返回
windows平台下监控取证技术

windows平台下监控取证技术

ID:27916988

大小:1.08 MB

页数:27页

时间:2018-12-07

windows平台下监控取证技术_第1页
windows平台下监控取证技术_第2页
windows平台下监控取证技术_第3页
windows平台下监控取证技术_第4页
windows平台下监控取证技术_第5页
资源描述:

《windows平台下监控取证技术》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、-Windows平台下的监控取证技术作者:泉哥主页:http://riusksk.blogbus.com前言监控取证技术大多被国家政府公安部门采用的技术,主要用于针对计算机犯罪而进行取证,以此确保人民信息安全。当然对于我们一般的平民,掌握一定的取证技术也可以很好采取反监控技术,以防止我们的个人隐私泄露,造成不必要的损失。但监控取证技术的范围很广,本专题主要针对windows平台下的监控取证技术进行简要分析,希望大家能有所得。一.NTFS属性NTFS(NewTechnologyFileSystem)是WindowsNT操作环境和WindowsNT高级服务器网络操作系统环

2、境的文件系统.NTFS的目标是提供:可靠性,通过可恢复能力(事件跟踪)和热定位的容错特征实现;增加功能性的一个平台;对POSIX需求的支持;消除FAT和HPFS文件系统中的限制。NTFS提供长文件名、数据保护和恢复,并通过目录和文件许可实现安全性。NTFS支持大硬盘和在多个硬盘上存储文件(称为跨越分区)。例如,一个大公司的数据库可能大得必须跨越不同的硬盘。NTFS提供内置安全性特征,它控制文件的隶属关系和访问。从DOS或其他操作系统上不能直接访问NTFS分区上的文件。如果要在DOS下读写NTFS分区文件的话可以借助第三方软件;现如今,Linux系统上已可以使用NTFS

3、-3G进行对NTFS分区的完美读写,不必担心数据丢失。这是WindowsNT安全性系统的一部分,但是,只有在使用NTFS时才是这样。说白了,NTFS就是一种文件系统,而非文件格式,FAT16,FAT32均是如此。你查看一下磁盘的属性就可查看是何种文件系统了,如图1:.---               图1在NTFS文件系统中,文件亦是按簇进行分配的,文件通过主文件表MFT(MasterFileTable)来确定其在磁盘上的存储位置、大小、属性等信息。每个文件都有一个文件记录(FileRecord)数据结构,其中第一个记录就是MFT自己本身。MFT结构如图2,3所示:

4、                                              图2.---                                      图3关于MFT更详细的资料可参考《NTFS中的$MFT详解》一文:http://hi.baidu.com/sc_wolf/blog/item/e3f6d35cb063b345faf2c05b.html下面是FILE Record的结构:Offset Size  Description   0x00 4   Magic number 'FILE'  //标志,一定是“FILE” 0x04 2 

5、  Offset to the update sequence  //更新序列US的偏移 0x06 2   Size in words of Update Sequence Number & Array (S)  //更新序列号USN的大小与数组,包括第一个字节 0x08 8   $LogFile Sequence Number (LSN) // 日志文件序列号LSN 0x10 2   Sequence number  //序列号(SN) 0x12 2   Hard link count  //硬连接数 0x14 2   Offset to Update Sequen

6、ce Array // 第一个属性的偏移地址 0x16 2   Flags  //标志,1表示记录正在使用,2表示该记录为目录 0x18 4   Real size of the FILE record  //记录头和属性的总长度,即文件记录的实际长度 0x1C 4   Allocated size of the FILE record  //总共分配给记录的长度 0x20 8   File reference to the base FILE record  //基本文件记录中的文件索引号 0x28 2   Next Attribute Id  //下一属性ID 0

7、x2A 2   Align to 4 byte boundary  .---//XP中使用,边界 0x2C 4   Number of this MFT Record  //XP中使用,本文件记录号           2   Update Sequence Number (a)  //更新序列号,大小为2B,是为了保证该扇区是否正确,以扇区的最后两个字节与该值比较,如果一样,则说明该扇区是正确的,否则就是有问题。         2S-2   Update Sequence Array (a)   //更新序列数组,大小一般为2*2B=4B,如果该

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。