Dasar-Dasar Struktur NTFS untuk Pemulihan Data (Bagian 1)

NTFS adalah sistem berkas yang jauh lebih canggih dan stabil dibandingkan pendahulunya, FAT. Bagi seorang teknisi pemulihan data yang menggunakan alat seperti MRT, memahami struktur internal NTFS adalah kunci untuk menemukan kembali file yang hilang akibat korupsi firmware atau penghapusan yang tidak disengaja.

Karakteristik Utama NTFS

Berbeda dengan sistem berkas sederhana, NTFS memperlakukan segala sesuatu sebagai file. Bahkan parameter sistem yang mengelola disk itu sendiri disimpan dalam bentuk file tersembunyi yang disebut Metafiles.

Beberapa keunggulan utama yang dibahas meliputi:

  • Keamanan (ACL): Kemampuan untuk mengatur izin akses pada setiap file dan folder.
  • Journaling: Mencatat perubahan data untuk mencegah korupsi jika terjadi kegagalan daya.
  • Kapasitas Besar: Mendukung ukuran partisi dan file yang jauh melampaui batasan FAT32.

Struktur Logis: VBR (Volume Boot Record)

Setiap partisi NTFS dimulai dengan sebuah sektor yang sangat penting yang disebut VBR atau Boot Sector. VBR berisi informasi krusial seperti:

  1. Jump Instruction: Instruksi awal untuk proses booting.
  2. BPB (BIOS Parameter Block): Informasi teknis mengenai ukuran sektor, jumlah sektor per klaster, dan lokasi awal MFT.
  3. Bootstrap Code: Kode yang memuat sistem operasi.

Dalam pemulihan data, jika VBR rusak, partisi akan terbaca sebagai “RAW”. Perangkat lunak MRT dapat memperbaiki ini dengan mencari salinan cadangan VBR yang biasanya terletak di sektor terakhir partisi.

Jantung NTFS: MFT (Master File Table)

Komponen paling vital dalam NTFS adalah MFT. Jika diibaratkan sebuah buku, MFT adalah daftar isi sekaligus ringkasan dari setiap bab.

  • Fungsi: MFT menyimpan entri untuk setiap file dan direktori dalam volume tersebut.
  • Entri MFT: Setiap file memiliki setidaknya satu entri berukuran 1 KB di dalam MFT yang berisi atribut seperti nama file, waktu (dibuat/diubah), dan lokasi fisik data pada piringan (platter).
  • Data Resident: Jika sebuah file berukuran sangat kecil (biasanya di bawah 700-800 byte), NTFS akan menyimpan isi file tersebut langsung di dalam entri MFT itu sendiri tanpa menggunakan klaster tambahan di luar.

Metafiles: File Sistem Tersembunyi

NTFS menggunakan file khusus yang dimulai dengan simbol dolar ($) untuk mengelola dirinya sendiri. Beberapa yang paling penting adalah:

  • $MFT: File yang berisi daftar semua file di partisi.
  • $MFTMirr: Salinan cadangan dari beberapa entri pertama MFT untuk keamanan.
  • $LogFile: Digunakan untuk pencatatan journaling.
  • $Bitmap: Mencatat klaster mana yang kosong dan mana yang terisi.

Kesimpulan bagi Teknisi

Memahami letak VBR dan struktur MFT memungkinkan teknisi untuk melakukan pencarian manual jika struktur partisi rusak parah. Dengan bantuan fitur Data Extractor pada MRT, analisis terhadap entri MFT ini dilakukan secara otomatis untuk membangun kembali pohon direktori pengguna, bahkan ketika sistem operasi sudah tidak mampu mengenali drive tersebut.

Sumber: https://us.mrtlab.com/filesystem/NTFS-introduction-one.html

Leave a Reply

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *