Analisis Struktur File NTFS: Atribut dan Penyimpanan Data

Dalam sistem berkas NTFS, sebuah file tidak hanya sekadar tumpukan data. NTFS memandang file sebagai kumpulan dari berbagai atribut. Setiap atribut memiliki tipe, ukuran, dan nama tersendiri. Memahami bagaimana atribut ini bekerja adalah kunci bagi pengguna MRT untuk melakukan ekstraksi data pada kasus kerusakan sistem berkas yang parah.

Konsep Atribut dalam NTFS

Setiap file di dalam NTFS didefinisikan oleh entri di dalam MFT (Master File Table). Entri ini biasanya berukuran 1KB dan di dalamnya terdapat berbagai atribut yang menjelaskan identitas file tersebut.

Beberapa atribut standar yang dibahas meliputi:

Standard Information ($STANDARD_INFORMATION): Berisi informasi dasar seperti waktu pembuatan file (creation time), waktu modifikasi, dan izin akses (read-only, hidden, dll).
File Name ($FILE_NAME): Menyimpan nama file dalam format Unicode. Satu file bisa memiliki lebih dari satu atribut ini jika memiliki nama pendek (DOS 8.3) dan nama panjang.
Data ($DATA): Ini adalah atribut yang paling penting karena berisi isi atau konten sebenarnya dari file tersebut.

Data Resident vs Non-Resident

Salah satu fitur unik NTFS yang dijelaskan dalam panduan MRT adalah perbedaan cara penyimpanan data berdasarkan ukuran filenya:

Resident Data: Jika ukuran file sangat kecil (biasanya di bawah 700-800 byte), konten file tersebut akan disimpan langsung di dalam entri MFT itu sendiri. Hal ini membuat akses file menjadi sangat cepat karena sistem tidak perlu mencari klaster di area lain pada disk.
Non-Resident Data: Jika file terlalu besar untuk masuk ke dalam entri MFT, NTFS akan mengalokasikan ruang di luar MFT (pada area data). Di dalam MFT hanya akan tersimpan “Data Runs”—yaitu semacam peta atau koordinat yang menunjukkan di klaster mana saja potongan-potongan file tersebut berada secara fisik.

Mengapa Pemahaman Ini Penting bagi Teknisi?

Saat menggunakan fitur Data Extractor di MRT, pengetahuan tentang struktur atribut ini sangat berguna dalam kondisi berikut:

Pemulihan File Terfragmentasi: Dengan memahami “Data Runs”, teknisi dapat menyusun kembali potongan-potongan file yang tersebar di berbagai lokasi piringan (platter).
Manual File Carving: Jika MFT rusak parah, teknisi dapat mencari header atribut $FILE_NAME atau $DATA secara manual menggunakan editor hex untuk mengidentifikasi keberadaan file.
Analisis Metadata: Informasi waktu dari atribut $STANDARD_INFORMATION sering digunakan dalam forensik data untuk menentukan kapan sebuah file terakhir kali diakses atau dimodifikasi sebelum terjadi kerusakan.

Kesimpulan

Struktur NTFS yang berbasis atribut memberikan fleksibilitas tinggi namun juga kompleksitas bagi proses pemulihan. Dengan menguasai konsep resident data dan pemetaan atribut di dalam MFT, pengguna alat MRT dapat melakukan analisis yang lebih akurat dan menyelamatkan data yang tidak bisa terbaca oleh perangkat lunak pemulihan biasa.

Sumber: https://us.mrtlab.com/filesystem/NTFS-file-study.html

Analisis Struktur File NTFS: Atribut dan Penyimpanan Data

Konsep Atribut dalam NTFS

Data Resident vs Non-Resident

Mengapa Pemahaman Ini Penting bagi Teknisi?

Kesimpulan

Leave a ReplyCancel Reply

Penyebab Kehilangan Data dan Cara Mengatasinya dengan Data Recovery

Jasa Service Hardisk Memory dan Flashdisk Bogor Terpercaya dan Berpengalaman

Jasa Service Hardisk Memory dan Flashdisk Depok Terbaik dan Terpercaya

Jasa Service Hardisk Memory dan Flashdisk Tangerang Murah dan Berpengalaman

Jasa Recovery Data Service Hardisk Memory dan Flashdisk Bekasi Terbaik