楊閏鵬

摘? 要：Ext4是Linux操作系統(tǒng)的基本文件系統(tǒng)，用于存儲和管理重要的文件信息，挖掘Ext4文件系統(tǒng)中的關鍵信息已成為當前數(shù)字取證的重要途徑。該文設計了一種Ext4文件系統(tǒng)取證算法，闡述了Ext4文件系統(tǒng)的存儲原理，并通過實驗進一步介紹了Ext4文件系統(tǒng)文件信息的提取過程，為計算機取證技術(shù)在Linux上的應用提供了可靠的數(shù)據(jù)保證。

關鍵詞：Ext4;數(shù)字取證;Linux文件系統(tǒng)

中圖分類號：TP316? ? ? ? ? ? 文獻標志碼：A

近年來，Linux操作系統(tǒng)發(fā)展迅速，憑借自身的高可靠性、高性能得到了廣泛應用與支持，將數(shù)字取證技術(shù)應用于Linux系統(tǒng)已成為計算機取證的重要手段。Ext4文件系統(tǒng)作為Linux系統(tǒng)下的日志文件系統(tǒng)，具備強大的文件信息存儲與管理功能，分析并提取其中的有用信息，對于數(shù)字取證的研究具有重要意義[1]。該文通過設計一種Ext4文件系統(tǒng)取證算法，解析文件信息提取流程及原理，為Linux系統(tǒng)中數(shù)字取證技術(shù)的應用提供依據(jù)。

1 數(shù)字取證

數(shù)字取證是指利用科學的手段對數(shù)字證據(jù)進行采集、存儲、分析及呈現(xiàn)，通過數(shù)字取證能夠掌握網(wǎng)絡犯罪的時間、地點、內(nèi)容、過程及涉及的相關人員等信息。數(shù)字證據(jù)可能保存在罪犯的電腦、手機或相機等設備中，并且可能隨時消失，因此必須及時挖掘出有用的數(shù)字證據(jù)來偵破案件。當網(wǎng)絡犯罪事件發(fā)生后，提取數(shù)字證據(jù)必須嚴格按照標準的流程及方法，主要包括4個階段。

1.1 采集證據(jù)

該階段主要辨識與犯罪事件相關的網(wǎng)絡設備，手機、計算機或其他數(shù)字媒體中的內(nèi)存與磁盤驅(qū)動器中，均可能存儲著犯罪證據(jù)?，F(xiàn)階段，已有相關技術(shù)能夠在設備關機后從內(nèi)容中復原密鑰資料。

1.2 保全證據(jù)

該階段主要以可驗證的形式來保存證據(jù)，包括哈希函數(shù)與文件說明的使用。由于數(shù)字證據(jù)中可能存在易揮發(fā)的數(shù)據(jù)，且存在無法完整保存的風險，因此必須文件說明保全的過程與技術(shù)。

1.3 分析證據(jù)

該階段主要對與案件相關的證據(jù)進行分析。包括GPS定位、在線平臺實時通信內(nèi)容、手機短信、通信記錄、照片隱藏的時間與地點、電子郵件內(nèi)容、文件修改日期與創(chuàng)建用戶等。

1.4 呈現(xiàn)證據(jù)

通常網(wǎng)絡罪犯會利用一切手段來隱藏或銷毀犯罪證據(jù)，甚至運用加密或反取證技術(shù)來保護證據(jù)，因此數(shù)字取證分析的結(jié)果具有一定的不確定性。證據(jù)分析后提取的數(shù)字證據(jù)也包含說明文件。

與傳統(tǒng)犯罪行為相比，網(wǎng)絡犯罪在數(shù)字取證的整個階段中都與其存在較大差別。目前，網(wǎng)絡媒體或數(shù)字媒體的存儲容量逐漸擴大，網(wǎng)絡數(shù)據(jù)龐大且傳輸速度快，傳統(tǒng)人工的取證方式已無法滿足當前的需求，必須利用數(shù)字取證技術(shù)才有可能挖掘出有用的證據(jù)。在傳統(tǒng)犯罪案件的取證過程中，收集到的證據(jù)都是實物，而數(shù)字取證獲得的證據(jù)都是以電磁記錄的形式存在的。此外，數(shù)字證據(jù)具有可復制、來源不易證明、作者不易確定等特點，遭到破壞時能夠利用技術(shù)手段進行復原，而傳統(tǒng)實體證據(jù)一旦遭到損毀，則不可能再恢復原狀。但數(shù)字證據(jù)的缺點在于，使用不同還原工具復原的數(shù)字證據(jù)可能會存在差異，降低數(shù)字證據(jù)的可靠性。因此，具備公信力的可靠取證方法與工具，決定了數(shù)字證據(jù)的可信度。正是因為數(shù)字證據(jù)存在這些特性，因此在數(shù)字取證時，必須確保證據(jù)不被改變或破壞，盡可能提取原始證據(jù)，保證對采集的數(shù)字證據(jù)在不被改變的情況下進行分析，確保證據(jù)的有效性。

2 Ext4文件系統(tǒng)及其在數(shù)字取證中的應用

文件系統(tǒng)是Linux操作系統(tǒng)最重要的組成部分之一，文件系統(tǒng)中的文件是數(shù)據(jù)的集合，包含文件的數(shù)據(jù)和文件系統(tǒng)的結(jié)構(gòu)。Ext4文件系統(tǒng)是第四代擴展文件系統(tǒng)，與Ext3文件系統(tǒng)相比，Ext4文件系統(tǒng)更新文件存儲的速度更快，并且能夠完全兼容Ext3文件系統(tǒng)[2]。磁盤分區(qū)時便會自動創(chuàng)建文件系統(tǒng)，文件系統(tǒng)中的數(shù)據(jù)均保存在存儲設備中，且以數(shù)據(jù)塊的形式存在，按照文件形式、目錄形式支持存儲數(shù)據(jù)，組織數(shù)據(jù)的使用[3]。Ext4文件系統(tǒng)能夠為系統(tǒng)提供通用日志層，可應用于文件系統(tǒng)，也可應用于其他設備。如果由于軟硬件錯誤引發(fā)文件系統(tǒng)崩潰，Ext4文件系統(tǒng)能夠運用e2fsck代碼進行修復，能夠有效避免數(shù)據(jù)丟失。在數(shù)字取證過程中，由于計算機日志記錄中會保存文件碎片，因此會存在一些與案件相關的證據(jù)，為取證工作提供線索，同時還會記錄文件的修改或刪除情況，此時可通過Ext4文件系統(tǒng)恢復被刪除的日志文件，并實現(xiàn)文件數(shù)據(jù)的交換，對于數(shù)字取證工作具有重要意義。

3 Ext4文件系統(tǒng)取證算法研究

3.1 算法設計

該文通過設計一種Ext4文件系統(tǒng)下的數(shù)字取證算法，對Ext4文件系統(tǒng)取證過程進行介紹。算法共有9個步驟。1）讀取super block的關鍵信息。2）得到指定的絕對路徑文件名，根據(jù)inode號（根目錄“/”的inode默認為2）以及在super block 中獲得的數(shù)據(jù)，計算得到這個文件（或子目錄）的group_desc的地址。3）根據(jù)group_desc的地址來讀取group_desc的數(shù)據(jù)，得到inode表的地址。4）根據(jù)inode表的數(shù)據(jù)結(jié)構(gòu)和步驟（2）中的數(shù)據(jù)，得到指定inode所在inode表中的地址，并讀取數(shù)據(jù)。5）根據(jù)inode結(jié)構(gòu)中的i_block數(shù)組里面存儲的指針，查找文件目錄索引結(jié)構(gòu)的位置，對標志變量s_feature_incompa進行分析，如果分析發(fā)現(xiàn)這個Ext4的文件目錄索引的結(jié)構(gòu)兼容Ext3系統(tǒng)的結(jié)構(gòu)，則轉(zhuǎn)步驟（6），如果不兼容，則轉(zhuǎn)步驟（7）。6）兼容的情況下，對i_block[15]數(shù)組進行分析，采取直接尋址和間接尋址的方式找到文件的位置，轉(zhuǎn)步驟（8）。7）不兼容的情況下，文件目錄索引結(jié)構(gòu)采取extent樹索引，從extent樹結(jié)構(gòu)的葉子結(jié)構(gòu)中找到文件目錄索引的結(jié)構(gòu)，再在這個結(jié)構(gòu)里面找到文件的位置，轉(zhuǎn)步驟（8）。8）根據(jù)文件的存儲結(jié)構(gòu)，分析得到file_type數(shù)據(jù)和新的inode號。根據(jù)file_type數(shù)據(jù)，判斷是子目錄還是普通文件，如果是子目錄則返回步驟（2），如果是普通文件則轉(zhuǎn)步驟（9）。9）從文件結(jié)構(gòu)中讀取對應的文件信息。

3.2 算法實現(xiàn)

從絕對路徑文件中提取文件信息的算法原理為獲得絕對路徑文件，從根目錄出發(fā)，遞歸解析目錄inode結(jié)構(gòu)體ext4_dir_entry_2，直到最終得到普通文件的inode號，然后從文件結(jié)構(gòu)中讀取對應的文件信息。具體算法如下：

4 實驗與結(jié)果分析

該文以/usr/video/video1.mp4為例，運用算法進行實驗，進一步闡述手工分析與提取文件信息的原理及過程。實驗數(shù)據(jù)均采用Little-Endian形式，實驗環(huán)境為Linux操作系統(tǒng)，選擇Ubuntu 18.04版本。具體實驗內(nèi)容如下。

4.1 讀取super block數(shù)據(jù)分析

4.2 讀取根目錄“/”的inode結(jié)構(gòu)體

根據(jù)子算法中的公式計算，“/”的inode為2，得到blk_grp_num=0，offset_num=1，group_desc_number=64，group_desc_num=0，group_desc_offset_num=1。

5 結(jié)語

該文提出了一種Ext4文件系統(tǒng)取證算法，在Linux系統(tǒng)環(huán)境中通過實驗驗證了該算法的有效性，能夠為數(shù)字取證技術(shù)在Linux系統(tǒng)中的應用提供可靠的數(shù)據(jù)保證。

參考文獻

[1]張良德.LINUX系統(tǒng)下的計算機取證技術(shù)研究[J].內(nèi)蒙古科技與經(jīng)濟，2014（9）：55-56.

[2]徐國天.基于EXT4文件系統(tǒng)的數(shù)據(jù)恢復方法研究[J].信息網(wǎng)絡安全，2011（11）：60-62.

[3]陸亞文.Linux EXT4文件系統(tǒng)分析[J].電腦知識與技術(shù)，2011（14）：221-224，250.