有时候需要提取处于未分配状态的空间中的致掂。对于NTFS文件系统，我们可以检查其$Bitmap文件，将设置值为0的bit所对应的簇中的数据提取出来。
NTFS中所有的文件系统管理数据都以文件的形式进行存储，不存在专门的文件系统管理区，所以不需要再考虑文件系统管理区的未分配空间中可能存在数据。
引导扇区中只能隐藏少量的数据，但$Boot文件的后半部分，即引导代码后面有较多的可用空间，有几个扇区是不会被文件系统使用到的空间。
应该比较文件系统的扇区数和卷的大小值，以确定是否有卷松驰空间存在，或者在文件系统之后有未使用的仝1gj。个要忘记，引导扇区的备份常常位于文件系统结束扇区之后的扇区，而这个扇区虽然属于该文件系统所在的卷，但却不属于该文件系统。因此NTFS文件系统的扇区数总是比卷大小扇区数少1。
文件系统元文件的时间戳通常对应于文件系统建立时的时间。这可以在调查取证的过程中帮助我们确定磁盘的格式化时间。例如，如果你感觉找到的数据量与所预期不符，可以检查格式化的时间，以确定该文件系统使用了多长时间。
$MFT文件的大小不受限制，并且它的大小随着文件和目录项的建立而增大后，即使删除文件和目录，也不会使$MFT义仟的大小有所缩小。所以在该文件的尾部可能会有隐藏数据，虽然这种隐藏方法非常危险[因为隐藏的数据很容易被正常的操作行为覆盖掉）。例如，可以建立大量的文件从而迫使MFT变得很大，然后再将文件删除，用那些取消分配的项位置隐藏数据。
文件系统分析还可以帮助我们识别每个文件系统元文件的属性，因为可能会有人给件分配附加属性来隐藏数据。
与其他文件系统相比，NTFS数据内容部分的分析没有什么特别斋要汪恿的地方。与其他文件系统不同的是，NTFS从第一个扇区开始即使用簇进行管理，这也使得分析过程中所需要留意的地址大为减少。
文件系统尾部可能会有不够一个簇的扇区存在，这部分扇区有可能被用于隐藏数据。同所有的现代系统一样，必须注意检查被文件系统标记为坏簇的位置是否被用于隐数据，因为大多数硬盘可以在文件系统发现某个位置确实已经损坏前先行发现并对其进行替换处理。