计算机安全取证之初识文件系统元数据记录

核心提示： 例如种植木马到系统的system32目录中，其文件FNTCHCHE.DAT的相关MAC times如下图所示，计算机安全取证之初识文件系统元数据记录(3)，创建时间为2008年4月8日，修改时间为2008年5月20日，以及在Window系统上利用timestomp工具修改MACtimes的

例如种植木马到系统的system32目录中，其文件FNTCHCHE.DAT的相关MAC times如下图所示，创建时间为2008年4月8日，修改时间为2008年5月20日。

图1

由于文件产生的时间比较接近当前的时间，容易被有经验的管理人员发现，因此需要用到Timestomp工具进行修改时间，Timestomp运行如下图所示，timestomp工具可以修改文件最后写的时间，最后访问的时间，创建的时间等功能。

图2

使用命令“timestomp targetfile.txt –m“ Monday 12/15/2005 8:00:00 PM””的操作，修改最后修改的时间信息。如下图所示：

图3

查看文件的修改时间属性，已被修改为2005年12月15日，如下图所示：

图4

再利用工具修改创建时间等操作，如下图所示：　　

图5

修改后的文件时间属性中的创建时间和修改时间，如下图所示：

图6

文件的创建时间和修改时间已被修改，则会造成加大取证分析的难度。

诚信网安的叶子在本篇文件中初步介绍了MACtimes的基本概念，以及在Window系统上利用timestomp工具修改MACtimes的属性。至于Linux系统及其它系统上对MACtimes属性的修改，则在以后的其它文章中进一步深入的分析介绍。