基于NTFS文件系统的计算机取证
为解决计算机取证的数据恢复问题,提出了一种基于新技术文件系统(New technology file system,NTFS)的数据恢复算法.该算法通过分析NTFS文件系统的结构,将待取证的数据分为3类,采取不同的策略进行处理:对于不可组织的数据依据其字节分布频率进行恢复和取证;对于尚可组织的数据依据NTFS文件系统中的相关记录进行数据恢复和取证.结果表明,该算法能重新组织被删除的数据,为计算机取证提供了一种解决途径.
计算机取证 电子证据 文件系统 NTFS 数据恢复
王丽娜 杨墨 王辉 郭攀峰
武汉大学,计算机学院,湖北,武汉,430072
国内会议
河北保定
中文
519-522
2006-10-21(万方平台首次上网日期,不代表论文的发表时间)