【干货】使用EnCase来分析windows 7文件系统------认识元数据记录$MFT，数据恢复

来源：Unit 6: Windows File Systems and Registry 6.1 Windows File Systems and Registry Windows NTFS File System

现在预览的是Windows 7图像  带美元符号的文件都是系统文件 这里C盘高亮是自己设置的，只想看看C盘中的情况，屏蔽了其他盘的信息

往后托是时间戳，有趣的地方在于时间都是一样的。这些是在格式化NTFS文件系统时生成的。

永远不会发送改变。这个地方可以明确的用来当成一种法医学证据，系统是什么时候被格式化的（民用的时候通常格式化发生在装系统时，买新电脑时，电脑预装系统出厂时）

现在，重点关注一下美元符号MFT和美元符号MFTMirror，这两个文件。美元符号MFTMirror是美元符号MFT中的文件数量的镜像。

所有的windows7文件，在$MFTMirr中都有自己的记录，术语叫做MFT记录。每个文件使用一个或多个MFT记录存储元数据信息。NTFS（win7使用的文件系统）的关键组件是主文件表(MFT)。如果你学习过前面提到的FAT系统（dos系统）你会发现从分区的第一个扇区开始，与dos系统中的结构是惊人的相似。这又进一步验证了学习思维，学习老旧的dos系统（使用于大约1990年前），其实就是在学习与掌握最新的系统（windows7）。

这个学习思维的信息，如果没有高人指点，你将永远无法判断什么时候学旧的没毛病，什么时候学旧的会出现问题。这种现象，意味着我们需要时刻关注哪里会出现优质的教育和引导。比如，目前知道的edx和SANS社区，这两个平台有叹为观止的引导视频以外，hackone的世界级社区也在致力于发布教育类视频（它们通常出现在youtube上）。我们的任务是找到这样的学习环境。你不关注花，花永远只是花；你若关注花，它将五颜六色。只要你关注它，英文考试得8分，都阻止不了你的观察力与思考力。

这里面很多都是不可读的，但是但是我们可以看到文件名。$MFT，这是我们看见的。

往下翻，可以发现另一个文件名。$MFTMirr  再往下翻还可以发现几个文件名，这里不贴图了。

接下来看一下，桌面的一个文件，它叫做FTK Password，文件内容非常小，就放了几个帐号密码，小的文件很有可能直接驻留在美元符号MFT条目中。这里看看是不是驻留在$MFT中

选择路径到桌面，发现了文件以及文件内容都是一致的，但仍然无法看见是不是驻留在了$MFT中

试着找出它是否在MFT中。点击第一个字符，然后再切换一下视角。就可以定位到指定的扇区。

往下翻，会发现file0特征值，这表示$MFT记录，还有文件内容。这说明文件内容都在$MFT里面。

所以在这种情况下，在$MFT条目内， Windows不需要保存大量信息，因为它只是一点点内容。所以数据直接放入了$MFT内保存。700字节的内容直接可以放进来。通过工具的使用，以及工具的交互显示，可以给你这些字节的长度以及文件内容占了多少。5分钟时间，点一点，看一看，掌握这里的一切。

因此，这证明了小文件的数据内容驻留在美元符号MFT条目中。

最后，$MFT还有一个能力，就是恢复数据，通过它可以把数据区与文件名之间的关系再联系起来。有的文件删除了，实际上保存数据的扇区还在，只是它们失去了文件名。