[发明专利]基于时域的数据取证及交叉分析方法

摘要

本发明涉及的是一种信息安全领域的NTFS文件系统下基于时域的数据取证及交叉分析方法。包括提取文件时间戳和分析文件时间戳两部分。提取文件时间戳时，通过解析目标文件路径，获得逻辑分区参数，进而读取索引文件寻找到目标文件的元数据，解析出时间戳；分析文件时间戳时，首先对所有目标文件进行可信性检查，然后根据不同文件类型进行特定分析。本发明通过读取文件元数据来获得时间戳，并对其进行交叉分析，从而得到可靠的结论。

主权项

一种基于时域的数据取证及交叉分析方法，其特征在于：包括提取文件时间戳和分析文件时间戳两部分，其中：所述提取文件时间戳，实现步骤如下：第一步，获取可疑目标文件或目录的路径，检查该路径的合法性，并将其分解为逻辑分区标识符、各级目录名、文件名及扩展名；第二步，根据上一步文件路径的分解结果，分析文件所在逻辑分区的引导扇区，按照定义获取该逻辑分区的相关参数；第三步，根据上一步获得的逻辑分区参数，读取NTFS文件系统的元数据；第四步，根据上一步获得的系统元数据，找到索引文件的入口表，并遍历该索引文件，找到目标文件的相关索引记录入口$INDEX_ENTRY；第五步，根据上一步获得的$INDEX_ENTRY，找到目标文件的元数据项并解析出文件时间戳；第六步，返回执行结果；所述分析文件时间戳，实现步骤如下：第一步，根据NTFS中常见操作对文件时间戳的影响规则和NTFS中常见操作对目录时间戳的影响规则，对目标文件时间戳进行可信性检查；第二步，根据NTFS中常见操作对文件时间戳的影响规则和NTFS中常见操作对目录时间戳的影响规则，对通过可信性检查的时间戳进行具体操作分析。