基于ntfs的windows取证大纲docx - googlecode

《基于ntfs的windows取证大纲docx - googlecode》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

1、基于NTFS的windows取证大纲EventLog获取信息：在EventLog中含有各种时间戳信息，包括登录、注销时间，日志清除信息，系统服务开启关闭信息，系统事件， 某些应用程序文件的信息（如office文件，powershell）等。 eventlog中还有很多不知道代表什么含义的事件，尽量弄清楚这些事件的含义，对取证的进展意义重大。 同时，很多事件所记录的信息的含义还不清楚，弄清楚这些信息的含义也很重要。反反取证：某些重要时间纪录被清空，或一些事件记录被恶意填满超过系统记录事件的上限，将有用的记录挤掉。注册表获取信息：获取最近访问到的文件，以及他们的最后访问日期（一组在注册表下

2、同一个键值的表项只有一个最后访问时间）反反取证：一些本应有很多信息的表项被清空，很可能是某些恶意程序所为NTFS获取信息：获取每个MFT的FN.MACE和SI.MACE信息，通过这些时间戳推测出一些常见的文件操作，如：重命名，删除，卷内拷贝，跨卷拷贝等反反取证：对于黑客进行的篡改，根据NTFS更新时间戳的规则，看是否有违反更新规则的情况，来判断是否有非法篡改三维合一获取信息：通过注册表和NTFS可以进一步确定某个文件被访问的确切时间(主要是exe和lnk)反反取证：暂无下一步工作已实现的内容：需要继续实现的可以从EventLog中读取开机时间。从EventLog中分析其他信息，如打开的

3、Office文件，一些有特殊标记的事件和含义。从NTFS文件系统获得每个文件的时间戳。从时间戳推断出用户进行的操作。将操作具体时间进行精确。从注册表获取用户在explorer下的操作痕迹。找到命令行下操作的Log。内存分析，现在还没做。在获得数据的时候排除被篡改的数据，翻译成可读的形式，然后有选择的恢复某些操作。分析PageFile（找一些内存分析工具）。综合迄今完全没做。分析是否有被篡改的数据。下载一些病毒或恶意程序，也可以用分析一些常用软件的行为（包括安装卸载和日常使用中留下的痕迹）。重构事件序列。记录xpvistawin7回收站中文件的异同点（都会建立以SID命名的文件夹，其他细

4、节有区别）。