《电子取证技术》读书笔记

FAT、NTFS格式数据删除都是在表头添加删除位，在目录页对应位置置"00"，而data位不做修改，只能覆盖。因此可以被还原（仅限删除、快速格式化，低格很难还原）

FAT分区由DBR、FAT、FDT、DATA四个区域构成

DBR 引导分区，接管MBR启动

FAT 记录数据文件对应簇，以及簇的状态  相当于簇目录。FAT有FAT1和FAT2两个表，FAT2是FAT1的备份

FDT记录文件和文件夹的名称、属性、时间等基本信息，每个文件和文件夹分配一个文件目录项。

DATA区储存具体数据

NTFS采用B+树方式储存

NTFS主文件表记录系统数据，称为元数据（Metadata）文件（元文件），以文件方式储存。第一个字符都是"$",这些文件是隐藏的。

一共有16个，包括引导文件（$Boot）、MFT（$Mft）、MFT镜像（$MftMirr）、日志文件（$LogFile）、卷文件（$Volume）、属性定义表（$AtterDef）、根目录（$Root）、位图文件（$Bitmap）、坏簇文件（$BadClus）、安全文件（$Secure）、大写文件（$UpCase）、扩展元数据文件（$Extended matadata directory）、重解析点文件（$Extend\ $Reparse）、变更日志文件（$Extend\ $UsnJrnl）、配额管理文件（$Extend\ $Quota）、对象ID文件（$Extend\ ObjId）等。 除了$Boot文件外，其他位置都不是固定的。

32位windows、FAT时间精度只能保存偶数秒

64位时间精度取决于bios时间精度，可以保存1ns

取证应注意MAC时间（Modified time/Access time/Created time）

Access time Win7以前 一小时更新一次，Win7之后为了提高性能，除非文件被修改或跨卷移动，否则不会更新。因此最后访问时间（Access time）不能作为证据使用。

移动文件，Created time不会改变，复制文件会更新为复制的时间。

文件移动或复制，Modified time不会改变，如果改变文件的属性或重命名，时间也不变。只有当$DATA、$INDEX_ROOT、$INDEX_ALLOCATION属性发生变化才会更新。