【技术实现步骤摘要】
针对NTFS文件系统的数据备份系统及方法
本专利技术涉及电子数据取证
,具体涉及一种针对NTFS文件系统的数据备份系统及方法,尤其涉及一种适用于Windows操作系统的存储介质中NTFS文件系统的快速备份系统及方法。
技术介绍
随着计算机犯罪个案数字不断上升和犯罪手段的数字化,搜集电子证据的工作成为提供重要线索及破案的关键。恢复已被破坏的计算机数据及提供相关的电子资料证据就是电子取证,电子取证是指利用计算机软硬件技术,以符合法律规范的方式对计算机入侵、破坏、欺诈、攻击等犯罪行为进行证据获取、保存、分析和出示的过程。从技术方面看,计算机犯罪取证是一个对受侵计算机系统进行扫描和破解,对入侵事件进行重建的过程。具体而言,是指把计算机看作犯罪现场,运用先进的辨析技术,对计算机犯罪行为进行解剖,搜寻罪犯及其犯罪证据。由于电子证据的特殊性,在收集电子证据时需要采用相应的方式予以提取固定。为确保电子证据的原始性、真实性、合法性,在电子证据的收集时应采用专业的数据复制备份设备将电子证据文件复制备份,要求数据复制设备需具备只读设...
【技术保护点】
1.一种针对NTFS文件系统的数据备份系统,其特征在于,包括:/n包括用于数据备份的终端;/n运行在所述用于数据备份的终端上的模块包括读取模块、确定模块和记录模块。/n
【技术特征摘要】
1.一种针对NTFS文件系统的数据备份系统,其特征在于,包括:
包括用于数据备份的终端;
运行在所述用于数据备份的终端上的模块包括读取模块、确定模块和记录模块。
2.根据权利要求1所述的针对NTFS文件系统的数据备份系统,其特征在于,所述读取模块用于根据偏移量和大小读取数据块在NTFS文件系统中表示使用情况的bit值;
所述确定模块用于根据读取的bit值,确定其有效性;
所述记录模块用于跳过无效数据块,仅在日志中记录数据块的位置和大小信息。
3.一种针对NTFS文件系统的数据备份系统的方法,其特征在于,包括:
步骤1:根据偏移量和大小读取数据块在NTFS文件系统中表示使用情况的bit值;
步骤2:根据步骤1中读取的bit值,确定其有效性;
步骤3:跳过无效数据块,仅在日志中记录数据块的位置和大小信息。
4.根据权利要求3所述的针对NTFS文件系统的数据备份系统的方法,其特征在于,所述步骤1包括:根据数据块在NTFS卷中的偏移量和大小,计算出数据块的簇编号,并从NTFS文件系统的$Bitmap文件中读取表示数据块的簇对应的若干个bit的值。
5.根据权利要求4所述的针对NTFS文件系统的数据备份系统的方法,其特征在于,所述$Bitmap文件是Windows操作系统下的NTFS文件系统中的一个文件,在$MFT文件中的记录号为6;所述$Bitmap文件的内容是一个bitset结构,其中每个bit记录了一个簇的使用情况,正常的NTFS文件系统的文件所占用的bit值为1,未使用的...
【专利技术属性】
技术研发人员:傅涛,郑轶,杨乐,王力,王路路,丁显鹏,
申请(专利权)人:博智安全科技股份有限公司,
类型:发明
国别省市:江苏;32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。