Disk Scan (OR) Low Level Enumeration (NTFS File System)

    NTFS File System အကြောင်းနဲ့ Master File Table (MFT) အကြောင်းကို eCDFP File System မှာရေးသားပြီးဖြစ်ပါတယ်။ အခုကတော့ NTFS File System မှာ ရှိနေတဲ့ မဖျက်ရသေးတဲ့ Text File ကိုတွေ့ရမှာဖြစ်ပါတယ်။ Flag က 1 ဖြစ်နေတဲ့အတွက် File က Storage ထဲမှာလက်ရှိ ရှိနေဆဲဖြစ်ပါတယ်။ Sequence Number ကလဲ 1 ဖြစ်နေပါတယ်။  Delete Text File.txt File ရဲ့ MFT Entry Record Number ကတော့ 52 ဖြစ်ပါတယ်။ Attribute $80  Data ကိုကြည့်ပြီးတော့ File ကဘယ်နေရာမှာ ရှိနေတယ်ဆိုတာကိုကြည့်ပါမယ်။ ကျန်တဲ့ Attributes အကြောင်းတွေက File System Analysis အကြောင်းမှာ ထည့်ရေးထားပြီး ဖြစ်တာကြောင့် မဖော်ပြတော့ပါဘူး။ 

NTFS File Before Delete On Storage 

NTFS File Record 

Data Run In $DATA

ပုံမှာ Colour Box တွေနဲ့ချယ်ထားတာက Data Run List ဖြစ်ပါတယ်။ နောက်တစ်ပုံမှာ Run list ကိုတစ်ခုချင်းပြထားပါတယ်။ 

Data Run Detail 

Data Run ဆိုသည်မှာ NTFS File System တွင် File တည်ရှိသည့် First Cluster Location , File Size အပေါ်မူတည်ပြီး နေရာယူထားသည့် Cluster အရေ အတွက် ကိုဖော်ပြခြင်းဖြစ်ပါတယ်။ တစ်ကယ်လို့ Storage  မှာ  Fragement ဖြစ်နေမယ်ဆိုရင် Data Run က တစ်ခုတည်းမပြပဲ   2 or 3  or 4 ခုအနေနဲ့ Fragement ဖြစ်တဲ့အပေါ်မူတည်ပြီးပြသမှာဖြစ်ပါတယ်။ 

 Data Run Header ဆိုတာကတော့ Cluster Count အတွက် Bytes နေရာဘယ်လောက်ယူမယ်။ First Cluster အတွက် Bytes ဘယ်လောက် ယူမယ်ဆို တာကို ပြတာဖြစ်ပါတယ်။

 

အခုပုံမှာဆိုရင် Data  Run Header Size  က 3 Bytes ရှိပြီး First Cluster အတွက် 2 Bytes ရယူပြီး။  Cluster Count အတွက် 1 bytes နေရာယူပါမယ်။ 

Cluster Count 

ဒါဆိုရင် Delete Text File.txt က Cluster Count = 2  (Storage ပေါ်မှာ Cluster နေရာ ၂ နေရာ ယူပါမယ်။ 

First Cluster 

Delete Text File.txt က First Cluster အနေနဲ့ (8B05) = (058B) = 1419 (Cluster Number 1419 ကနေစပြီး File နေရာ ယူပါမယ်။  

Bytes Per Cluster = 4096 

Delete Text File.txt ရဲ့ Size က 5.8 KB (5939.2 Bytes) ဖြစ်တဲ့အတွက်။  Cluster နေရာ  2 နေရာ ယူရမှာဖြစ်ပါတယ်။  4096 x 2 = 8192 Bytes 

Data Run List 

Cluster List In X-Way Forensics 

Master File Table $MFT ကိုဖြည်ကြည့်တဲ့အခါမှာလဲ အထက်က ပုံစံအတိုင်းပဲ ပြမှာ ဖြစ်ပါတယ်။ 

Master File Table 

အခုအခါမှာ Delete Text File.txt ကို ဖျက်လိုက်ပြီဖြစ်ပါတယ်။ File ကိုဖျက်လိုက်ပြီးနောက် ခုနက File ရှိခဲ့တဲ့  MFT Entry Number 52 ကိုပြန်ကြည့် လိုက်တဲ့အခါမှာ File Allocation Status က 0 ဖြစ်နေတဲ့အတွက် File ကိုဖျက်ထားတာကို တွေ့ရမှာ ဖြစ်ပါတယ်။ Sequence Number ကလဲ 01  To 02 ကိုပြောင်းသွားတဲ့အတွက် အခု MFT Entry ကိုတစ်ကြိမ်ဖျက်ထားတာကို တွေ့ရမှာဖြစ်ပါတယ်။ 

Master File Table (After Deleted) 

Master File Table (After Deleted) 

Delete File  ( X-Ways) 

ဖျက်ထားတဲ့ File ကို Recovery လုပ်မယ်ဆိုရင် Master File Table  Record ကိုကြည့်ပါမယ်။ MFT Entry ရဲ့ File Allocation မှာ 0 ဖြစ်နေရင် ဖျက်ထားတာဖြစ်တဲ့အတွက် Data Attribute ကိုကြည့်ပါမယ်။ Data Attribute ကနေ First Cluste List , Cluster Count တန်ဖိုးရရင် File ကို Recovery ပြုလုပ်မှာ ဖြစ်ပါတယ်။ 

MFT Entry မှာ Record ပျောက်နေမယ်။ First Cluster Number ပျောက်နေမယ် Cluster Count ပျောက်နေမယ် Data က Overwrite ဖြစ်သွားမယ်ဆိုရင် Recovery ပြုလုပ်ဖို့ မလွယ်ကူတော့ပါ။