信息与网络安全教学作者程光第14章计算机取证研讨.ppt

计算机取证不仅关心文件系统中实际存在的文件，同时也注意整个磁盘或者分区上没有直接通过文件系统接口体现的数据。 残留区会产生磁盘碎片，即用于存储文件所有数据的簇在磁盘上的分布是不连续的。 碎片整理就是合并碎片数据使文件的簇连续的过程，这样可以优化读写速度并且简化簇的映射。经过碎片整理之后，一个分区的开始部分经过整理之后大量的残留区会被覆盖；但是相对于开始部分的尾部空间被覆盖的概率就很小。 文件系统 － 残留区(slack space) FAT文件系统 － 目录 FAT文件系统引导扇区和文件分配表之后是根目录条目，根目录是分区上的第一个目录，其他所有目录都是它的子目录; FAT文件系统的一个重要组成部分就是目录条目，每个目录条目占用32个字节，记录了对应文件的文件名、长度和簇的分配情况。 偏移量 注释 0 文件名的第一个字节或者条目状态 1–7 文件名的第2-8个字节 8–10 3字节的文件扩展名 11 文件属性 12–13 为NT系统保留 14–17 文件创建日期和时间 18–19 最后访问日期 20–21 起始簇号的高2字节 22–25 最后修改日期和时间 26–27 起始簇号的低2字节 28–31 以字节为单位的文件长度，目录为0 NTFS提供了更强的容错性和灾难恢复特性并在安全性上有了重大的突破，性能上也提升了很多。 NTFS支持长文件名、文件访问控制和日志功能、文件和目录的压缩以及在NTFS后面的版本中增加的加密文件系统EFS。 访问控制和日志这些增强功能对取证带来了额外的帮助，但是如压缩和加密之类的特性就给取证工作增加了难度。 NTFS是一种日志型文件系统。（维护一致性） NTFS文件系统 NTFS文件系统的核心是MFT(?Master File Table，主文件表)，它为每一个文件或者目录分配1024个字节的空间作为一个条目，记录文件的各种属性。 ? 元文件(例如$Bitmap, $MFTMirr, $Secure) 在MFT中，每个文件或者目录对应一条1024字节的记录，这些记录从0开始唯一编号，按顺序存放。 MFT可以看成是一个由一条条文件记录构成的数据库，每条记录保存了文件或者目录的信息。 NTFS文件系统 － MFT 交替数据流(ADS，Alternate Data Stream)； NTFS文件系统中每条文件记录支持多个$DATA属性，每个属性称为一个交替数据流。 $DATA属性既可以用来定义文件的常驻数据，又可以用来定义非常驻数据。交替数据流对用户和绝大多数应用程序来说是不可见的，这就为数据隐藏提供了一个方法。 NTFS文件系统 － ADS 加密文件系统(EFS，Encrypting File System) EFS并不是NTFS文件系统的内建功能，而是一个驱动模块以本地服务的形式存在。 EFS提供针对文件、目录或卷的透明加密功能，可以防止用户的敏感数据泄漏。 可以通过资源管理器或cipher命令加密文件。 NTFS文件系统 － EFS 如果用户是第一次加密文件，本地安全授权子系统（lsass.exe进程）的EFS服务会使用加密API为用户分配一个密钥对。Windows使用从用户个人凭证中提取的主密钥对产生的私钥加密，然后将加密的私钥和用户档案一起存储。 整个加密过程分为下面几个步骤： EFS随机产生一个128位的密钥，称为这个文件的文件加密密钥（FEK，File Encrytion Key）?； Windows获取用户公钥，使用RSA算法加密FEK； 产生数据解密域（DDF, Data Decryption Field），DDF中包含用户信息以及经过用户公钥加密后的FEK； 产生其他被授权访问该文件的用户的DDF，同样包含了用户信息和经过被授权用户公钥加密后的FEK； NTFS文件系统 － EFS 用和产生DDF同样的方法产生数据恢复代理域（DRF, Data Recover Field），在单机环境中，本地管理员是默认的数据恢复代理； 文件数据使用DESX或TripleDES进行对称加密，将密文复制到新建的$DATA属性中，同时所有产生的DDF和DRF也一起被写入文件的$LOGGED_UTILITY_STREAM属性中； 删除原始数据，完成加密过程。 当加密文件的所有者需要访问文件时，EFS就会读取保存在文件中DDF并使用用户私钥解密FEK，然后对文件进行解密。 数据恢复代理需要通过组策略编辑器中的恢复策略向导进行添加。 如果在取证中遇到EFS加密的文件，只有通过获取DDF或者DRF中指定的帐号证书，然后将这些证书导入本地证书库，从而恢复文件内容。 NTFS文件系统 － EFS 目 录 计算机取证基础 计算机操作系统 文件系统 数据收集与恢复 数据恢复 操作系统提供的删除，格式化还是分区操作