取证基础之数字取证文件系统

查看内容

取证基础之数字取证文件系统

2020-12-29 15:54| 发布者: 龙华司鉴| 查看: 585| 评论: 0|来自: 龙华司法鉴定整理

计算机的文件系统(FS)是一种存储和组织计算机数据的方法
> 使得对其访问和查找变得容易
> 使用文件和树形目录的抽象逻辑概念,代替了硬盘和光盘等物理设备使用数据块的概念
> 用户使用文件系统来保存数据,不必关心数据实际保存在硬盘(或者光盘)的地址为多少的数据块上,只需要记住这个文件的所属目录和文件名
> 在写入新数据之前,用户不必关心硬盘上的那个块地址有没有被使用,硬盘上的存储空间管理(分配和释放)功能由文件系统自动完成,用户只需要记住数据被写入到了哪个文件中

FS通常使用硬盘和光盘这样的存储设备,并维护文件在设备中的物理位置

> 但是,实际上文件系统也可能仅仅是一种访问数据的界面而已
> 实际的数据是通过网络协议(如NFS、SMB、9P等)提供的,甚至可能根本没有对应的文件(如proc文件系统)
> 严格地说,文件系统是一套实现了数据的存储、分级组织、访问和获取等操作的抽象数据类型(Abstract data type)
进一步理解
文件系统是一种用于向用户提供底层数据访问的机制
> 它将设备中的空间划分为特定大小的块(或者称为簇),一般每块512字节
> 数据存储在这些块中,大小被修正为占用整数个块
> 由文件系统软件来负责将这些块组织为文件和目录,并记录哪些块被分配给了哪个文件,以及哪些块没有被使用
> 不过,文件系统并不一定只在特定存储设备上出现
> 它是数据的组织者和提供者,至于它的底层,可以是磁盘,也可以是其它动态生成数据的设备(比如网络设备)

基本概念

文件名
> 在文件系统中,文件名是用于定位存储位置,大多数的文件系统对文件名的长度有限制
> 在一些文件系统中,文件名对大小写不敏感,在另一些文件系统中则大小写敏感

> 大多现今的文件系统允许文件名包含非常多的Unicode字符集的字符

元数据(Metadata)
> 一些文件保存信息常常伴随着文件自身保存在文件系统中
> 文件长度可能是分配给这个文件的区块数,也可能是这个文件实际的字节数
> 文件最后修改时间也许记录在文件的时间戳中

> 有的文件系统还保存文件的创建时间,最后访问时间及属性修改时间等信息

安全访问
> 针对基本文件系统操作的安全访问可以通过访问控制列表或capabilities实现
> 研究表明访问控制列表难以保证安全,逐步倾向于使用capabilities

类型

磁盘文件系统
> 是一种设计用来利用数据存储设备来保存计算机文件的文件系统

> 最常用的数据存储设备是磁盘驱动器,可以直接或者间接地连接到计算机上

光盘

> ISO 9660和UDF被用于CD、DVD与蓝光光盘

闪存文件系统

> 是一种设计用来在闪存上储存文件的文件系统

数据库文件系统
> 文件管理方面的一个新概念,是一种基于数据库的文件系统的概念

> 于是文件检索就可以按照SQL风格甚至自然语言风格进行,例如:BFS和WinFS

网络文件系统(NFS,Network File System,分布式文件系统)

> 是一种将远程主机上的分区(目录)经网络挂载到本地系统的一种机制

各种文件系统

FAT文件系统,File Allocation Table,文件分配表
NTFS(英语:New Technology File System)
exFAT(Extended File Allocation Table)
延伸文件系统(Extended file system,extext1),也称扩展文件系统
第二代扩展文件系统(Second extended filesystem,ext2
第三代扩展文件系统(Third extended filesystem,ext3
第四代扩展文件系统(Fourth extended filesystem,为ext4
分层文件系统(Hierarchical File System,HFS
HFS Plus,或HFS+

苹果文件系统(Apple File System,APFS

操作系统支持的主要文件系统

内容页面Content
联系方式Contact
地 址:内蒙古乌海市海勃湾区
海北东街48-4
邮 编:016000 咨询热线:0473-2099000 服务投拆:138-4833-5527 传 真:0473-2099000 邮 箱:service@longhuasfjd.com
 
QQ在线咨询
售前咨询热线
0473-2099000
售后服务热线
13848335527
返回顶部