NTFS系统存储介质上文件操作痕迹分析及数字取证技术算法实现初探
NTFS系统存储介质上文件操作痕迹分析
An l sso a e n S o a eM e i a y i f Tr c so t r g d a
b l e a i n f rNTFS Fi y t m y Fi Op r t o e o l S se e
HUANG - e Bu g n
其 中, 0 3 表示 1 头 x1 字节簇数( 值为随后的 0 ) 3 5和 字节簇号 ( 为 f b 2,即表示 0 1b f 簇开始 的 0 0 值 c 01) x 2 0c x 5个簇 。
文件 夹的增加、删除、修改等操作会在 存储介质 上留下痕迹 , 分析这 些痕迹 ,对于信息保密、数据恢复、计算机取 证等都
不可 以调用操作系统提供的文件操作命 令,而需 要直接存取 磁 盘扇 区,也就需要研究文件系统的相 关数据结构 ;文件和
基于NTFS的计算机反取证研究与实现
快速 发展 的阶段 ,反取证技术随之兴起 。通过研究 反取证技 术以保证计算机取证 的科学性和有效性具有重要意义 _。 j J 反取证主要是针对证据的收集 与分析 。罪犯利用取证调 查开始 时影响判断的因素来干扰、阻扰取证 ,导致 调查取证 偏 离真实犯罪活动。这些 因素包括数据集的信息异常、失效 甚至产 生转嫁于合法 实体 的结果。 目前 ,反取 证的主要技术 有数据 隐藏、人工擦除、源追踪混淆和针对计算机取证缺陷 进 行 攻 击 等 。 j 数据擦除技术采用多次覆写或零位填充等手段 ,可有效 擦 除数据 , 但很多情况下入侵者需要保留窃取 的信息,因此,
作者倚介 : 李步升( 7 一) 男 , 18 , 9 讲师 , 主研方向 : 计算机 网络与通 信 ,网络安全 收稿 日期 :21- —6 00 51 0 Em i hndw r i o - a :sany @g a. r l nl n c
入侵者通常会对 文件进行加密或隐写处理 。但单纯 的加密技
术或隐写技术都存在不足l。例如,加密技 术在算法选定后, 、 J 其安全性依赖于 密码 的长度和随机性 。另一方面,当待 隐藏 文件较大时 ,传统 的隐写技术需要大量开销去选择合适大小 的载体 ,且一旦被对 方识破此 ,该 方法将完全失效 _。 0 J
为 了克服上述缺点 ,本文提 出一种基于文件系统 的反取 证 方法 。此方法通过循环遍 历分区下所有的文件 ,计算 出每
不是一种简单 的相对偏移 关系 。设某一文件的数据运行列表
中某一结构 的首簇号为 Ⅳ,则若 Ⅳ 占 1 个字节且 Ⅳ>0 8 H, x0 则取负值 ,Ⅳ ( mo x 0一 x 0 。Ⅳ _ d 0 8 )0 8 。若 Ⅳ 占 2个字节且 Ⅳ> 0 80 ,则 | ( x00 v Ⅳmo x 00一0 8 0 。若 Ⅳ占 3 = d0 8 0 ) x0 0 个字节且
NTFS系统存储介质上文件操作痕迹分析
traces
are
related
file system。NTFS file system
allocates
and revokes the storage by cluster.It
traces
manages by MFT.This paper,
or
from the point of compumr forensics,analyzes the method of accessing file for NTFS file system and the
3l Ol fc bO 12 2l 18 bd49 2l 2f7b a7 00
则分解成4个Run:
3l Ol fc的12,2l 18嬲49,2l 2f7b孵,∞ 鼯文件存储在3个连续块:
NTFS卷文件管理
NTFS以簇为撼本单位分配和回收存储空间睇j,与FAT
1.1簇管理 结构不同,NTFS卷(volume)从0扇区开始划分簇,每簇为 l,2,4或8令襄嚣,缀据癸嚣戆大奎褒一默认壤,毽是在格式 化时可以人工选择。每簇扇区数保存在BOOT扇区(O痢区)。 NTFS通过Bitmap文件记淤所有簇的使用情况,1个bit 对应1个簇,值为l表示已经分配,为0袭示未分配。FAT 文箨系绞巾的FAT不仅标骥了数据簇鹣使用情况,还标裙了 数据簇的链接关系。 NTFS使用逻辑簇号(109ical 簇号(virtual
table,MFT)来确定其在卷上的位置日J,每个FILE有固定大小, 一般鸯1KB。FILE记添了文箨翡袋蠢数据,每拿数据渡一个 属性来表永,如文件名、文件长度、文件的时间等都是属性, 文件的内容也是一个属性,每个属性有一个特征码。属性数 据较小时戆够存放在FILE记录孛,豫为驻鍪键震缝,爱之 为菲驻暂的属性,遥过Data Runs来保存其存储索弓l表。途 一点与FAT文件系统不同,FAT文件系统只在目录区保存了 文律昀首簇号,。还要通过FAT表链接关系才能确定文俘酶全 部存放位嚣。Data Runs在一令FILE记录存羧幂下嚣还胃泼 用扩展属性,增加FILE记录来保存,即一个文件可以有多 个FILE记浆。 MFT本身痿息记滚在MFT O(笫|拿FILE记录≥,攀褒 为¥MFT,铉存储了整个MFT的存储分布,¥MFT的开始簇 号在BOOT扇区中保稃。
信息安全(填空)
第一章1、信息安全受到的威胁有人为因素的威胁和非人为因素的威胁,非人为因素的威胁包括自然灾害、系统故障、技术缺陷。
2、广义的信息安全是指网络系统的硬件、软件及其系统中的信息受到保护。
它包括系统连续、可靠、正常地运行,网络服务不中断,系统的信息不因偶然的或恶意的原因而遭到破坏、更改、和泄露。
3、导致网络不安全的根本原因是系统漏洞、协议的无效性和人为因素。
4、OSI安全体系结构中,五大类安全服务是指认证、访问控制、数据保密、数据完整性服务和抗否认性服务。
5、网络通信中,防御信息被窃取的安全措施是加密技术;防御传输消息被篡改的安全措施是完整性技术;防御信息被假冒的安全措施是认证技术;防御信息被抵赖的安全措施是数字签名技术。
6、信息安全保障体系架构由管理体系、组织结构体系和技术体系。
第二章1、密码学是一门关于信息加密和密文破译的科学,包括密码编码学和密码分析学两门分支。
2、对于一个密码体制而言,如果加密密钥和解密密钥相同,则称为对称密码体制;否则,称为非对称密码体制。
前者也称为单密钥体制,后者也称为双密钥体制。
3、柯克霍夫原则是指原密码系统的安全性取决于密钥,而不是密码算法。
这是荷兰密码学家kerckhoff在其名著《军事密码学》中提出的基本假设。
遵循这个假设的好处是,它是评估算法安全性的唯一可用的方式、防止算法设计者在算法中隐藏后门、有助于推广使用。
4、分组密码的应用模式分为电子密码本、密文链接模式、密文反馈模式、输出反馈模式。
5、加密的方式有节点加密、链路加密、端到端加密。
6、DES分组长度是64位,密钥长度是64位,实际密码长度是54位。
第三章1、信息隐藏技术的4个主要分支是信息隐写术、隐通道、匿名通信、版权标识。
2、信息隐藏的特性指安全性、鲁棒性、不可检测性、透明性和自恢复性。
3、数字水印技术是利用人类视觉和听觉的冗余特性,在数字产品中添加某些数字信息,以起到版权保护的作用。
4、通用的数字水印算法包括水印生成算法、水印嵌入和提取检测三个方面。
司法鉴定中的数字取证技术介绍
文件解析与识别技术
文件解析
对数字设备中的各类文件进行深入分 析,提取文件头、元数据、内容等信 息,以确定文件类型、来源和修改历 史等。
文件识别
通过特定算法对文件进行识别和分类 ,如识别图像、音频、视频等文件的 格式和内容,为后续分析提供基础。
时间戳分析与验证技术
时间戳分析
对数字设备中的时间戳信息进行提取和分析,以确定文件创建、修改和访问的 时间,为案件调查提供时间线索。
工作流程
数字取证技术的工作流程通常包括案件受理、现场勘查 、数据提取、数据分析、证据呈现和结案归档等步骤。 其中,案件受理是指接收案件并了解案情;现场勘查是 指对涉案数字设备或存储介质进行现场勘查和收集;数 据提取是指对收集到的数据进行提取和整理;数据分析 是指对提取的数据进行深入分析和挖掘;证据呈现是指 将分析结果以可视化、直观化的方式呈现出来;结案归 档是指将案件相关材料和证据进行整理和归档。
展望未来发展趋势
技术创新
随着人工智能、大数据等技 术的不断发展,数字取证技 术将不断创新,提高自动化 和智能化水平。
法规完善
随着数字技术的广泛应用, 相关法律法规将不断完善, 为数字取证技术的发展提供 有力保障。
国际合作
跨国犯罪和网络犯罪日益猖 獗,数字取证技术的国际合 作将成为未来发展的重要趋 势。
时间戳验证
通过与其他证据或信息进行比对,验证时间戳的真实性和准确性,以确定数字 证据的可靠性和完整性。
加密解密技术应用
加密技术应用
采用加密算法对重要数字信息进行加密处理,确保信息在传 输和存储过程中的安全性,防止未经授权的访问和篡改。
解密技术应用
在合法授权的情况下,利用解密算法对加密信息进行解密处 理,以获取原始信息内容,为案件调查提供证据支持。
信息安全(填空)
第一章1、信息安全受到的威胁有人为因素的威胁和非人为因素的威胁,非人为因素的威胁包括自然灾害、系统故障、技术缺陷。
2、广义的信息安全是指网络系统的硬件、软件及其系统中的信息受到保护。
它包括系统连续、可靠、正常地运行,网络服务不中断,系统的信息不因偶然的或恶意的原因而遭到破坏、更改、和泄露。
3、导致网络不安全的根本原因是系统漏洞、协议的无效性和人为因素。
4、OSI安全体系结构中,五大类安全服务是指认证、访问控制、数据保密、数据完整性服务和抗否认性服务。
5、网络通信中,防御信息被窃取的安全措施是加密技术;防御传输消息被篡改的安全措施是完整性技术;防御信息被假冒的安全措施是认证技术;防御信息被抵赖的安全措施是数字签名技术。
6、信息安全保障体系架构由管理体系、组织结构体系和技术体系。
第二章1、密码学是一门关于信息加密和密文破译的科学,包括密码编码学和密码分析学两门分支。
2、对于一个密码体制而言,如果加密密钥和解密密钥相同,则称为对称密码体制;否则,称为非对称密码体制。
前者也称为单密钥体制,后者也称为双密钥体制。
3、柯克霍夫原则是指原密码系统的安全性取决于密钥,而不是密码算法。
这是荷兰密码学家kerckhoff在其名著《军事密码学》中提出的基本假设。
遵循这个假设的好处是,它是评估算法安全性的唯一可用的方式、防止算法设计者在算法中隐藏后门、有助于推广使用。
4、分组密码的应用模式分为电子密码本、密文链接模式、密文反馈模式、输出反馈模式。
5、加密的方式有节点加密、链路加密、端到端加密。
6、DES分组长度是64位,密钥长度是64位,实际密码长度是54位。
第三章1、信息隐藏技术的4个主要分支是信息隐写术、隐通道、匿名通信、版权标识。
2、信息隐藏的特性指安全性、鲁棒性、不可检测性、透明性和自恢复性。
3、数字水印技术是利用人类视觉和听觉的冗余特性,在数字产品中添加某些数字信息,以起到版权保护的作用。
4、通用的数字水印算法包括水印生成算法、水印嵌入和提取检测三个方面。
基于NTFS文件系统的数字证据收集技术
基于NTFS文件系统的数字证据收集技术
胡琦伟;陈显龙;叶贤良
【期刊名称】《电脑编程技巧与维护》
【年(卷),期】2011(000)004
【摘要】分析了NTFS文件系统的物理结构和逻辑框架,提出了计算机取证软件的开发需要先解决元数据的读取和碎片文件的恢复等问题,并编程实现了信息收集模块,为计算机取证软件的设计提供了一种方案.
【总页数】3页(P98-100)
【作者】胡琦伟;陈显龙;叶贤良
【作者单位】东莞理工学院城市学院,东莞523106;东莞理工学院城市学院,东莞523106;东莞理工学院城市学院,东莞523106
【正文语种】中文
【相关文献】
1.数字时代的电子证据收集 [J], 沈晶
2.基于NTFS文件系统的数据恢复技术 [J], 张明旺
3.基于NTFS文件系统的数据恢复编程技术 [J], 高洪涛;李孟林;赵璇元
4.基于NTFS文件系统的EFS加解密技术及安全机制分析 [J], 乐琴兰;石立农
5.基于NTFS文件系统磁盘扩展分区结构的分析研究 [J], 候付伟;魏兆协
因版权原因,仅展示原文概要,查看原文内容请购买。
数字证据的取证方式与技术研究
数字证据的取证方式与技术研究一、概述随着社会的不断发展,运用计算机和互联网的范围越来越广泛,数字证据的产生也随之增多。
为便于对数字证据进行取证和分析,需要使用相应的技术手段和方法,这就是数字证据的取证方式和技术研究。
数字证据的取证方式包括实物取证和网络取证两种方式。
实物取证通常适用于物理环境下的取证,如现场勘查、道路交通事故等领域。
而网络取证则适用于计算机领域的数据取证,包括存储介质取证、网络数据包取证等。
二、实物取证实物取证是指通过对事发现场和人员进行勘查,搜集和保留与案件有关的实物、文书、录音录像以及其它物品或财物,收集具体的线索,提取和保管相关证据。
实物取证在刑事诉讼中发挥了重要作用。
实物取证中,要求现场保全、勘查、记录等步骤要迅速高效地完成。
而且为了尽可能快地提供案件证据,可以采用相应的实物取证工具,如照相机、录音笔等。
此外,为防止证据被破坏或者丢失,取证人员必须遵守相关法律法规和操作规定,保证现场的证据完整性,并做好证据保全和电子数据备份等工作。
三、网络取证相对于实物取证,网络取证更多指针对计算机系统、软件程序以及网络数据进行分析和取证的一种方法。
目前,计算机和互联网已经成为社会重要的信息交流渠道和日常工作的必需工具。
因此,网络取证的重要性不言而喻。
网络取证是一项庞杂的工作。
在数字证据研究中,网络取证主要包括存储介质取证、网络数据包取证和网络入侵等几方面内容。
1. 存储介质取证存储介质取证是指在计算机系统中获取存储介质上的数据和相关信息的过程。
受取证影响的存储介质包括硬盘、光盘、U盘等。
存储介质取证的主要方式包括磁盘镜像获取法和磁盘实时获得法。
前者是一种完整的磁盘像文件的复制过程,而后者在计算机的操作过程中提取数据。
若需进行写保护取证,可以第一时间进行计算机关机操作,或者使用较为特殊的写保护装置进行取证。
2. 网络数据包取证网络数据包取证是指依靠计算机网络的通信机制,获取计算机网络中传输的数据包信息。
NTFS系统下“小文件”取证软件的设计与实现
除数 据之 后,除 了数 据 运行属性之 外,其他 属性没有发 生变 化 。数 据运行属性 的结束标 志 0 F F F F x F F F F向前移 动。“ 王 志 8 ”被 MF 7 T记 录结束标志 0 F F F F 8 7 4 1 覆 盖, x F F F F 2 9 7 1 但 “ 8 3 0 扬斌 8 8 5 4 ”仍 然存在 ,这部 分数据是可以 925 79 63
s fw aewa e ci d i t i. e s t ae c ul utm aial s a h l ¥M FT fNTFS s se . tc ud o t r sd s rbe ndeal Th of r o d a o t l c n t ef e w c y i o y tm I o l a oma ial fn h FT e o d ofe c ” m alfl” I n M F r c r o a n t h tc n ber c vee ut tc ly d te M i r c r a h s l e . fa T e o d c nti sda t a a e o rd, i a te t t l er c v rd. h nheda wil e o e e a b K e o ds FT l e o d; m al l F r nsc ; e o e y yw r :M i f erc r s lf e; o e is r c v r i
关键 词 :MF T文件记 录;小文件 ;取证 ;恢 复 中图分 类号 :T 330 文献 标识码6 1 12 2 1 ) 8 03 — 3
TheD e i n a m plm e a i n o Sm al l ¨Fo e is sg nd I e nt to f¨ l e Fi r nsc S fw a ei o t r n NTFS Sy t m se
信息安全(填空)
第一章1、信息安全受到的威胁有人为因素的威胁和非人为因素的威胁,非人为因素的威胁包括自然灾害、系统故障、技术缺陷。
2、广义的信息安全是指网络系统的硬件、软件及其系统中的信息受到保护。
它包括系统连续、可靠、正常地运行,网络服务不中断,系统的信息不因偶然的或恶意的原因而遭到破坏、更改、和泄露。
3、导致网络不安全的根本原因是系统漏洞、协议的无效性和人为因素。
4、OSI安全体系结构中,五大类安全服务是指认证、访问控制、数据保密、数据完整性服务和抗否认性服务。
5、网络通信中,防御信息被窃取的安全措施是加密技术;防御传输消息被篡改的安全措施是完整性技术;防御信息被假冒的安全措施是认证技术;防御信息被抵赖的安全措施是数字签名技术。
6、信息安全保障体系架构由管理体系、组织结构体系和技术体系。
第二章1、密码学是一门关于信息加密和密文破译的科学,包括密码编码学和密码分析学两门分支。
2、对于一个密码体制而言,如果加密密钥和解密密钥相同,则称为对称密码体制;否则,称为非对称密码体制。
前者也称为单密钥体制,后者也称为双密钥体制。
3、柯克霍夫原则是指原密码系统的安全性取决于密钥,而不是密码算法。
这是荷兰密码学家kerckhoff在其名著《军事密码学》中提出的基本假设。
遵循这个假设的好处是,它是评估算法安全性的唯一可用的方式、防止算法设计者在算法中隐藏后门、有助于推广使用。
4、分组密码的应用模式分为电子密码本、密文链接模式、密文反馈模式、输出反馈模式。
5、加密的方式有节点加密、链路加密、端到端加密。
6、DES分组长度是64位,密钥长度是64位,实际密码长度是54位。
第三章1、信息隐藏技术的4个主要分支是信息隐写术、隐通道、匿名通信、版权标识。
2、信息隐藏的特性指安全性、鲁棒性、不可检测性、透明性和自恢复性。
3、数字水印技术是利用人类视觉和听觉的冗余特性,在数字产品中添加某些数字信息,以起到版权保护的作用。
4、通用的数字水印算法包括水印生成算法、水印嵌入和提取检测三个方面。
数字证据分析技术在电子取证中的应用研究
数字证据分析技术在电子取证中的应用研究随着数字技术的飞速发展,数字证据分析技术在电子取证中发挥着越来越重要的作用。
数字证据不同于传统证据,它不但用于犯罪调查,也可以用于网络安全、知识产权保护等方面。
数字证据分析技术是指针对硬盘、存储介质和网络设备等数字设备中存在的信息进行特定处理,从而找出有用的证据。
下面将对数字证据分析技术在电子取证中的应用进行探究。
一、数字证据与传统证据的差异数字证据与传统证据的不同之处在于,数字证据更加依赖于技术手段,它不仅要依靠人力调查,还要依靠数字取证技术。
数字证据属于非物质证据,一般包括电子邮件、短信、通话记录、微信聊天记录等。
相比传统证据,数字证据的来源更加复杂,如果缺乏专业技术,很容易导致证据不足或破坏证据的情况,因此需要数字证据分析技术的应用。
二、数字证据分析技术的概念数字证据分析技术是指对在计算机、网络和其他数字设备上发现的证据物品进行分析、提取、处理和保存的过程。
为了保证证据的完整性和真实性,数字证据分析技术需要进行规范化处理,其中包括取证、鉴定、分析、呈现等步骤。
数字证据分析技术主要由硬盘镜像、文件提取、关键字检索等工具、技术和方法所支持。
三、1. 硬盘镜像技术硬盘镜像技术是数字证据分析技术中非常重要的部分,它是指通过特殊的软件工具将硬盘的数据完全复制到另一个设备上,从而保证证据的完整性。
硬盘镜像技术可以完成数据的完整复制,避免数据的修改和破坏。
同时,硬盘镜像技术不仅可以在硬盘分区中进行,也可以在整个硬盘上进行。
2. 文件提取技术文件提取技术是指从硬盘、手机和其他设备上提取文件的过程,可以用于获取包括图片、音频、视频、文档、邮件等各种类型文件。
常见的文件提取技术有:文件恢复、文件碎片恢复、文件重组等方法。
文件提取技术可以通过引入特定工具帮助分析者在大量信息中快速定位数据,有效提高证据提取的准确性和速度。
3. 关键字检索技术关键字检索技术是指利用计算机搜索引擎对计算机、手机和其他数字设备上的文档、电子邮件、网页等文件进行全文搜索的过程。
基于NTFS文件系统的计算机取证
基于NTFS文件系统的计算机取证
王丽娜;杨墨;王辉;郭攀峰
【期刊名称】《武汉大学学报:理学版》
【年(卷),期】2006(52)5
【摘要】为解决计算机取证的数据恢复问题,提出了一种基于新技术文件系统(New technology file system,NTFS)的数据恢复算法.该算法通过分析NTFS文件系统的结构,将待取证的数据分为3类,采取不同的策略进行处理:对于不可组织的数据依据其字节分布频率进行恢复和取证;对于尚可组织的数据依据NTFS文件系统中的相关记录进行数据恢复和取证.结果表明,该算法能重新组织被删除的数据,为计算机取证提供了一种解决途径.
【总页数】4页(P519-522)
【关键词】计算机取证;电子证据;文件系统;NTFS;数据恢复
【作者】王丽娜;杨墨;王辉;郭攀峰
【作者单位】武汉大学计算机学院
【正文语种】中文
【中图分类】TP316.7
【相关文献】
1.基于NTFS的计算机反取证研究与实现 [J], 李步升
2.基于FAT32文件系统的计算机取证研究与实现 [J], 王中杉;刘乃琦;秦科;郝玉洁
3.基于FAT32文件系统的一种计算机取证方法 [J], 郭博;莫有权;李庆荣;李祥和
4.自主研发基于文件系统的计算机反取证软件 [J], 小小杉
5.基于计算机取证的Linux文件系统解析与设计 [J], 刘春枚
因版权原因,仅展示原文概要,查看原文内容请购买。
存储介质上电子证据的发现和提取技术
存储介质上电子证据的发现和提取技术
黄步根
【期刊名称】《计算机应用与软件》
【年(卷),期】2008(025)001
【摘要】计算机存储介质中数据存储基于文件系统,文件系统以文件目录为基础,文件目录建立在分区上.Windows操作系统下最常用的文件系统是FAT文件系统和NTFS文件系统,格式化可以改变分区的类型或参数,需要加以恢复;文件操作可能留下操作过程的痕迹,可能删除文件.需要研究操作痕迹的发现和提取方法,恢复删除的数据,提供法庭证据.
【总页数】4页(P88-90,95)
【作者】黄步根
【作者单位】江苏警官学院公安科技系,江苏,南京,210012
【正文语种】中文
【中图分类】TP3
【相关文献】
1.浅析Windows系统中电子证据的发现和提取 [J], 秦景旺;张宇
2.木地板上的手印及其发现与提取 [J], 欧阳常青
3.Windows98/me中电子证据的发现及提取 [J], 李进;浦利君;缪红;李艳;张光辉
4.刑事案件现场勘查电子证据的发现和提取 [J], 刘忠
5.木地板上的手印及其发现与提取 [J], 欧阳常青
因版权原因,仅展示原文概要,查看原文内容请购买。
NTFS系统下“小文件”取证软件的设计与实现
NTFS系统下“小文件”取证软件的设计与实现
徐国天
【期刊名称】《信息网络安全》
【年(卷),期】2011(000)008
【摘要】文章介绍了通过MFT文件记录恢复“小文件”的方法,介绍了“小文件”恢复需要解决的乱码问题和多次删除数据的恢复问题,介绍了“小文件”取证软件
的总体执行流程图和测试情况.该软件可以自动扫描NTFS系统的$MFT元文件,从$MFT元文件中依次找出每个包含“小文件”数据的MFT记录,如果某个MFT记
录包含可以恢复的数据,则将其恢复出来.
【总页数】3页(P38-40)
【作者】徐国天
【作者单位】中国刑警学院,辽宁沈阳110854
【正文语种】中文
【中图分类】TP393.08
【相关文献】
1.可重构云计算领域的小文件系统设计与实现 [J], 刘浩洋;祝永新
2.面向海量小文件的分布式存储系统设计与实现 [J], 李洪奇;朱丽萍;孙国玉;王露
3.基于NTFS的数据恢复系统设计与实现 [J], 封富君;姚俊萍;李晓军;;;
4.安卓取证系统的设计与实现 [J], 王德广;倪怀乾
5.基于NTFS文件系统的计算机取证 [J], 王丽娜;杨墨;王辉;郭攀峰
因版权原因,仅展示原文概要,查看原文内容请购买。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
计算 机取 证 , 首 要的 问题是 掌握 什么 时间 发生 了什 么 事情 。 有一 个重 要的 文 件 属性 是 时间 属性 , NT F S 中的时 间属 性有4 项: 文 件 的创建 时 间 , 最后 修 改 时间 , 最 后访 问时 间 以及 ME T r e改时 间 , 全部精 确到 l O O n s 。 最后访 问 时间是 文 件 操 作痕迹 中最敏感 的证 据特 征 。 文件 操作 痕迹 反映在 文件 的增 加 、 删 除和修
开始 编 号 。 MF T仅供 系统 自身构 架 、 组织 文件 系统使 用 , 被称作 元数 据 所有 的 元 文件 名字都 是 以“ ¥ ” 开始 , 其都 是 隐藏文 件 。 M兀 衰 中的前1 6 个元数 据是最 重 要的。 为 了 防止 数据 的丢 失 , 在 卷 存储 区 中 , N T F S 系统 对它 们进 行 了备份 。
据 提 出了 不同 的处 理策 略 。 2 . N T F S 文 件 系统 介 绍 N T F S 和 传统 的F AT 3 2 文 件系 统在 结 构上 几乎 是完 全 不同 的两 种文 件 系 统, N TF SI  ̄ I 身具 有 很多 新 的特 征 , 比如安 全性 、 容错 性 、 文 件压 缩 和磁 盘 配额 等, 都 是 相对 其他 系 统 特 殊 的地 方 。 NTF S 分 区主 要 由引 导 扇 区 、 主 文件 表 ( Ma s t e r F i l e T a b l e , MF T) 、 系统 文件 和 文 件存 储 区域 等4 个 部 分组 成[ 2 】 。
文件 系统 下 访 问文件 ( 夹) 的方法 , 研究N T F S 文件 系统 下文 件和 文件 夹 的操 作痕 迹 , 并 在此 基础 上提 出了一 种基 于NT F S 文件 系统 的数据 恢复 算法 。 该 算法 通过 分 析N T F S 文件 系统 的结 构 , 将 待取 证 的数 据分 为 3 类, 采 取 不 同的策 略进 行 处理 , 通过 数 据恢复 技 术恢 复被 删 除 的数据 并在 此基 础 上实 现计 算机 取证 。 [ 关键词 ] 计 算机 取 证 ; 文 件 系统 ; N T F S ; 数 据 恢 复 中 图分类 号 : P 4 1 3 文献 标识 码 : A
文 章编 号 : 1 0 0 9 - 9 l 4 x( 2 O 1 4 ) 2 4 —0 3 0 9 一 O 1
1 . 引 言 随着信 息化社 会的快罪 的案
详 细信 息 。 MF T文件记 录 数组 中的文 件记 录在 物理 上是 连续 的 , 并 且都 是从 0
3 . NT F S 卷 文件 操作 痕 迹及 对 计算 机取 证 的影 响
件越 来越 多 , 给人们 和社会 造成 了 巨大 的财产 损失 因此 , 如 何迅速 准确 的在 计 算 机上恢 复 出犯 罪证据 , 成为切 实 打击 犯罪 的一个 关 键因素 。 Wi n d o ws  ̄ 作系
理 论广 角
- ■I
NTF S系统 存 储 介 质 上文 件 操 作 痕迹 分析
及 数 字 取 证 技 术 算 法 实 现 初 探
王 俊
( 同济 大学 )
[ 摘 要] 为 了逃 脱 公安 机 关的 打击 , 犯 罪分 子 经常将 计 算机 上 的犯 罪 数据 信 息彻 底 删 除 , 或将 分 区甚 至 整个 硬盘 进 行格 式化 操 作 , 从 而使 得重 要 的犯 的 罪 证据 丢 失 , 给 案件 的取 证带 来极 大 的困难 。 因此 , 如 何 迅速 准确 的在 计 算机 上恢 复 出犯 罪证 据 , 成 为切 实打 击犯 罪 的一 个 关键 因素 本 文通 过对NT F S 文件系 统结 构 的详细 介绍 , 重点分析 了N T F S 文件 系统 的主文 件表MF T、 文件记 录的结 构 和文件 的几 个关键 属性 ( 即文件名 , 标 准信息 , 数 据流等 ) , 从计算机 取证 角度探讨 N T F S
改【 3 】 o 1 ) 删 除文 件 ( 夹) 的痕迹 删 除一 个 文件( 夹) , 系统 回收其 文件 记录 , 加 删 除标记 , 如 果该 文件 ( 夹) 还
统占据了约9 0 %的现有个人桌面系统, 而NT F S 是Wi n d o ws  ̄作系统主要使用 并 大力 发展 的文件 系 统。 从计 算机 取证 的角 度提取 文件 操作 的痕 迹 , 要保 证 取 证 操作 的原 始性 , 就 不可 以调 用操 作系 统提供 的 文件 操作命 令 , 而 需要 直接 存 取磁盘扇区, 也就需要研究文件系统的相关数据结构[ 1 】 ; 文件和文件夹的增加、 删除、 修改 等操 作会 在存 储介 质上 留下痕 迹 , 分 析这 些痕 迹 , 对于 信息 保密 、 数 据 恢复 、 计 算 机取 证等 都 具有 重 要价 值 。 本 文首 先通 过对 N TF S 文 件 系统 的结 构 和 数 据 存储 结 构 进 行 了详 细 介绍 , 重 点 分 析NTF S 文 件 系 统 的 主 文件 表 MF T、 文件 记录 的结 构和 文件 的几个 关键 属性 ( 即文件 名 、 标准 信息 、 数 据流 等 属性) , 并 在此 基 础 上 通 过分 析 文 件 删 除前 后 文 件 属 性值 的 变 化 , 提 出 了 在 NT F S 文件 系统 上进 行计 算 机取 证 的算 法 , 针对 N T F S 的特 点 对不 同 类型 的数