计算机安全取证之初识文件系统元数据记录
2008-09-10 13:24:08 来源:WEB开发网核心提示: 例如种植木马到系统的system32目录中,其文件FNTCHCHE.DAT的相关MAC times如下图所示,计算机安全取证之初识文件系统元数据记录(3),创建时间为2008年4月8日,修改时间为2008年5月20日,以及在Window系统上利用timestomp工具修改MACtimes的
例如种植木马到系统的system32目录中,其文件FNTCHCHE.DAT的相关MAC times如下图所示,创建时间为2008年4月8日,修改时间为2008年5月20日。
图1
由于文件产生的时间比较接近当前的时间,容易被有经验的管理人员发现,因此需要用到Timestomp工具进行修改时间,Timestomp运行如下图所示,timestomp工具可以修改文件最后写的时间,最后访问的时间,创建的时间等功能。
图2
使用命令“timestomp targetfile.txt –m“ Monday 12/15/2005 8:00:00 PM””的操作,修改最后修改的时间信息。如下图所示:
图3
查看文件的修改时间属性,已被修改为2005年12月15日,如下图所示:
图4
再利用工具修改创建时间等操作,如下图所示:
图5
修改后的文件时间属性中的创建时间和修改时间,如下图所示:
图6
文件的创建时间和修改时间已被修改,则会造成加大取证分析的难度。
诚信网安的叶子在本篇文件中初步介绍了MACtimes的基本概念,以及在Window系统上利用timestomp工具修改MACtimes的属性。至于Linux系统及其它系统上对MACtimes属性的修改,则在以后的其它文章中进一步深入的分析介绍。
[]
赞助商链接