文件MAC属性.docVIP

文件MAC属性 ??????? 文件的时间属性和其他属性例如大小、名称等一样，是文件的重要属性，是取证中必须特别关注的文件属性。时间实质包括日期和时间，而不单指时分秒。 ??????? 不同的操作系统，对于文件的时间属性有不同的处理方法。Unix维护着文件的三个时间，也称为MACtimes，分别是： ??????? 最后修改时间：对于目录，指的是其中项目的最后添加、改名或删除的时间；对于其他文件类型，指的是文件最后写入的时间。最后访问时间:对于目录，指的是最后被搜索的时间；对于其他文件类型，指的是文件最后读的时间。 ??????? 最后状况改变时间：包括改变所有者，改变访问权限，改变目录项连接情况，以及任何MACtimes的任何明显改变。 ??????? 对于windows来说，同样为每个文件维持着这样三个时间，分别是： ????????创建时间：通常指文件创建的时间，即文件或目录第一次被创建或者写到磁盘上的时间。注意，如果文件复制于其他的地方，创建时间就是复制的时间而不是文件第一次创建的时间。如果此属性的time指为零，即时分秒得值为零，则表示包含此文件的文件系统不支持这个时间，例如FAT：最后写/修改时间：文件或者目录的最后写/修改时间，有丰富的含义，也是所有的操作系统支持的文件，在DIR命令或者默认专题下文件/资源管理显示给用户的时间，通常指文件做出任何形式的最后修改的时间，例如应用软件对文件内容作修改（打开文件，任何方式的编辑，然后写回磁盘）。如果文件复制与其他的地方，这个时间不变，这就容易造成混乱，例如修改时间在创建时间之前。 ??????? 最后访问时间：某种操作最后施加于文件或目录上的时间，包括：写入、复制、用察看器查看、应用程序打开或打印以及一些方式的运行。几乎所有对文件的操作都会重置这个时间（包括资源管理器，但DIR命令不会），如果其值为零，便是包含此文件的文件系统不支持这个时间。 ??????? 如果要建立整个事件发生的精确的时间线，比必须妥善保护好时间属性，因为并不是所有收集工具都会保存文件的时间，但一些工具的逻辑备份操作在复制和计算需要值得同时会改变文件的最后访问时间。 文件的时间按并不总是精确的，其理由：计算机的时钟本身就可能不准确时间属性不完全，例如只有日期而没有时分秒，或缺少分秒。时区设置的问题。攻击者会故意修改文件的时间。计算机及网络取证的作用之二 1、排除故障：很多的取证工具和集输可以用来排除计算机和网络中的故障，例如发现和定位不正确的网络配置、应用程序的功能性问题、记录和审视主机的设置和运行等。2、日志监控：实时取证过程中，需要监控各种日志文件，分析和关联各种系统的日志记录，从而帮助在应急响应中的事件处理、识别违反安全策略的事件、实施审计等。3、数据恢复：从系统中恢复丢失的数据，包括偶然和故意删除的数据，以及由于其他原因被修改的数据，能够恢复多少数据，取决于具体的情况。4、数据提取：帮助从加密的、隐含的、分散的文件及系统区域提取和还原数据，例如解释文件和系统，提取非政策读写的数据，以及提取电子邮件、聊天记录、internet浏览记录等。5、完善策略：调查用户违反安全策略的行为，例如暴露敏感信息、关闭某些用户审计的过程等。同时，针对取证的结果。同时，针对取证的结果，提出完善安全策略的方法，提高网络的安全性能。 计算机及网络取证的数据媒介：随着计算机和网络的广泛和大量使用，取证必须面对种类繁多和数据巨大的数据，包含这些数据的计算机或网络就称为媒介，数据存在于这些媒介或者在媒介之间传输。标准的计算机系统：桌面机、便携机、服务器网络设备；防火墙、路由器外部设备:打印机、扫描仪存储设备：移动硬盘、软盘、光盘、U盘、备份磁带、ZIP盘、各种存储卡，如SD卡、CF卡、记忆卡等。消费电子产品：手机、PDA、数码相机、MP3/MP4等。?计算机网络取证概述 ??????? 最近几十年来，针对计算机和网络的犯罪和恶意行为不断增长，应急响应调查人员必须使用基于计算机的证据，来判定到底是谁、针对什么目标、在什么地方、什么时候、以何种方式实施了攻击行为，由此促进了计算机取证科学的产生和发展。取证科学一般被认为是将科学应用于法律。计算机及网络取证，也被称为数字取证、计算机取证、取证计算、就是应用计算机、通信等相关技术，发现、收集、检查、分析数据，同时保护信息的完整性，并维持严格的数据保管链，其中数据指的是按特定方式组织起来的格式化的数字信息。 计算机及网络取证的分类CSIRT实施的取证，按照不同的分类方法，可以分成不同类型。（1）、主机取证和网络取证：按照是否调查和涉及网络数据流分类，前者主要针对主机及其外设，后者针对网络数据和周界网络。（2）、事后取证和实时取证：指取证调查的时间是在