NTFS文件系統(tǒng)文件存貯分析

陶永紅, 何 明

(1.浙江警察學(xué)院,浙江杭州 310053;2.浙江省公安廳高速公路交警總隊(duì),浙江杭州 310020)

0 引言

隨著計算機(jī)軟硬件的迅速發(fā)展,計算機(jī)取證技術(shù)也日新月異,取證與反取證的斗爭也越來越突出。因此,研究計算機(jī)取證技術(shù)對打擊犯罪、保護(hù)人民具有重要的意義。

計算機(jī)在操作過程中會創(chuàng)建、修改、移動、刪除許多文件,每個文件在磁盤中都有對應(yīng)目錄項(xiàng),而每個目錄項(xiàng)中包含文件名、擴(kuò)展名、創(chuàng)建時間、修改時間、訪問時間、文件首地址、文件長度等重要信息。許多文件在每次復(fù)制、修改、移動、刪除等操作過程中都會產(chǎn)生新的目錄項(xiàng),同時舊目錄項(xiàng)在一定時間內(nèi)會殘留在磁盤中。研究這些目錄項(xiàng)變化規(guī)律能了解當(dāng)事人對計算機(jī)及相關(guān)程序、文檔的操作過程,是我們掌握證據(jù)的重要方法。本文使用常用工具軟件對 NTFS文件系統(tǒng)中這些殘留目錄項(xiàng)及數(shù)據(jù)進(jìn)行分析,從而提出發(fā)現(xiàn)NTFS文件系統(tǒng)中的殘留目錄項(xiàng)和數(shù)據(jù)的方法。這對計算機(jī)電子物證的發(fā)現(xiàn)與獲取具有一定實(shí)際意義。

1 基本原理

磁盤在存儲數(shù)據(jù)之前首先要對磁盤進(jìn)行分區(qū),然后對分區(qū)進(jìn)行格式化建立相應(yīng)的文件系統(tǒng),各分區(qū)經(jīng)格式化操作后才能存貯數(shù)據(jù)。根據(jù)使用操作系統(tǒng)的不同,分區(qū)的類型也不同,常用的有 DOS分區(qū)、Apple分區(qū)、BSD分區(qū)、Sun Solaris分區(qū)、GPT分區(qū)及其他特珠的移動介質(zhì)分區(qū)。分區(qū)是由磁盤上的連續(xù)扇區(qū)組成的,Windows下使用的是DOS分區(qū)。

在一臺微型計算機(jī)上安裝操作系統(tǒng)時(如 Windows XP),首先在物理磁盤上創(chuàng)建分區(qū),同時在磁盤的第一個扇區(qū)產(chǎn)生主引導(dǎo)區(qū),主引導(dǎo)區(qū)包含主引導(dǎo)程序和分區(qū)表。主引導(dǎo)區(qū)中的分區(qū)表最多能定義四個分區(qū),把磁盤分為一個主分區(qū)(通常是 C盤)和一個擴(kuò)展分區(qū)。擴(kuò)展分區(qū)再分成多個邏輯盤(如 D、E、F盤等)。Windows XP在格式化邏輯盤過程中就要選擇文件系統(tǒng),目前個人計算機(jī)上使用較多的是 FAT32和 NTFS文件系統(tǒng)。

NTFS文件系統(tǒng)是 WINDOWS NT借鑒 DOS的機(jī)制,而采用的更為安全可靠的文件系統(tǒng)。與 FAT32文件格式相比,NTFS文件格式有更多新的特點(diǎn)。是 Windows 2000、Windows XP、Windows Server 2003、Windows Server 2008、Windows Vista和W indows 7的標(biāo)準(zhǔn)文件系統(tǒng)。

在NTFS分區(qū)中,最開始的 16個扇區(qū)是分區(qū)引導(dǎo)扇區(qū),其中保存著分區(qū)引導(dǎo)代碼,接著就是主文件表文件MFT(M aster File Tab le),MFT文件由許多 MFT項(xiàng)組成,每一個文件對應(yīng)MFT文件中的一個 MFT項(xiàng),每個 MFT項(xiàng)大小固定為 1K。NTFS文件系統(tǒng)將文件內(nèi)容分為常駐屬性和非常駐屬性。小于 1K的文件其目錄項(xiàng)和數(shù)據(jù)都作為常駐屬性保存在MFT項(xiàng)中。大于 1K的文件或文件夾其目錄項(xiàng)作為常駐屬性保存在 MFT項(xiàng)中,而數(shù)據(jù)作為非常駐屬性保存在MFT文件外分配的一個運(yùn)行區(qū)中,如果以后非常駐屬性值又增加,那么將會再分配一個運(yùn)行。

MFT文件中前 16個MFT項(xiàng)是操作系統(tǒng)使用的非常重要的元數(shù)據(jù)文件。這些元數(shù)據(jù)文件的名字都以“MYM”開始,所以是隱藏文件,在Windows XP中不能像普通文件一樣顯示。只能使用一些工具軟件,如 WinHex才可以顯示這些文件。其后的 7個MFT項(xiàng)系統(tǒng)保留作為以后升級使用。用戶文件從第24個MFT項(xiàng)開始使用。

2 分析方法

以下是在 Windows XP操作系統(tǒng)中,使用 WinHex工具軟件,分析NTFS文件系統(tǒng)中文件的存貯規(guī)律。所用樣本文件均由 Word2003及記事本產(chǎn)生。

2.1 文件的創(chuàng)建

在根目錄創(chuàng)建文件夾 aaaaaa,用記事本生成文件111111.txt和 222222.txt,大小分別為 1K和 2K。用 WinHex工具軟件查看主文件 MFT發(fā)現(xiàn) aaaaaa文件夾中常駐屬性(目錄項(xiàng)等),其中 111111.txt小于 1K,其數(shù)據(jù)作為常駐屬性駐留在 MFT項(xiàng)中(100簇),如圖1所示。 22222.txt大于 1K,其數(shù)據(jù)并不在 MFT項(xiàng)中(99簇),根據(jù)MFT項(xiàng)中記錄的首地址發(fā)現(xiàn)數(shù)據(jù)作為非常駐屬性存在 27簇的運(yùn)行區(qū),如圖2所示。

圖1 文件對應(yīng)MFT項(xiàng)(常駐屬性)

圖2 大于 1K的文件數(shù)據(jù)保存在運(yùn)行區(qū)

2.2 文件的刪除

通常文件刪除時會確認(rèn)是否將文件放入回收站。選擇放入回收站時文件并沒有真正刪除,而是把文件對應(yīng)的MFT項(xiàng)劃歸回收站名下,其實(shí)質(zhì)上常駐屬性(MFT項(xiàng))和非常駐屬性還是保留在原地址(100簇),但是文件名有所變化,如圖3所示。同樣,清空回收站后,相關(guān)文件的常駐屬性(MFT項(xiàng))和非常駐屬性(數(shù)據(jù))仍保留在原地址,只是做了刪除標(biāo)記。

如果在刪除文件時選擇直接刪除(不放入回收站,如按SHIFT鍵刪除文件),則文件的 MFT項(xiàng)(目錄等屬性)不再有劃歸回收站的過程,常駐屬性(MFT項(xiàng))和非常駐屬性(數(shù)據(jù))仍保留在原地址沒有刪除,所不同的是殘留 MFT項(xiàng)(目錄等屬性)依然在原文件夾名下,其文件名沒有改變,如圖4所示。這非常有利于數(shù)據(jù)恢復(fù)和分析。

2.3 文件的移動

操作系統(tǒng)將文件夾 aaaaaa下 111111.txt、22222.txt、333333.txt、444444.txt四個文件中的二個文件移至 bbbbbb文件夾時,并沒有產(chǎn)生新的MFT項(xiàng)(目錄項(xiàng)和數(shù)據(jù)),只是把被移動二個文件的 MFT項(xiàng)(目錄和數(shù)據(jù))直接劃歸新文件夾,在原文件夾中沒有留下痕跡,如圖5所示。提示:在FAT32文件系統(tǒng)中移動文件時,在目標(biāo)文件夾下創(chuàng)建新目錄項(xiàng),原目錄項(xiàng)殘留在原文件夾中。

圖3 文件放入回收站后的目錄項(xiàng)及數(shù)據(jù)

圖4 直接刪除小文件的目錄項(xiàng)及數(shù)據(jù)(常駐屬性)

圖5 文件移動后原位置沒有留下痕跡

2.4 磁盤格式化

NTFS文件系統(tǒng)中,磁盤格式化操作與 FAT32文件系統(tǒng)中的格式化有所不同。格式化后MFT文件保留在原處并沒有清除或移動,而是在其他位置新建了一個 MFT文件,如圖6、7、8所示。同時原有的文件夾、目錄結(jié)構(gòu)及文件也沒有清除,如圖9所示。在沒有新的數(shù)據(jù)覆蓋的前提下,我們很容易進(jìn)行數(shù)據(jù)恢復(fù)和數(shù)據(jù)分析。

圖6 格式化前的M FT

圖7 格試化后在新地址創(chuàng)建新的MFT

2.5 Word殘留的目錄項(xiàng)

Word文字處理器在使用過程中會在文件保存位置和自動恢復(fù)文檔位置產(chǎn)生大量的臨時文件 tmp、備份文件 wbk、自動恢復(fù)文件 asd,這些文件所留下的目錄項(xiàng)記錄著Word文件的操作過程,如圖10所示。分析相關(guān) MFT項(xiàng)中時間信息可以掌握歷次 word文檔的操作過程。使用數(shù)據(jù)恢復(fù)軟件恢復(fù)這些臨時文件、備份文件、自動恢復(fù)文件更能掌握當(dāng)事人不同時期 Word文檔中的內(nèi)容。

3 結(jié)論

文件刪除時常駐屬性和非常駐屬性都不會真正刪除,只是做上刪除標(biāo)記依然保留在原地址,在被新數(shù)據(jù)覆蓋前這些文件恢復(fù)的成功率比較高。

文件刪除放入回收站時 MFT項(xiàng)中的文件名會有變化(清空回收站時也一樣)。我們在用數(shù)據(jù)恢復(fù)軟件、恢復(fù)文件和目錄項(xiàng)分析時要注意這一文件名的變化,以免遺漏。

圖8 格式化后原MFT留在原地址并沒有清除

圖9 格式化后剩余空間原文件相關(guān)數(shù)據(jù)并沒有清除

圖10 W ord產(chǎn)生的臨時文件等

按 Shift直接刪除或大于回收站的文件沒有放入回站的過程,其MFT項(xiàng)中的目錄屬性依然保留在原文件夾名下,只是做刪除標(biāo)記,文件名也不會改變。

當(dāng)小于 1K的文件修改后常駐屬性(數(shù)據(jù)部分)變大而成為非常駐屬性時,原存在于 MFT中的常駐屬性(數(shù)據(jù)部分)仍存在。同樣小于 1K的文件修改后常駐屬性(數(shù)據(jù)部分)變得更小時,常駐屬性的后半部分還殘留有原常駐屬性(被刪數(shù)據(jù)部分)。

當(dāng)大于 1K的文件修改成小于 1K的文件后,非常駐屬性(數(shù)據(jù))仍存于原地址,其被刪部分?jǐn)?shù)據(jù)在被新的數(shù)據(jù)覆蓋前依然保留在原地址。

NTFS文件系統(tǒng)在創(chuàng)建新文件時,是從MFT文件第24個MFT項(xiàng)開始尋找可用 MFT項(xiàng)(包括已刪除的MFT項(xiàng)),因此在 MFT文件中靠近起始端的MFT項(xiàng)被更新的機(jī)率比較大,靠近尾部的已刪除 MFT項(xiàng)可能會較長時間地存在。而FAT32文件系統(tǒng)中的目錄項(xiàng)是從已有的最后一個目錄項(xiàng)開始往后尋找未曾使用的目錄項(xiàng),直至該簇用完再重啟位置尋找可用目錄項(xiàng)。

文件被移動時其對應(yīng)的MFT項(xiàng)地址并沒有改變,只是把該MFT項(xiàng)劃歸新的文件夾。而在FAT32文件系統(tǒng)中文件的移動將產(chǎn)生新的目錄項(xiàng),原目錄項(xiàng)做刪除標(biāo)記后殘留在原地址。

磁盤格式化時,NTFS文件系統(tǒng)在新的地址產(chǎn)生新的MFT文件,原MFT主文件依然保留在原地址。而 FAT32文件系統(tǒng)在格式化后清空了根目錄和文件分配表,因此NTFS文件系統(tǒng)更有利于數(shù)據(jù)恢復(fù)。

Word文字處理器具有自動保存和備份文檔功能,因此在使用過程中其文檔“保存位置”和“自動恢復(fù)文檔位置”會產(chǎn)生大量的臨時文件、備份文件、自動恢復(fù)文件。我們分析這些文件的 MFT項(xiàng)中的時間屬性可以獲取文檔的操作過程,恢復(fù)這些文件可以獲取各時期文字處理的相關(guān)內(nèi)容。在分析和恢復(fù)過程中要注意文件類型(自動生成的各類文件)和文件名的變化(放入回收站引起的變化)。

總之,正確理解和掌握計算機(jī)操作過程中各類文件屬性的變化規(guī)律可以掌握當(dāng)事人操作計算機(jī)的情況,從而為各類案件偵查工作提供直接和間接的線索和證據(jù)。

[1] 戴士劍.數(shù)據(jù)恢復(fù)技術(shù)[M].北京:電子工業(yè)出版社,2005.

[2] 馬林.數(shù)據(jù)重現(xiàn)[M].北京:清華大學(xué)出版社,2009.

[3] 喬珊,尼春雨.數(shù)據(jù)恢復(fù)完全實(shí)戰(zhàn)演練[M].北京:清華大學(xué)出版社,2007.