Dateisystemanalyse NTFS - Kapitel 06 PDF

Summary

This document provides an analysis of the NTFS file system. It discusses concepts like the Master File Table (MFT), clusters, and attributes. The document is part of a larger work on forensic methods offered in the winter semester of 2024/2025 by Prof. Dr. Fein at Hochschule Niederrhein.

Full Transcript

6.1 DATEISYSTEMANALYSE NTFS — KONZEPT 1

EINFÜHRUNG

▶ New Technology File System
▶ Ziel: Zuverlässigkeit, Sicherheit und Unterstützung großer Datenträger
▶ Skalierbarkeit realisiert durch komplexe Nutzung von Datenstrukturen
▶ Auch heute immer noch Standard
▶ Dateneinheit: Cluster → hintereinanderliegende Sektoren

X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005)
 6.1 DATEISYSTEMANALYSE NTFS — KONZEPT 2

ALLES IST EINE DATEI

▶ Prinzip: Alles ist eine Datei
▶ Gilt für Layout-Informationen und die eigentlichen Dateiinhalte, die ein Nutzer
abspeichert
▶ Ordner sind ebenfalls eine Datei
▶ Administrative Dateien sind mit Hilfe eines Attributs vor dem Nutzer versteckt

X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005)
 6.1 DATEISYSTEMANALYSE NTFS — KONZEPT 4

MASTER FILE TABLE (MFT)

▶ Herz des Dateisystems: MFT (Master File Table)
▶ Dateiname: $MFT
▶ Enthält Informationen über Dateien und Ordner innerhalb des Dateisystems
▶ Jede Datei/jeder Ordner erhält mindestens einen Eintrag (File Record) im MFT

X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005)
 6.1 DATEISYSTEMANALYSE NTFS — KONZEPT 5

MASTER FILE TABLE (MFT)

▶ Jeder Eintrag (file record) im MFT hat eine definierte Größe von 1024 Bytes
(standard, kann aber angepasst werden)
▶ Jeder MFT-Eintrag besteht aus einem Header (MFT Header) und mehreren
Attributen (Attributes)
▶ Attribute können Eigenschaften (z.B. Dateinamen) oder ein Dateiinhalt selbst (z.B.
kurze Texte) sein

X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005)
 6.1 DATEISYSTEMANALYSE NTFS — KONZEPT 6

MFT: AUFBAU EINES EINTRAGS

▶ Aufbau eines Eintrags (1024 Bytes):
Signatur FILE (ASCII) / BAAD (ASCII, falls fehlerhaft)
Anfang (42 Bytes) → Fest definiert (12 Felder)
Rest (982 Bytes) → Attribute (auch unbenutzte Bytes)

X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005)
 6.1 DATEISYSTEMANALYSE NTFS — KONZEPT 7

MFT: AUFBAU EINES EINTRAGS

MFT Entry
Header Attributes Unused Space

MFT Entry

X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Abbildung in Anlehnung an Carrier (2005)
 6.1 DATEISYSTEMANALYSE NTFS — KONZEPT 8

MASTER FILE TABLE (MFT)

▶ Erster Eintrag des MFT bezieht sich auf die $MFT-Datei selbst
▶ Speicherort ist im Boot-Sektor (erster Sektor des Dateisystems) hinterlegt
▶ $MFT kann fragmentiert sein
▶ Implementierung von Microsoft sorgt dafür, dass $MFT zunächst die minimale Größe
einnimmt
▶ Je nach Notwendigkeit wird MFT vergrößert und kann beliebig groß werden

X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005)
 6.1 DATEISYSTEMANALYSE NTFS — KONZEPT 11

BESONDERE EINTRÄGE IM MFT

▶ Da jede Information innerhalb einer Datei abgespeichert ist, muss es Dateien geben, die
z.B. Dateisystem-Informationen enthalten
▶ Die ersten 16 Einträge sind reserviert
▶ Normalweise sind diese Dateien vor dem Nutzer versteckt
▶ Dateinamen dieser Dateien beginnen mit einem $ (z.B. $MFT)

X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005)
 6.1 DATEISYSTEMANALYSE NTFS — KONZEPT 12

ATTRIBUTE IM MFT-EINTRAG

▶ Attribute werden genutzt um Eigenschaften einer Datei/eines Ordners zu definiert,
z.B. Name, Zeiten, …
▶ Aber auch der Inhalt der gespeichert werden soll ist selbst ein Attribut
▶ Ein Attribut besteht aus:
1. Kopf (Attribute Header) → 16 Byte
2. Inhalt (Attribute Content) → flexibel

X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005)
 6.1 DATEISYSTEMANALYSE NTFS — KONZEPT 13

ATTRIBUTE IM MFT-EINTRAG – AUFBAU

Kennzeichnung durch:
1. Type Identifier
⇒ Kennzeichnung mit Hilfe einer eindeutigen Nummer (gibt Reihenfolge vor)
2. Name
⇒ Attribut-Name, z.B. $FILE_NAME, $DATA, …

X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005)
 6.1 DATEISYSTEMANALYSE NTFS — KONZEPT 14

ATTRIBUTE IM MFT-EINTRAG – RESIDENT UND NON-RESIDENT

Unterteilung in:
▶ Resident Attributes
⇒ Inhalt des Attributs wird direkt im MFT-Eintrag gespeichert
▶ Non-Resident Attributes
⇒ Inhalt des Attributs verweist auf Cluster

X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005)
 6.1 DATEISYSTEMANALYSE NTFS — KONZEPT 15

ATTRIBUTE IM MFT-EINTRAG – HEADER

Header definiert:
▶ Typ (Type Identifier)
▶ Größe
▶ Namen (Unicode, UTF-16)
▶ Flags (komprimiert, resident, usw.)

X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005)
 6.1 DATEISYSTEMANALYSE NTFS — KONZEPT 16

ATTRIBUTE IM MFT-EINTRAG – STANDARD ATTRIBUTE TYPES

▶ Standard Attribute Types, z.B.:
$STANDARD_INFORMATION (Type 16)
⇒ z.B. MAC-Times des Eintrags, Besitzer, …
$FILE_NAME (Type 48)
⇒ Dateiname, MAC-Times
$DATA (Type 128)
⇒ Dateiinhalt

X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005)
 6.1 DATEISYSTEMANALYSE NTFS — KONZEPT 17

MFT: AUFBAU EINES EINTRAGS MIT ATTRIBUTEN

MFT Entry Attribute Attribute
Header Header Content Unused Space

MFT Entry

X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Abbildung in Anlehnung an Carrier (2005)
 6.1 DATEISYSTEMANALYSE NTFS — KONZEPT 18

MFT: AUFBAU EINES EINTRAGS MIT IDENTIFIER UND ATTRIBUTNAMEN

$STANDARD_INFORMATION
Type Id: 16

$FILE_NAME $DATA
MFT Entry Header Type Id: 48 Type Id: 128 Unused Space

MFT Entry

X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Abbildung in Anlehnung an Carrier (2005)
 6.1 DATEISYSTEMANALYSE NTFS — KONZEPT 19

LAUFLISTEN (CLUSTER RUNS)

▶ Non-Resident Attributes werden in Form von sog. Cluster Runs gespeichert
▶ Dort wird beschrieben, in welcher Reihenfolge die Cluster genutzt werden
▶ Mit Hilfe der Run Lists können die Daten wieder korrekt angeordnet werden

X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005)
 6.1 DATEISYSTEMANALYSE NTFS — KONZEPT 20

MFT – AUFBAU EINES EINTRAGS MIT NICHT-RESIDENTEM ATTRIBUT

MFT Entry Attribute Attribute
Header Header Content Unused Space

MFT Entry

Cluster
829

X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Abbildung in Anlehnung an Carrier (2005)
 6.1 DATEISYSTEMANALYSE NTFS — KONZEPT 21

MFT – CLUSTER RUN

48 49 50 51 52

1. Start: 48 Len: 5

2. Start: 80 Len: 2 56 57 58 59

3. Start: 56 Len: 4

80 81

X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Abbildung in Anlehnung an Carrier (2005)
 6.1 DATEISYSTEMANALYSE NTFS — KONZEPT 22

AUFBAU EINES CLUSTER RUNS

0010 0001
Byte 1 Byte 2 Byte 3 Byte 4

Run Length Run Offset

(0010)2 = (2)10 → 2 Bytes für Start-Cluster des Runs
(0001)2 = (1)10 → 1 Byte für die Länge des Runs

X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Abbildung in Anlehnung an Carrier (2005)
 6.2 DATEISYSTEMANALYSE NTFS — DATEISYSTEMDATEN 35

$MFT

▶ Master File Table (MFT) ist in Datei $MFT gespeichert
⇒ Eintrag 0
▶ Startpunkt ist im Boot-Sektor des Dateisystems eingetragen
▶ Enthält Einträge für alle Dateien und Ordner innerhalb des Dateisystems
▶ Wichtige Attribute des Eintrags zu $MFT im MFT:
$DATA: Cluster, die das MFT nutzt
$BITMAP: Allokierungs-Status der MFT-Einträge

X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005)
 6.2 DATEISYSTEMANALYSE NTFS — DATEISYSTEMDATEN 36

$MFT

▶ Weitere Attribute des Eintrags zu $MFT im MFT:
$FILE_NAME
$STANDARD_INFORMATION
▶ Start des MFT so klein wie möglich, dynamische Anpassung im Laufe der Nutzung
▶ Fragmentierung des MFT ist möglich

X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005)
 6.2 DATEISYSTEMANALYSE NTFS — DATEISYSTEMDATEN 37

$MFTMIRR

▶ $MFT ist das zentrale Element von NTFS
▶ Fehler bzw. korrupte Daten sind ein großes Problem → Single Point of Failure
▶ Es wird daher in der Datei $MFTMirr eine Kopie der wichtigsten Daten gespeichert
⇒ Eintrag 1
▶ Mit Hilfe des non-resident Attributes $DATA werden die Daten in der Mitte des
Dateisystems abgelegt

X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005)
 6.2 DATEISYSTEMANALYSE NTFS — DATEISYSTEMDATEN 38

$BOOT

▶ Beinhaltet den Boot-Sektor des Dateisystems
⇒ Eintrag 7
▶ Mit Hilfe des $DATA-Attributs wird auf den ersten Sektor des Dateisystems
(Boot-Information) gezeigt (bzw. der Inhalt dort abgelegt)
▶ Boot-Sektor wird als Backup am Ende des Dateisystems vorgehalten
▶ Große Ähnlichkeit zum Boot-Sektor von FAT (z.B. Signatur 0xAA55)

X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005)
 6.2 DATEISYSTEMANALYSE NTFS — DATEISYSTEMDATEN 40

$ATTRDEF

▶ Beinhaltet Informationen bzgl. der Attribute des Dateisystems
⇒ Eintrag 4
▶ Wichtige Attribute des Eintrags:
In $DATA: Namen und Type-Identifier für jeden Attributstyp
▶ Grundsätzliche Frage: Wie soll man das $DATA-Attribut des Eintrags von $AttrDef
auslesen, wenn man den dazugehörigen Identifier nicht kennt?
→ Standardwerte

X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005)
 6.3 DATEISYSTEMANALYSE NTFS — INHALTSDATEN 52

CLUSTER

▶ Dateneinheit: Cluster besteht aus einer Gruppe von Sektoren
▶ Die Anzahl der Sektoren ist durch 2n gegeben (1, 2, 4, …)
▶ Adresse des ersten Clusters: 0
▶ Erster Sektor des Dateisystems: Erster Sektor von Cluster 0

X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005)
 6.3 DATEISYSTEMANALYSE NTFS — INHALTSDATEN 53

CLUSTER

▶ Jedes Cluster kann zu jeder Datei gehören
▶ NTFS speichert alle Daten in Form von Attributen innerhalb des MFT
▶ Resident Attributes befinden sich im MFT-Eintrag
▶ Non-Resident Attributes zeigen auf Cluster

X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005)
 6.3 DATEISYSTEMANALYSE NTFS — INHALTSDATEN 55

$BITMAP

▶ Beinhaltet den Allokierungs-Status der Cluster
⇒ Eintrag 6
▶ $DATA: Beinhaltet pro Cluster ein Bit
(1→ allokiert, 0→ nicht allokiert)

X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005)
 6.3 DATEISYSTEMANALYSE NTFS — INHALTSDATEN 56

$BADCLUS

▶ Beinhaltet Informationen über beschädigte Cluster
⇒ Eintrag 8
▶ $DATA (Name: $Bad, non-resident): Beinhaltet Adressen von Cluster, die nicht mehr
weiter genutzt werden dürfen

X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005)
 6.4 DATEISYSTEMANALYSE NTFS — METADATEN 58

$STANDARD_INFORMATION-ATTRIBUT

▶ Beinhaltet Kerninformationen über den spezifischen Eintrag
▶ Existiert für jeden(!) Eintrag des MFT
▶ Zeitstempel: in 100 Nanosekunden seit 01.01.1601
▶ Enthält folgende Zeitstempel:
Creation Time ⇒ Erstelldatum der Datei
Modified Time ⇒ Änderungsdatum, wenn Attribute $DATA oder $INDEX geändert
wurden
MFT Modified Time ⇒ Änderungsdatum des MFT-Eintrags (nicht sichtbar durch OS)
Accessed Time ⇒ Letzte Zugriffszeit

X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005)
 6.4 DATEISYSTEMANALYSE NTFS — METADATEN 59

$FILE_NAME-ATTRIBUT

▶ Existiert ebenfalls für jeden(!) Eintrag des MFT
▶ Jede Datei und jeder Ordner besitzt mindestens ein $FILE_NAME-Attribute
▶ Enthält Verweis auf Elternverzeichnis
▶ Datei- oder Ordnername ist Teil der Dateinamen-Kategorie (UTF-16)
▶ Enthält Zeitstempel (siehe $STANDARD_INFORMATION-Attribut), die allerdings
normalerweise nicht aktualisiert werden

X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005)
 6.4 DATEISYSTEMANALYSE NTFS — METADATEN 60

$DATA-ATTRIBUT

▶ Wird benutzt um jegliche Form von Daten zu speichern
▶ Besitzt kein festgelegtes Format
▶ Mit Hilfe von Alternate Data Streams können mehrere Attribute dieses Typs
existieren

X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005)
 6.4 DATEISYSTEMANALYSE NTFS — METADATEN 62

ALLOKIERUNGS-STRATEGIE EINES MFT-EINTRAGS

Allokierung des MFT-Eintrags:
▶ First Available ab Eintrag 24
▶ Allokierung lediglich durch Flag gesetzt
▶ MFT-Bitmap vorhanden
▶ Bei Wechsel von resident zu non-resident eines Attributs → Attribute so lang
vorhanden, bis von Anderen überschrieben

X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005)
 6.5 DATEISYSTEMANALYSE NTFS — DATEINAMENDATEN 68

DATEI- UND ORDNERNAMEN

▶ Dateinamen in $FILE_NAME-Attribut
▶ In UTF-16 kodiert
▶ Ordner werden mit Hilfes eines Flags im $STANDARD_INFORMATION- und
$FILE_NAME-Attribut gekennzeichnet

X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005)
 6.5 DATEISYSTEMANALYSE NTFS — DATEINAMENDATEN 69

ORDNER UND ROOT DIRECTORY

▶ Auch Ordner sind eine Datei im MFT
▶ Weitere wichtige Attribute von Ordnern:
$INDEX_ROOT
$INDEX_ALLOCATION
$BITMAP
▶ Root Directory → MFT-Eintrag 5 mit dem Namen ’.’

X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005)
 6.6 DATEISYSTEMANALYSE NTFS — ANWENDUNGSDATEN 74

ÜBERBLICK

▶ Quotas
⇒ Nutzbaren Anteil an Speicherplatz für Nutzer festlegen
▶ Logging/Journaling
⇒ Ermöglicht die Wiederherstellung eines korrupten Dateisystems
▶ Change Journal
⇒ Zeiten, wann Einträge verändert wurden

X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005)
 6.7 DATEISYSTEMANALYSE NTFS — ZUSAMMENFASSUNG 75

ERSTELLEN EINER DATEI

Ausgangslage:
1. Eine Datei soll geschrieben werden
2. Dateiname: ’file1.dat’
3. In Ordner ’dir1’ (befinden sich in Root Directory)
4. Ordner bereits vorhanden
5. Größe → 2 Cluster

Anmerkung: Vorgehen ist ein Modell und ein echtes Betriebssystem muss nicht zwingend so
agieren, vor allem nicht in der Reihenfolge.

X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005)
 6.7 DATEISYSTEMANALYSE NTFS — ZUSAMMENFASSUNG 76

ERSTELLEN EINER DATEI

1. Boot Sector auslesen
Größe der Cluster bestimmen
Start des MFT finden
Größe eines Eintrags im MFT finden
2. Eintrag von $MFT analysieren
Erfassen der gesamten Größe des MFT
Hierfür $DATA Attribut des Eintrags auswerten
3. MFT-Eintrag finden und allokieren
MFT Entry Bitmap auswerten
Freien Eintrag finden
Bit auf 1 setzen

X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005)
 6.7 DATEISYSTEMANALYSE NTFS — ZUSAMMENFASSUNG 77

ERSTELLEN EINER DATEI

4. MFT-Eintrag initial setzen
Alte Daten überschreiben
Eintrag mit $STANDARD_INFORMATION, $FILE_NAME und Use Flag initialisieren
5. Cluster finden
Cluster Bitmap auswerten
Aufeinanderfolgende Cluster identifizieren
Bit(s) auf 1 setzen
6. Ordner in Index finden
Index des Root Directory auswerten
Eintrag des Ordners ’dir1’ finden

X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005)
 6.7 DATEISYSTEMANALYSE NTFS — ZUSAMMENFASSUNG 78

ERSTELLEN EINER DATEI

7. Datei in Ordner-Struktur einbinden
MFT-Eintrag von ’dir1’ analysieren
Index von ’dir1’ auswerten
Index Entry setzen und Index neu sortieren

X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005)
 6.7 DATEISYSTEMANALYSE NTFS — ZUSAMMENFASSUNG 79

ERSTELLEN DER DATEI DIR1\FILE1.DAT
MFT Entry Bitmap $LogFile Journal...1...
Boot Sector \ Index

dir1 - 200
0 $MFT...
Cluster Bitmap
2 $LogFile Quota Index......11...
5 \
6 $Bitmap...
Change Journal
$Quota
$UsrJrnl... dir1 Index

200 dir1 file1.dat - 304...... file1.dat $DATA attribute

304 file1.dat Cluster 692 Cluster 693

X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Abbildung in Anlehnung an Carrier (2005)
 6.7 DATEISYSTEMANALYSE NTFS — ZUSAMMENFASSUNG 80

LÖSCHEN EINER DATEI

Vorgehen zur Analyse des MFT analog zur Erstellung der Datei...
3. Ordner in Index finden
Index des Root Directory auswerten
Eintrag des Ordners ’dir1’ finden
4. Datei in Ordner-Struktur finden
MFT-Eintrag von ’dir1’ analysieren
Index von ’dir1’ auswerten
MFT-Eintrag von ’file1.dat’ finden
5. Datei aus Ordner-Struktur entfernen
MFT-Eintrag von ’file1.dat’ löschen
Änderungen des Index durchführen

X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005)
 6.7 DATEISYSTEMANALYSE NTFS — ZUSAMMENFASSUNG 81

LÖSCHEN EINER DATEI

6. MFT aktualisieren
Flag auf nicht-allokiert setzen
MFT Entry Bitmap aktualisieren
7. Cluster-Status aktualisieren
Weitere Attribute des MFT-Eintrags analysieren
Cluster Entry Bitmap aktualisieren

X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005)
 6.7 DATEISYSTEMANALYSE NTFS — ZUSAMMENFASSUNG 82

LÖSCHEN DER DATEI DIR1\FILE1.DAT
MFT Entry Bitmap $LogFile Journal...0...
Boot Sector \ Index

dir1 - 200
0 $MFT...
Cluster Bitmap
2 $LogFile Quota Index......00...
5 \
6 $Bitmap...
Change Journal
$Quota
$UsrJrnl... dir1 Index

200 dir1...... file1.dat $DATA attribute

304 file1.dat Cluster 692 Cluster 693

X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Abbildung in Anlehnung an Carrier (2005)