文件系统取证分析(第12章:NTFS分析)

/*

Skogkatt 开始翻译于2015-02-01,仅作为学习研究之用,谢绝转载。

先把这一章的坑挖好。

译注:我翻译这本书的这三章虽然蓄谋已久,但并不是一个计划好的工作。因为之前和vczh、mili、darkfall曾讨论过everything这个软件,也曾想过要写一个开源的everything,于是就出来一个坑。everything这个软件其实是从底层直接parse了NTFS MFT,然后parse类每一个FILE entry,从里面拆出来了每一个文件的信息,这个操作速度远快于Win32 FindFirstFile和FindNextFile。道理虽然简单,但是实现起来代码不会很少。

又,我从2013年起因工作原因开始研究和分析NTFS文件系统,并且看过数遍《File System Forensic Analysis》这本书的NTFS三章。这三章的信息已经略显过时并且存在一些技术细节谬误,翻译出来仅仅是给英语不好的朋友们做为拓展知识所用。如果想认真研究NTFS实现细节,建议看看泄露的Windows源代码、开源的NTFS3g库并使用磁盘编辑工具实际看看磁盘的布局。

另外,NTFS3g目前公开的代码坑很多,在高负荷压力测试中会出现严重的数据丢失损坏甚至文件系统挂掉,,不建议作为一个严谨的NTFS实现来使用。

*/

这是有关NTFS的第二章,我们现在将要开始讨论分析技术和注意事项,我们将会使用第8章“文件系统分析”中使用的五分类模型。NTFS与其他文件系统非常不同,因此我们在深入这些材料之前,在上一章我们覆盖了NTFS的核心概念。如果你对NTFS并不熟悉并且跳过了第11章,我建议你在开始阅读本章之前返回先阅读第11章。第13章“NTFS数据结构”覆盖了NTFS的数据结构。本书的大部分被组织为你可以并行的阅读文件系统分析和数据结构章节。但是这对于NTFS来说是非常困难的,因为一切都是文件,很难在查阅元数据分类的属性之前看有关文件系统分类的文件系统元数据部分。也就是说,在开始阅读第13章之前阅读本章会令你有较少的困惑。

文件系统分类

内容分类

元数据分类

文件名分类

应用程序分类

全景

其他话题

总结

NTFS中有非常多的数据结构和指针,这令手工分析异常困难。在本章中,我们分析了常见的已知数据结构。必须再次强调这并不是官方的规范,但它们已被证明是可靠的。可以肯定还有尚未被发现的值或者标志选项,

参考资料

略,请看原著。

郑重声明:本站内容如果来自互联网及其他传播媒体,其版权均属原媒体及文章作者所有。转载目的在于传递更多信息及用于网络分享,并不代表本站赞同其观点和对其真实性负责,也不构成任何其他建议。