陶永红, 何 明

(1.浙江警察学院,浙江杭州 310053;2.浙江省公安厅高速公路交警总队,浙江杭州 310020)

0 引言

随着计算机软硬件的迅速发展,计算机取证技术也日新月异,取证与反取证的斗争也越来越突出。因此,研究计算机取证技术对打击犯罪、保护人民具有重要的意义。

计算机在操作过程中会创建、修改、移动、删除许多文件,每个文件在磁盘中都有对应目录项,而每个目录项中包含文件名、扩展名、创建时间、修改时间、访问时间、文件首地址、文件长度等重要信息。许多文件在每次复制、修改、移动、删除等操作过程中都会产生新的目录项,同时旧目录项在一定时间内会残留在磁盘中。研究这些目录项变化规律能了解当事人对计算机及相关程序、文档的操作过程,是我们掌握证据的重要方法。本文使用常用工具软件对 NTFS文件系统中这些残留目录项及数据进行分析,从而提出发现NTFS文件系统中的残留目录项和数据的方法。这对计算机电子物证的发现与获取具有一定实际意义。

1 基本原理

磁盘在存储数据之前首先要对磁盘进行分区,然后对分区进行格式化建立相应的文件系统,各分区经格式化操作后才能存贮数据。根据使用操作系统的不同,分区的类型也不同,常用的有 DOS分区、Apple分区、BSD分区、Sun Solaris分区、GPT分区及其他特珠的移动介质分区。分区是由磁盘上的连续扇区组成的,Windows下使用的是DOS分区。

在一台微型计算机上安装操作系统时(如 Windows XP),首先在物理磁盘上创建分区,同时在磁盘的第一个扇区产生主引导区,主引导区包含主引导程序和分区表。主引导区中的分区表最多能定义四个分区,把磁盘分为一个主分区(通常是 C盘)和一个扩展分区。扩展分区再分成多个逻辑盘(如 D、E、F盘等)。Windows XP在格式化逻辑盘过程中就要选择文件系统,目前个人计算机上使用较多的是 FAT32和 NTFS文件系统。

NTFS文件系统是 WINDOWS NT借鉴 DOS的机制,而采用的更为安全可靠的文件系统。与 FAT32文件格式相比,NTFS文件格式有更多新的特点。是 Windows 2000、Windows XP、Windows Server 2003、Windows Server 2008、Windows Vista和W indows 7的标准文件系统。

在NTFS分区中,最开始的 16个扇区是分区引导扇区,其中保存着分区引导代码,接着就是主文件表文件MFT(M aster File Tab le),MFT文件由许多 MFT项组成,每一个文件对应MFT文件中的一个 MFT项,每个 MFT项大小固定为 1K。NTFS文件系统将文件内容分为常驻属性和非常驻属性。小于 1K的文件其目录项和数据都作为常驻属性保存在MFT项中。大于 1K的文件或文件夹其目录项作为常驻属性保存在 MFT项中,而数据作为非常驻属性保存在MFT文件外分配的一个运行区中,如果以后非常驻属性值又增加,那么将会再分配一个运行。

MFT文件中前 16个MFT项是操作系统使用的非常重要的元数据文件。这些元数据文件的名字都以“MYM”开始,所以是隐藏文件,在Windows XP中不能像普通文件一样显示。只能使用一些工具软件,如 WinHex才可以显示这些文件。其后的 7个MFT项系统保留作为以后升级使用。用户文件从第24个MFT项开始使用。

2 分析方法

以下是在 Windows XP操作系统中,使用 WinHex工具软件,分析NTFS文件系统中文件的存贮规律。所用样本文件均由 Word2003及记事本产生。

2.1 文件的创建

在根目录创建文件夹 aaaaaa,用记事本生成文件111111.txt和 222222.txt,大小分别为 1K和 2K。用 WinHex工具软件查看主文件 MFT发现 aaaaaa文件夹中常驻属性(目录项等),其中 111111.txt小于 1K,其数据作为常驻属性驻留在 MFT项中(100簇),如图1所示。 22222.txt大于 1K,其数据并不在 MFT项中(99簇),根据MFT项中记录的首地址发现数据作为非常驻属性存在 27簇的运行区,如图2所示。

图1 文件对应MFT项(常驻属性)

图2 大于 1K的文件数据保存在运行区

2.2 文件的删除

通常文件删除时会确认是否将文件放入回收站。选择放入回收站时文件并没有真正删除,而是把文件对应的MFT项划归回收站名下,其实质上常驻属性(MFT项)和非常驻属性还是保留在原地址(100簇),但是文件名有所变化,如图3所示。同样,清空回收站后,相关文件的常驻属性(MFT项)和非常驻属性(数据)仍保留在原地址,只是做了删除标记。

如果在删除文件时选择直接删除(不放入回收站,如按SHIFT键删除文件),则文件的 MFT项(目录等属性)不再有划归回收站的过程,常驻属性(MFT项)和非常驻属性(数据)仍保留在原地址没有删除,所不同的是残留 MFT项(目录等属性)依然在原文件夹名下,其文件名没有改变,如图4所示。这非常有利于数据恢复和分析。

2.3 文件的移动

操作系统将文件夹 aaaaaa下 111111.txt、22222.txt、333333.txt、444444.txt四个文件中的二个文件移至 bbbbbb文件夹时,并没有产生新的MFT项(目录项和数据),只是把被移动二个文件的 MFT项(目录和数据)直接划归新文件夹,在原文件夹中没有留下痕迹,如图5所示。提示:在FAT32文件系统中移动文件时,在目标文件夹下创建新目录项,原目录项残留在原文件夹中。

图3 文件放入回收站后的目录项及数据

图4 直接删除小文件的目录项及数据(常驻属性)

图5 文件移动后原位置没有留下痕迹

2.4 磁盘格式化

NTFS文件系统中,磁盘格式化操作与 FAT32文件系统中的格式化有所不同。格式化后MFT文件保留在原处并没有清除或移动,而是在其他位置新建了一个 MFT文件,如图6、7、8所示。同时原有的文件夹、目录结构及文件也没有清除,如图9所示。在没有新的数据覆盖的前提下,我们很容易进行数据恢复和数据分析。

图6 格式化前的M FT

图7 格试化后在新地址创建新的MFT

2.5 Word残留的目录项

Word文字处理器在使用过程中会在文件保存位置和自动恢复文档位置产生大量的临时文件 tmp、备份文件 wbk、自动恢复文件 asd,这些文件所留下的目录项记录着Word文件的操作过程,如图10所示。分析相关 MFT项中时间信息可以掌握历次 word文档的操作过程。使用数据恢复软件恢复这些临时文件、备份文件、自动恢复文件更能掌握当事人不同时期 Word文档中的内容。

3 结论

文件删除时常驻属性和非常驻属性都不会真正删除,只是做上删除标记依然保留在原地址,在被新数据覆盖前这些文件恢复的成功率比较高。

文件删除放入回收站时 MFT项中的文件名会有变化(清空回收站时也一样)。我们在用数据恢复软件、恢复文件和目录项分析时要注意这一文件名的变化,以免遗漏。

图8 格式化后原MFT留在原地址并没有清除

图9 格式化后剩余空间原文件相关数据并没有清除

图10 W ord产生的临时文件等

按 Shift直接删除或大于回收站的文件没有放入回站的过程,其MFT项中的目录属性依然保留在原文件夹名下,只是做删除标记,文件名也不会改变。

当小于 1K的文件修改后常驻属性(数据部分)变大而成为非常驻属性时,原存在于 MFT中的常驻属性(数据部分)仍存在。同样小于 1K的文件修改后常驻属性(数据部分)变得更小时,常驻属性的后半部分还残留有原常驻属性(被删数据部分)。

当大于 1K的文件修改成小于 1K的文件后,非常驻属性(数据)仍存于原地址,其被删部分数据在被新的数据覆盖前依然保留在原地址。

NTFS文件系统在创建新文件时,是从MFT文件第24个MFT项开始寻找可用 MFT项(包括已删除的MFT项),因此在 MFT文件中靠近起始端的MFT项被更新的机率比较大,靠近尾部的已删除 MFT项可能会较长时间地存在。而FAT32文件系统中的目录项是从已有的最后一个目录项开始往后寻找未曾使用的目录项,直至该簇用完再重启位置寻找可用目录项。

文件被移动时其对应的MFT项地址并没有改变,只是把该MFT项划归新的文件夹。而在FAT32文件系统中文件的移动将产生新的目录项,原目录项做删除标记后残留在原地址。

磁盘格式化时,NTFS文件系统在新的地址产生新的MFT文件,原MFT主文件依然保留在原地址。而 FAT32文件系统在格式化后清空了根目录和文件分配表,因此NTFS文件系统更有利于数据恢复。

Word文字处理器具有自动保存和备份文档功能,因此在使用过程中其文档“保存位置”和“自动恢复文档位置”会产生大量的临时文件、备份文件、自动恢复文件。我们分析这些文件的 MFT项中的时间属性可以获取文档的操作过程,恢复这些文件可以获取各时期文字处理的相关内容。在分析和恢复过程中要注意文件类型(自动生成的各类文件)和文件名的变化(放入回收站引起的变化)。

总之,正确理解和掌握计算机操作过程中各类文件属性的变化规律可以掌握当事人操作计算机的情况,从而为各类案件侦查工作提供直接和间接的线索和证据。

[1] 戴士剑.数据恢复技术[M].北京:电子工业出版社,2005.

[2] 马林.数据重现[M].北京:清华大学出版社,2009.

[3] 乔珊,尼春雨.数据恢复完全实战演练[M].北京:清华大学出版社,2007.