NTFS文件系统下基于多重时间信息解析文件操作行为

孙道宁 郭 睿 罗文华（中国刑事警察学院 辽宁 沈阳 110035）

NTFS文件系统下基于多重时间信息解析文件操作行为

孙道宁 郭 睿 罗文华
（中国刑事警察学院 辽宁 沈阳 110035）

利用NTFS文件系统下的常规时间属性及SMFT文件中的隐含时间属性，从电子数据取证视角审视文件操作所引发的时间信息系列变化，归纳总结取证调查规则，并结合实例说明所述规则的具体应用。

NTFS MFT常规时间属性 S10H属性 S30H属性

1 引言

在电子数据取证实践中，基于源文件与目标文件时间属性的对比从而推测文件可能经历过的操作，是一种较为常见的分析方法之一。早期此类问题研究主要侧重依靠常规时间属性，即通过文件属性可以查看得到的创建时间、修改时间、访问时间。然而，在Windows Vista及其后续版本默认情况下并不更新访问时间，这使得依据常规时间属性推测出的行为不再准确可靠。与此同时，取证技术人员又挖掘出了NTFS文件系统下元文件SMFT中隐藏于S10H属性（即标准属性）的MFT记录修改时间，总结归纳出该时间属性的变化规则，提升了行为推测的可信度。

随着数据混淆、数据隐藏等反取证技术的出现，依据传统时间属性已经无法推导出可能的文件操作。本文基于SMFT文件记录的深入分析，将存储于S30H属性（即文件名属性）的时间信息也归入调查视野，同时结合其他时间属性分析不同操作能够产生的影响，演绎推理出更为深入的全面调查取证规则，以期电子数据取证实践所用。

2 $MFT文件记录中的时间信息

SMFT英文全称为Master File Table，可译为主文件表，它是NTFS文件系统中最重要的文件[1]。NTFS分区中的所有文件都在SMFT对应有记录，记录中存储有文件名、文件大小、存储位置等信息，类似于FAT文件系统下的FAT+FDT功能。每条记录可以被解析为若干属性，如S10H属性（标准属性）、S 30H属性（文件名）、S40H属性（卷版本）、S80H属性（数据存放位置）和SB0H属性(位图)等。其中S 10H属性和S30H属性中含有时间信息。

2.1 $10H属性中的时间信息

创建时间、修改时间、访问时间等常规信息就存储于S10H属性中[2]。然而S10H属性中还隐藏着名为“Last MFT modification time”的时间属性（MFT记录修改时间），用于说明MFT记录的最近一次修改时间，如图1所示。实验证明，通常文件属性发生变化时，会引发MFT记录修改时间的变化。

2.2 $30H属性中的时间信息

图1 $10H属性包含的时间属性信息

MFT记录中除了S10H属性外，还使用S30H属性描述文件名信息。然而研究发现，S30H属性除了存放文件完整名称和缩略名外，也包含常规时间属性与MFT记录修改时间等时间信息，如图2所示。虽然此处的时间属性名称上与S10H属性中的完全一致，但内容却不随一般文件操作而变化，而只受文件创建或剪切行为的影响，可与S10H属性一道用于操作行为的综合分析。

图2 $30H属性中的时间信息

3 利用时间属性信息解析文件操作行为

为了方便讨论不同操作行为对文件产生的影响，将文件的创建时间记为C（Create）时间，访问时间记为A（Accesss）时间，修改时间记为M（Modifie）时间，MFT记录修改时间记为E（Entry）时间。

3.1 $10H属性中的时间信息变化规则

研究发现，当执行不同的操作行为时，S10H属性中C、M、A、E时间信息会表现出特征，如图3所示。

图3 $10H属性中时间信息随文件操作的变化规则

鉴于相关资料已对S10H属性中的时间属性变化做过较为详细的讨论，本节着重说明E时间的作用。E时间集中体现文件属性的变化。在M时间和C时间不同的情况下，同时文件为“隐藏”或“只读”属性时，那么Windows Vista及其后续版本中E时间极有可能就是特殊属性的设置时间；另外，在操作系统环境实时更新访问时间的情况下，若A时间在E时间之前，且A、E之间间隔极短，则该文件极有可能执行过“重命名”操作。

3.2 $30H属性中的时间信息变化规则

在S30H属性中，当文件被创建（或剪切）时，其4种时间都更新为创建时间；当文件被修改、访问、重命名时，4种时间保持不变；当文件被复制时，目标文件的4种时间变化为文件生成时间；当文件被删除时，文件的M时间和E时间发生变化，A时间和C时间不发生变化，如图4所示。

图4 $30H属性中时间信息随文件操作的变化规则

取证实践中，往往单纯依靠S10H属性的时间变化并不能准确解析出文件的操作行为[3]。例如，如果文件的S10H属性中的M时间、A时间和C时间都不变而文件的E时间发生变化，那么文件可能是被执行过重命名或是删除操作；此时如果仅靠S10H属性中的时间则无法准确判断具体行为，需要结合S30H属性中的时间信息进行综合分析[4]。文件重命名时S30H属性中的M时间和E时间都不变，而文件删除时S30H属性中的M时间和E时间会发生改变，由此可以判断文件是被重命名还是被删除。

4 电子数据取证实践

2015年3月16日，某市宏远机械厂的多个技术机密文件被人秘密复制盗取，通过侦查人员缜密调查，锁定并抓获了犯罪嫌疑人王某，在王某住处搜到黑色U盘一枚。U盘内有一文件夹，文件夹内有多个文档文件。通过比对文件内容，发现其与机械厂机密技术文件完全一致。但嫌疑人王某抵赖说文件是从网络上下载得到，自己并没有盗取那些机密文件。侦查人员由此特别针对文件复制行为进行鉴定。

文件复制行为鉴定的关键在于比对源文件与目标文件的相关时间属性。侦查人员首先对该机械厂的机密技术文件的时间属性进行了检验，其中“2月份技术厂品出售量.doc”源文件的S10H属性和S30H属性的时间信息，如图5和图6所示。

图5 “2月份技术厂品出售量.doc”源文件$10H属性时间信息

图6 “2月份技术厂品出售量.doc”源文件$30H属性时间信息

而犯罪嫌疑人王某U盘内检测到的“2月份技术厂品出售量.doc”文件的S10H属性和S30H属性时间信息，如图7和图8所示。

图7 U盘内“2月份技术厂品出售量.doc”文件$10H属性

图8 U盘内“2月份技术厂品出售量.doc”文件$30H属性

通过对比源文件与目标文件的时间属性，发现源文件的修改时间和U盘内文件的修改时间一致[5]，而U盘内文件的访问时间、创建时间和MFT时间均滞后于源文件的访问时间、创建时间和MFT修改时间，并且U盘内各个文件的创建时间相差不大，呈现出典型的文件复制行为特征。同时，结合该机械厂存储机密技术文件电脑中获取到的USB设备使用痕迹，形成了强有力的证据链条，证明了王某的犯罪行为。

5 结束语

在现有文献中研究多侧重为基于创建时间、访问时间和修改时间的取证调查规则等问题[6]。在前期研究的基础上，本文将隐藏于元文件SMFT中的记录修改时间和S30H属性时间问题归入电子数据取证研究的视野下，探究其在不同文件操作行为下的变化情况，形成相关的系列规则，以期为取证技术人员提供相关的智力支持。综合多时间信息在特殊属性设置、重命名、删除操作等行为的判定方面，能够发挥单一时间信息无法比拟的作用。

基于时间属性的文件操作行为分析是在证据链条完整性的基础上实施的。不仅如此，在对时间属性的文件进行操作行为分析时，取证人员还需结合实际情况参照对文件内容的分析或是其他证据予以佐证。与此同时，鉴于文件时间信息的易修改等特点，取证人员在对文件进行分析时应特别注重根据不同操作系统中时间问题处理方式的差异，选取正确的取证工具及方法，防止证据污染等情况的发生。

[1]Chow KP,Law FYW,Kwan MYK,etal.TheRules of Time in the NTFS File System [A].In:Systematic Approaches to Digital Forensic Engineering (SADFE)[C].OaklandCA:IEEEComputerSociety，2007:71-83.

[2]张俊,麦永浩.计算机取证中的时间调查[J].警察技术,2008(7):40-43.

[3]罗文华,等.NTFS文件系统下利用MFT记录修改时间分析文件(夹)操作行为[J].中国刑警学院学报,2012(4):24-26.

[4]郑志翔,罗文华.Linux环境下的时间调查取证[J].新疆警官高等专科学校学报,2009(4):39-41.

[5]罗文华,张谦.从破坏计算机信息系统案件看Winolows系统日志取证实践[J].中国刑警学院学报,2014(2):28-30．

[6]刘浩阳.数字时间取证技术原理与应用[J].信息网络安全,2010(3):47-49.

TP393

A

2095-7939(2016)01-0047-03

2015-09-10

孙道宁（1987-），女，河北邢台人，中国刑事警察学院网络犯罪侦查系讲师，主要从事网络犯罪侦查、电子数据取证。

于 萍）