手機端F2FS鏡像文件數(shù)據(jù)取證方法

翟雨佳，李濤，胡愛群

〔東南大學(xué)網(wǎng)絡(luò)空間安全學(xué)院，江蘇南京 211189；網(wǎng)絡(luò)通信與安全紫金山實驗室，江蘇南京 211111；網(wǎng)絡(luò)空間國際治理研究基地（東南大學(xué)），江蘇南京 211189〕

1 引言

F2FS文件系統(tǒng)（Flash Friendly File System）是一種新型開源Flash文件系統(tǒng)[1]，和傳統(tǒng)的Linux文件系統(tǒng)相比，F(xiàn)2FS文件系統(tǒng)更好發(fā)揮了閃存存儲設(shè)備的性能優(yōu)勢。華為率先將F2FS文件系統(tǒng)加入到自己的產(chǎn)品中，隨后大量廠商也采用該文件系統(tǒng)來取代Ext4文件系統(tǒng)[2]。到目前為止，有多家廠商的移動設(shè)備已經(jīng)使用該文件系統(tǒng)，包括三星Galaxy Note 10、華為Mate20、Moto Z等。有些廠商的設(shè)備雖仍然使用Ext4文件系統(tǒng)，但支持從Ext4到F2FS轉(zhuǎn)換。隨著F2FS文件系統(tǒng)在手機端的廣泛應(yīng)用，構(gòu)建手機端F2FS文件系統(tǒng)通用取證框架具有重大意義。

一般情況下，手機文件系統(tǒng)的取證主要是對手機文件系統(tǒng)的鏡像文件進(jìn)行數(shù)據(jù)解析。美亞柏科公司把F2FS文件系統(tǒng)鏡像文件視為一個磁盤，通過模擬Linux掛載磁盤，構(gòu)建文件系統(tǒng)組織架構(gòu)信息，實現(xiàn)解析整個F2FS文件系統(tǒng)目錄結(jié)構(gòu)[3]。該方法需要根據(jù)位圖信息遍歷整個文件系統(tǒng)，雖然有效解決了可移植性問題，但是解析大容量文件系統(tǒng)時，解析效率明顯下降。梁效寧等人對于已刪除文件提供了一種邊恢復(fù)邊解析刪除文件元數(shù)據(jù)的方法，分別遍歷F2FS文件系統(tǒng)的段摘要區(qū)（SSA）和主區(qū)（Main Area），比較文件合并恢復(fù)的同時完成對刪除文件的解析[4]。梁效寧等人所提出的方法只恢復(fù)并解析刪除文件，并不涉及解析文件系統(tǒng)中現(xiàn)存文件，而且分別遍歷SSA和Main Area區(qū)域也需要花費更長的時間，效率較低。綜上，目前對F2FS文件系統(tǒng)鏡像文件的數(shù)據(jù)解析相關(guān)研究還不充分。

本文根據(jù)F2FS文件系統(tǒng)特有的讀寫訪問機制以及垃圾回收機制，提出一種對F2FS文件系統(tǒng)鏡像文件數(shù)據(jù)解析的通用取證方法。實驗結(jié)果表明，本文提出的F2FS文件系統(tǒng)鏡像取證方法可以有效的實現(xiàn)對F2FS文件系統(tǒng)的目錄結(jié)構(gòu)解析，完成對近期刪除文件的數(shù)據(jù)解析，對電子取證具有實際應(yīng)用意義[5,6]。

2 F2FS文件系統(tǒng)概述

2.1 F2FS文件系統(tǒng)布局結(jié)構(gòu)

F2FS文件系統(tǒng)中最小的數(shù)據(jù)存儲單元為塊（Block），每個塊的大小默認(rèn)為4K[7]。邏輯上，F(xiàn)2FS文件系統(tǒng)分為元數(shù)據(jù)區(qū)域（Meta Area）和主數(shù)據(jù)區(qū)域（Main Area）兩部分。

元數(shù)據(jù)區(qū)域包括超級塊（SB）、檢查點（CP）、節(jié)點地址表（NAT）等五個部分。元數(shù)據(jù)區(qū)域一般存儲在系統(tǒng)空間最開始的多個連續(xù)塊中，主要存儲F2FS文件系統(tǒng)基本參數(shù)配置、段的使用分配信息、數(shù)據(jù)塊地址等基礎(chǔ)信息。

主數(shù)據(jù)區(qū)域分為節(jié)點段區(qū)域和數(shù)據(jù)段區(qū)域兩部分。主數(shù)據(jù)區(qū)域主要用來存儲用戶文件信息，其中與文件屬性相關(guān)的信息一般存放于節(jié)點段區(qū)域，文件的數(shù)據(jù)信息存放于數(shù)據(jù)段區(qū)域。F2FS文件系統(tǒng)通過Node-Date的索引關(guān)系管理文件，節(jié)點段區(qū)域和節(jié)點地址表之間存在映射關(guān)系[8]。具體布局結(jié)構(gòu)如圖1所示。

2.2 文件元數(shù)據(jù)信息塊

F2FS文件系統(tǒng)采用多級索引機制保存大文件數(shù)據(jù)，采用內(nèi)聯(lián)機制保存小文件數(shù)據(jù)，文件元數(shù)據(jù)信息塊是實現(xiàn)這些機制的重要結(jié)構(gòu)。

文件元數(shù)據(jù)信息塊又稱為inode_block，每個文件元數(shù)據(jù)信息塊都對應(yīng)一個普通文件或者目錄文件，普通文件和目錄文件的元數(shù)據(jù)信息塊的區(qū)別在于普通文件在元數(shù)據(jù)信息塊內(nèi)偏移量為0x168處存儲文件物理內(nèi)存地址，而目錄文件在偏移量為0x168處存儲該目錄下子文件的ino節(jié)點號和對應(yīng)子文件的文件名稱等信息。一般普通文件元數(shù)據(jù)信息塊的數(shù)據(jù)結(jié)構(gòu)如表1所示，目錄文件元數(shù)據(jù)信息塊的數(shù)據(jù)結(jié)構(gòu)如表2所示。

表1 普通文件元數(shù)據(jù)信息數(shù)據(jù)結(jié)構(gòu)

圖1 F2FS文件系統(tǒng)布局結(jié)構(gòu)

表2 目錄文件元數(shù)據(jù)信息塊數(shù)據(jù)結(jié)構(gòu)

目錄文件元數(shù)據(jù)信息塊中偏移量為0x168處目錄子文件數(shù)據(jù)信息區(qū)存儲了182個子文件目錄項，用來描述目錄下子文件的信息，如子文件名的哈希值及子文件節(jié)點號等。

節(jié)點地址表中的nat_entry表項存儲了主數(shù)據(jù)區(qū)中各文件對應(yīng)的文件節(jié)點號ino和節(jié)點數(shù)據(jù)塊的地址信息。結(jié)合節(jié)點信息表和子文件目錄項，即可構(gòu)建當(dāng)前目錄文件的目錄樹。

2.3 近期刪除數(shù)據(jù)解析原理

用戶手動刪除文件后并不會直接清除F2FS文件系統(tǒng)中的文件內(nèi)存數(shù)據(jù)塊，只是改變該文件相關(guān)標(biāo)志位，清除nat_entry表項和文件元數(shù)據(jù)信息塊的對應(yīng)關(guān)系，只有當(dāng)新的數(shù)據(jù)寫入到該刪除文件的內(nèi)存數(shù)據(jù)塊后，原有的信息才會因被覆蓋而無法完整還原[9,10]。考慮到用戶手機端刪除文件操作等同于用戶在圖形界面刪除文件，根據(jù)在圖形界面刪除文件并不直接刪除文件而是將文件先放置在.Trash目錄下的特點，可以采用尋找并解析.Trash目錄文件，并結(jié)合有效節(jié)點地址表的方法，實現(xiàn)對用戶近期刪除文件的數(shù)據(jù)解析。

本文所指的解析近期刪除文件主要包括獲取刪除文件的元數(shù)據(jù)信息塊、原存儲路徑信息等文件基本信息。解析.Trash目錄文件結(jié)合節(jié)點信息表的近期刪除文件數(shù)據(jù)取證方法主要分為三個步驟。

（1）確定.Trash目錄文件節(jié)點號ino以及文件元數(shù)據(jù)信息塊地址：.Trash目錄文件屬于F2FS文件系統(tǒng)根目錄文件的子文件，可以根據(jù)2.2節(jié)原理解析根目錄文件的元數(shù)據(jù)信息塊，確定.Trash目錄文件節(jié)點信息號ino，獲取該ino所對應(yīng)的文件元數(shù)據(jù)信息塊地址。

（2）解析.Trash目錄文件元數(shù)據(jù)信息塊：通常情況下，.Trash目錄文件下的info普通子文件存儲被刪除文件的原存儲路徑；.Trash目錄文件下的files子目錄文件存儲被刪除文件的節(jié)點號ino和文件名稱等基本信息。

（3）獲取被刪除文件的元數(shù)據(jù)信息塊和原存儲路徑：結(jié)合節(jié)點地址表，解析刪除文件的元數(shù)據(jù)信息塊，得到刪除文件的刪除時間、存儲地址等信息，實現(xiàn)刪除文件取證。

2.4 F2FS文件系統(tǒng)鏡像文件

鏡像文件是將特定的一系列文件按照一定格式制作成的單一文件。文件系統(tǒng)鏡像文件不僅包含了文件系統(tǒng)的數(shù)據(jù)文件，還包含了文件系統(tǒng)的基本屬性信息和分區(qū)信息，文件系統(tǒng)鏡像文件包含了文件系統(tǒng)所有信息[11]。

本文模擬手機文件系統(tǒng)，制作了多組F2FS文件系統(tǒng)鏡像文件用作實驗研究和結(jié)果分析，主要分為三類鏡像文件：

（1）F2FS文件系統(tǒng)剛被創(chuàng)建，僅包括幾個單一文件的初態(tài)F2FS鏡像文件；

（2）模擬多次重復(fù)掛載、創(chuàng)建或修改已有文件、移動文件位置等用戶操作，創(chuàng)建已使用一段時間后的F2FS鏡像文件；

（3）存在各種不同類型或不同大小文件的大型F2FS鏡像文件。

針對以上不同類型的鏡像文件，運用WinHex分別獲取超級塊只讀區(qū)域，分析校驗F2FS鏡像文件的健全性和有效性。超級塊區(qū)校驗的具體過程為：

（1）魔數(shù)標(biāo)志位“0x1020F5F2”檢查；

（2）扇區(qū)大小等默認(rèn)參數(shù)檢查；

（3）根索引節(jié)點號及各元數(shù)據(jù)索引檢查。

若超級塊和備份超級塊校驗均不通過，則表明文件系統(tǒng)發(fā)生損毀或鏡像文件操作有誤。

3 F2FS鏡像文件目錄項取證分析

為實現(xiàn)對鏡像文件目錄項的取證，首先應(yīng)獲取當(dāng)前F2FS的有效節(jié)點地址表，然后根據(jù)有效節(jié)點地址表的nat_entry表項獲取解析文件和文件夾的元數(shù)據(jù)信息塊，邏輯關(guān)系完成目錄樹的構(gòu)建，本章將主要從基于根目錄文件時間戳獲取有效節(jié)點地址表法、通用F2FS鏡像文件目錄樹取證方法這兩個方面展開[3]。

3.1 基于根目錄文件時間戳獲取有效節(jié)點地址表法

為防止宕機對元數(shù)據(jù)造成不可恢復(fù)的損害，一般F2FS文件系統(tǒng)中存有兩個及以上節(jié)點地址表，但只有一個有效節(jié)點地址表存儲最新的節(jié)點信息。由于F2FS文件系統(tǒng)的jounal緩存機制的影響，存在有效nat_entry表項未更新到節(jié)點地址表的現(xiàn)象[12]。根據(jù)節(jié)點地址表的寫入原理，通過檢查點段定位到最新有效的節(jié)點地址表是鏡像文件目錄項取證方法中主要的技術(shù)難點。

針對上述現(xiàn)象，本文提出一種基于根目錄文件時間戳獲取有效節(jié)點地址表方法，該方法的實現(xiàn)流程圖如圖2所示。基于根目錄文件時間戳獲取有效節(jié)點地表址方法的步驟為:

（1）從超級塊中確定各個節(jié)點地址表和版本號較高的有效檢查點段的起始地址；

（2）在有效檢查點段內(nèi)查找根目錄節(jié)點號ino（0x03），記錄元數(shù)據(jù)信息塊的地址，標(biāo)記為根目錄元數(shù)據(jù)信息塊Ⅰ；

（3）在各個節(jié)點地址表中查找根目錄節(jié)點號ino（0x03），分別記錄各元數(shù)據(jù)信息塊的地址，依次標(biāo)記為根目錄元數(shù)據(jù)塊Ⅱ、Ⅲ等；

（4）比較根目錄元數(shù)據(jù)信息塊Ⅰ、Ⅱ、Ⅲ等數(shù)據(jù)塊中時間戳，獲取最新時間戳根目錄元數(shù)據(jù)塊所在的節(jié)點地址表和檢查點段的緩存nat_entry表項；

（5）若節(jié)點地址表段的根目錄時間戳最新，則節(jié)點地址表即為當(dāng)前有效的節(jié)點地址表。若檢查點段的根目錄時間戳最新，需手動將檢查點段的緩存nat_entry表項更新到節(jié)點地址表，得到當(dāng)前有效的節(jié)點地址表；

（6）若出現(xiàn)根目錄時間戳相同的情況，再比較根目錄下的子文件的時間戳信息。

3.2 F2FS鏡像目錄樹取證方法

對F2FS文件系統(tǒng)鏡像文件進(jìn)行目錄取證最重要的步驟是確定各目錄項間的鏈接關(guān)系，構(gòu)建最新的目錄樹結(jié)構(gòu)。根據(jù)上述分析，可以得到一種通用的F2FS文件系統(tǒng)鏡像文件目錄樹取證方法，該方法取證流程圖如圖3所示。

通用的F2FS文件系統(tǒng)鏡像文件目錄樹取證方法的具體步驟流程為：

（1）載入F2FS鏡像文件，讀取鏡像文件超級塊，確定檢查點段、各節(jié)點地址表地址；

（2）運用根目錄文件時間戳方法得到有效節(jié)點地址表并讀取nat_entry表項；

（3）以根目錄作為鏡像文件目錄樹起點，在有效節(jié)點地址表查找根目錄文件節(jié)點號ino，解析根目錄的元數(shù)據(jù)信息；

（4）在有效節(jié)點地址表查找根目錄各子文件節(jié)點號ino，解析各子文件的元數(shù)據(jù)信息；

圖3 通用F2FS鏡像文件目錄樹取證流程圖

（5）不斷重復(fù)對每個子文件進(jìn)行解析，構(gòu)建完整F2FS文件系統(tǒng)鏡像文件目錄樹。

4 F2FS鏡像文件的刪除文件取證分析

刪除文件的數(shù)據(jù)取證主要是指獲取用戶近期刪除文件的元數(shù)據(jù)信息和文件內(nèi)容[4]。在F2FS鏡像文件目錄結(jié)構(gòu)解析的基礎(chǔ)上，進(jìn)一步提出一種F2FS鏡像文件刪除文件取證方法，該方法具體流程如圖4所示。

F2FS文件系統(tǒng)鏡像文件刪除文件取證方法的具體操作步驟為：

（1）讀取鏡像文件超級塊，通過根目錄文件時間戳的方法獲取有效的nat_entry表項；

（2）結(jié)合有效節(jié)點地址表獲取根目錄的.Trash子文件元數(shù)據(jù)信息；

（3）解析.Trash文件元數(shù)據(jù)信息塊及info和files子文件的元數(shù)據(jù)信息塊，獲取被刪除文件的元數(shù)據(jù)信息塊和原存儲路徑。

圖4 通用的F2FS鏡像文件刪除文件取證方法

5 系統(tǒng)實現(xiàn)與結(jié)果分析

5.1 鏡像文件目錄樹取證結(jié)果

運用F2FS鏡像文件目錄樹取證方法，分別構(gòu)建不同類型的F2FS鏡像文件目錄樹結(jié)構(gòu)，獲取各個文件的基本信息，包括文件名稱、大小、物理存儲地址等。

初態(tài)F2FS鏡像文件目錄解析結(jié)果如圖5所示，結(jié)果表明該初態(tài)F2FS文件系統(tǒng)有一個文件夾和兩個文件。每個文件的基本信息在取證結(jié)果報告一欄有詳細(xì)說明。

使用一段時間后的F2FS鏡像文件目錄解析結(jié)果如圖6所示，結(jié)果表明使用過后的F2FS包括myfolder、test、picture等多個文件夾、5個文本文件和13個圖片文件。每個文件的基本信息在取證結(jié)果報告一欄均有詳細(xì)說明。

大型F2FS文件系統(tǒng)鏡像文件目錄解析結(jié)果如圖7所示，結(jié)果表明大型F2FS包括300個文件夾，文件夾下存放多個文本文件。文件的基本信息在取證結(jié)果報告一欄有詳細(xì)說明。

圖5 初態(tài)F2FS鏡像目錄解析結(jié)果

圖6 使用一段時間后F2FS鏡像文件目錄解析結(jié)果

圖7 多文件大型F2FS鏡像文件目錄解析結(jié)果

不同Linux系統(tǒng)之間文本編譯器的差別，文本文檔的名稱上可能有亂碼現(xiàn)象。上述結(jié)果表明本文提出的F2FS鏡像文件目錄樹取證方法可以實現(xiàn)對不同類型F2FS鏡像文件構(gòu)建目錄樹，獲取各文件信息，驗證了該方法可行性。

5.2 鏡像文件刪除文件取證結(jié)果

刪除多個文件的F2FS鏡像文件近期用戶刪除文件取證結(jié)果如圖8所示，結(jié)果表明大型F2FS文件系統(tǒng)內(nèi)存在3個用戶近期刪除文件，被刪除文件的名稱和對應(yīng)的原存儲路徑信息、被刪除時間、文件大小、文件存儲地址等基本信息在取證結(jié)果報告一欄有詳細(xì)說明。

圖8 F2FS多文件刪除取證結(jié)果

上述結(jié)果圖表明本文提出的手機端F2FS鏡像文件數(shù)據(jù)取證方法可以準(zhǔn)確定位并獲取近期被刪除文件的元數(shù)據(jù)信息。

5.3 平均取證時間分析

如表3所示，本文提出的手機端通用F2FS鏡像文件取證方法通過定位有效文件夾以及.Trash文件夾快速解析獲取用戶當(dāng)前目錄結(jié)構(gòu)和近期刪除的所有文件數(shù)據(jù)信息。本文方法的平均取證時間約等于定位各個文件夾的時間之和，時間數(shù)量級控制在毫秒級別，且本文方法的平均算法時間只和當(dāng)前系統(tǒng)中文件的數(shù)量有關(guān)，不受文件系統(tǒng)自身大小的影響，因此本文方法解析鏡像文件的取證效率更高。尤其是在系統(tǒng)容量較大、初態(tài)文件系統(tǒng)以及已經(jīng)反復(fù)使用過一段時間的手機端F2FS文件系統(tǒng)中，該方法同目前廣泛使用的磁盤遍歷搜索法相比更高效。

表3 不同方法的平均取證時間

6 結(jié)束語

本文根據(jù)F2FS特有的讀寫訪問機制和手機圖形化界面的垃圾回收機制提出一種F2FS鏡像文件數(shù)據(jù)解析的通用取證方法。通過多組不同類型鏡像數(shù)據(jù)取證實驗表明，本文提出的F2FS鏡像取證方法可以有效解析F2FS鏡像文件目錄結(jié)構(gòu)，準(zhǔn)確快速實現(xiàn)刪除文件的取證操作，對F2FS取證具有重要的意義。