NTFS文件系統(tǒng)下利用MFT記錄修改時間分析文件（夾）操作行為

羅文華

（中國刑警學院 遼寧 沈陽 110035）

NTFS文件系統(tǒng)下利用MFT記錄修改時間分析文件（夾）操作行為

羅文華

（中國刑警學院 遼寧 沈陽 110035）

在計算機犯罪調(diào)查取證中，時間信息是最基本的數(shù)字證據(jù)之一。研究針對目前廣泛使用的NTFS文件系統(tǒng)，重點分析存儲在元文件$MFT中的記錄修改時間，通過其在不同文件（夾）操作行為下的變化情況，歸納總結(jié)取證調(diào)查規(guī)則。

NTFS MFT 創(chuàng)建時間 修改時間 訪問時間 記錄修改時間

電子數(shù)據(jù)取證中關(guān)于時間的證據(jù)既重要又復雜。很多情況下，時間信息是整個調(diào)查取證工作的基礎(chǔ)檢查部分。時間調(diào)查取證工作涉及的規(guī)則、方法及工具會直接影響證據(jù)的質(zhì)量，對形成證據(jù)鏈起著至關(guān)重要的作用。隨著犯罪分子水平的提高以及反取證技術(shù)的發(fā)展，常規(guī)時間屬性分析已無法滿足取證調(diào)查的需要。鑒于此種情況，本文將隱藏于$MFT文件中的記錄修改時間信息納入調(diào)查范疇，研究不同操作行為對該屬性的影響，并綜合其他時間屬性，歸納總結(jié)更為深入全面的調(diào)查取證規(guī)則。

1 NTFS文件系統(tǒng)中的時間屬性

1.1 NTFS文件系統(tǒng)中的常規(guī)時間屬性

NTFS文件系統(tǒng)以UTC（Universal Time Coordin ated，協(xié)調(diào)世界時）格式存儲，其常規(guī)時間屬性一般分為如下三種：創(chuàng)建時間、修改時間、訪問時間。

（1）創(chuàng)建時間（Create time）：文件第一次被創(chuàng)建或者寫到磁盤上的時間，如果文件復制于其他的地方，創(chuàng)建時間為復制的時間。

（2）修改時間（Modified time）：通常是指對文件做出任何形式的最后修改的時間，例如應用軟件對文件內(nèi)容作修改（打開文件，任何方式的編輯，然后寫回磁盤）。一般情況下，如果文件復制于其他地方，修改時間不變。

（3）訪問時間（Accessed time）：某種操作最后施加于文件或目錄上的時間，這種操作包括：寫入、復制、用查看器查看、應用程序打開或打印以及其他方式的運行。幾乎所有對文件的操作都會更新這個時間（包括使用資源管理器查看文件目錄，DOS中的DIR命令除外）。值得注意的是，在NTFS文件系統(tǒng)中，該時間屬性并不是實時更新的。

相關(guān)文獻多是基于以上三種時間屬性討論取證規(guī)則。需要指出的是，在NTFS文件系統(tǒng)中，當用戶或者程序?qū)δ硞€文件執(zhí)行只讀操作時，系統(tǒng)會延緩磁盤上文件的最后訪問時間，但會在內(nèi)存中記錄這個時間。只有當原始的最后訪問時間和當前訪問時間兩者之間相差一小時，或者系統(tǒng)內(nèi)存中對該文件的所有引用都消失時，才會更新磁盤上文件的最后訪問時間，因此訪問時間信息并不總是準確的。另外，當注冊表HKLMSYSTEMCurrentControlSetControlFileSystem下的NtfsDisableLastAccessUpdata表鍵被設(shè)置為1時，會禁用資源管理器對最后訪問時間標簽進行的自動更新，查看、復制等操作不再會修改文件訪問時間。并且，在Windows Vista及其后版本中該鍵值默認設(shè)置為1?；谝陨戏治隹芍?，單純依靠常規(guī)時間屬性進行調(diào)查，并不能全面準確的解析文件操作行為，個別情況下甚至還會產(chǎn)生誤導。因此，有必要深入挖掘存儲于$MFT文件中的記錄修改時間信息進行綜合分析。

1.2 NTFS文件系統(tǒng)中的MFT記錄修改時間

元文件$MFT（Master File Table，主文件表）是NTFS文件系統(tǒng)下最重要的一個文件，它記錄著對應分區(qū)上所有文件和目錄的文件名、安全屬性、文件大小、存儲位置等信息。$MFT由一系列文件記錄（對應分區(qū)上的文件或文件夾）組成，每條記錄由記錄頭和屬性部分組成，一般大小為1KB或一個簇。每條記錄由“46 49 4C 45”作為起始標志；標志之后緊接的兩個字節(jié)表示固定頭部大小，對于同一分區(qū)來說，每條記錄的固定頭部大小是一致的；而從偏移14H開始的兩個字節(jié)則表示標準屬性的開始地址，基于這個信息即可定位固定頭部之后的屬性列表，從中能夠解析出具體文件屬性信息。

標準屬性偏移00H處開始的四個字節(jié)表示類型，即屬性名；偏移04H開始的四個字節(jié)表示包含標準屬性頭部的總長度；從偏移10H開始的四個字節(jié)表示常駐屬性值的長度L；而從偏移18H開始的L字節(jié)即為具體的屬性內(nèi)容，其結(jié)構(gòu)如圖1所示。

圖1 標準屬性中的常駐屬性結(jié)構(gòu)

從圖1可以看出，常駐屬性結(jié)構(gòu)中除含有文件創(chuàng)建時間、修改時間及訪問時間信息外，還存儲有MFT記錄修改時間（當文件屬性發(fā)生變化時，一般均會引發(fā)該屬性值的變化）。需要指出的是，$MFT文件中的時間屬性是以64位Windows文件時間格式存儲的，即基于1601年1月1日00:00:00，以100ns遞增的UTC時間格式。圖2所示為元文件$MFT中某特定文件的記錄信息。記錄頭偏移14H處開始的兩個字節(jié)為“00 38”（小字節(jié)序，下同），因此從偏移38H處即為標準屬性具體信息；而依據(jù)標準屬性偏移18H為具體屬性信息的規(guī)則，可知距離記錄頭50H處（38H+18H）為屬性內(nèi)容的起始地址；再依據(jù)圖1所示結(jié)構(gòu)信息，可以解析出文件創(chuàng)建時間為“01 CD 76 97 82 C7 30 26”，修改時間為“01 CD 74 70 B2 A5 1F 5C”，MFT記錄修改時間為“01 CD 76 DB 03 D9 AC C8”，訪問時間為“01 CD 76 DB 03 56 8B 72”；利用數(shù)據(jù)解釋器解析可知MFT記錄修改時間為2012年8月10日9時32分09秒。

圖2 $MFT中特定文件的時間屬性

必須指出的是，NTFS文件系統(tǒng)以UTC為標準時間，因此若要獲得本地時間，還需在解析時間基礎(chǔ)上加上本地時區(qū)（以北京時間為例，該記錄本地修改時間為2012年8月10日17時32分09秒）。

2 利用MFT記錄修改時間分析文件（夾）操作行為

為描述方便，本節(jié)將創(chuàng)建時間記為C（Create）時間，修改時間記為M（Modifie）時間，訪問時間記為A（Access） 時間，MFT記錄修改時間記為E（Entry）時間。

2.1 利用MFT記錄修改時間分析文件操作行為

研究發(fā)現(xiàn)，當執(zhí)行不同的操作行為時，E時間與其它時間屬性會表現(xiàn)出如下特征：

（1）當文件最初生成時，C、M、A、E等時間會被統(tǒng)一設(shè)置成文件產(chǎn)生的時間。

（2）當執(zhí)行文件復制操作（含卷內(nèi)復制和卷間復制兩種情況）時，目標文件的E時間和M時間與源文件保持一致，而C時間和A時間被設(shè)置成復制操作時間；當執(zhí)行移動操作（含卷內(nèi)移動和卷間移動兩種情況）時，E時間和A時間會被更新為移動操作時間，M時間和C時間則保持不變。

（3）當設(shè)置文件的“只讀”或“隱藏”屬性時，通常情況下A時間和E時間都會更新為文件操作時間；需要指出的是，由于Windows Vista及其后版本中NtfsDisableLastAccessUpdata鍵值默認設(shè)置為1，因此如果不對此鍵值作以修改的話，則只有E時間會發(fā)生變化。

（4）“重命名”操作時，A時間會更新成“重命名”操作的起始時間，而E時間則更新為“重命名”操作的結(jié)束時間。

（5）當通過修改文件內(nèi)容以致文件大小發(fā)生變化時，由于負責處理文件的應用程序有所不同，文件時間屬性變化情況也表現(xiàn)出較大的差異。因此，實踐工作中如遇此類問題，還需針對特定應用程序開展更為細致深入的研究。

為幫助計算機取證調(diào)查人員對涉及時間問題案件的理解和分析，綜合以上論述，歸納時間屬性取證規(guī)則如下：

（1）如果某一文件的C、M、A、E時間一致，說明該文件既沒有被修改也不是復制于其它磁盤，這意味著該文件是原始的，未被更改過。

（2）如果某文件的C時間與A時間相同，且晚于E時間和M時間，則表示該文件是從其它位置復制而來的。

（3）如果某文件E時間和A時間相同，且晚于M時間和C時間，則該文件是通過移動操作產(chǎn)生的。利用不發(fā)生改變的M時間和C時間，比對數(shù)據(jù)恢復出的相關(guān)文件對應時間屬性，可達到定位原文件的目的。

（4）如果A時間和E時間相同，且與M時間和C時間不同，并且該文件被設(shè)置有“只讀”或“隱藏”屬性，則A時間或E時間即為特殊屬性設(shè)置時間。

（5）如果A時間在前，E時間在后，并且A與E間隔極短，該文件則極有可能執(zhí)行過“重命名”操作。

2.2 利用MFT記錄修改時間分析文件夾操作行為

與文件不同，當通過右鍵查看文件夾屬性時，其“常規(guī)”選項卡中只顯示有“創(chuàng)建時間”（圖3），并不包含“生成時間”與“修改時間”信息。但在其對應的$MFT文件記錄中，依然保留有完整的M、A、C、E時間信息，因此同樣可以利用時間信息解析操作行為。研究發(fā)現(xiàn)，當執(zhí)行不同的文件夾操作時，文件夾及其子文件夾的時間屬性會表現(xiàn)出如下特征：

圖3 文件夾具有的“創(chuàng)建時間”屬性

（1）采用“新建”操作生成文件夾時，該文件夾的C、M、A、E等時間會被統(tǒng)一設(shè)置為產(chǎn)生時間。

（2）當執(zhí)行卷內(nèi)文件夾復制操作時，目標文件夾的A、C、E時間會更新為復制操作起始時間，M時間與源文件夾一致；子文件夾的M和E時間會保持不變，A和C時間會更新為生成對應子文件夾的時間。執(zhí)行卷間文件夾復制操作時，目標文件夾的C、M時間會設(shè)置為復制操作完成時間；而原文件的A時間則會變成復制操作的起始時間。

（3）當執(zhí)行卷內(nèi)文件夾移動操作時，在Windows XP和Windows2003系統(tǒng)環(huán)境下，A時間和E時間會更新為移動操作完成時間；在Windows Vista和Windows 7系統(tǒng)環(huán)境下，只有E時間被更新為操作完成時間。

（4）針對文件夾執(zhí)行“重命名”操作時，該文件夾的E時間會被設(shè)置為文件名發(fā)生變化的時間，其他時間屬性不變。而當設(shè)置文件夾的“只讀”或“隱藏”屬性時，文件夾的表現(xiàn)與文件一致，其A時間和E時間會更新為屬性設(shè)置時間（未設(shè)置禁止自動更新情況下）。

（5）當在已有文件夾中生成或刪除子文件或子文件夾時，父文件夾的M、A、E時間均更新為對應操作發(fā)生時間；當修改該文件夾中的子文件內(nèi)容時，其A、E時間會被設(shè)置為更改操作發(fā)生時間。

綜合以上分析，總結(jié)取證調(diào)查規(guī)則如下：

（1）如果某一文件夾的C、M、A、E時間一致，說明該文件夾是原始的，既沒有被修改也不是復制于其它磁盤。

（2）如果某文件夾A、C、E時間相等，且晚于M時間，則該文件夾從其它位置復制而來。

（3）如果E晚于M和C時間，則該文件夾有可能從其它位置移動而來，或者是執(zhí)行過“重命名”及特殊屬性設(shè)置操作，操作執(zhí)行時間即為E時間。

（4）如果某文件夾的A和E時間相同，并且與C時間不同，則該文件夾內(nèi)發(fā)生有針對子文件夾或子文件的操作；結(jié)合子文件（夾）的時間屬性分析，可進一步確定其具體操作行為。

3 結(jié)語

基于創(chuàng)建時間、修改時間和訪問時間的時間取證調(diào)查規(guī)則，多篇文獻已做過較為詳盡的討論。本文在此基礎(chǔ)上將隱藏于元文件$MFT中的記錄修改時間納入調(diào)查范疇，歸納總結(jié)其在不同文件（夾）操作行為下的變化情況，并形成系列規(guī)則供讀者實踐時參考。該時間屬性在特殊屬性設(shè)置、重命名、文件夾操作等行為的判定方面，能夠發(fā)揮創(chuàng)建時間、修改時間和訪問時間無法比擬的作用。

需要指出的是，針對時間的調(diào)查取證，往往要形成一條完整的證據(jù)鏈才能證明事件的發(fā)生或者發(fā)展，必要時還需輔以文件內(nèi)容或其他證據(jù)。另外，由于時間信息極易被修改，因此在實際操作時，要注意區(qū)分不同操作系統(tǒng)時間之間處理方式的差異，選取正確的工具與方法，以免造成證據(jù)的污染。

1.Jewan Bang，Byeongyeong Yoo，Sangjin Lee.Analysis of changes in file time attributes with file manipulation[J].Digital Investigation，2011，（4）

2.劉浩陽.數(shù)字時間取證技術(shù)原理與應用[J].信息網(wǎng)絡(luò)安全，2010，（3）