6 votes

Jeff avatar

Taille maximale d'un fichier qui peut être stocké entièrement dans la table des fichiers maîtres (MFT) de NTFS.

Demandé el 5 de Mars, 2017
Quand la question a-t-elle été
5241 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'utilise Windows 7 et NTFS. J'ai remarqué que le MFT représente un énorme risque pour la sécurité car il peut stocker des fichiers de documents sensibles à l'insu de l'utilisateur pendant une longue période avant qu'ils ne soient écrasés.

Tous les tests que j'ai effectués m'indiquent que les fichiers de moins de 640 octets résident dans le MFT et ne peuvent pas être supprimés en toute sécurité. Cependant, tous les fichiers de 640 octets ou plus peuvent être supprimés immédiatement en toute sécurité - ceci est vrai pour mon disque dur de 500 Go et ma clé USB de 128 Go (tous deux NTFS).

J'ai testé cela en créant un tas de fichiers texte et en y écrivant des mots pour créer des fichiers de tailles différentes. Je les ai supprimés, j'ai vidé la corbeille et lancé Recuva, puis j'ai supprimé en toute sécurité les fichiers mis en évidence. Il ne parvient pas à supprimer en toute sécurité les fichiers de moins de 640 octets (le fichier réside dans le MFT et un message s'affiche).

Est-ce la même chose pour les SSD avec Trim Enabled ? Pourquoi 640 octets ? Je pensais que le maximum était de 512 octets pour les entrées MFT pour les fichiers effacés ?

Toute contribution est la bienvenue.

Demandé el 5 de Mars, 2017 par Jeff

Réponses

Trop de publicités?

5voto

phuclv avatar
phuclv Points 22397

Tous les fichiers peuvent être supprimés en toute sécurité pour autant que vous utilisiez l'option bon outil . Par exemple Sysinternals' SDelete est capable de gérer cette

Sur les disques NTFS, le travail de SDelete n'est pas nécessairement terminé après avoir alloué et écrasé les deux fichiers. SDelete doit également remplir toutes les parties libres existantes du NTFS MFT (Master File Table) avec des fichiers qui correspondent à un enregistrement MFT. . Un enregistrement MFT a généralement une taille de 1 Ko, et chaque fichier ou répertoire sur un disque nécessite au moins un enregistrement MFT. Les petits fichiers sont entièrement stockés dans leur enregistrement MFT, tandis que les fichiers qui ne tiennent pas dans un enregistrement sont alloués à des clusters en dehors du MFT. Tout ce que SDelete doit faire pour s'occuper de l'espace MFT libre est d'allouer le plus grand fichier possible - lorsque le fichier occupe tout l'espace disponible dans un enregistrement MFT, NTFS empêche le fichier de s'agrandir, car il n'y a plus de clusters libres sur le disque (ils sont occupés par les deux fichiers que SDelete a précédemment alloués). SDelete répète ensuite le processus. Lorsque SDelete ne peut même plus créer un nouveau fichier, il sait que tous les enregistrements précédemment libres dans le MFT ont été complètement remplis par des fichiers écrasés de manière sécurisée.

Vous avez sûrement choisi le mauvais outil, car si vous aviez lu la documentation, vous auriez vu que

Recuva ne peut pas :

  • ...
  • Supprimez en toute sécurité certains fichiers de très petite taille qui sont conservés dans la Master File Table (MFT) et les fichiers d'une longueur de zéro octet.

Présentation de Recuva - Ce qu'il peut et ne peut pas faire

Pourquoi 640 octets ? Je pensais que le maximum était de 512 octets pour les entrées MFT pour les fichiers effacés ?

Taille des fichiers pouvant être stockés dans le MFT (appelés dossiers des résidents ) varie en fonction de chaque fichier, de chaque système et des informations stockées dans MFT. Plus les données sont utilisées pour les métadonnées dans le MFT, moins il en reste pour le fichier. Il n'y a donc pas de limite définie, mais d'après les statistiques de la Commission européenne, il n'y a pas de limite. Les fichiers plus petits qu'environ 900 octets sont stockés dans l'entrée de répertoire du MFT.

La figure Entrée MFT avec enregistrement résident montre le contenu d'un enregistrement MFT pour un petit fichier ou dossier. Les petits fichiers et dossiers (généralement 900 octets ou moins) sont entièrement contenus dans l'enregistrement MFT du fichier.

Comment fonctionne NTFS

A titre d'exemple, j'ai créé un exemple 1000 octets avec des métadonnées très minimales qui peuvent être stocké entièrement dans le MFT . Mais dès que j'ai ajouté plus de métadonnées au fichier (liens durs, noms plus longs, flux, permissions...), l'espace maximal pouvant accueillir le fichier résident se réduit rapidement.

Répondu el 5 de Mars, 2017 par phuclv (22397 Points )

0voto

user3685427 avatar
user3685427 Points 149

L'entrée MFT a une longueur de 1024 octets (voir la section MFT à l'adresse suivante http://www.cse.scu.edu/~tschwarz/coen252_07Fall/Lectures/NTFS.html ) et stocke plus que le nom du fichier - il peut également inclure la taille du fichier, les droits de lecture/écriture, la date de création/modification, et d'autres méta-informations. Ces éléments ont tous des tailles allouées et c'est pourquoi, dans les versions antérieures de Windows, vous pouviez rencontrer une erreur si le nom du fichier était trop long. C'est également la raison pour laquelle vous ne pouvez pas stocker des fichiers de plus de 640 octets entièrement dans la table - les 384 octets restants (1024-640=384) étaient destinés aux allocations dédiées.

Il est utile de savoir que votre ordinateur a deux des MFT identiques, pas un seul. Le principal se trouve sur le bord extérieur du disque dur, et le second est situé à mi-chemin. Le second existe en tant que sauvegarde au cas où le principal serait endommagé, ce qui peut arriver si l'ordinateur est éteint pendant qu'une entrée est écrite ou modifiée. Tout programme de nettoyage MFT doit supprimer les deux tables (et le processus est géré par le BIOS ou le micrologiciel du disque), mais c'est une chose à garder à l'esprit si vous voulez pousser la sécurité de vos données à l'extrême.

De plus, la taille des rangées MFT PEUT varier en fonction de la taille du disque (ou de la partition) et de son utilisation prévue. Les centres de données et les serveurs sont plus susceptibles d'utiliser une taille non standard, car l'allocation MFT peut représenter plus de 10 % du disque dur et l'espace supplémentaire devient précieux. Toutefois, la norme est de 1024 octets.

Répondu el 15 de Septembre, 2017 par user3685427 (149 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X