[发明专利]基于时域的数据取证及交叉分析方法

说明书

背景技术

本发明涉及的是一种信息安全领域的计算机数据取证方法，具体地说是一种NTFS文件系统下基于时域的数据取证及交叉分析方法。

技术领域

计算机犯罪活动频繁发生，使数据取证的重要性日益凸显。数据取证就是将数据调查和分析技术应用于对潜在的、有法律效力的证据的确定与获取，也就是利用计算机软硬件技术，按照一定的程序对以磁介质编码信息方式存储的计算机数据证据进行保护、确认、提取、归档、分析以及报告的过程。在各种取证调查中，时域证据起着至关重要的作用。然而，时间信息更新频繁，且许多反取证技术能对其进行篡改，使得时间证据的可信度大为降低，给基于简单时间分析的数据取证工作带来了巨大的挑战。

经对现有技术的文献检索发现：目前还未出现基于时域的数据取证方法。中国申请(专利)号为CN200510011634.8的技术，提出了一种提取与分析数字证据的取证分析系统，包括证据保护层、证据分析层和证据表现层。然而该系统并未收集时域证据，且其不能保证提取到的证据未被恶意篡改；中国申请(专利)号为CN200610140801.3的技术，提出了一种用于计算机的电子数据取证方法。该方法提到文件系统可作为一种数据源，但没有对其进行具体分析。

发明内容

本发明针对现有技术的不足与缺陷，提供一种NTFS文件系统下基于时域的数据取证及交叉分析方法，使取证人员在检查被入侵或攻击的NTFS文件系统时，通过对文件元数据中时间戳的提取和分析，能够对案发时间内入侵者对计算机所做的操作进行可靠的推断，同时也对反取证技术提出了应对策略。

本发明是通过以下技术方案实现的，本发明提供的NTFS文件系统下基于时域的数据取证及交叉分析方法包括提取文件时间戳和分析文件时间戳两部分。提取文件时间戳为：在NTFS文件系统下，根据可疑目标文件或目录的路径寻找到其元数据项，然后提取出$STANDARD_INFORMATION和$FILE_NAME属性中的文件时间戳。分析文件时间戳为：对第一步中提取出的时间戳进行可信性分析以及操作判断，从而得出相应的取证结论。

所述提取文件时间戳，实现步骤如下：

第一步，获取可疑目标文件或目录的路径，检查该路径的合法性，并将其分解为逻辑分区标识符、各级目录名、文件名及扩展名。

第二步，根据上一步文件路径的分解结果，分析文件所在逻辑分区的引导扇区，按照定义获取该逻辑分区的相关参数。

第三步，根据上一步获得的逻辑分区参数，读取NTFS文件系统的元数据。

第四步，根据上一步获得的系统元数据，找到索引文件的入口表，并遍历该索引文件，找到目标文件的相关索引记录入口$INDEX_ENTRY。

第五步，根据上一步获得的$INDEX_ENTRY，找到目标文件的元数据项并解析出文件时间戳。

第六步，返回执行结果。

所述第二步，具体为：

1)根据第一步中文件路径的分解结果，打开对应的逻辑分区。

2)读取步骤1)中打开的逻辑分区中0号簇的数据，即引导扇区，其中记录了该逻辑分区的重要参数。

所述第三步，具体为：

1)根据第二步中获取的逻辑分区参数，获得存放所有文件元数据的主文件表Master File Table(以下简称MFT)的磁盘物理偏移地址。

2)从步骤1)得到的地址开始，按照定义，获得文件系统根索引文件的入口。

所述第四步，具体为：

1)根据第三步获得的根索引入口得到所有索引所在的磁盘物理位置。

2)根据第一步中所解析的路径名，从根索引入口开始，按每一级目录的名字查找，最终获得目标文件的父目录索引入口。具体步骤包括：

①根据索引文件定义，由索引入口找到$INDEX_ROOT属性。

②根据$INDEX_ROOT属性的属性头中的参数，得到该属性中索引项$INDEX_ENTRY的起始地址和大小。

③由上一步得到的索引项起始地址开始逐个读取$INDEX_ENTRY记录。如果读取的$INDEX_ENTRY即为目标文件的索引项，则结束第四步。否则继续查找下一个$INDEX_ENTRY直到最后一个$INDEX_ENTRY为止。如果已读取的$INDEX_ENTRY中指代的文件名按二进制比较小于目标文件名，则停止本步骤。

④记录下步骤③中读取的最后一个$INDEX_ENTRY内容，得到其中记录的$INDEX_ALLOCATION中第一个$INDEX_ENTRY的信息。