孫道寧 郭 睿 羅文華（中國刑事警察學院 遼寧 沈陽 110035）

NTFS文件系統(tǒng)下基于多重時間信息解析文件操作行為

孫道寧 郭 睿 羅文華
（中國刑事警察學院 遼寧 沈陽 110035）

利用NTFS文件系統(tǒng)下的常規(guī)時間屬性及SMFT文件中的隱含時間屬性，從電子數據取證視角審視文件操作所引發(fā)的時間信息系列變化，歸納總結取證調查規(guī)則，并結合實例說明所述規(guī)則的具體應用。

NTFS MFT常規(guī)時間屬性 S10H屬性 S30H屬性

1 引言

在電子數據取證實踐中，基于源文件與目標文件時間屬性的對比從而推測文件可能經歷過的操作，是一種較為常見的分析方法之一。早期此類問題研究主要側重依靠常規(guī)時間屬性，即通過文件屬性可以查看得到的創(chuàng)建時間、修改時間、訪問時間。然而，在Windows Vista及其后續(xù)版本默認情況下并不更新訪問時間，這使得依據常規(guī)時間屬性推測出的行為不再準確可靠。與此同時，取證技術人員又挖掘出了NTFS文件系統(tǒng)下元文件SMFT中隱藏于S10H屬性（即標準屬性）的MFT記錄修改時間，總結歸納出該時間屬性的變化規(guī)則，提升了行為推測的可信度。

隨著數據混淆、數據隱藏等反取證技術的出現，依據傳統(tǒng)時間屬性已經無法推導出可能的文件操作。本文基于SMFT文件記錄的深入分析，將存儲于S30H屬性（即文件名屬性）的時間信息也歸入調查視野，同時結合其他時間屬性分析不同操作能夠產生的影響，演繹推理出更為深入的全面調查取證規(guī)則，以期電子數據取證實踐所用。

2 $MFT文件記錄中的時間信息

SMFT英文全稱為Master File Table，可譯為主文件表，它是NTFS文件系統(tǒng)中最重要的文件[1]。NTFS分區(qū)中的所有文件都在SMFT對應有記錄，記錄中存儲有文件名、文件大小、存儲位置等信息，類似于FAT文件系統(tǒng)下的FAT+FDT功能。每條記錄可以被解析為若干屬性，如S10H屬性（標準屬性）、S 30H屬性（文件名）、S40H屬性（卷版本）、S80H屬性（數據存放位置）和SB0H屬性(位圖)等。其中S 10H屬性和S30H屬性中含有時間信息。

2.1 $10H屬性中的時間信息

創(chuàng)建時間、修改時間、訪問時間等常規(guī)信息就存儲于S10H屬性中[2]。然而S10H屬性中還隱藏著名為“Last MFT modification time”的時間屬性（MFT記錄修改時間），用于說明MFT記錄的最近一次修改時間，如圖1所示。實驗證明，通常文件屬性發(fā)生變化時，會引發(fā)MFT記錄修改時間的變化。

2.2 $30H屬性中的時間信息

圖1 $10H屬性包含的時間屬性信息

MFT記錄中除了S10H屬性外，還使用S30H屬性描述文件名信息。然而研究發(fā)現，S30H屬性除了存放文件完整名稱和縮略名外，也包含常規(guī)時間屬性與MFT記錄修改時間等時間信息，如圖2所示。雖然此處的時間屬性名稱上與S10H屬性中的完全一致，但內容卻不隨一般文件操作而變化，而只受文件創(chuàng)建或剪切行為的影響，可與S10H屬性一道用于操作行為的綜合分析。

圖2 $30H屬性中的時間信息

3 利用時間屬性信息解析文件操作行為

為了方便討論不同操作行為對文件產生的影響，將文件的創(chuàng)建時間記為C（Create）時間，訪問時間記為A（Accesss）時間，修改時間記為M（Modifie）時間，MFT記錄修改時間記為E（Entry）時間。

3.1 $10H屬性中的時間信息變化規(guī)則

研究發(fā)現，當執(zhí)行不同的操作行為時，S10H屬性中C、M、A、E時間信息會表現出特征，如圖3所示。

圖3 $10H屬性中時間信息隨文件操作的變化規(guī)則

鑒于相關資料已對S10H屬性中的時間屬性變化做過較為詳細的討論，本節(jié)著重說明E時間的作用。E時間集中體現文件屬性的變化。在M時間和C時間不同的情況下，同時文件為“隱藏”或“只讀”屬性時，那么Windows Vista及其后續(xù)版本中E時間極有可能就是特殊屬性的設置時間；另外，在操作系統(tǒng)環(huán)境實時更新訪問時間的情況下，若A時間在E時間之前，且A、E之間間隔極短，則該文件極有可能執(zhí)行過“重命名”操作。

3.2 $30H屬性中的時間信息變化規(guī)則

在S30H屬性中，當文件被創(chuàng)建（或剪切）時，其4種時間都更新為創(chuàng)建時間；當文件被修改、訪問、重命名時，4種時間保持不變；當文件被復制時，目標文件的4種時間變化為文件生成時間；當文件被刪除時，文件的M時間和E時間發(fā)生變化，A時間和C時間不發(fā)生變化，如圖4所示。

圖4 $30H屬性中時間信息隨文件操作的變化規(guī)則

取證實踐中，往往單純依靠S10H屬性的時間變化并不能準確解析出文件的操作行為[3]。例如，如果文件的S10H屬性中的M時間、A時間和C時間都不變而文件的E時間發(fā)生變化，那么文件可能是被執(zhí)行過重命名或是刪除操作；此時如果僅靠S10H屬性中的時間則無法準確判斷具體行為，需要結合S30H屬性中的時間信息進行綜合分析[4]。文件重命名時S30H屬性中的M時間和E時間都不變，而文件刪除時S30H屬性中的M時間和E時間會發(fā)生改變，由此可以判斷文件是被重命名還是被刪除。

4 電子數據取證實踐

2015年3月16日，某市宏遠機械廠的多個技術機密文件被人秘密復制盜取，通過偵查人員縝密調查，鎖定并抓獲了犯罪嫌疑人王某，在王某住處搜到黑色U盤一枚。U盤內有一文件夾，文件夾內有多個文檔文件。通過比對文件內容，發(fā)現其與機械廠機密技術文件完全一致。但嫌疑人王某抵賴說文件是從網絡上下載得到，自己并沒有盜取那些機密文件。偵查人員由此特別針對文件復制行為進行鑒定。

文件復制行為鑒定的關鍵在于比對源文件與目標文件的相關時間屬性。偵查人員首先對該機械廠的機密技術文件的時間屬性進行了檢驗，其中“2月份技術廠品出售量.doc”源文件的S10H屬性和S30H屬性的時間信息，如圖5和圖6所示。

圖5 “2月份技術廠品出售量.doc”源文件$10H屬性時間信息

圖6 “2月份技術廠品出售量.doc”源文件$30H屬性時間信息

而犯罪嫌疑人王某U盤內檢測到的“2月份技術廠品出售量.doc”文件的S10H屬性和S30H屬性時間信息，如圖7和圖8所示。

圖7 U盤內“2月份技術廠品出售量.doc”文件$10H屬性

圖8 U盤內“2月份技術廠品出售量.doc”文件$30H屬性

通過對比源文件與目標文件的時間屬性，發(fā)現源文件的修改時間和U盤內文件的修改時間一致[5]，而U盤內文件的訪問時間、創(chuàng)建時間和MFT時間均滯后于源文件的訪問時間、創(chuàng)建時間和MFT修改時間，并且U盤內各個文件的創(chuàng)建時間相差不大，呈現出典型的文件復制行為特征。同時，結合該機械廠存儲機密技術文件電腦中獲取到的USB設備使用痕跡，形成了強有力的證據鏈條，證明了王某的犯罪行為。

5 結束語

在現有文獻中研究多側重為基于創(chuàng)建時間、訪問時間和修改時間的取證調查規(guī)則等問題[6]。在前期研究的基礎上，本文將隱藏于元文件SMFT中的記錄修改時間和S30H屬性時間問題歸入電子數據取證研究的視野下，探究其在不同文件操作行為下的變化情況，形成相關的系列規(guī)則，以期為取證技術人員提供相關的智力支持。綜合多時間信息在特殊屬性設置、重命名、刪除操作等行為的判定方面，能夠發(fā)揮單一時間信息無法比擬的作用。

基于時間屬性的文件操作行為分析是在證據鏈條完整性的基礎上實施的。不僅如此，在對時間屬性的文件進行操作行為分析時，取證人員還需結合實際情況參照對文件內容的分析或是其他證據予以佐證。與此同時，鑒于文件時間信息的易修改等特點，取證人員在對文件進行分析時應特別注重根據不同操作系統(tǒng)中時間問題處理方式的差異，選取正確的取證工具及方法，防止證據污染等情況的發(fā)生。

[1]Chow KP,Law FYW,Kwan MYK,etal.TheRules of Time in the NTFS File System [A].In:Systematic Approaches to Digital Forensic Engineering (SADFE)[C].OaklandCA:IEEEComputerSociety，2007:71-83.

[2]張俊,麥永浩.計算機取證中的時間調查[J].警察技術,2008(7):40-43.

[3]羅文華,等.NTFS文件系統(tǒng)下利用MFT記錄修改時間分析文件(夾)操作行為[J].中國刑警學院學報,2012(4):24-26.

[4]鄭志翔,羅文華.Linux環(huán)境下的時間調查取證[J].新疆警官高等專科學校學報,2009(4):39-41.

[5]羅文華,張謙.從破壞計算機信息系統(tǒng)案件看Winolows系統(tǒng)日志取證實踐[J].中國刑警學院學報,2014(2):28-30．

[6]劉浩陽.數字時間取證技術原理與應用[J].信息網絡安全,2010(3):47-49.

TP393

A

2095-7939(2016)01-0047-03

2015-09-10

孫道寧（1987-），女，河北邢臺人，中國刑事警察學院網絡犯罪偵查系講師，主要從事網絡犯罪偵查、電子數據取證。

于 萍）