NTFS è uno dei file system più diffusi, essendo usato di default dai sistemi Windows e anche negli hard disk esterni ad alta capacità. Quando accade un danno hardware o software, può verificarsi la corruzione di una o più partizioni le quali diventano illeggibili. Nel talk sono state discusse alcune tecniche di ricostruzione efficaci anche in presenza di metadati danneggiati. L'attenzione verte in particolare su NTFS e su RecuperaBit, un software creato dal relatore per implementare la ricostruzione forense di NTFS. Le slide sono relative al talk omonimo presentato a ESC 2016 il 01/09/2016 a Forte Bazzera (VE). Il video è disponibile qui:

1. Ricostruzione forense di NTFS con
metadati parzialmente danneggiati
Andrea Lazzarotto — andrealazzarotto.com

5. Metadati

6. — Brian Carrier
“There is unfortunately very little published
in terms of the procedures used to perform
recovery when metadata is missing”

7. NTFS
Struttura variabileMolto diffuso

8. Elementi principali
Index recordFile recordBoot sector

9. Ricostruzione

10. 29 30 31 100 101 102 35 104

11. Root RootLost

12. Risultato
File System Structure
5 Root
0 $MFT
1 $MFTMirr
2 $LogFile
3 $Volume
4 $AttrDef
6 $Bitmap
7 $Boot
8 $BadClus
8:$Bad $BadClus:$Bad
9:$SDS $Secure:$SDS
9 $Secure
10 $UpCase
11 $Extend
25 $ObjId
24 $Quota
26 $Reparse
66 bbb.txt
64 interesting
65 aaa.txt
−1 LostFiles
67 Dir_67
68 another

13. Geometria
SPC
(sectors per cluster)
CB
(cluster base) File system (in cluster)
Disco (in settori)

16. Pattern
A: INDX al cluster 0
B: INDX al cluster 1
C: INDX al cluster 3

17. Matching
SPC = 1
Disco

18. Matching
SPC = 2
Disco
CB

19. Testdisk — No partition found

20. Autopsy — Failed to add data source

21. RecuperaBit — 517 oggetti (239,1 MB)

22. In futuro...
FAT, EXT,
HFS+, ...
CAINEAltri moduliGUI