WEB开发网
开发学院网络安全安全技术 计算机安全取证之初识文件系统元数据记录 阅读

计算机安全取证之初识文件系统元数据记录

 2008-09-10 13:24:08 来源:WEB开发网   
核心提示: 例如种植木马到系统的system32目录中,其文件FNTCHCHE.DAT的相关MAC times如下图所示,计算机安全取证之初识文件系统元数据记录(3),创建时间为2008年4月8日,修改时间为2008年5月20日,以及在Window系统上利用timestomp工具修改MACtimes的

例如种植木马到系统的system32目录中,其文件FNTCHCHE.DAT的相关MAC times如下图所示,创建时间为2008年4月8日,修改时间为2008年5月20日。

计算机安全取证之初识文件系统元数据记录

图1

由于文件产生的时间比较接近当前的时间,容易被有经验的管理人员发现,因此需要用到Timestomp工具进行修改时间,Timestomp运行如下图所示,timestomp工具可以修改文件最后写的时间,最后访问的时间,创建的时间等功能。

计算机安全取证之初识文件系统元数据记录

图2

使用命令“timestomp targetfile.txt –m“ Monday 12/15/2005 8:00:00 PM””的操作,修改最后修改的时间信息。如下图所示:

计算机安全取证之初识文件系统元数据记录

图3

查看文件的修改时间属性,已被修改为2005年12月15日,如下图所示:

计算机安全取证之初识文件系统元数据记录

图4

再利用工具修改创建时间等操作,如下图所示:  

计算机安全取证之初识文件系统元数据记录

图5

修改后的文件时间属性中的创建时间和修改时间,如下图所示:

计算机安全取证之初识文件系统元数据记录

图6

文件的创建时间和修改时间已被修改,则会造成加大取证分析的难度。

诚信网安的叶子在本篇文件中初步介绍了MACtimes的基本概念,以及在Window系统上利用timestomp工具修改MACtimes的属性。至于Linux系统及其它系统上对MACtimes属性的修改,则在以后的其它文章中进一步深入的分析介绍。

上一页  1 2 3 

Tags:计算机 安全 取证

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接