Tổng quan Hệ thống Tệp (File System) trên Windows


Trong các hệ điều hành Windows hiện đại, NTFS (New Technology File System) là hệ thống tệp được sử dụng phổ biến nhất. File system (hệ thống tệp) là cơ chế tổ chức dữ liệu và tệp trên các thiết bị lưu trữ (storage media).

Loại thiết bị lưu trữ quyết định việc sử dụng hệ thống tệp nào cho phù hợp. Ví dụ:

• Đĩa quang (optical media) thường dùng ISO 9660 hoặc UDF.
• Ổ cứng, SSD – nơi chứa hệ điều hành và dữ liệu người dùng – thường dùng NTFS.

Các hệ thống tệp được Windows hỗ trợ

• FAT (File Allocation Table): đơn giản, tương thích nhiều hệ điều hành (Windows, Linux, Mac). Phổ biến trên USB, thẻ nhớ, nhưng hạn chế về dung lượng file và phân vùng. Biến thể FAT32 là thông dụng nhất.
• exFAT: phiên bản mở rộng của FAT, hỗ trợ dung lượng lớn hơn, được dùng nhiều trên ổ flash hoặc ổ cứng di động, nhưng ít được hỗ trợ ngoài Windows và Mac OS X mới.
• HFS+: hệ thống tệp mặc định của Mac OS X. Windows không hỗ trợ gốc, chỉ đọc được nếu cài thêm phần mềm.
• EXT (Extended File System): mặc định của Linux (hiện tại là EXT4). Windows không hỗ trợ gốc, cần phần mềm để đọc.
• NTFS: mặc định trên Windows, hỗ trợ ổn định, bảo mật, dung lượng lớn, tương thích với Linux (đọc/ghi) và Mac (chỉ đọc, muốn ghi phải cài thêm driver).

---

Các đặc điểm nổi bật của NTFS

• Hiệu năng và độ tin cậy cao.
• Hỗ trợ phân vùng và tệp dung lượng lớn.
• Quản lý quota dung lượng.
• Khả năng phục hồi dữ liệu (recovery).
• Bảo mật: phân quyền truy cập file, mã hóa dữ liệu (EFS – Encrypting File System).
• Quản lý metadata chi tiết: chủ sở hữu, ACL, timestamp.

Chính nhờ các tính năng này mà NTFS được sử dụng rộng rãi trong các hệ thống doanh nghiệp lẫn máy tính cá nhân.

---

Cấu trúc Volume NTFS

Khi định dạng ổ đĩa bằng NTFS, hệ thống sẽ tạo ra các thành phần:

• Partition Boot Sector: chiếm 16 sector đầu tiên, lưu thông tin khởi động và vị trí MFT. Sector cuối cùng là bản sao để dự phòng khi sector gốc bị hỏng.
• Master File Table (MFT): cơ sở dữ liệu trung tâm chứa vị trí và thuộc tính của mọi file/thư mục. NTFS còn duy trì bản sao MFT để tăng khả năng phục hồi.
• System Files: tập tin hệ thống ẩn, lưu trữ metadata, log, định nghĩa thuộc tính file.
• File Area: vùng lưu trữ dữ liệu thực tế (file, thư mục).

---

Alternate Data Streams (ADS) trong NTFS


Một tính năng thú vị của NTFS là Alternate Data Streams (ADS) – cho phép một file chứa nhiều luồng dữ liệu song song.

Ví dụ:

echo "My ADS data." > myFile.txt:ADStest

• File myFile.txt sẽ có dung lượng hiển thị 0 byte (do dữ liệu không nằm ở luồng chính).
• Thực tế, dữ liệu được lưu ở ADS ADStest.
• Có thể xem nội dung bằng lệnh:

more < myFile.txt:ADStest

Chính vì ADS không hiển thị rõ ràng, hacker có thể lợi dụng để ẩn dữ liệu độc hại. Từ Windows 7 trở đi, Microsoft bổ sung công cụ dir /r để giúp quản trị viên phát hiện ADS trên file.

Ví dụ:


dir /r

Sẽ hiển thị thêm các ADS đi kèm và dung lượng thực tế của chúng.

---

Tóm lại

• Windows chủ yếu sử dụng NTFS nhờ khả năng bảo mật, hỗ trợ dung lượng lớn và tính năng phục hồi.
• MFT là thành phần quan trọng nhất, quản lý toàn bộ thông tin file và thư mục.
• ADS là con dao hai lưỡi: hỗ trợ ứng dụng, nhưng cũng có thể bị lợi dụng để che giấu dữ liệu độc hại.

---

Câu hỏi ôn tập

1. Khi thực hiện điều tra số (disk forensics) trên máy Windows, hệ thống tệp nào sẽ thường gặp nhất?
   • FAT
   • HFS+
   • EXT
   • NTFS
2. Thành phần nào của NTFS có thể bị hỏng nếu 16 sector đầu tiên trên ổ đĩa bị corrupt?
   • Master File Table
   • Partition Boot Sector
   • System Files
   • File Area

​