孫道寧 郭 睿 羅文華（中國(guó)刑事警察學(xué)院 遼寧 沈陽 110035）

NTFS文件系統(tǒng)下基于多重時(shí)間信息解析文件操作行為

孫道寧 郭 睿 羅文華
（中國(guó)刑事警察學(xué)院 遼寧 沈陽 110035）

利用NTFS文件系統(tǒng)下的常規(guī)時(shí)間屬性及SMFT文件中的隱含時(shí)間屬性，從電子數(shù)據(jù)取證視角審視文件操作所引發(fā)的時(shí)間信息系列變化，歸納總結(jié)取證調(diào)查規(guī)則，并結(jié)合實(shí)例說明所述規(guī)則的具體應(yīng)用。

NTFS MFT常規(guī)時(shí)間屬性 S10H屬性 S30H屬性

1 引言

在電子數(shù)據(jù)取證實(shí)踐中，基于源文件與目標(biāo)文件時(shí)間屬性的對(duì)比從而推測(cè)文件可能經(jīng)歷過的操作，是一種較為常見的分析方法之一。早期此類問題研究主要側(cè)重依靠常規(guī)時(shí)間屬性，即通過文件屬性可以查看得到的創(chuàng)建時(shí)間、修改時(shí)間、訪問時(shí)間。然而，在Windows Vista及其后續(xù)版本默認(rèn)情況下并不更新訪問時(shí)間，這使得依據(jù)常規(guī)時(shí)間屬性推測(cè)出的行為不再準(zhǔn)確可靠。與此同時(shí)，取證技術(shù)人員又挖掘出了NTFS文件系統(tǒng)下元文件SMFT中隱藏于S10H屬性（即標(biāo)準(zhǔn)屬性）的MFT記錄修改時(shí)間，總結(jié)歸納出該時(shí)間屬性的變化規(guī)則，提升了行為推測(cè)的可信度。

隨著數(shù)據(jù)混淆、數(shù)據(jù)隱藏等反取證技術(shù)的出現(xiàn)，依據(jù)傳統(tǒng)時(shí)間屬性已經(jīng)無法推導(dǎo)出可能的文件操作。本文基于SMFT文件記錄的深入分析，將存儲(chǔ)于S30H屬性（即文件名屬性）的時(shí)間信息也歸入調(diào)查視野，同時(shí)結(jié)合其他時(shí)間屬性分析不同操作能夠產(chǎn)生的影響，演繹推理出更為深入的全面調(diào)查取證規(guī)則，以期電子數(shù)據(jù)取證實(shí)踐所用。

2 $MFT文件記錄中的時(shí)間信息

SMFT英文全稱為Master File Table，可譯為主文件表，它是NTFS文件系統(tǒng)中最重要的文件[1]。NTFS分區(qū)中的所有文件都在SMFT對(duì)應(yīng)有記錄，記錄中存儲(chǔ)有文件名、文件大小、存儲(chǔ)位置等信息，類似于FAT文件系統(tǒng)下的FAT+FDT功能。每條記錄可以被解析為若干屬性，如S10H屬性（標(biāo)準(zhǔn)屬性）、S 30H屬性（文件名）、S40H屬性（卷版本）、S80H屬性（數(shù)據(jù)存放位置）和SB0H屬性(位圖)等。其中S 10H屬性和S30H屬性中含有時(shí)間信息。

2.1 $10H屬性中的時(shí)間信息

創(chuàng)建時(shí)間、修改時(shí)間、訪問時(shí)間等常規(guī)信息就存儲(chǔ)于S10H屬性中[2]。然而S10H屬性中還隱藏著名為“Last MFT modification time”的時(shí)間屬性（MFT記錄修改時(shí)間），用于說明MFT記錄的最近一次修改時(shí)間，如圖1所示。實(shí)驗(yàn)證明，通常文件屬性發(fā)生變化時(shí)，會(huì)引發(fā)MFT記錄修改時(shí)間的變化。

2.2 $30H屬性中的時(shí)間信息

圖1 $10H屬性包含的時(shí)間屬性信息

MFT記錄中除了S10H屬性外，還使用S30H屬性描述文件名信息。然而研究發(fā)現(xiàn)，S30H屬性除了存放文件完整名稱和縮略名外，也包含常規(guī)時(shí)間屬性與MFT記錄修改時(shí)間等時(shí)間信息，如圖2所示。雖然此處的時(shí)間屬性名稱上與S10H屬性中的完全一致，但內(nèi)容卻不隨一般文件操作而變化，而只受文件創(chuàng)建或剪切行為的影響，可與S10H屬性一道用于操作行為的綜合分析。

圖2 $30H屬性中的時(shí)間信息

3 利用時(shí)間屬性信息解析文件操作行為

為了方便討論不同操作行為對(duì)文件產(chǎn)生的影響，將文件的創(chuàng)建時(shí)間記為C（Create）時(shí)間，訪問時(shí)間記為A（Accesss）時(shí)間，修改時(shí)間記為M（Modifie）時(shí)間，MFT記錄修改時(shí)間記為E（Entry）時(shí)間。

3.1 $10H屬性中的時(shí)間信息變化規(guī)則

研究發(fā)現(xiàn)，當(dāng)執(zhí)行不同的操作行為時(shí)，S10H屬性中C、M、A、E時(shí)間信息會(huì)表現(xiàn)出特征，如圖3所示。

圖3 $10H屬性中時(shí)間信息隨文件操作的變化規(guī)則

鑒于相關(guān)資料已對(duì)S10H屬性中的時(shí)間屬性變化做過較為詳細(xì)的討論，本節(jié)著重說明E時(shí)間的作用。E時(shí)間集中體現(xiàn)文件屬性的變化。在M時(shí)間和C時(shí)間不同的情況下，同時(shí)文件為“隱藏”或“只讀”屬性時(shí)，那么Windows Vista及其后續(xù)版本中E時(shí)間極有可能就是特殊屬性的設(shè)置時(shí)間；另外，在操作系統(tǒng)環(huán)境實(shí)時(shí)更新訪問時(shí)間的情況下，若A時(shí)間在E時(shí)間之前，且A、E之間間隔極短，則該文件極有可能執(zhí)行過“重命名”操作。

3.2 $30H屬性中的時(shí)間信息變化規(guī)則

在S30H屬性中，當(dāng)文件被創(chuàng)建（或剪切）時(shí)，其4種時(shí)間都更新為創(chuàng)建時(shí)間；當(dāng)文件被修改、訪問、重命名時(shí)，4種時(shí)間保持不變；當(dāng)文件被復(fù)制時(shí)，目標(biāo)文件的4種時(shí)間變化為文件生成時(shí)間；當(dāng)文件被刪除時(shí)，文件的M時(shí)間和E時(shí)間發(fā)生變化，A時(shí)間和C時(shí)間不發(fā)生變化，如圖4所示。

圖4 $30H屬性中時(shí)間信息隨文件操作的變化規(guī)則

取證實(shí)踐中，往往單純依靠S10H屬性的時(shí)間變化并不能準(zhǔn)確解析出文件的操作行為[3]。例如，如果文件的S10H屬性中的M時(shí)間、A時(shí)間和C時(shí)間都不變而文件的E時(shí)間發(fā)生變化，那么文件可能是被執(zhí)行過重命名或是刪除操作；此時(shí)如果僅靠S10H屬性中的時(shí)間則無法準(zhǔn)確判斷具體行為，需要結(jié)合S30H屬性中的時(shí)間信息進(jìn)行綜合分析[4]。文件重命名時(shí)S30H屬性中的M時(shí)間和E時(shí)間都不變，而文件刪除時(shí)S30H屬性中的M時(shí)間和E時(shí)間會(huì)發(fā)生改變，由此可以判斷文件是被重命名還是被刪除。

4 電子數(shù)據(jù)取證實(shí)踐

2015年3月16日，某市宏遠(yuǎn)機(jī)械廠的多個(gè)技術(shù)機(jī)密文件被人秘密復(fù)制盜取，通過偵查人員縝密調(diào)查，鎖定并抓獲了犯罪嫌疑人王某，在王某住處搜到黑色U盤一枚。U盤內(nèi)有一文件夾，文件夾內(nèi)有多個(gè)文檔文件。通過比對(duì)文件內(nèi)容，發(fā)現(xiàn)其與機(jī)械廠機(jī)密技術(shù)文件完全一致。但嫌疑人王某抵賴說文件是從網(wǎng)絡(luò)上下載得到，自己并沒有盜取那些機(jī)密文件。偵查人員由此特別針對(duì)文件復(fù)制行為進(jìn)行鑒定。

文件復(fù)制行為鑒定的關(guān)鍵在于比對(duì)源文件與目標(biāo)文件的相關(guān)時(shí)間屬性。偵查人員首先對(duì)該機(jī)械廠的機(jī)密技術(shù)文件的時(shí)間屬性進(jìn)行了檢驗(yàn)，其中“2月份技術(shù)廠品出售量.doc”源文件的S10H屬性和S30H屬性的時(shí)間信息，如圖5和圖6所示。

圖5 “2月份技術(shù)廠品出售量.doc”源文件$10H屬性時(shí)間信息

圖6 “2月份技術(shù)廠品出售量.doc”源文件$30H屬性時(shí)間信息

而犯罪嫌疑人王某U盤內(nèi)檢測(cè)到的“2月份技術(shù)廠品出售量.doc”文件的S10H屬性和S30H屬性時(shí)間信息，如圖7和圖8所示。

圖7 U盤內(nèi)“2月份技術(shù)廠品出售量.doc”文件$10H屬性

圖8 U盤內(nèi)“2月份技術(shù)廠品出售量.doc”文件$30H屬性

通過對(duì)比源文件與目標(biāo)文件的時(shí)間屬性，發(fā)現(xiàn)源文件的修改時(shí)間和U盤內(nèi)文件的修改時(shí)間一致[5]，而U盤內(nèi)文件的訪問時(shí)間、創(chuàng)建時(shí)間和MFT時(shí)間均滯后于源文件的訪問時(shí)間、創(chuàng)建時(shí)間和MFT修改時(shí)間，并且U盤內(nèi)各個(gè)文件的創(chuàng)建時(shí)間相差不大，呈現(xiàn)出典型的文件復(fù)制行為特征。同時(shí)，結(jié)合該機(jī)械廠存儲(chǔ)機(jī)密技術(shù)文件電腦中獲取到的USB設(shè)備使用痕跡，形成了強(qiáng)有力的證據(jù)鏈條，證明了王某的犯罪行為。

5 結(jié)束語

在現(xiàn)有文獻(xiàn)中研究多側(cè)重為基于創(chuàng)建時(shí)間、訪問時(shí)間和修改時(shí)間的取證調(diào)查規(guī)則等問題[6]。在前期研究的基礎(chǔ)上，本文將隱藏于元文件SMFT中的記錄修改時(shí)間和S30H屬性時(shí)間問題歸入電子數(shù)據(jù)取證研究的視野下，探究其在不同文件操作行為下的變化情況，形成相關(guān)的系列規(guī)則，以期為取證技術(shù)人員提供相關(guān)的智力支持。綜合多時(shí)間信息在特殊屬性設(shè)置、重命名、刪除操作等行為的判定方面，能夠發(fā)揮單一時(shí)間信息無法比擬的作用。

基于時(shí)間屬性的文件操作行為分析是在證據(jù)鏈條完整性的基礎(chǔ)上實(shí)施的。不僅如此，在對(duì)時(shí)間屬性的文件進(jìn)行操作行為分析時(shí)，取證人員還需結(jié)合實(shí)際情況參照對(duì)文件內(nèi)容的分析或是其他證據(jù)予以佐證。與此同時(shí)，鑒于文件時(shí)間信息的易修改等特點(diǎn)，取證人員在對(duì)文件進(jìn)行分析時(shí)應(yīng)特別注重根據(jù)不同操作系統(tǒng)中時(shí)間問題處理方式的差異，選取正確的取證工具及方法，防止證據(jù)污染等情況的發(fā)生。

[1]Chow KP,Law FYW,Kwan MYK,etal.TheRules of Time in the NTFS File System [A].In:Systematic Approaches to Digital Forensic Engineering (SADFE)[C].OaklandCA:IEEEComputerSociety，2007:71-83.

[2]張俊,麥永浩.計(jì)算機(jī)取證中的時(shí)間調(diào)查[J].警察技術(shù),2008(7):40-43.

[3]羅文華,等.NTFS文件系統(tǒng)下利用MFT記錄修改時(shí)間分析文件(夾)操作行為[J].中國(guó)刑警學(xué)院學(xué)報(bào),2012(4):24-26.

[4]鄭志翔,羅文華.Linux環(huán)境下的時(shí)間調(diào)查取證[J].新疆警官高等專科學(xué)校學(xué)報(bào),2009(4):39-41.

[5]羅文華,張謙.從破壞計(jì)算機(jī)信息系統(tǒng)案件看Winolows系統(tǒng)日志取證實(shí)踐[J].中國(guó)刑警學(xué)院學(xué)報(bào),2014(2):28-30．

[6]劉浩陽.數(shù)字時(shí)間取證技術(shù)原理與應(yīng)用[J].信息網(wǎng)絡(luò)安全,2010(3):47-49.

TP393

A

2095-7939(2016)01-0047-03

2015-09-10

孫道寧（1987-），女，河北邢臺(tái)人，中國(guó)刑事警察學(xué)院網(wǎng)絡(luò)犯罪偵查系講師，主要從事網(wǎng)絡(luò)犯罪偵查、電子數(shù)據(jù)取證。

于 萍）