NTFS系统存储介质上文件操作痕迹分析及数字取证技术算法实现初探

为了逃脱公安机关的打击，犯罪分子经常将计算机上的犯罪数据信息彻底删除，或将分区甚至整个硬盘进行格式化操作，从而使得重要的犯的罪证据丢失，给案件的取证带来极大的困难。因此，如何迅速准确的在计算机上恢复出犯罪证据，成为切实打击犯罪的一个关键因素。本文通过对NTFS文件系统结构的详细介绍，重点分析了NTFS文件系统的主文件表MFT、文件记录的结构和文件的几个关键属性（即文件名，标准信息，数据流等），从计算机取证角度探讨NTFS文件系统下访问文件（夹）的方法，研究NTFS文件系统下文件和文件夹的操作痕迹，并在此基础上提出了一种基于NTFS文件系统的数据恢复算法。该算法通过分析NTFS文件系统的结构，将待取证的数据分为3类，采取不同的策略进行处理，通过数据恢复技术恢复被删除的数据并在此基础上实现计算机取证。