| NTFS格式存储设备数据恢复方法研究 |
| |
| 引用本文: | 徐国天.NTFS格式存储设备数据恢复方法研究[J].刑事技术,2015(1):55-58. |
| |
| 作者姓名: | 徐国天 |
| |
| 作者单位: | 中国刑事警察学院网络犯罪侦查系,沈阳,110854 |
| |
| 基金项目: | 公安部科研计划项目(No.2014JSYJB033;No.2014YYCXXJXY055)辽宁省教育科学‘十二五’规划课题 |
| |
| 摘 要: | 目的研究NTFS存储设备的3种数据恢复方式,测试、比较不同方式的恢复效果,促进电子物证检验工作。方法本文针对同一NTFS存储设备,分别使自行设计的NTFS日志检验软件测试基于NTFS日志文件的恢复方式,使用Final Data的快速扫描功能测试基于MFT记录的恢复方式,使用Final Data的完整扫描功能测试基于文件头部存储特征值的恢复方式,比较3种方式的恢复效果,分析各自的恢复原理。结果基于NTFS日志和MFT记录的方式恢复出的信息较全,用时较短,但不适合恢复较长时间之前删除的文件。基于文件头部存储特征值的方式可恢复较长时间前删除的文件,但用时长,不能恢复文件名、创建时间等信息,也不能有效恢复离散存储的文件。结论结合实际情况、综合运用3种方式可有效恢复数据。
|
| 关 键 词: | 电子物证 NTFS 日志 MFT 特征值 恢复 |
Methods for File Recovery on NTFS File System |
| |
| XU Guo-tian.Methods for File Recovery on NTFS File System[J].Forensic Science and Technology,2015(1):55-58. |
| |
| Authors: | XU Guo-tian |
| |
| Institution: | XU Guo-tian;Department of Network Criminal Investigation,National Police University of China; |
| |
| Abstract: | |
| |
| Keywords: | digital forensics NTFS $LogFile MFT characteristic value restoration |
| 本文献已被 CNKI 万方数据 等数据库收录! |
|
