《计算机取证技术5.pptVIP

内容范畴 硬盘 0 面 0 道 1 扇区即逻辑 0 扇区, 称为硬盘保留区, 共有 512 个字节, 为主引导记录。 它包含的硬盘分区表使硬盘在几个操作系统之间进行分割。 包括组成文件或文件目录的数据 FAT文件系统使用一组簇组成数据单元。每个簇分配一个地址。 所有的簇都分布在文件系统的数据区域。 分析内容范畴是要确定某某些特定数据单元，确定这些数据单元的分配状况。 当我们需要确定在数据区之前的数据单元的地址时，我们需要使用扇区地址。 可以通过查看在FAT表中的entry来确定每个簇的分配情况。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 元数据 元数据包括描述文件或目录的数据，内容存储的位置、时间、日期、权限。我们使用这个数据来获得文件或可疑目录的额外信息。 在FAT文件系统中，这些信息存储在目录项结构中。FAT结果也用来存储关于文件或目录布局的元数据信息。 只有已经分配的目录项才有一个完整的地址，这个地址包括路径和文件名。 为了关联所有文件分配的簇，我们使用目录项的开始簇和FAT结构来定位其它的簇。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 文件名 长文件名依然是记录在目录项中的。为了使低版本的操作系统或程序能正确读取长文件名文件，系统自动为所有长文件名文件创建了一个对应的短文件名。 长文件名的实现有赖于目录项偏移为0xB的属性字节。 系统将长文件名以13个字符为单位进行切割，每一组占据一个目录项，所以可能一个文件需要多个目录项，这时长文件名的各个目录项按倒序排列在目录表中。 长文件名中的字符采用Unicode形式编码，每个字符占据两字节的空间。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 长文件名中并不存储对应文件的文件开始簇、文件大小、各种事件和日期属性。文件的这些属性还是存放在端文件名目录项中。 一个长文件名总是和其相应的短文件名一一对应，短文件名没有了长文件名还可以读，但长文件名如果没有对应的短文件名，不管什么系统都将忽略其存在。，所以短文件名是至关重要的。 长文件名的0xD校验和起很重要的作用，此校验和是用短文件名的11个字符通过一种运算方式来得到的。系统根据相应的算法来确定相应的长文件名和短文件名是否匹配。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 5.2.2 日志文件 Windows操作系统维护三个相互独立的日志文件：系统日志、应用程序日志、安全日志。同时还有DNS日志、防火墙日志、HIDS日志、NIDS日志等。 日志保存的默认位置 以上日志在注册表里的键 有些管理员很可能将这些日志重新定位 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile