Анализ таблицы файлов. Выполнил работу: Бершауэр В.В. Группа БИТ-191. Дисциплина: Инструментальное обеспечение компьютерно-технической экспертизы. **Ход работы:** Перед тем, как приступить к анализу таблицы файлов, необходимо узнать, какая файловая система используется системой. На Windows 10 это можно сделать открыв "Свойства" диска:  В данном случае - NTFS. NTFS является стандартной файловой системой для семейства операционных систем Windows NT. NTFS поддерживает хранение метаданных. С целью улучшения производительности, надёжности и эффективности использования дискового пространства для хранения информации о файлах в NTFS используются специализированные структуры данных. Информация о файлах хранится в главной файловой таблице — Master File Table (MFT). Также, посмотреть, какая файловая система используется, можно при помощи утилиты DISKPART. Команда "list" отображает список дисков, разделов на диске, томов на диске или виртуальных жестких дисков. Используя команду list volume, где "volume" означает отображение списка базовых и динамических томов на всех дисках, можно получить информацию о файловой системе конкретного тома:  Одной из программ, с помощью которой можно получить информацию о файловой таблице MFT, является NTFSinfo (https://learn.microsoft.com/en-us/sysinternals/downloads/ntfsinfo). Программа автономна и является консольной. Для работы с ней, необходимо запускать терминал от имени администратора. Командой ntfsinfo64.exe "C:" можно получить сведения о томе С.  В выводе программы можно наблюдать размер таблицы MFT (MFT size), её стартовый кластер (MFT start cluster) и другие параметры. Однако, программой, которая "читает" таблицу MFT, будет являться, например, Fomsoft Data Recovery. Программа автономна и запускается с исполняемого файла. Посмотреть конкретную запись таблицы MFT можно следующим образом:  Далее программа попросит выбрать номер файловой записи в MFT и логический диск:  Пример файловой записи №256: