NTFS系统存储介质上文件操作痕迹分析

2024-03-27 12:08

本文主要是介绍NTFS系统存储介质上文件操作痕迹分析,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

以下是从网上找到的原PDF格式的文档,学习了一下,很不错,特意拷贝下来与大家共享一下(因为不知如何粘贴附件:-(),特别对于NTFS系统有了整体的认识。


不知此论坛原来是否发过,如果发过,请版主删除此贴。


谢谢!






NTFS系统存储介质上文件操作痕迹分析
黄步根
(江苏警官学院公安科技系,南京 210012)
摘 要:计算机用户通过文件系统存取数据,文件和文件夹的操作(如增加、删除、修改)会在存储介质上留下痕迹,这些痕迹与文件系统有关。NTFS文件系统以簇为单位分配和回收外存空间,通过主文件表来进行管理。文章从计算机取证角度探讨NTFS文件系统下访问文件(夹)的方法,研究NTFS文件系统下文件和文件夹的操作痕迹,并与FAT文件系统中的痕迹进行比较。


NTFS文件系统已经越来越多地被使用,从计算机取证的角度提取文件操作的痕迹[1],要保证取证操作的原始性,就不可以调用操作系统提供的文件操作命令,而需要直接存取磁盘扇区,也就需要研究文件系统的相关数据结构;文件和文件夹的增加、删除、修改等操作会在存储介质上留下痕迹,分析这些痕迹,对于信息保密、数据恢复、计算机取证等都具有重要价值。
1 NTFS卷文件管理
1.1 簇管理
NTFS以簇为基本单位分配和回收存储空间[2],与FAT结构不同,NTFS卷(volume)从0扇区开始划分簇,每簇为1,2,4或8个扇区,根据分区的大小有一默认值,但是在格式化时可以人工选择。每簇扇区数保存在BOOT扇区(0扇区)。
NTFS通过Bitmap文件记录所有簇的使用情况,1个bit对应1个簇,值为1表示已经分配,为0表示未分配。FAT文件系统中的FAT不仅标明了数据簇的使用情况,还标明了数据簇的链接关系。
NTFS使用逻辑簇号(logical cluster number, LCN)和虚拟簇号(virtual cluster number, VCN)来对簇进行定位。LCN是对卷中所有簇从头到尾进行简单编号,VCN则是对属于特定文件的簇从头到尾进行编号,以便访问文件中的数据,LCN是无符号整数,而VCN则是带符号整数,VCN可以映射成LCN,由Data Runs完成这个映射。
NTFS数据区管理不是采用链接存储,而是采用索引存储,文件通过自己的Data Runs建立索引表,一个Run就是一个连续存储块,Data Runs由若干Run组成,以0结束。每个Run包括3部分:头,簇数,簇号。簇号用VCN,第1个VCN是相对于0簇。头占1个字节,存放簇数和簇号的字节数(各占4bit)。对于如下以十六进制数表示的Run:
31 05 fc b0 12
其中,头0x31表示1字节簇数(值为随后的05)和3字节簇号(值为fc b0 12),即表示0x12b0fc簇开始的0x05个簇。
假设一个文件的存储分布的Data Runs为
31 01 fc b0 12 21 18 bd 49 21 2f 7b a7 00
则分解成4个Run:
31 01 fc b0 12, 21 18 bd 49, 21 2f 7b a7, 00
即文件存储在3个连续块:
(1)Run 1: 0x12b0fc簇开始的0x01个簇。
(2)Run 2: 0x12b0fc+0x49bd=0x12fab9开始的0x18个簇,这里将VCN 0x49bd换算成LCN,它相对于前一地址0x12b0fc。
(3)Run 3:这里VCN是个负数,0xa77b=-0x5885,0x12fab9-0x5885=0x12a234。即文件的第3块在0x12a234簇开始的0x2f个簇。也可以用符号扩展的方法直接相加:0x12fab9+0xffa77b=0x112a234,丢弃最高进位1,同样得到0x12a234。
(4)Run 4: 0x00, Data Runs结束。
文件存储过程中数据簇的分配算法比较复杂,上述文件的存储地址并不完全是依次增加的。


1.2 主文件表
NTFS卷上的任何事物都是文件(为了与平时使用的文件相区别,以下用FILE特指),FILE通过主文件表(master file table, MFT)来确定其在卷上的位置[3],每个FILE有固定大小,一般为1KB。FILE记录了文件的所有数据,每个数据以一个属性来表示,如文件名、文件长度、文件的时间等都是属性,文件的内容也是一个属性,每个属性有一个特征码。属性数据较小时能够存放在FILE记录中,称为驻留的属性,反之为非驻留的属性,通过Data Runs来保存其存储索引表。这一点与FAT文件系统不同,FAT文件系统只在目录区保存了文件的首簇号,还要通过FAT表链接关系才能确定文件的全部存放位置。Data Runs在一个FILE记录存放不下时还可以用扩展属性,增加FILE记录来保存,即一个文件可以有多个FILE记录。
MFT本身信息记录在MFT 0(第1个FILE记录),取名为$MFT,它存储了整个MFT的存储分布,$MFT的开始簇号在BOOT扇区中保存。
1.3 NTFS卷目录结构
NTFS中文件名采用Unicode编码,直接存储长文件名,转换的DOS文件名也以Unicode编码,可以选择不保存DOS文件名。
NTFS的目录管理,每个文件和文件夹都有一个或多个FILE记录,根目录是MFT 5。文件夹的内容是该文件夹下的目录数据,记录了各个目录项的属性(文件号,文件名,文件的时间属性等,但不包括文件内容属性),同层目录采用B+树结构,按文件(夹)名保持有序,通过文件号指向文件夹内的文件。文件夹的目录项较少时可以直接存储在文件夹的FILE记录中,目录项较多时占用数据簇,建立INDX记录,存放各目录项的属性。一个INDX记录通常占用8个扇区(一个或多个簇),INDX记录按照B+树结构组织,一个INDX记录是B+树的一个结点,B+树的“根”结点可以驻留在FILE记录中,也可以是一个INDX记录。
由于文件名是变长的,因此NTFS的目录项是变长的,目录B+树的调整不是根据目录项数的多少而定,而是根据结点的存放程度而定,一个结点存放不下时要分裂,除根结点外每个结点至少占用1/2的存储空间,这与B+树定义在本质上是一致的。
1.4 NTFS卷中文件的定位
在计算机上的取证操作,为了保持文件的原始性,不可以调用操作系统提供的文件操作命令,而应根据文件的存储结构直接访问有关扇区。NTFS中文件定位流程可以归纳为
(1)由BOOT扇区得到每簇扇区数并定位MFT;
(2)由MFT 5定位根目录;
(3)对于每个文件,根据文件号在MFT中读取FILE记录,存取文件内容,驻留的直接存取,非驻留的通过Data Runs定位簇号后存取;
(4)对于每个文件夹,小的在FILE记录中直接得到其下各个文件(夹)的文件号,大的文件夹根据按文件名顺序组成的B+树存取到INDX记录,进而获得文件夹下文件(夹)的文件号和其他基本目录属性。
2 NTFS卷文件操作痕迹
计算机取证,首要的问题是掌握什么时间发生了什么事情。有一个重要的文件属性是时间属性,NTFS中的时间属性有4项:文件的创建时间,最后修改时间,最后访问时间以及MFT修改时间,全部精确到100ns。FAT系统只有前3个时间,且精确到0.2s,最后访问时间只保留年月日。最后访问时间是文件操作痕迹中最敏感的证据特征。文件操作痕迹反映在文件的增加、删除和修改。
2.1 删除文件(夹)的痕迹
删除一个文件(夹),系统回收其FILE记录,加删除标记,如果该文件(夹)还占用了数据区,系统也回收,在Bitmap中对应位置置0。回收的FILE记录和数据区可供再分配。FAT系统中的文件删除后,如果文件的存储空间是不连续的,恢复时很难确定文件的链接关系[4],而NTFS系统中的文件删除后,如果数据空间没有被覆盖,只要FILE记录还存在,Data Runs不会被改变,很容易由它确定文件数据的存储位置,提高了数据恢复的准确性。
删除文件后,该文件所属的文件夹,也要删除该文件的目录项。如果它是非驻留的,将在INDX记录内删除它,操作的方式不是加删除标记,而是将该INDX记录中后面的数据前移,如果INDX空间占用不足一半,将引起B+树的调整。
文件的删除,在INDX记录中可能没有留下有用的痕迹,因为删除的目录项被后面的数据所覆盖,而且由于目录项不定长,定位空闲位置上的目录项比较困难,所以删除文件后的痕迹主要从FILE记录获取。不过,如果删除的是文件夹,INDX记录是可以利用的,数据簇被回收,只要没有再分配,删除文件夹不改变其INDX数据簇。FILE记录空间是非常宝贵的,操作系统删除文件(夹)后,释放出的文件号可能很快就被再分配,数据区则可能要经过很久才被再分配,FILE记录中保存有文件的存储情况,INDX记录中则没有,INDX记录不能定位文件的存储分布,但是INDX记录中的目录属性仍然具有证据属性,虽然它不一定能定位和恢复文件内容。
如果文件的内容较少,不需要占用数据区,就驻留在FILE记录内,删除文件后,如果FILE记录被重新分配了,则文件的内容同时被覆盖。
2.2 增加文件(夹)的痕迹
增加文件,系统首先分配一个FILE号,根据文件大小确定是否需要分配数据区,如果分配了,则在FILE记录中记录其存储索引。增加文件还在文件所在的文件夹增加目录项,记录文件的文件号和基本目录属性,目录项保存在FILE记录或INDX记录中,并可能引起所属文件夹B+树的变化。增加文件夹如同增加文件,只是文件夹的内容就是文件夹下的目录数据,并且根据文件名顺序调整B+树。
文件改名,由于系统要依据文件名维护B+树,新位置增加目录,原位置删除目录项,有可能引起B+树的调整。
2.3 文件(夹)的复制和移动
文件复制,与FAT文件系统一样,新位置上所产生的痕迹如同增加文件,文件的目录属性只保留文件的文件名称和修改时间。
文件夹复制,其下文件复制的痕迹同上,文件夹的时间属性全部刷新。
文件移动、跨盘移动时,如同在新盘创建且在原盘删除;同盘移动时,文件的存储位置不变,FILE记录号也不变,FILE记录中只有“最后访问时间”和上层文件号发生变化,另外从原来文件夹中删除了该文件的目录项,在新文件夹中增加了该文件号,新旧文件夹的变化都可能引起B+树的变化。
文件夹移动,文件号不变,文件夹内的各目录项也不变,只是引起文件夹的宿主文件夹B+树的变化。文件夹的时间属性被刷新了,但是文件夹下的文件夹的时间属性不变。


需要特别注意文件复制后的“最后访问时间”,复制单个文件时,原来位置文件的“最后访问时间”被刷新,而复制文件夹时,原来文件夹下文件的“最后访问时间”变化与否,与文件长度有关,这个长度分界点与操作系统提供的文件缓冲区大小有关。
在NTFS文件系统中,文件的增加和减少,可能影响到所在文件夹B+树的变化,系统将修改文件夹的修改时间和最后访问时间。而在FAT系统中,在文件夹创建后,无论文件夹内文件(夹)如何增加和减少,文件夹的修改时间和最后访问时间是不变的。
2.4 文件内容修改产生的痕迹
NTFS下的文件修改痕迹与FAT系统下相似,只是由于FILE记录的管理方式,FILE号被回收后可能很快被重新分配,留下的FILE非常少。修改文件内容产生的痕迹与文件的形成方式和修改所用工具软件有关。有的应用软件在文件修改后生成临时文件,一般地,多数应用系统在文件修改后会重新申请存储空间,原来位置的文件内容就被保存了下来,但是不能由操作系统的文件功能访问,而使用专用取证工具可以根据文件特征获取部分或全部文件内容。
2.5 格式化后留下的痕迹
格式化不会清除磁盘中的全部数据簇,无论是否“快速格式化”。格式化将初始化卷的系统参数,如每簇扇区数、MFT、根目录等。没有被覆盖的文件内容,可以根据文件的数据特征部分恢复数据,连续存放的可以完全恢复,不连续存放的文件能否完整地被恢复,取决于文件的存储索引表是否还存在,也就是文件的FILE记录是否被覆盖。操作系统给MFT预留大约12.5%的存储空间,在使用过程中根据文件的存储情况增加或减少MFT的存储空间,也就是说,MFT的存储空间可以不连续,其存储分布保存在MFT 0,实际上MFT 0在格式化时并不占有全部预留的空间,而是根据实际存储的文件数来动态调整,占用的部分先被清空,对于没有占用的存储空间,不作任何处理。因此,卷格式化后,先前保存的大量FILE记录没有被清除,可以根据留存的FILE记录完整地恢复格式化前的文件。这是FAT系统所无法做到的,因为FAT系统格式化时清除全部FAT表,使文件存储的链接关系被破坏。
3 结束语
NTFS文件系统和FAT文件系统在文件操作后留下的痕迹有相似的部分,也有各自不同的部分,还有许多其他痕迹特征需要进一步研究。在计算机取证时需要全面把握,提高证据的利用价值。

这篇关于NTFS系统存储介质上文件操作痕迹分析的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/852047

相关文章

不懂推荐算法也能设计推荐系统

本文以商业化应用推荐为例,告诉我们不懂推荐算法的产品,也能从产品侧出发, 设计出一款不错的推荐系统。 相信很多新手产品,看到算法二字,多是懵圈的。 什么排序算法、最短路径等都是相对传统的算法(注:传统是指科班出身的产品都会接触过)。但对于推荐算法,多数产品对着网上搜到的资源,都会无从下手。特别当某些推荐算法 和 “AI”扯上关系后,更是加大了理解的难度。 但,不了解推荐算法,就无法做推荐系

基于人工智能的图像分类系统

目录 引言项目背景环境准备 硬件要求软件安装与配置系统设计 系统架构关键技术代码示例 数据预处理模型训练模型预测应用场景结论 1. 引言 图像分类是计算机视觉中的一个重要任务,目标是自动识别图像中的对象类别。通过卷积神经网络(CNN)等深度学习技术,我们可以构建高效的图像分类系统,广泛应用于自动驾驶、医疗影像诊断、监控分析等领域。本文将介绍如何构建一个基于人工智能的图像分类系统,包括环境

水位雨量在线监测系统概述及应用介绍

在当今社会,随着科技的飞速发展,各种智能监测系统已成为保障公共安全、促进资源管理和环境保护的重要工具。其中,水位雨量在线监测系统作为自然灾害预警、水资源管理及水利工程运行的关键技术,其重要性不言而喻。 一、水位雨量在线监测系统的基本原理 水位雨量在线监测系统主要由数据采集单元、数据传输网络、数据处理中心及用户终端四大部分构成,形成了一个完整的闭环系统。 数据采集单元:这是系统的“眼睛”,

性能分析之MySQL索引实战案例

文章目录 一、前言二、准备三、MySQL索引优化四、MySQL 索引知识回顾五、总结 一、前言 在上一讲性能工具之 JProfiler 简单登录案例分析实战中已经发现SQL没有建立索引问题,本文将一起从代码层去分析为什么没有建立索引? 开源ERP项目地址:https://gitee.com/jishenghua/JSH_ERP 二、准备 打开IDEA找到登录请求资源路径位置

嵌入式QT开发:构建高效智能的嵌入式系统

摘要: 本文深入探讨了嵌入式 QT 相关的各个方面。从 QT 框架的基础架构和核心概念出发,详细阐述了其在嵌入式环境中的优势与特点。文中分析了嵌入式 QT 的开发环境搭建过程,包括交叉编译工具链的配置等关键步骤。进一步探讨了嵌入式 QT 的界面设计与开发,涵盖了从基本控件的使用到复杂界面布局的构建。同时也深入研究了信号与槽机制在嵌入式系统中的应用,以及嵌入式 QT 与硬件设备的交互,包括输入输出设

JAVA智听未来一站式有声阅读平台听书系统小程序源码

智听未来,一站式有声阅读平台听书系统 🌟 开篇:遇见未来,从“智听”开始 在这个快节奏的时代,你是否渴望在忙碌的间隙,找到一片属于自己的宁静角落?是否梦想着能随时随地,沉浸在知识的海洋,或是故事的奇幻世界里?今天,就让我带你一起探索“智听未来”——这一站式有声阅读平台听书系统,它正悄悄改变着我们的阅读方式,让未来触手可及! 📚 第一站:海量资源,应有尽有 走进“智听

【区块链 + 人才服务】可信教育区块链治理系统 | FISCO BCOS应用案例

伴随着区块链技术的不断完善,其在教育信息化中的应用也在持续发展。利用区块链数据共识、不可篡改的特性, 将与教育相关的数据要素在区块链上进行存证确权,在确保数据可信的前提下,促进教育的公平、透明、开放,为教育教学质量提升赋能,实现教育数据的安全共享、高等教育体系的智慧治理。 可信教育区块链治理系统的顶层治理架构由教育部、高校、企业、学生等多方角色共同参与建设、维护,支撑教育资源共享、教学质量评估、

软考系统规划与管理师考试证书含金量高吗?

2024年软考系统规划与管理师考试报名时间节点: 报名时间:2024年上半年软考将于3月中旬陆续开始报名 考试时间:上半年5月25日到28日,下半年11月9日到12日 分数线:所有科目成绩均须达到45分以上(包括45分)方可通过考试 成绩查询:可在“中国计算机技术职业资格网”上查询软考成绩 出成绩时间:预计在11月左右 证书领取时间:一般在考试成绩公布后3~4个月,各地领取时间有所不同

系统架构师考试学习笔记第三篇——架构设计高级知识(20)通信系统架构设计理论与实践

本章知识考点:         第20课时主要学习通信系统架构设计的理论和工作中的实践。根据新版考试大纲,本课时知识点会涉及案例分析题(25分),而在历年考试中,案例题对该部分内容的考查并不多,虽在综合知识选择题目中经常考查,但分值也不高。本课时内容侧重于对知识点的记忆和理解,按照以往的出题规律,通信系统架构设计基础知识点多来源于教材内的基础网络设备、网络架构和教材外最新时事热点技术。本课时知识

计算机毕业设计 大学志愿填报系统 Java+SpringBoot+Vue 前后端分离 文档报告 代码讲解 安装调试

🍊作者:计算机编程-吉哥 🍊简介:专业从事JavaWeb程序开发,微信小程序开发,定制化项目、 源码、代码讲解、文档撰写、ppt制作。做自己喜欢的事,生活就是快乐的。 🍊心愿:点赞 👍 收藏 ⭐评论 📝 🍅 文末获取源码联系 👇🏻 精彩专栏推荐订阅 👇🏻 不然下次找不到哟~Java毕业设计项目~热门选题推荐《1000套》 目录 1.技术选型 2.开发工具 3.功能