![【介质取证】隐藏在日志文件里的行为痕迹]( "【介质取证】“隐藏”在日志文件里的行为痕迹")
传统介质取证过程中,办案人员通过分析文件系统能获取到与目标文件直接关联的时间要素常见有三种——创建时间、修改时间以及访问时间。
但对于案件侦办来说,仅靠这三类数据分析行为痕迹是远不够的。其实还有很多能够辅助案件线索挖掘的用户行为痕迹,比如删除、重命名等行为,在文件系统中都有被记录。
今天,航哥将以NTFS 文件系统为例,与大家分享那些被文件系统记录的“隐藏行为痕迹”,以及它们在实战中应用。
NTFS是Windows自XP版本以来,一直被默认首选使用的文件系统,也是介质取证实战中最常见的文件系统类型。
而作为一种日志型的文件系统,NTFS文件系统中除了一个$MFTMirr文件主要用于支撑日志功能的稳定运行以外,剩下还有两个主要的日志文件,分别是$LogFile和$UsnJrnl,它俩一起记录了文件系统对文件的所有操作记录(行为要素),包括创建、修改、访问、删除、重命名等等。
正如前面提到的,NTFS日志文件记录了文件系统对文件的所有操作。
从文件的数据增减,到文件的创建修改,包括文件重命名及最后删除操作动作,NTFS日志文件对「每一次」的操作行为都进行了记录(包含时间戳)。通过解析日志文件,能够更全面地还原一个文件的“生命历程”。
因其日志文件的属性,日志文件记录的是文件系统实际执行的操作,而不是用户操作的间接反映。这种真实性确保日志内容反映系统内部状态和活动的真实情况,其记录下的每一条信息都由系统操作执行,难以被篡改。这种“最真实”的特性,使得取证分析人员能够精准定位事件的时间和方式,并排除人为篡改的干扰。
无论是浏览器、回收站乃至注册表的记录都可以通过各种手段实现清除。作为文件系统最基础、最重要的组成部分,NTFS日志文件被保存在每个虚拟磁盘的$Extend文件夹中。这个文件夹在资源管理器中不可见,即便是输入路径,也无法访问,并且三方杀毒应用也不会对日志文件进行清理。
基于NTFS日志文件的基本特性,一些介质取证过程中很难直接分析的行为痕迹,通过解析日志文件,都能被体现。
通过关联日志时间戳与文件操作行为,可以追溯文件变化历史,为调查恶意篡改行为、调查特殊行为前后的文件操作历史等提供关键线索,还可以拓宽时间线分析新思路。
对于一些被刻意重命名的文件,往往其中就包含了关键的案件线索、或是犯罪证据事实。通过解析日志文件,可以帮助办案人员从海量文件中快速筛选出来可疑的重命名操作记录,并且发现在被重名命之前的所有文件信息记录。
许多犯罪分子在结束犯罪活动后,也会删除涉案文件来躲避侦查,比如一些恶意程序、文档、多媒体文件等等。通过解析NTFS日志文件,也能揭露这些删除行为痕迹。
平航介质取证分析软件CS6100近期也强化了针对NTFS日志文件中的“行为痕迹”挖掘能力,并通过可视化分析方式,自动化直观展示了文件系统中所有文件的历史操作行为。
在最近某裸聊案件线索侦查过程中,办案人员在犯罪分子电脑中发现录制受害人的视频文件,并且在其电脑分区中找到某视频录制应用。
通过分析该视频录制应用日志数据,确定犯罪分子曾经使用该应用生成过大量视频文件。为证实应用日志中的数据指向就是前面发现的受害人视频,技术人员对文件系统日志文件进行了进一步分析,最终确认,这些被重命名过的视频文件原名与应用日志一致,就是通过该视频录制应用录制生成的。
原文始发于微信公众号(平航科技):【介质取证】“隐藏”在日志文件里的行为痕迹
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
http://cn-sec.com/archives/3596005.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论