10.16467/j.1008-3650.2015.01.012
NTFS 格式存储设备数据恢复方法研究
目的:研究 NTFS 存储设备的3种数据恢复方式,测试、比较不同方式的恢复效果,促进电子物证检验工作。方法本文针对同一 NTFS 存储设备,分别使自行设计的 NTFS 日志检验软件测试基于 NTFS 日志文件的恢复方式,使用 Final Data 的快速扫描功能测试基于 MFT 记录的恢复方式,使用 Final Data 的完整扫描功能测试基于文件头部存储特征值的恢复方式,比较3种方式的恢复效果,分析各自的恢复原理。结果基于 NTFS日志和 MFT 记录的方式恢复出的信息较全,用时较短,但不适合恢复较长时间之前删除的文件。基于文件头部存储特征值的方式可恢复较长时间前删除的文件,但用时长,不能恢复文件名、创建时间等信息,也不能有效恢复离散存储的文件。结论结合实际情况、综合运用3种方式可有效恢复数据。
电子物证、NTFS、日志、MFT、特征值、恢复
DF793.2(诉讼法)
公安部科研计划项目No.2014JSYJB033, No.2014YYCXXJXY055辽宁省教育科学‘十二五’规划课题JG14db440
2015-03-05(万方平台首次上网日期,不代表论文的发表时间)
共4页
55-58
