技术分享｜Windows取证之寻找已删除的文件

2024年11月29日10:18:26评论54 views字数 1385阅读4分37秒阅读模式

寻找被删除的文件是计算机取证过程中的一项常见任务。在案件调查中，已删除的文件通常具有重要意义，因为嫌疑人喜欢通过删除文件掩盖自己的行踪。此外，嫌疑人和其他人一样，也会删除文件以保持电脑干净整洁，而已删除的文件可能具有证据价值。同时在企业环境中，当文件被误删除或存储介质出现问题时，也经常需要恢复已删除的文件。恢复已删除文件的过程通常称为数据恢复，可以采用多种不同的方法。

Windows系统通常使用NTFS文件系统，在NTFS中，卷中所有的数据都存放在$MFT中。MFT，全称Master File Table，即主文件表或者主文档表，它是NTFS文件系统的核心。它包含了NTFS卷中所有文件信息的数据库，NTFS使用MFT条目定义它们对应的文件，有关文件的所有信息，比如大小、时间、权限等都存在MFT条目中，或者由MFT条目描述存储在MFT外部的空间中的位置。

MFT由一个个MFT项（也称为文件记录(File Record)）组成，每个MFT项占用1024字节的空间。在$MFT中每个文件（包括MFT本身）至少有一个MFT，记录着该文件的各种信息。这些信息被称为属性。File Record在$MFT文件中物理上是连续的，且从0开始编号，每个MFT项的前部几十个字节有着固定的头结构，用来描述本MFT项的相关信息。后面的字节存放着“属性”。

技术分享｜Windows取证之寻找已删除的文件

实际上，硬盘上会留下文件数据，通常是在文件被覆盖或由SSD垃圾回收程序删除之前。只要数据仍然存在，就可以通过在分区中搜索包含文件但不在MFT中的扇区来恢复它们。由于文件实际上并未被删除，因此恢复过程很简单。从操作系统的角度来看，上述过程是正确的。然而，在计算机中，现实情况要稍微复杂一些。这是因为固态硬盘（SSD）的工作方式所致。当需要向已经包含某些数据的SSD分区写入数据时，必须先完全删除原有数据。因此，保留已被从MFT中删除的文件碎片会降低性能。因此，SSD通常会使用TRIM技术。TRIM本质上是一种功能，它会立即擦除从操作系统中删除的数据，从而无法恢复。然而，并非所有SSD都启用了TRIM，在这种情况下，恢复操作将如上所述进行。