返回
字节顺序在计算机取证中的应用

字节顺序在计算机取证中的应用

ID:38214573

大小:331.23 KB

页数:3页

时间:2019-05-28

字节顺序在计算机取证中的应用_第1页
字节顺序在计算机取证中的应用_第2页
字节顺序在计算机取证中的应用_第3页
资源描述:

《字节顺序在计算机取证中的应用》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、字节顺序在计算机取证中的应用刘浩阳大连市公安局网警支队我们知道一个基本存储单元可以保存一个字节,每一、字节顺序个存储单元对应一个地址。对于大于十进制255(16进计算机科学中,字节顺序(Endianess)是内存中制0xff)的整数,需要多个存储单元。例如“汉”字的字节(有时候是位)排列方式,用以表示不同种类的数Unicode编码是0x6C49,需要两个字节。不同的计算据。操作系统并不负责指定字节顺序,而是CPU的编码机系统使用不同的方法保存这两个字节。在我们常用的模式指导操作系统执行。因此字节顺序是基于CPU技术PC机中,低位的

2、字节0x49保存在低地址的存储单元,的。字节顺序问题的实质是计算机系统对于多字节的表高位的字节0x6C保存在高地址的存储单元;而在Sun工现方式,在计算机取证中,数据可能会被保存在内存作站中,情况恰恰相反,0x49位于高地址的存储单中、磁盘上,还有可能正在进行网络传输。在获得这些元,0x6C位于低地址的存储单元。前一种就被称为大信息后,有必要知道他们的字节顺序后才能对其进行解端(LittleEndian),后一种就是小端(BigEndia码,不幸的是,计算机系统并没有采用一个统一的编码n)。大端(bigendian)和小端(lit

3、tleendian)是方式。当计算机系统存储和传输数据时,不同的字节顺CPU处理多字节数的不同方式。那么写到磁盘上时,究序编码方式对于信息将是一个问题。例如,截获网络传竟是将6C写在前面,还是将49写在前面?如果将输的信息,可能只能截获中间一部分信息,这时候就有0x49写在前面,就是小端(littleendian),将0x6C写必要知道字节顺序,以进行解码。在前面,就是大端(bigendian)。PToliceechnology2012年第2期43位地址里。这就意味着计算机中的某些计算可以变得更二、大端和小端加简单和快速。“end

4、ian”这个词出自《格列佛游记》。小人国由于不同CPU对字节顺序保存方式的不同,多字节的内战就源于吃鸡蛋时是究竟从大头(Big-Endian)数值的存储结构取决于字节顺序。字节顺序的差别将导敲开还是从小头(Little-Endian)敲开,由此曾发生过致计算机系统数据翻译的不同结果,也就是说同一文件六次叛乱,其中一个皇帝送了命,另一个丢了王位。在不同字节顺序的机器上编码方式不同。也意味着解码在那个时代,作者斯威夫特(Swift)是在讽刺英方式也不同,例如任何时候计算机访问数据流(网络数国和法国之间的持续冲突,DannyCohen,

5、网络协议据包,本地文件、音频流、视频流等多媒体流),计算的早期开创者,第一次使用这两个术语来指代字节顺机必须要知道文件是如何构成的。序,后来这个术语被广泛接纳了。我们一般将三、字节顺序在计算机取证中的应用endian翻译成“字节顺序”,将bigendian和littleendian称作“大端”和“小端”。很多情况下,我们需要对数据进行分析,但是由于字节顺序的存在,会导致同一数据在不同系统中保存的Big-Endian和LEittlendian字节排序方式不同。例如在Windows系统和MACOS系统中分别保存一个txt文件,二者在十

6、六进制编辑器中的表现方式截然不同。因为Windows是默认以小端字节顺序存储,而MACOS是以大端字节顺序存储的。因此,在计算机取证中,不但要知道操作系统和处在示例1,32位的十六进值数值0x0A0B0C0D以两理器的字节存储顺序,而且还要知道要分析的数据是以种格式按顺序被存储进内存中。最低地址位于最左侧什么字节顺序保存的,又以什么字节顺序被读取的。在(byte00)。实际工作中,我们遇到的最多的操作系统是Windows操作系统,Windows操作系统的NTFS格式使用64位Windows文件时间格式(FILETIME)存储时间数

7、据,这种文件时间格式是基于小端字节顺序的,是以1601年1月1日00:00:00,以100ns(1ns=10-9s)递增的UTC时间格式,存储文件建立时间、最后修改时有很多关于这两种形式的相对优点的讨论,最激烈间、最后访问时间和MFT记录最后修改时间。如果使用的争论是PC(代表小端)VSMAC(大端)的相对优大端字节顺序解析64位Windows文件时间格式,那么点。这两种形式都有其优点和缺点。就会解析错误。IBM的370主机,多数基于RISC计算机,和例如:2008年6月19日11:59:38分访问wapedia.mobiMoto

8、rola的微处理器都使用大端(big-endian)方网站,18:40:04再次访问。首次访问时在Cookie目录下,法。TCP/IP等多数网络协议也使用大端(big-index.dat增加一条记录,同时生成一个名为“刘浩阳endian)方法,例如

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。