serwis komputerowy, odzyskiwanie danych

Odzyskiwanie danych w systemie plików NTFS.


System plików NTFS (New Technology File System) był odpowiedzią na rozwój techniki komputerowej, zwłaszcza w zakresie środowisk sieci lokalnych. Środowiska sieciowe znacznie wyższe wymagania odnośnie zabezpieczenia danych, kontroli dostępu, czy zarządzania współdzielonymi zasobami. Dlatego obok typowego zarządzania plikami i strukturą katalogów NTFS ma szereg funkcji wykorzystywanych w warstwie aplikacyjno-administracyjnej. Do ważniejszych funkcji należą atrybuty identyfikatorów pozwalające na jednoznaczną identyfikację plików bez względu na zmiany ich nazw i lokalizacji w strukturze logicznej, wewnętrzną kompresję i szyfrowanie na poziomie plików (Encrypting File System - EFS).
System NTFS jest dziełem firmy Microsoft, jednak w dużym stopniu jest pokłosiem wcześniejszej współpracy Microsoftu z IBMem nad systemem plików HPFS (High Performance File System) przeznaczonego dla systemu operacyjnego OS/2. Współpraca ta rozpadła się ze względu na konflikt interesów wynikający z zaawansowania Microsoftu w prace nad własnymi systemami operacyjnymi z rodziny Windows. Pierwszym systemem wykorzystującym system plików NTFS był Windows NT, a od czasów Windowsa XP NTFS w znacznym stopniu wyparł FAT z użycia na komputerach osobistych stając się jednym z najpopularniejszych, jeśli nie najpopularniejszym systemem plików.
Z uwagi na fakt, że NTFS jest rozbudowanym systemem plików, zawierającym także funkcje mające marginalne znaczenie dla adresowania i przechowywania plików, w czasie szkolenia nie będzie możliwe szczegółowe omówienie wszystkich zagadnień związanych z NTFSem. Jest to szkolenie ukierunkowane na naukę odzyskiwania danych w systemie plików NTFS, dlatego największą uwagę przyłożymy do struktury logicznej odpowiedzialnej za opisywanie plików i ich atrybutów – głównej tablicy plików MFT (Master File Table). Zajmiemy się także innymi metaplikami poświęcając im czas proporcjonalnie do ich znaczenia dla odzyskiwania danych. Dlatego stosunkowo prosty, ale istotny w aspekcie wykonywania kopii posektorowej uszkodzonego dysku plik $Bitmap omówimy znacznie dokładniej od bardziej skomplikowanego pliku $Secure mającego większe znaczenie w zadaniach administratora, niż w odzyskiwaniu danych.



Cele szkolenia:


Celem szkolenia jest:
Zapoznanie ze strukturą tablicy partycji GPT
zapoznanie ze strukturą systemu plików NTFS
zapoznanie z metadanymi systemu plików NTFS i rolą poszczególnych metaplików,
analiza rekordów $MFT,
nauka praktycznego wykorzystania informacji zawartej w atrybutach rekordu $MFT w odzyskiwaniu danych,
przygotowanie uczestników do samodzielnej analizy metadanych i rozwiązywania praktycznych problemów występujących w systemie plików NTFS.



Umiejętności nabywane w czasie szkolenia:


Po szkoleniu uczestnik będzie:
znał strukturę nagłówka oraz tablicy partycji GPT,
znał wewnętrzną organizację partycji NTFS,
znał metapliki systemu plików NTFS i rozumiał ich rolę w przechowywaniu informacji,
znał i rozumiał wewnętrzną strukturę głównej tablicy plików (Master File Table) oraz jej rekordów,
potrafił wyszukiwać atrybuty wewnątrz rekordu MFT oraz analizować zawarte w tych rekordach informacje,
umiał zlokalizować poszukiwany plik na podstawie atrybutu danych rekordu MFT,
rozumiał i potrafił wykorzystywać zależności występujące pomiędzy różnymi elementami struktur logicznych systemu plików NTFS,
potrafił wykorzystać plik bitmapy do odróżnienia wolnego i zajętego miejsca na partycji,
potrafił odtwarzać najważniejsze parametry partycji NTFS na podstawie znalezionych fragmentów struktur logicznych,
potrafił identyfikować i poprawiać błędy w strukturach logicznych systemu plików NTFS.



Adresaci szkolenia


Szkolenie przeznaczone jest dla osób zamierzających profesjonalnie zajmować się odzyskiwaniem danych lub informatyką śledczą, funkcjonariuszy służb, biegłych sądowych, techników serwisów komputerowych, osób odpowiedzialnych za utrzymanie infrastruktury oraz reakcje na awarie.



Warunki wstępne


Wymagana:
ogólna wiedza na temat przechowywania danych cyfrowych i rozumienie podstawowych pojęć w tym zakresie,
znajomość podstawowych jednostek używanych w informatyce,
umiejętność obsługi edytora szesnastkowego,
umiejętność poprawnego odczytywania wartości w porządku Little Endian,
umiejętność wykonywania podstawowych obliczeń w systemie szesnastkowym,
zalecane wcześniejsze ukończenie szkolenia:
"Matematyka w IT



Program szkolenia:


I Tablica partycji Guided Partition Table GPT.


1. GPT, a MBR.
2. Nagłówek EFI.
3. Tablica GPT.



II Wprowadzenie do systemu plików NTFS.


1. Ograniczenia występujące w partycjach NTFS.
2. Struktura woluminu.
3. Obszar klasteryzacji.
4. Transakcyjny model wykonywania operacji.
5. Pojęcie pliku w NTFS.
6. Podstawowe informacje o metadanych.



III Struktura sektora rozruchowego (boot-rekordu) NTFS.


1. Omówienie struktury sektora rozruchowego NTFS.
2. Znaczenie kluczowych parametrów sektora rozruchowego.
3. Możliwość wykorzystania kopii sektora rozruchowego NTFS.



IV Metapliki w NTFS.


1. Główna tablica plików - $MFT i jej rola w adresowaniu plików.
2. $MFTMirr i jego zawartość.
3. Plik dziennika - $LogFile i jego rola w ochronie spójności partycji.
4. Plik bitmapy - $Bitmap.
5. Sektor rozruchowy partycji - $Boot.
6. Katalog główny - ..
7. $BadClus, plik rozrzedzony jako sposób oznaczania uszkodzonych klastrów.
8. Krótkie omówienie pozostałych metaplików i ich znaczenia dla funkcjonowania partycji.



V Główna tablica plików MFT.


1. Struktura rekordu FILE. Pojęcie atrybutów.
2. Nagłówek rekordu FILE i jego struktura.
3. Sposób wyszukiwania i identyfikacji atrybutów.
4. Atrybuty rezydentne i nierezydentne.
5. Atrybut standardowej informacji (0x10 - $STANDARD INFORMATION) i jego struktura.
6. Atrybuty nazwy (0x30 - $NAME) i ich struktura.
7. Rezydentny atrybut danych (0x80 - $DATA) i jego struktura,
8. Nierezydentny atrybut danych (0x80 - $DATA), jego struktura i sposób adresowania łańcuchów klastrów.
9. Alternatywne strumienie danych NTFS.
10. Krótkie omówienie pozostałych atrybutów i ich znaczenia dla plików.



VI Praktyczna analiza rekordów MFT.


1. Odnajdywanie plików na podstawie wpisów w MFT.
2. Pierwsze rekordy MFT.
3. Analiza rekordów opisujących wybrane metapliki.
4. Informacja o strukturze katalogów w systemie plików NTFS.
5. Wyszukiwanie i odzyskiwanie plików na podstawie informacji w MFT.



VII Plik $Bitmap i jego wykorzystanie w odzyskiwaniu danych.


1. Obliczenie rozmiaru klastra.
2. Ustalenie położenia i rozmiaru tablic FAT.
3. Ustalenie początku obszaru klasteryzacji i położenia katalogu głównego.



VIII Odbudowa sektora rozruchowego w systemie NTFS w przypadku utraty obu kopii boot-rekordu.


1. Ustalenie położenia partycji.
2. Ustalenie rozmiaru klastra.
3. Ustalanie położenia MFT.
4. Ustalanie położenia MFT Mirror.



IX Odzyskiwanie danych w przypadku uszkodzeń MFT.


1. Wykorzystanie MFT Mirror.
2. Wykorzystanie fragmentów MFT. 



X Odzyskiwanie danych po częściowym nadpisaniu struktur logicznych.


1. Odnajdywanie pozostałości poprzednich metadanych i ich wykorzystanie w odzyskiwaniu danych.
2. Rola pliku $Bitmap w optymalizacji odzyskiwania danych po częściowym nadpisaniu partycji.



XI Podsumowanie szkolenia.


1. Streszczenie i powtórzenie najważniejszych informacji o systemie plików NTFS.
2. Panel dyskusyjny.
3. Powtórzenie najtrudniejszych elementów ćwiczeń.
4. Test końcowy.



Czas trwania:


16 godzin lekcyjnych - 2 dni od 9 do 17



Najbliższy termin:


Interesuje Cię to szkolenie? Zadzwoń - 788 727 524



Forma zajęć:


Stacjonarna – zajęcia praktyczno-teoretyczne.



Miejsce szkolenia:


Laboratorium Analiz Danych i Bezpieczeństwa Informacji (LADBI)
Politechnika Wrocławska
bud. C5, sala 805
Janiszewskiego 9/5
50-370 Wrocław



Prowadzący:


Paweł Kaczmarzyk,
specjalista odzyskiwania danych w serwisie komputerowym Kaleron,
ponad 20 lat doświadczenia w naprawach techniki komputerowej oraz odzyskiwaniu danych,
ponad 2200 godzin przeprowadzonych szkoleń,
specjalista – HDD i odzyskiwanie danych na forum Elektroda.



Zalecana literatura:




Warunki zaliczenia:


Ocena końcowa wynika z:
wykonywanych ćwiczeń praktycznych,
aktywności podczas zajęć,
testu wiedzy.



Wielkość grupy:


3 - 8 osób



W ramach szkolenia zapewniamy:


odpowiednio wyposażone stanowiska,
materiały w formie elektronicznej,
możliwość przyniesienia swoich urządzeń i wsparcia w rozwiązywaniu problemów w zakresie objętym programem szkolenia,
certyfikat ukończenia szkolenia wystawiony przez Politechnikę Wrocławską
dwudaniowy obiad,
przerwy kawowe,
bezpłatny parking.



Cena szkolenia:


5.000 zł netto