WEB开发网
开发学院网络安全安全技术 计算机安全取证之初识文件系统元数据记录 阅读

计算机安全取证之初识文件系统元数据记录

 2008-09-10 13:24:08 来源:WEB开发网   
核心提示:近几年计算机网络的高速发展,各个行业的业务都依懒于计算机的应用,计算机安全取证之初识文件系统元数据记录,从而导致各个行业涉及计算机、局域网、互联网的高科技犯罪、商业欺诈、白领犯罪等行为越来越多,因此有越来越多的咨询顾问公司、商业调查机构、会计师行、私人调查公司开始从事计算机取证服务,Windows文件系统有4个时间属性

近几年计算机网络的高速发展,各个行业的业务都依懒于计算机的应用。从而导致各个行业涉及计算机、局域网、互联网的高科技犯罪、商业欺诈、白领犯罪等行为越来越多,因此有越来越多的咨询顾问公司、商业调查机构、会计师行、私人调查公司开始从事计算机取证服务。在国际上,军队、警察、海关、反贪、金融、税务、律师、保险等部门是电子证据的主要应用部门。计算机取证的应用已经成为一门专用的学科了。

计算机取证与真实生活中的侦探工作很相似――当一个人被杀后,侦探会开始一系列的调查工作:首先,保护和隔离犯罪现场;然后,拍照并作记录;最后,开始调查并收集和整理所有能发现的证据。计算机取证分析的主要目的是尽可能真实地恢复出过去发生的事情。在取证过程中,案发的时间信息是非常关键的,可以在做出最后判断之前将各种可能得到的信息关联起来。在本篇文章中,叶子浅析计算机取证中的MACtimes概念及其罪犯可能利用相关的工具进行修改MACtimes信息的例子。

什么是MACtimes?MACtimes是文件系统元数据记录,记录文件的最后创建、修改、访问的时间,分别称为“create time(ctime)”、“Modify time(mtime)”、“access time(atime)”。

在MACtimes中的 Mtime指最后修改的时间; Atime指最后访问的时间; Ctime指最后状态改变的时间。MACtimes是数据侦察工具中最有价值的取证工具,利用它可以完成许多功能:研究网络或计算机被侵入的过程,理解系统的行为,提供保护系统的建议,跟踪用户的行为等。因此在案件发生后,对计算机进行相关的取证,除了及时收及一些易丢失的证据外,还可以利用MACtimes从运行着的系统中获取信息,也可以从硬盘中获取(通过mount挂上该硬盘)。读取数据的机器不需要和产生MACtimes数据的机器拥有相同的操作系统。Windows文件系统有4个时间属性:changetime、creationtime、lastaccesstime、lastwritetime,Linux还有dtime属性(删除文件的时间属性,仅存在Linux系统中)。

1 2 3  下一页

Tags:计算机 安全 取证

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接