 2 КУІБу-20-1

    Uploaded by

    Михайло Конєв
    5 views5 pages

    Copyright

    © © All Rights Reserved

    Available Formats

    DOC, PDF, TXT or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document

    Copyright:

    © All Rights Reserved
    Download as DOC, PDF, TXT or read online from Scribd
    Flag for inappropriate content
    5 views5 pages

    Конєв 2 КУІБу-20-1

    Uploaded by

    Михайло Конєв

    Copyright:

    © All Rights Reserved
    Download as DOC, PDF, TXT or read online from Scribd
    Flag for inappropriate content
    of 5

    Міністерство освіти і науки України

    Харківський національний університет радіоелектроніки


    Кафедра ІКІ ім. Поповського

    Звіт
    з лабораторної роботи 2
    Дослідження файлової системи NTFS

    Дисципліна: «Основи цифрової криміналістики»

    Виконав:
    студент групи КУІБу-20-1
    Конєв М.В
    Перевірив:
    Снігуров А. В.

    2022р
    Файлова система NTFS починається з «Boot sector», який розміщено в
    першому секторі (рис. 1). В ньому знаходиться «Bios Parameter Block», що
    містить інформацію про файлову систему: розмір секторів в байтах, кількість
    секторів в кластері, загальну кількість секторів, розміщення таблиці MFT та її
    копії тощо. Так як загальна кількість секторів 30717951 то саме в цьому секторі
    зберігається копія «Boot sector».

    Рисунок 1 - Boot sector

    NTFS зберігає інформацію про файли і каталоги в головній файловій


    таблиці MFT. Ця таблиця містить інформацію про всі файли і каталоги.
    Кожному файлу або каталогу відповідає як мінімум один запис. Розміщення
    таблиці MFT та її копії можна побачити в «Bios Parameter Block» (рис. 2).
    Рисунок 2 - Bios Parameter Block

    Головна таблиця файлів MFT складається з безлічі записів про файли


    (файлових записів), розташованих на томі. Розмір одного запису – 1 КБ (2
    сектори). Найперший запис в MFT – це запис про сам файл MFT. У другому
    записі міститься інформація про MFTMirr – дзеркальну копію MFT. У цьому
    файлі дублюються перші 4 записи таблиці MFT, в тому числі запис про MFT. У
    разі виникнення збою, якщо MFT виявиться недоступною, інформація про
    системні файли буде зчитуватися з MFTMirr.
    Перші 16 файлів NTFS (метафайли) носять службовий характер. Кожен з
    них відповідає за будь-який аспект роботи системи.
    На рисунку 3 та 4 представлено запис в таблиці MFT о файлі «gg.txt».
    Запис містить детальну інформацію про файл, всі його атрибути: назва файлу,
    розмір, положення на диску окремих фрагментів. Якщо для інформації не
    вистачає одного запису MFT, то використовуються декілька, причому не
    обов'язково підряд.
    Рисунок 3 – Інформація про файл

    Рисунок 4 - Інформація про файл

    Після повного форматування не залишилось жодної інформації про файл.


    ВИСНОВОК

    Ознайомився з файловою системою FAT32. Ознайомився зі структурою


    та практично дослідив.

    You might also like