A model of the process of writing and deleting file information on a disk with NTFS

• Autorzy: Chojnacki Andrzej , Darnowski Fryderyk

Identyfikatory

DOI

10.5604/01.3001.0013.6602

Warianty tytułu

PL

Model procesu zapisu i kasowania informacji o plikach na dysku z systemem NTFS

• Języki publikacji: EN

Abstrakty

EN

This paper aims at demonstrating a mathematical model of the process of writing and deleting information about files on a disk, using the contents of the $MFT system file, i.e. in a file generated in the NTFS (New Technology File System). The presented model uses the language of control theory, where the state of the system is equal to the state of the disk and the state of the $MFT file, and where control is understood as undertaking the action of writing or deleting. The deterministic nature of the process and its stationarity were assumed. Then, based on the transition function after its specification, we suggest constructing further inverse images of possible prior states at subsequent stages of data writing or deletion. The obtained results form the basis for the implementations developed.

PL

Celem artykułu jest przedstawienie modelu matematycznego procesu zapisu i kasowania informacji o plikach na dysku przy wykorzystaniu zawartości pliku systemowego $MFT, czyli w pliku generowanym w systemie plików NTFS (New Technology File System). Przedstawiony model posługuje się językiem teorii sterowania, utożsamiając stan systemu ze stanem dysku oraz stanem pliku $MFT, a sterowanie jako podjęcie akcji zapisu lub kasowania. Założono przy tym deterministyczny charakter procesu oraz jego stacjonarność. Proponuje się, aby następnie na podstawie funkcji przejścia, po jej uszczegółowieniu, konstruować kolejne przeciwobrazy zbiorów możliwych wcześniej stanów w kolejnych etapach procesu zapisu lub kasowania. Uzyskane rezultaty są podstawą opracowywanych implementacji.

Słowa kluczowe

EN

hard drive; NTFS; $MFT

PL

dysk twardy; NTFS; $MFT

• Wydawca: Institute of Computer and Information Systems, Faculty of Cybernetics, Military University of Technology
• Czasopismo: Computer Science and Mathematical Modelling
• Rocznik: 2019
• Tom: No. 9
• Strony: 19--25
• Opis fizyczny: Bibliogr. 8 poz.

Twórcy

autor

Chojnacki Andrzej

• Military University of Technology, Faculty of Cybernetics, Institute of Computer and Information Systems Kaliskiego Str. 2, 00-908 Warsaw, Poland

autor

Darnowski Fryderyk

• Military University of Technology, Faculty of Cybernetics, Institute of Computer and Information Systems Kaliskiego Str. 2, 00-908 Warsaw, Poland

Bibliografia

• [1] Darnowski F., Chojnacki A., “Selected Methods of File Carving and Analysis of Digital Storage Media in Computer Forensic”, Przegląd Teleinformatyczny, T.3(21) Nr 1-2 (39) 2015.
• [2] Darnowski F., Chojnacki A., “Writing and Deleting files on hard drives with NTFS”, Computer Science and Mathematical Modelling, No. 8, 5–15 (2018).
• [3] Ghotge V., Nema P., “Description of the Cluster Preallocation Algorithm in the NTFS File System”, Microsoft Product Support Services White Paper, 2004.
• [4] Carrier B., “File System Forensic Analysis”, Addison Wesley Professional, New York, 2005.
• [5] Gladyshev P., Patel A., “Finite State Machine Approach to Digital Event Reconstruction”, Digital Investigation, Vol. 1, Issue 2, 130–149 (2004).
• [6] Gladyshev P., Patel A., “Finite state machine analysis of a blackmail investigation”, International Journal of Digital Evidence, Vol. 4, Issue 1, 1–13 (2005).
• [7] Olivier M., “Scientific theory of digital forensic”, in: Advances in Digital Forensics XII: 12th IFIP WG 11.9 International Conference, pp. 3–24, New Delhi, January 4–6, 2016.
• [8] Nordvik R., Toolan F., Axelsson S., “Using the object ID index as an investigative approach for NTFS file systems”, Digital Investigation, Vol. 28, 30–39 (2019).

Uwagi

Opracowanie rekordu w ramach umowy 509/P-DUN/2018 ze środków MNiSW przeznaczonych na działalność upowszechniającą naukę (2019).