现在预览的是Windows 7图像 带美元符号的文件都是系统文件 这里C盘高亮是自己设置的,只想看看C盘中的情况,屏蔽了其他盘的信息
往后托是时间戳,有趣的地方在于时间都是一样的。这些是在格式化NTFS文件系统时生成的。
永远不会发送改变。这个地方可以明确的用来当成一种法医学证据,系统是什么时候被格式化的(民用的时候通常格式化发生在装系统时,买新电脑时,电脑预装系统出厂时)
现在,重点关注一下美元符号MFT和美元符号MFTMirror,这两个文件。美元符号MFTMirror是美元符号MFT中的文件数量的镜像。
所有的windows7文件,在$MFTMirr中都有自己的记录,术语叫做MFT记录。每个文件使用一个或多个MFT记录存储元数据信息。NTFS(win7使用的文件系统)的关键组件是主文件表(MFT)。如果你学习过前面提到的FAT系统(dos系统)你会发现从分区的第一个扇区开始,与dos系统中的结构是惊人的相似。这又进一步验证了学习思维,学习老旧的dos系统(使用于大约1990年前),其实就是在学习与掌握最新的系统(windows7)。
这个学习思维的信息,如果没有高人指点,你将永远无法判断什么时候学旧的没毛病,什么时候学旧的会出现问题。这种现象,意味着我们需要时刻关注哪里会出现优质的教育和引导。比如,目前知道的edx和SANS社区,这两个平台有叹为观止的引导视频以外,hackone的世界级社区也在致力于发布教育类视频(它们通常出现在youtube上)。我们的任务是找到这样的学习环境。你不关注花,花永远只是花;你若关注花,它将五颜六色。只要你关注它,英文考试得8分,都阻止不了你的观察力与思考力。
这里面很多都是不可读的,但是但是我们可以看到文件名。$MFT,这是我们看见的。
往下翻,可以发现另一个文件名。$MFTMirr 再往下翻还可以发现几个文件名,这里不贴图了。
接下来看一下,桌面的一个文件,它叫做FTK Password,文件内容非常小,就放了几个帐号密码,小的文件很有可能直接驻留在美元符号MFT条目中。这里看看是不是驻留在$MFT中
选择路径到桌面,发现了文件以及文件内容都是一致的,但仍然无法看见是不是驻留在了$MFT中
试着找出它是否在MFT中。点击第一个字符,然后再切换一下视角。就可以定位到指定的扇区。
往下翻,会发现file0特征值,这表示$MFT记录,还有文件内容。这说明文件内容都在$MFT里面。
所以在这种情况下,在$MFT条目内, Windows不需要保存大量信息,因为它只是一点点内容。所以数据直接放入了$MFT内保存。700字节的内容直接可以放进来。通过工具的使用,以及工具的交互显示,可以给你这些字节的长度以及文件内容占了多少。5分钟时间,点一点,看一看,掌握这里的一切。
因此,这证明了小文件的数据内容驻留在美元符号MFT条目中。
最后,$MFT还有一个能力,就是恢复数据,通过它可以把数据区与文件名之间的关系再联系起来。有的文件删除了,实际上保存数据的扇区还在,只是它们失去了文件名。