时间信息的电子取证和鉴别1.pdf

时间信息的电子取证和鉴别 ————暗组信息安全论坛 现实中经常会听到什么不在场证据，其实网络上的也一样需要一个时 间戳，没有这个时间戳，就算找到了攻击计算机，一样不能判定攻击者， 因为不能确定攻击者当时确实是在使用计算机，所以时间信息同样是电 子取证过程中的一个重点，这是一个把攻击者和网络案件联系起来的一 个关键性证据。 今天我们一起来通过ＨＥＸ获取我们需要的时间证据，并且通过时间 来尝试判定某些电子证据的真伪。 时间信息在不同的文件系统之中的存储方式是不同的，我们先来看下 FAT32文件系统下的时间存储方式。 FAT32文件系统的时间属性储存在文件目录项FDT（FileDirectory Table)中，FDT位于文件分配表之后，数据区前；每个文件在FDT中都 对应着有一个目录项（这里的许多名词大家不懂没关系，一会我们全面 介绍文件在磁盘中的存储方式后就会明白的），一个目录项占用32字节， 下面我们看下这32字节的定义。 在上图中粗线两边的是我们判断时间的主要依据，下面我们来进行实 战，使用HEX 读取磁盘数据来获得某文件的创建时间我这里没有FAT32 的盘，就用RAMDISK 虚拟了个A盘，以A盘中的HEX 的汉化说明为 例。 如图选择打开磁盘A后，会发现HEX 已经把文件的创建修改最近访 问等时间列出来了，但是我们这次是要学习手工寻找计算文件时间，所 以右击文件如图 位置转到目录项后下方的HEX 数据，就会自动跳转到该文件的目 录项的开始（下位置），我们根据第一张表的偏移0X0D找 3个16进制字节， 如上图 04BA93但是上面不是说是24位二进制么？我们需要把16进制 转换为二进制，常做免杀的知道高低位的问题，其实只要记住在这个时 候把得到的数据反过来写就可以，即：93BA04转换为二进制为 100100111011101000000100这就还原成24位二进制了，把前5位10010 转换成十进制得到18，次6位011101转成十进制得29，再次5位11010 转成十进制得到26，同理转化后8位得4，4*10得40，由第一张表可知， 这个文件是在18点29分26秒40时创建的，同理找到日期的偏移0X10 如下图 得到313C，高地位3C31 转二进制得11110000110001，这里出现一 个小小的问题，细心的朋友可能发现了，我们前面说这里应该是16位的， 但是现在却只有14位，那两位跑哪里去了呢？其实在这川数字之前还是 有两个0的，但是我们在计算器中计算的时候，被自动的略去了，所以 这个时候我们要从后面开始计算，先取后5位10001转十进制得17，之 前4位0001就是1，再前11110转得30，30+1980得2010，和上面HEX 上显示的也一样，同理，文件的修改时间也可以由这里计算到，我这里 就不多说了，自己动手才能真正的穴道。 上面一直说的是FAT32文件系统的时间，下面我再来给大家说一下， 对于现在WINDOWS 的主流NTFS文件系统的时间存储方式。 NTFS 的文件属性信息存储在主文件表MFT（MasterFileTable）中， 每个文件在MFT中都对应着一个文件的索引，称为目录，每个目录占用 两个扇区，目录大小为1KB。NTFS 系统在文件记录中以，UTC 时间方 式存储（详细介绍/view/325501.htm?fr=ala0_1）使用 一个64位的数来计算时间，单位是100纳秒 （/view/187741.htm）其实就是表示从1601年1月1 日0点开始经过了多少个100纳秒，一纳秒等于一秒的十亿分之一，在 主文件表中，记录了文件创建时间，修改时间，MFT的修改时间，和最 后访问时间，下面我们继续用HEX 来进行实战，还是A盘，只不过现在 是NTFS格式，随便新建了一个文本文档同样用HEX 打开磁盘右击文 件位置转到目录项，这时我们可以看到HEX 已经把下方HEX 数据 使用不同颜色进行了区分如下图： 颜色区分不是很清晰，图片选中后会比较清晰，从目录项开始的第6 行开始，也就是HEX 使用黄色标示的位置，每8位HEX 数据代表一个64 位二进制数据，我们以第一组为例DD7233A8D6 97CA01,以高低位排 列01CA97D6A83372DD,这里没必要转成二进制，直接转成10进制得 129082