Windos平台下的监控取证技术.docVIP

Windows平台下的监控取证技术 作者：泉哥 主页： 前言 监控取证技术大多被国家政府公安部门采用的技术，主要用于针对计算机犯罪而进行取证，以此确保人民信息安全。当然对于我们一般的平民，掌握一定的取证技术也可以很好采取反监控技术，以防止我们的个人隐私泄露，造成不必要的损失。但监控取证技术的范围很广，本专题主要针对windows平台下的监控取证技术进行简要分析，希望大家能有所得。 一.NTFS属性 NTFS (New Technology File System)是 Windows NT 操作环境和 Windows NT 高级服务器网络操作系统环境的文件系统.NTFS 的目标是提供：可靠性，通过可恢复能力(事件跟踪)和热定位的容错特征实现；增加功能性的一个平台；对 POSIX 需求的支持；消除 FAT 和 HPFS 文件系统中的限制。 NTFS 提供长文件名、数据保护和恢复，并通过目录和文件许可实现安全性。NTFS 支持大硬盘和在多个硬盘上存储文件(称为跨越分区)。例如，一个大公司的数据库可能大得必须跨越不同的硬盘。NTFS 提供内置安全性特征，它控制文件的隶属关系和访问。从 DOS 或其他操作系统上不能直接访问 NTFS 分区上的文件。如果要在DOS下读写NTFS分区文件的话可以借助第三方软件；现如今，Linux 系统上已可以使用 NTFS-3G 进行对 NTFS 分区的完美读写，不必担心数据丢失。这是Windows NT 安全性系统的一部分，但是，只有在使用 NTFS 时才是这样。 说白了，NTFS就是一种文件系统，而非文件格式，FAT16，FAT32均是如此。你查看一下磁盘的属性就可查看是何种文件系统了，如图1： ??????????????? 图1 在NTFS文件系统中，文件亦是按簇进行分配的， 文件通过主文件表MFT（Master File Table）来确定其在磁盘上的存储位置、大小、属性等信息。每个文件都有一个文件记录（File Record)数据结构,其中第一个记录就是MFT自己本身。MFT结构如图2，3所示： ?????????????????????????????????????????????? 图2 ?????????????????????????????????????? 图3 关于MFT更详细的资料可参考《NTFS中的$MFT详解》一文：/sc_wolf/blog/item/e3f6d35cb063b345faf2c05b.html 下面是FILE ? Record的结构：Offset ? Size ? ? Description ? ? ? 0x00 ? 4 ? ? ? Magic ? number ? FILE ? ? //标志，一定是“FILE”? 0x04 ? 2 ? ? ? Offset ? to ? the ? update ? sequence ? ? //更新序列US的偏移? 0x06 ? 2 ? ? ? Size ? in ? words ? of ? Update ? Sequence ? Number ? ? Array ? (S) ? ? //更新序列号USN的大小与数组，包括第一个字节? 0x08 ? 8 ? ? ? $LogFile ? Sequence ? Number ? (LSN) ? //?日志文件序列号LSN? 0x10 ? 2 ? ? ? Sequence ? number ? ? //序列号（SN）? 0x12 ? 2 ? ? ? Hard ? link ? count ? ? //硬连接数? 0x14 ? 2 ? ? ? Offset ? to ? Update ? Sequence ? Array ? //? 第一个属性的偏移地址? 0x16 ? 2 ? ? ? Flags ? ? //标志，1表示记录正在使用，2表示该记录为目录? 0x18 ? 4 ? ? ? Real ? size ? of ? the ? FILE ? record ? ? //记录头和属性的总长度，即文件记录的实际长度? 0x1C ? 4 ? ? ? Allocated ? size ? of ? the ? FILE ? record ? ? //总共分配给记录的长度? 0x20 ? 8 ? ? ? File ? reference ? to ? the ? base ? FILE ? record ? ? //基本文件记录中的文件索引号? 0x28 ? 2 ? ? ? Next ? Attribute ? Id ? ? //下一属性ID? 0x2A ? 2 ? ? ? Align ? to ? 4 ? byte ? boun