主权项 |
一种基于时域的数据取证及交叉分析方法,其特征在于:包括提取文件时间戳和分析文件时间戳两部分,其中:所述提取文件时间戳,实现步骤如下:第一步,获取可疑目标文件或目录的路径,检查该路径的合法性,并将其分解为逻辑分区标识符、各级目录名、文件名及扩展名;第二步,根据上一步文件路径的分解结果,分析文件所在逻辑分区的引导扇区,按照定义获取该逻辑分区的相关参数;第三步,根据上一步获得的逻辑分区参数,读取NTFS文件系统的元数据;第四步,根据上一步获得的系统元数据,找到索引文件的入口表,并遍历该索引文件,找到目标文件的相关索引记录入口$INDEX_ENTRY;第五步,根据上一步获得的$INDEX_ENTRY,找到目标文件的元数据项并解析出文件时间戳;第六步,返回执行结果;所述分析文件时间戳,实现步骤如下:第一步,根据NTFS中常见操作对文件时间戳的影响规则和NTFS中常见操作对目录时间戳的影响规则,对目标文件时间戳进行可信性检查,所述的可信性检查包括下述步骤:11)若是文件,则有$SI.M<=$SI.E,$SI.C<=$FN.C,$SI.C<=$SI.A,若不满足任一条件,则发生卷内替换时,可导致$SI.C>$FN.C或$SI.C>$SI.A,此时$SI.E即替换时间,若要找出被替换的目标文件,要对所有被删除文件的MFT项进行扫描,被替换的文件应当与当前文件同名同类型、$SI.C相等且删除时间符合逻辑,如果没有找出这样的文件,则当前文件的时间戳不可信;12)若目标文件为目录:应满足$SI.M<=$SI.E,$SI.C=$FN.C,$SI.C<=$SI.A,若不满足任一条件,则该目录的时间戳不可信;第二步,根据NTFS中常见操作对文件时间戳的影响规则和NTFS中常见操作对目录时间戳的影响规则,对通过可信性检查的时间戳进行具体操作分析,所述的具体操作分析包括下述步骤:21)对于所有类型文件来说:若$SI.C<$FN.C,则该文件进行过跨卷移动操作且移动到新卷后未进行过重命名和卷内移动操作,$FN.C即最近一次跨卷移动 的时间,此时必定有$SI.E=$FN.M=$FN.A=$FN.C=$FN.E,若不等,则可判定该文件的时间戳被恶意修改;若$SI.C>$SI.M,则该文件内容和摘要属性在当前卷内未被修改过;若$SI.C=$SI.M,则该文件自创建开始未被修改过;若$SI.C<$SI.M,则$SI.M为文件在该卷内的最近一次文件内容或摘要属性修改时间;22)判断目标文件类型:221>若目标文件为除Office、.exe以外的文件,则若$SI.C>$SI.M且$SI.C>$SI.E,则该文件为来自外卷的一份拷贝,$SI.M和$SI.E分别继承了源文件的$SI.M和$SI.E,若$SI.A=$SI.C=$FN.M=$FN.A=$FN.C=$FN.E,则表明该文件在当前卷内未进行过两次或以上重命名或卷内移动操作,若不满足$FN.M=$FN.A=$FN.C=$FN.E,则$FN.MACE为最近一次重命名或卷内移动操作之前$SI.MACE的拷贝;222>若目标文件为Office文件,则若$FN.M=$FN.A=$FN.E>$SI.C,则$FN.M为该文件在当前卷内文件内容的最近修改时间,同时若$SI.E=$FN.M,则该文件在修改文件内容后未进行重命名或卷内移动操作;若$SI.E>$SI.M,则$SI.E为最近一次重命名/卷内移动/修改常规属性的时间,若$SI.M!=$FN.M,则该时间戳可能被恶意修改,若$SI.M=$SI.E>$SI.A>=$SI.C,则$SI.M为最近一次修改文件摘要属性的时间;223>若目标文件为.exe文件,则该类型文件的$SI.E时间表示其最近一次被访问的时间,故必定新于$SI.MAC时间,若不满足该条件,则该时间戳不可信;224>若目标文件为目录,则若$SI.M=$SI.A=$SI.E>$SI.C,则$SI.E代表最近一次目标目录中索引结构变化的时间,增加、删除或重命名文件/子目录,或者被同名目录替换,遍历该目录中所有文件/子目录的$SI.E或$FN.E,若有文件/子目录的$SI.E或$FN.E与该目录的$SI.E相等,则该文件/子目录为最近增加或重命名的文件/子目录;若未找到这样的文件/子目录,则该目录中有文件/子目录被删除。 |