NTFS

Aus IT-Forensik Wiki
Version vom 28. Juli 2021, 17:32 Uhr von St201821 (Diskussion | Beiträge)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)

Ohne ein Dateisystem würde ein Betriebssystem nicht auf einer Festplatte installiert werden können. Ein Dateisystem definiert wie Dateien auf einer Festplatte benannt, gespeichert und organisiert werden.

New Technology File System (NTFS) ist die Bezeichnung für das standardmäßige Dateisystem von Windows. NTFS ist der Nachfolger des bis Windows 95 von Microsoft verwendete FAT-Dateisystem. Ziel dieser Ablöse war es, die Einschränkungen des FAT-Dateisystems auszubessern und die Zuverlässigkeit zu erhöhen, sowie eine Plattform für hinzugefügte Funktionen zu bieten. Die Vorteile von NTFS liegen vor allem in der Unterstützung von sehr großen Dateien und Partitionen. Ab Speichergrößen von 400MB aufwärts liegen die Stärken des NTFS. Auf einem NTFS Dateisystem kann zwischen 2 Arten von Dateien unterschieden werden: Normaldaten und Metadaten.

Normaldaten sind Daten, welche von einem User stammen. Metadaten sind administrative Daten und beinhalten Informationen über die Normaldaten. Des Weiteren hat NTFS kein bestimmtes Layout, somit können Daten überall auf der Festplatte gespeichert werden. Nur die ersten Sektoren einer Festplatte enthalten den Boot Sektor und den Boot Code.

Der Master File Table (MFT) ist das Grundkonzept von NTFS. Er beinhaltet alle Informationen über alle Dateien und Verzeichnisse. Jede Datei und jedes Verzeichnis hat zumindest einen Eintrag in dem MFT. Jeder MFT Eintrag hat eine feste Größe, welche im Boot Sektor festgelegt wird. Jeder MFT Eintrag bekommt eine Nummer, welche ihre Position in der Tabelle widerspiegelt. Ein MFT Eintrag besteht aus einem Entry Header und verschiedenen Attribute wie z.B. der Datei Name, die Dateigröße, Datum der Erstellung, Datum der letzten Änderung, der Datentyp und den eigentlichen Datei Inhalt.

Sollte eine Datei größer als der Attributteil des MFT Eintrags sein, so werden die restlichen Informationen der Datei irgendwo anders auf der Festplatte gespeichert. Damit das Dateisystem diese restlichen Daten finden kann, wird deren Speicheradresse in dem MFT gespeichert. Die ersten 16 Einträge des MFT sind für die Metadaten reserviert. Zusätzliche Metadaten sind irgendwo auf der Festplatte gespeichert.

Weblinks