|

Особенности криминалистического исследования файловой системы NTFS

Авторы: Коваленко А.С.
Опубликовано в выпуске: #5(58)/2021
DOI: 10.18698/2541-8009-2021-5-696


Раздел: Юридические науки | Рубрика: Уголовное право и криминология

Ключевые слова: файловая система, NTFS, MFT, атрибуты файла, файловая запись, экспертиза, криминалистическое исследование, судебная компьютерно-техническая экспертиза

Опубликовано: 20.05.2021

Статья посвящена поиску и анализу криминалистически значимой информации на уровне файловой системы. Рассмотрены некоторые основные концепции, структуры данных и принципы работы одной из наиболее распространенных файловых систем New Technology File System (NTFS), являющейся стандартом для операционных систем семейства Windows. Проанализирована структура основных атрибутов, таких как $STANDARD_INFORMATION, $FILE_NAME, $OBJECT_ID и $DATA. Описан эксперимент по декодированию файловой записи в главной файловой таблице (Master File Table, MFT), в ходе которого была получена информация, позволяющая идентифицировать файл. Данный способ также может быть применен при восстановлении удаленных или поврежденных данных.


Литература

[1] Омельянюк Г.Г, Усов А.И. Тенденции развития судебно-экспертной деятельности: вызовы времени и решения. Фундаментальные и прикладные исследования в сфере судебно-экспертной деятельности и ДНК-регистрации населения РФ. Мат. Всерос. науч.-практ. конф. Уфа, БГУ, 2019, с. 205–212.

[2] Сафонова Н.А. К вопросу о применении цифровых технологий в гражданском процессе. Сб. науч. тр. конф. Юридическая наука в XXI веке: актуальные проблемы и перспективы их решений. М., Конверт, 2020, с. 89–91.

[3] Кэрриэ Б. Криминалистический анализ файловых систем. СПб., Питер, 2007.

[4] ГОСТ Р 57429-2017. Судебная компьютерно-техническая экспертиза. Термины и определения. М., Стандартинформ, 2018.

[5] Касперски К. Файловая система NTFS извне и изнутри. Системный администратор, 2004, № 11. URL: http://samag.ru/archive/article/375

[6] Волкова С.В., Карлова А.В. Криминалистический анализ атрибутов даты и времени информационных объектов. Modern Science, 2020, № 4-2, с. 21–27.

[7] Shaaban A., Sapronov K. Practical Windows forensics. Packt Publishing, 2016.

[8] Нехорошев А.Б., Шухнин М.Н., Юрин И.Ю. и др. Практические основы компьютерно-технической экспертизы. Саратов, Научная книга, 2007.

[9] Вехов В.Б., Ковалев С.А. Компьютерное моделирование при расследовании преступлений в сфере компьютерной информации. Волгоград, ВА МВД России, 2014.

[10] Касперски К. Восстановление данных на NTFS-разделах. Системный администратор, 2004, № 9. URL: http://samag.ru/archive/article/342

[11] NTFS documentation. ftp.kolibrios.org: веб-сайт. URL: http://ftp.kolibrios.org/users/Asper/docs/NTFS/ntfsdoc.html (дата обращения: 10.03.2021).

[12] Файловая система NTFS. intuit.ru: веб-сайт. URL: https://intuit.ru/studies/professional_skill_improvements/10808/courses/1078/lecture/16586 (дата обращения: 10.03.2021).