罗文华

（中国刑警学院 辽宁 沈阳 110035）

NTFS文件系统下利用MFT记录修改时间分析文件（夹）操作行为

罗文华

（中国刑警学院 辽宁 沈阳 110035）

在计算机犯罪调查取证中，时间信息是最基本的数字证据之一。研究针对目前广泛使用的NTFS文件系统，重点分析存储在元文件$MFT中的记录修改时间，通过其在不同文件（夹）操作行为下的变化情况，归纳总结取证调查规则。

NTFS MFT 创建时间 修改时间 访问时间 记录修改时间

电子数据取证中关于时间的证据既重要又复杂。很多情况下，时间信息是整个调查取证工作的基础检查部分。时间调查取证工作涉及的规则、方法及工具会直接影响证据的质量，对形成证据链起着至关重要的作用。随着犯罪分子水平的提高以及反取证技术的发展，常规时间属性分析已无法满足取证调查的需要。鉴于此种情况，本文将隐藏于$MFT文件中的记录修改时间信息纳入调查范畴，研究不同操作行为对该属性的影响，并综合其他时间属性，归纳总结更为深入全面的调查取证规则。

1 NTFS文件系统中的时间属性

1.1 NTFS文件系统中的常规时间属性

NTFS文件系统以UTC（Universal Time Coordin ated，协调世界时）格式存储，其常规时间属性一般分为如下三种：创建时间、修改时间、访问时间。

（1）创建时间（Create time）：文件第一次被创建或者写到磁盘上的时间，如果文件复制于其他的地方，创建时间为复制的时间。

（2）修改时间（Modified time）：通常是指对文件做出任何形式的最后修改的时间，例如应用软件对文件内容作修改（打开文件，任何方式的编辑，然后写回磁盘）。一般情况下，如果文件复制于其他地方，修改时间不变。

（3）访问时间（Accessed time）：某种操作最后施加于文件或目录上的时间，这种操作包括：写入、复制、用查看器查看、应用程序打开或打印以及其他方式的运行。几乎所有对文件的操作都会更新这个时间（包括使用资源管理器查看文件目录，DOS中的DIR命令除外）。值得注意的是，在NTFS文件系统中，该时间属性并不是实时更新的。

相关文献多是基于以上三种时间属性讨论取证规则。需要指出的是，在NTFS文件系统中，当用户或者程序对某个文件执行只读操作时，系统会延缓磁盘上文件的最后访问时间，但会在内存中记录这个时间。只有当原始的最后访问时间和当前访问时间两者之间相差一小时，或者系统内存中对该文件的所有引用都消失时，才会更新磁盘上文件的最后访问时间，因此访问时间信息并不总是准确的。另外，当注册表HKLMSYSTEMCurrentControlSetControlFileSystem下的NtfsDisableLastAccessUpdata表键被设置为1时，会禁用资源管理器对最后访问时间标签进行的自动更新，查看、复制等操作不再会修改文件访问时间。并且，在Windows Vista及其后版本中该键值默认设置为1。基于以上分析可知，单纯依靠常规时间属性进行调查，并不能全面准确的解析文件操作行为，个别情况下甚至还会产生误导。因此，有必要深入挖掘存储于$MFT文件中的记录修改时间信息进行综合分析。

1.2 NTFS文件系统中的MFT记录修改时间

元文件$MFT（Master File Table，主文件表）是NTFS文件系统下最重要的一个文件，它记录着对应分区上所有文件和目录的文件名、安全属性、文件大小、存储位置等信息。$MFT由一系列文件记录（对应分区上的文件或文件夹）组成，每条记录由记录头和属性部分组成，一般大小为1KB或一个簇。每条记录由“46 49 4C 45”作为起始标志；标志之后紧接的两个字节表示固定头部大小，对于同一分区来说，每条记录的固定头部大小是一致的；而从偏移14H开始的两个字节则表示标准属性的开始地址，基于这个信息即可定位固定头部之后的属性列表，从中能够解析出具体文件属性信息。

标准属性偏移00H处开始的四个字节表示类型，即属性名；偏移04H开始的四个字节表示包含标准属性头部的总长度；从偏移10H开始的四个字节表示常驻属性值的长度L；而从偏移18H开始的L字节即为具体的属性内容，其结构如图1所示。

图1 标准属性中的常驻属性结构

从图1可以看出，常驻属性结构中除含有文件创建时间、修改时间及访问时间信息外，还存储有MFT记录修改时间（当文件属性发生变化时，一般均会引发该属性值的变化）。需要指出的是，$MFT文件中的时间属性是以64位Windows文件时间格式存储的，即基于1601年1月1日00:00:00，以100ns递增的UTC时间格式。图2所示为元文件$MFT中某特定文件的记录信息。记录头偏移14H处开始的两个字节为“00 38”（小字节序，下同），因此从偏移38H处即为标准属性具体信息；而依据标准属性偏移18H为具体属性信息的规则，可知距离记录头50H处（38H+18H）为属性内容的起始地址；再依据图1所示结构信息，可以解析出文件创建时间为“01 CD 76 97 82 C7 30 26”，修改时间为“01 CD 74 70 B2 A5 1F 5C”，MFT记录修改时间为“01 CD 76 DB 03 D9 AC C8”，访问时间为“01 CD 76 DB 03 56 8B 72”；利用数据解释器解析可知MFT记录修改时间为2012年8月10日9时32分09秒。

图2 $MFT中特定文件的时间属性

必须指出的是，NTFS文件系统以UTC为标准时间，因此若要获得本地时间，还需在解析时间基础上加上本地时区（以北京时间为例，该记录本地修改时间为2012年8月10日17时32分09秒）。

2 利用MFT记录修改时间分析文件（夹）操作行为

为描述方便，本节将创建时间记为C（Create）时间，修改时间记为M（Modifie）时间，访问时间记为A（Access） 时间，MFT记录修改时间记为E（Entry）时间。

2.1 利用MFT记录修改时间分析文件操作行为

研究发现，当执行不同的操作行为时，E时间与其它时间属性会表现出如下特征：

（1）当文件最初生成时，C、M、A、E等时间会被统一设置成文件产生的时间。

（2）当执行文件复制操作（含卷内复制和卷间复制两种情况）时，目标文件的E时间和M时间与源文件保持一致，而C时间和A时间被设置成复制操作时间；当执行移动操作（含卷内移动和卷间移动两种情况）时，E时间和A时间会被更新为移动操作时间，M时间和C时间则保持不变。

（3）当设置文件的“只读”或“隐藏”属性时，通常情况下A时间和E时间都会更新为文件操作时间；需要指出的是，由于Windows Vista及其后版本中NtfsDisableLastAccessUpdata键值默认设置为1，因此如果不对此键值作以修改的话，则只有E时间会发生变化。

（4）“重命名”操作时，A时间会更新成“重命名”操作的起始时间，而E时间则更新为“重命名”操作的结束时间。

（5）当通过修改文件内容以致文件大小发生变化时，由于负责处理文件的应用程序有所不同，文件时间属性变化情况也表现出较大的差异。因此，实践工作中如遇此类问题，还需针对特定应用程序开展更为细致深入的研究。

为帮助计算机取证调查人员对涉及时间问题案件的理解和分析，综合以上论述，归纳时间属性取证规则如下：

（1）如果某一文件的C、M、A、E时间一致，说明该文件既没有被修改也不是复制于其它磁盘，这意味着该文件是原始的，未被更改过。

（2）如果某文件的C时间与A时间相同，且晚于E时间和M时间，则表示该文件是从其它位置复制而来的。

（3）如果某文件E时间和A时间相同，且晚于M时间和C时间，则该文件是通过移动操作产生的。利用不发生改变的M时间和C时间，比对数据恢复出的相关文件对应时间属性，可达到定位原文件的目的。

（4）如果A时间和E时间相同，且与M时间和C时间不同，并且该文件被设置有“只读”或“隐藏”属性，则A时间或E时间即为特殊属性设置时间。

（5）如果A时间在前，E时间在后，并且A与E间隔极短，该文件则极有可能执行过“重命名”操作。

2.2 利用MFT记录修改时间分析文件夹操作行为

与文件不同，当通过右键查看文件夹属性时，其“常规”选项卡中只显示有“创建时间”（图3），并不包含“生成时间”与“修改时间”信息。但在其对应的$MFT文件记录中，依然保留有完整的M、A、C、E时间信息，因此同样可以利用时间信息解析操作行为。研究发现，当执行不同的文件夹操作时，文件夹及其子文件夹的时间属性会表现出如下特征：

图3 文件夹具有的“创建时间”属性

（1）采用“新建”操作生成文件夹时，该文件夹的C、M、A、E等时间会被统一设置为产生时间。

（2）当执行卷内文件夹复制操作时，目标文件夹的A、C、E时间会更新为复制操作起始时间，M时间与源文件夹一致；子文件夹的M和E时间会保持不变，A和C时间会更新为生成对应子文件夹的时间。执行卷间文件夹复制操作时，目标文件夹的C、M时间会设置为复制操作完成时间；而原文件的A时间则会变成复制操作的起始时间。

（3）当执行卷内文件夹移动操作时，在Windows XP和Windows2003系统环境下，A时间和E时间会更新为移动操作完成时间；在Windows Vista和Windows 7系统环境下，只有E时间被更新为操作完成时间。

（4）针对文件夹执行“重命名”操作时，该文件夹的E时间会被设置为文件名发生变化的时间，其他时间属性不变。而当设置文件夹的“只读”或“隐藏”属性时，文件夹的表现与文件一致，其A时间和E时间会更新为属性设置时间（未设置禁止自动更新情况下）。

（5）当在已有文件夹中生成或删除子文件或子文件夹时，父文件夹的M、A、E时间均更新为对应操作发生时间；当修改该文件夹中的子文件内容时，其A、E时间会被设置为更改操作发生时间。

综合以上分析，总结取证调查规则如下：

（1）如果某一文件夹的C、M、A、E时间一致，说明该文件夹是原始的，既没有被修改也不是复制于其它磁盘。

（2）如果某文件夹A、C、E时间相等，且晚于M时间，则该文件夹从其它位置复制而来。

（3）如果E晚于M和C时间，则该文件夹有可能从其它位置移动而来，或者是执行过“重命名”及特殊属性设置操作，操作执行时间即为E时间。

（4）如果某文件夹的A和E时间相同，并且与C时间不同，则该文件夹内发生有针对子文件夹或子文件的操作；结合子文件（夹）的时间属性分析，可进一步确定其具体操作行为。

3 结语

基于创建时间、修改时间和访问时间的时间取证调查规则，多篇文献已做过较为详尽的讨论。本文在此基础上将隐藏于元文件$MFT中的记录修改时间纳入调查范畴，归纳总结其在不同文件（夹）操作行为下的变化情况，并形成系列规则供读者实践时参考。该时间属性在特殊属性设置、重命名、文件夹操作等行为的判定方面，能够发挥创建时间、修改时间和访问时间无法比拟的作用。

需要指出的是，针对时间的调查取证，往往要形成一条完整的证据链才能证明事件的发生或者发展，必要时还需辅以文件内容或其他证据。另外，由于时间信息极易被修改，因此在实际操作时，要注意区分不同操作系统时间之间处理方式的差异，选取正确的工具与方法，以免造成证据的污染。

1.Jewan Bang，Byeongyeong Yoo，Sangjin Lee.Analysis of changes in file time attributes with file manipulation[J].Digital Investigation，2011，（4）

2.刘浩阳.数字时间取证技术原理与应用[J].信息网络安全，2010，（3）