FAT、NTFS格式數(shù)據(jù)刪除都是在表頭添加刪除位，在目錄頁對(duì)應(yīng)位置置"00"，而data位不做修改，只能覆蓋。因此可以被還原（僅限刪除、快速格式化，低格很難還原）

FAT分區(qū)由DBR、FAT、FDT、DATA四個(gè)區(qū)域構(gòu)成

DBR 引導(dǎo)分區(qū)，接管MBR啟動(dòng)

FAT 記錄數(shù)據(jù)文件對(duì)應(yīng)簇，以及簇的狀態(tài)? 相當(dāng)于簇目錄。FAT有FAT1和FAT2兩個(gè)表，F(xiàn)AT2是FAT1的備份

FDT記錄文件和文件夾的名稱、屬性、時(shí)間等基本信息，每個(gè)文件和文件夾分配一個(gè)文件目錄項(xiàng)。

DATA區(qū)儲(chǔ)存具體數(shù)據(jù)

NTFS采用B+樹方式儲(chǔ)存

NTFS主文件表記錄系統(tǒng)數(shù)據(jù)，稱為元數(shù)據(jù)（Metadata）文件（元文件），以文件方式儲(chǔ)存。第一個(gè)字符都是"$",這些文件是隱藏的。

一共有16個(gè)，包括引導(dǎo)文件（$Boot）、MFT（$Mft）、MFT鏡像（$MftMirr）、日志文件（$LogFile）、卷文件（$Volume）、屬性定義表（$AtterDef）、根目錄（$Root）、位圖文件（$Bitmap）、壞簇文件（$BadClus）、安全文件（$Secure）、大寫文件（$UpCase）、擴(kuò)展元數(shù)據(jù)文件（$Extended matadata directory）、重解析點(diǎn)文件（$Extend\ $Reparse）、變更日志文件（$Extend\ $UsnJrnl）、配額管理文件（$Extend\ $Quota）、對(duì)象ID文件（$Extend\ ObjId）等。 除了$Boot文件外，其他位置都不是固定的。

32位windows、FAT時(shí)間精度只能保存偶數(shù)秒

64位時(shí)間精度取決于bios時(shí)間精度，可以保存1ns

取證應(yīng)注意MAC時(shí)間（Modified time/Access time/Created time）

Access time Win7以前 一小時(shí)更新一次，Win7之后為了提高性能，除非文件被修改或跨卷移動(dòng)，否則不會(huì)更新。因此最后訪問時(shí)間（Access time）不能作為證據(jù)使用。

移動(dòng)文件，Created time不會(huì)改變，復(fù)制文件會(huì)更新為復(fù)制的時(shí)間。

文件移動(dòng)或復(fù)制，Modified time不會(huì)改變，如果改變文件的屬性或重命名，時(shí)間也不變。只有當(dāng)$DATA、$INDEX_ROOT、$INDEX_ALLOCATION屬性發(fā)生變化才會(huì)更新。