NTFS文件系统的时间规则.pdf

NTFS 文件系统的时间规则 邹锦沛罗越荣关煌群黎家盈范晓曦 香港大学资讯保安及密码学研究中心 摘 要:随着IT技术的飞速发展与普及，不法计算机用户有了新的犯罪和恶意活动的渠道。长期以来法庭科学用于解决不 同科学分支的法律纠纷，所以计算机犯罪及恶意行为自然地推动了计算机取证的发展。在计算机取证研究中， 时间分析是犯罪现场重构的一个重要部分。事实上，目前有许多关于时间分析的研究，这是计算机取证中的一 个十分有吸引力的领域。本文在NTFS文件系统上进行时间分析并根据相关文件的行为特征推导出了直观规则。 关键询: NTFS文件系统 MAC时间应用规则 程提供准确的事件重建[η 。而且，文件的时间轴分析常常 一、引论 与传统调查中获得的真实证据有关联性。另外，事件重建 早期的计算机取证被调查人员视为定位和检索电子数 也可应用到对某一事件确定其用户的责任。 据以及恢复电脑中被删除或隐藏的数据。然而，这些取证 在传统应用中，时间戳用于显示特定文件的创建、修 方法却没有阐明电子数据的成因和它们之间的关系，所以 改和访问时间。但文件的MAC时间{尤其是最后访问时 这些方法存在着一些不足[句。目前，众多研究都表明事件 间)在很多情况下(包括系统操作)很容易改变。正如 Boyd和Froster所提到的，有经验的调查人员不会仅仅根据 重建是计算机取证过程中的一个重要阶段。 一个特定文件的日期和时间信息得出他们的结论，因为这 根据Brian和Eugene [2J 的观点，事件重建不仅揭示了 些信息中包含很多潜在隐患[句。 数据的成因，也建立了所调查系统中事件的顺序。许多事 件重建方面的研究都表明对恢复的电子数据进行MAC (修 虽然有文章给出时间戳分析问题的特定解决方法，但 改、访问、新建)时间分析是一个关键的过程，对于事件 他们没有提供足够的理由让调查人员全面理解此问题或提 重建有重要的价值。另外，由于文件的时间戳有助于重建 出的解决方案在大多数情况下不能应用[飞 事件的顺序，所以时间分析是很重要的I句。 三、方法 许多研究中都提出了各种时间分析的模型。然而事实 上这些模型都是抽象的，且没有提出明确的或实际进行 从调查的角度来看，人们通过机器处理影响和创建了 MAC时间分析的解决方案。此外，由于文件的时间戳可以 MAC时间，所以调查者应该可以通过特定的模式来解释由 由批处理修改，如自动扫描工具、预览等等，所以很难确 用户造成的特定现象或行为。 定一个特定文件是否是由用户访问或打开的。 通过整合电子取证调查的经验，我们知道MAC时间可 本文旨在为NTFS文件系统提供MACB才间的行为特 以用来解释一些经常发生的事件。通过观察和研究一些现 征，从而建立事件重建模型中时间分析的基础。通过应用 象来建立MAC时间分析的启发式规则，这在事件重建中将 这些被实验证实的假设规则，调查人员可以识到出时间戳 有十分广阔的前景。这些规则预计将协助计算机取证调查 的可靠程度，进而判断事件