中国人民大学学报(自然科学版)!Q!Q±釜!塑堕!:!兰Q!Q』!!翌型垡垦塾i翌!!!旦!!仑!!:!里竺垒!呈!墨!!!受堕型!i!!望!!!(曼尘!璺!!!坠曼!!!皇璺!!!墅!整笙垒!塑曼!里垒三NTFS文件系统文件存贮分析陶永红1,(1.浙江学院。浙江杭州何明23l0020)310053;2.浙江省厅高速公路交警总队,浙江杭州摘要NTFS文件系统是wIND0wSNT借鉴DOS的机制,采用的更为安全可靠的文件系统,目前在个人电脑中被广泛使用。分析NTFs文件系统对文件的管理机制,研究文件及其目录项在计算机操作过程中产生和变化规律,发现了应用程序在创建、修改或删除文件的过程中,会产生大量的残留目录项,这些残留目录项在很长一段时间里不会消失。分析这些残留目录项可掌握当事人对计算机及相关程序、文档的操作过程,是发现计算机中电子物证的重要方法。关键词计算机侦查;电子物证;数据存储;文件系统中图分类号TP316.86主分区(通常是c盘)和一个扩展分区。扩展分区再分成O引言多个逻辑盘(如D、E、F盘等)。windowsxP在格式化逻辑随着计算机软硬件的迅速发展,计算机取证技术也日新月异,取证与反取证的斗争也越来越突出。因此,研究计算机取证技术对打击犯罪、保护人民具有重要的意义。盘过程中就要选择文件系统,目前个人计算机上使用较多的是FAlr32和NTFs文件系统。NTFs文件系统是wIND0wsNT借鉴DOS的机制。而采用的更为安全可靠的文件系统。与FAT32文件格式相计算机在操作过程中会创建、修改、移动、删除许多文件,每个文件在磁盘中都有对应目录项,而每个目录项中包含文件名、扩展名、创建时间、修改时间、访问时间、文件首地址、文件长度等重要信息。许多文件在每次复制、修改、移动、删除等操作过程中都会产生新的目录项,同时旧目录项在一定时间内会残留在磁盘中。研究这些目录项变化规律能了解当事人对计算机及相关程序、文档的操作过程,是我们掌握证据的重要方法。本文使用常用工具软件对NTFs文件系统中这些残留目录项及数据进行分析,从而提出发现NTFs文件系统中的残留目录项和数据的方法。这对计算机比,NTFS文件格式有更多新的特点。是Windows2000、win.dowsXP、WindowsServer2003、Window8Senrer2008、WindowsVista和windows7的标准文件系统。在NTFS分区中,最开始的16个扇区是分区引导扇区,其中保存着分区引导代码,接着就是主文件表文件MFT(MasterFileTable)。MFT文件由许多MFT项组成,每一个文件对应MFT文件中的一个MFT项,每个MFT项大小固定为lK。NTFs文件系统将文件内容分为常驻属性和非常驻属性。小于lK的文件其目录项和数据都作为常驻属性保存在MFT项中。大于lK的文件或文件夹其目录项作为常驻属性保存在MFT项中,而数据作为非常驻属性保电子物证的发现与获取具有一定实际意义。1基本原理存在MFT文件外分配的一个运行区中,如果以后非常驻属性值又增加,那么将会再分配一个运行。M盯文件中前16个MFT项是操作系统使用的非常重要的元数据文件。这些元数据文件的名字都以“MYM”开始,所以是隐藏文件,在windw8xP中不能像普通文件一样显示。只能使用一些工具软件,如winHex才可以显示这些文件。其后的7个MFl’项系统保留作为以后升级使用。用户文件从第24个Mrr项开始使用。2分析方法以下是在WindowsxP操作系统中,使用winHex工具磁盘在存储数据之前首先要对磁盘进行分区,然后对分区进行格式化建立相应的文件系统,各分区经格式化操作后才能存贮数据。根据使用操作系统的不同,分区的类型也不同,常用的有D0s分区、Apple分区、BSD分区、sunSol撕8分区、GPT分区及其他特珠的移动介质分区。分区是由磁盘上的连续扇区组成的,window8下使用的是D0s分区。在一台微型计算机上安装操作系统时(如Window8xP),首先在物理磁盘上创建分区,同时在磁盘的第一个扇区产生主引导区,主引导区包含主引导程序和分区表。主引导区中的分区表最多能定义四个分区。把磁盘分为一个作者简介・58・陶永红(1963一),男,教研室主任,硕士,浙江省厅物证签定中心电子物证检测员。研究方向为数据恢复。万方数据自¥“Hq:NTFs£*t*i##P》*轵*n*NTF5i*§‰-pR件∞存£&#。目月#¥女#日mw日d2003&n¥¥F4。21tA#*查§i女”…1£ma咖一j*№十镕#*&(目RⅢ≮).#十【lIlll㈨mrIK,#&据柞∞*#A#%自{M阿m十(10。《),∞目Ii*∞d4gm。22mht^flK,#…lll&m目i目4女#女*一,月E#¥4&女*htH222222h1,^m*ⅢA1K自2K。月W,nHex||&**}4…Tm十(99《),R镕Ⅲ1Ⅲ十Ei∞自№自E&Ⅸ#*镕*#}#月n#☆27《n4”Ⅸ,直口目2Md{.=群阳二兰戛蕊:=~惹~怒~Il惹~¨qhH匾:矗芦雠嚣器”嚣j淄:一r弑击嗍…洲^i…H-‘妄遥篓纛瓣黧褰鬻纛一…,:・嚣鬻嚣磐嚣§+§势::矗i嚣£:器盎5;麟器!:;目2^flK∞女#t**存§t行g2筝:篓i瓶瑟孺豁;稿鬻§藩c!鳖,虑#r揣嚣嚣tZ?;臻,峄_一~茹赢2^件∞W脒№常女*W镕目☆自“Bi#i什&^目№站。《#*)∞镕目&目地“&有目除.Mf日∞B&目M丌Ⅲ(目*等月#)镕#4Ⅲ女*女gT.#女#g&自&§.Ⅻ目4*i。镕#☆#Wf散镕傀复#分斩。23放^目收站时Z件*&#真Ⅲ■除,m《≈i件wR∞Ⅲ1《Ⅻ目目&*gf,#女m±*#*&(MrrⅢ)自###i#∞#目目#《&%目tⅢ#m(】oo#).mgi件g有M女n.Ⅻ目3Mi,同#镕iⅫ&#目,目关z件白勺*#月t(M盯#怍《%#女#*m啪¨f333333hl、4d4㈨1口十女*十∞=十i##±bhbbbbl】】11lhI、22222“l、《)"###m&(#☆)∞Ⅸ目8Ⅲ#n,H&做rM镕#t。Z件女目.井&有产§*∞M叮项(目*Ⅷ№敷☆).RB≈##动=十i#∞M盯Ⅲ(目i自m据)直#Ⅻ日*i*Ⅻ镕A“#i*Ht#直*dR({#^日№镕.Ⅻ&女.在Mz件女十&自目fⅢ《,“目5日i。提i☆F^∞2i#}%十移自女*目.#目标Z件夹T创建*日#《,月日iⅧ残自在ⅢZ#*十。-59・sHI阿镕捌镕女件),Ⅻ女#∞M门Ⅷ(日i等A%)f■☆Ⅻ目目&#丑勺ⅡⅨ,常#月性{M町m)ⅫjE常#月B(m万方数据万方数据目}nHq:NTFs£*&#i#}t9*菘三三三寻泓=五孽=;;三每粤二丁面=面躞…∞…∞B…■∞一E……w“…~Ⅱ,¨m,…*'’…’‘‘_m………‘”"“㈨¨pt…j0十R*j^E’tcL_嚣^t■…,…,。盏嚣嚣}薯_:_,,__:_:j’;辩;赢一。越一t盎。0lh£.1L3nl“jl£目3女*m^目#蛄后的目AⅢ&#据……-::辑::=嚣tm.z粤燃~譬m譬z塞%oj~p。.一】蓦一=謦量罄一目4I《■%,』、女#∞目}ⅢⅡ&*(##■#=嚣二黼嚣…-u:嚣:=一*避粼!=_。。喑_:m{0%g:篡懋0如博喵¨日u×嶂,。¨喵p。I☆i玉¨冀;.;hd0晡帆i,.d‘mf纂龇目s女##自目m&t&#目T《《自*“Hm&镕Emq:NTFsi*}%t###十*67248*4。目目g自∞i”女目g%自Ⅱ女”m&目*NTFsi#i#十《&镕式m*镕;m132女#i坑。p∞镕Rm#MT目。镕Z*■Mrri**目☆《n*&R,∞目9目“。☆&自*白勺&*《§∞*&F,A“Jm#日m#%镕*女自%%H*。☆*镕女#自m≈##m*E*建T一十…1女*+Ⅻ目i薪一二“E淼i孺i磊i一懑焉黯秽il孽■…臆㈧鬻黼幽蒙帮”嚣::::嚣:嚣:臻尝::::::船::黜:P73:=:=”f}……o#n1±J∞—J…一R*-,m。'∞f姥~口…E●…1…}●…-mr…~…“…~…“…一…””m。‘兽:::器赫ii猫i,勘,;X.?xt-●”^t蓬||i|爱;|”:嚣器.一:::::::=:。■一._::::::wt二1器q≤:∑..。漱“嘲,,笺篓篓一..}喇髓脚0茹::怒_=::=::=:::_:=:::::=::=:_=_::::一一’1:::::_口‘格t化*的M肝秀;:===—舅r黧赢懑氯蠡需磊熏垂芦ji篓…~:毒ij燕i瑟i篡瑟麓i!帅,i薹iii描:…J。。嚣豢:::嚣::篇::;:::::器∞。。,一日■■■■■■■●■■■■■■■■■■■■■■●■■●■■■口●目●■■■-4…∞……”…1……一…1…i—~!酷…日Ⅲ………7…ul【:”H15二J—i—一4船::臻端::;船船㈦;:::嚣::i:…麓瓣辫撼鞘群i潲嫩苗’…*’}4…4*…0●…●*…‘‘¨H1¨…篓≯?目黛冒嚣|i|i|燃㈣瓣置j:舞?:;j*∞Mnin—i;耋≯而百;i而:;::::g::’.i’’.i”高%德=::::::::::::::::.:::_。x.l;;;;;iiii,:t:。i…一…∞∞l…∞∞∞“∞∞∞…O㈨目7格t*目#《镕tdt*的MfT25ivJwoH日目∞日#Ⅲwo“i}妊理8E使月nⅨ中☆☆x#m存&%自自自*£id位£F±女t∞%目z#lmP§*女*wbk、自自*复女件nd.a8i#"日T∞日iⅢZi女wodi件啬勺##d8,∞目10Mi。分*目*M盯坝中H目信息Ⅲ“掌女Ⅲ砍womiH∞*柞n《。使月敷*慨£##*£n§%日i*、备份2件自动恢复i件Ⅲ*¥#j事^f目时自wod女档十∞内存。…‘女件删除时常#Ht自#*E月#*{☆真《目%,R≈№±“女标*《#R目&Ⅲ№“,E梭*敢据{i∞a§女件慨£目日∞宰&#≈。女件捌☆放^目《"目M阿《十∞女#g☆日壹*(*i目%#目m#)。&m&月散镕*复#**£#件Ⅻ目i项H*目*&t镕i#g∞女m,u自m%;6l万方数据万方数据目mn日¨:NTFsi*}ni*4t十*:?—“。箍嚣::::::::::::::::器量■:盛?糍茹::::::::::::::::t::::__|。.}————一…———J≠——一———,————,—,■目¨Ⅱ…●…2……………*¥=—麓铡燮篓l臻㈣露..:?芝目0格式me■M盯圈在覃地t#&育镕■9》…“・1E】翔巍嗍。尝盘主乒|=『J嚣㈣獭i誊—意搿;~,.。。}微I.‘‘H翟一。。搿:i,。讲;J,,。___:=_?淑㈧基。’川。‘—————、√■,*t*5■ti目^i#自*■i#*★*t瞻筹=i辫i:麓墩i巍墩鞑瓣i黧”lI警九量黼;戮燃i琴鎏&∞"‰‘1一l^∞女B&拳,翟‰一掣?一==_=;z,;I繁蕊}|::::‘1’:≯_靠岫!::耋;._..i:,譬;÷釜÷i27F■■!?!置=lx¨.舯L叠_tn‘L““々一譬嚣嚣嚣黝叠飘。z一曹嫠:矗?=:i目towordF±∞#Hi#辞陶永红何明:NTFS文件系统文件存贮分析按shift直接删除或大于回收站的文件没有放人回站的过程,其MFT项中的目录属性依然保留在原文件夹名下,只是做删除标记,文件名也不会改变。当小于lK的文件修改后常驻属性(数据部分)变大而成为非常驻属性时,原存在于MFT中的常驻属性(数据部分)仍存在。同样小于lK的文件修改后常驻属性(数据部分)变得更小时,常驻属性的后半部分还残留有原常驻属性(被删数据部分)。当大于1K的文件修改成小于lK的文件后,非常驻属性(数据)仍存于原地址,其被删部分数据在被新的数据覆盖前依然保留在原地址。NTFs文件系统在创建新文件时,是从MFT文件第24个MFT项开始寻找可用MFT项(包括已删除的MFT项),因此在Mrr文件中靠近起始端的MFT项被更新的机率比较大,靠近尾部的已删除MFT项可能会较长时间地存在。而FAT32文件系统中的目录项是从已有的最后一个目录项开始往后寻找未曾使用的目录项,直至该簇用完再重启位置寻找可用目录项。文件被移动时其对应的MFT项地址并没有改变,只是把该MFT项划归新的文件夹。而在FAT32文件系统中文件的移动将产生新的目录项,原目录项做删除标记后残留在原地址。磁盘格式化时,NTFs文件系统在新的地址产生新的万方数据MFrr文件,原MFT主文件依然保留在原地址。而FAT32文件系统在格式化后清空了根目录和文件分配表,因此NTFs文件系统更有利于数据恢复。word文字处理器具有自动保存和备份文档功能,因此在使用过程中其文档“保存位置”和“自动恢复文档位置”会产生大量的临时文件、备份文件、自动恢复文件。我们分析这些文件的MFT项中的时间属性可以获取文档的操作过程,恢复这些文件可以获取各时期文字处理的相关内容。在分析和恢复过程中要注意文件类型(自动生成的各类文件)和文件名的变化(放入回收站引起的变化)。总之,正确理解和掌握计算机操作过程中各类文件属性的变化规律可以掌握当事人操作计算机的情况,从而为各类案件侦查工作提供直接和间接的线索和证据。参考文献[1]戴士剑.数据恢复技术[M].北京:电子工业出版社,2005.[2]马林.数据重现[M].北京:清华大学出版社,2009.[3]乔珊,尼春雨.数据恢复完全实战演练[M].北京:清华大学出版社,2007.I责任编辑陈晓明)・63・
