計(jì)算機(jī)取證PPT資料

計(jì)算機(jī)取證(qǔzhènɡ)第一頁，共42頁。計(jì)算機(jī)取證(qǔzhènɡ)概述取證(Forensics)：采用技術(shù)手段調(diào)查和認(rèn)定(rèndìng)事實(shí)；計(jì)算機(jī)取證：可以簡(jiǎn)單理解為從計(jì)算機(jī)上提取證據(jù)。計(jì)算機(jī)取證學(xué)是一個(gè)多學(xué)科知識(shí)交叉的領(lǐng)域；調(diào)查過程中，不僅需要計(jì)算機(jī)科學(xué)領(lǐng)域的知識(shí)和方法；為了保證電子證據(jù)在法律上有效，還需要遵守法學(xué)中取證的流程和規(guī)范。計(jì)算機(jī)取證和其他取證領(lǐng)域一樣，用科學(xué)原則來對(duì)數(shù)字證據(jù)進(jìn)行識(shí)別，獲取和分析。它包括系統(tǒng)取證和網(wǎng)絡(luò)取證兩方面。第二頁，共42頁。在案件調(diào)查的過程中，硬盤驅(qū)動(dòng)器往往包含了關(guān)鍵的犯罪證據(jù)；對(duì)電子郵件和即時(shí)消息

工具等通信手段的分析；Internet取證：研究重心與計(jì)算機(jī)取證略有不同，它的研究范圍從個(gè)人計(jì)算機(jī)轉(zhuǎn)向了Internet。隨著越來越多的計(jì)算機(jī)成為Internet上的節(jié)點(diǎn)，Internet取證和計(jì)算機(jī)取證兩者的聯(lián)系越來越密切。數(shù)字證據(jù)可能存在于諸如閃存盤，PDA，數(shù)碼相機(jī)或者等多種帶有存儲(chǔ)功能的設(shè)備中；所有現(xiàn)代操作系統(tǒng)(cāozuòxìtǒnɡ)都支持網(wǎng)絡(luò)，在服務(wù)器，路由器，防火墻和各種代理設(shè)備上可能也會(huì)獲得數(shù)字證據(jù)證據(jù)(zhèngjù)發(fā)現(xiàn)第三頁，共42頁。證據(jù)(zhèngjù)發(fā)現(xiàn)嫌疑人的機(jī)器；各種(ɡèzhǒnɡ)存儲(chǔ)介質(zhì)，如硬盤，閃存，光存儲(chǔ)介質(zhì)；系統(tǒng)日志，如代理服務(wù)器日志，防火墻日志，Windows系統(tǒng)日志；交換機(jī)、路由器、防火墻和其他網(wǎng)絡(luò)設(shè)備；其他電子設(shè)備，如數(shù)碼相機(jī)，，PDA等第四頁，共42頁。取證(qǔzhènɡ)工作流程計(jì)算機(jī)取證遵循的證據(jù)獲取和后續(xù)處理過程和其他取證領(lǐng)域的工作流程基本一致，計(jì)算機(jī)取證一般包括以下幾個(gè)步驟：取證準(zhǔn)備，包括操作準(zhǔn)備和設(shè)備準(zhǔn)備兩個(gè)環(huán)節(jié)，準(zhǔn)備取證過程中所要使用的工具和分析環(huán)境。證據(jù)識(shí)別，在確定數(shù)字證據(jù)可能存在的所有場(chǎng)所之后(zhīhòu)，要進(jìn)行現(xiàn)場(chǎng)證據(jù)保護(hù)和設(shè)備保管，目的是保護(hù)物理或邏輯的犯罪現(xiàn)場(chǎng)。物理犯罪現(xiàn)場(chǎng)需要物理保護(hù)，包括上鎖，隔離和看守。邏輯現(xiàn)場(chǎng)需要邏輯保護(hù)，比如鎖定用戶，將嫌疑人機(jī)器從網(wǎng)絡(luò)上斷開或進(jìn)行物理保護(hù)。第五頁，共42頁。取證工作(gōngzuò)流程證據(jù)收集(shōují)，在犯罪現(xiàn)場(chǎng)收集(shōují)證據(jù)。計(jì)算機(jī)取證人員的工作是收集(shōují)數(shù)字證據(jù)，物理證據(jù)的收集(shōují)則交給物理取證人員進(jìn)行。證據(jù)分析，將從現(xiàn)場(chǎng)收集(shōují)的證據(jù)進(jìn)行處理和分析，進(jìn)一步提取出其中對(duì)案件有幫助的關(guān)鍵性證據(jù)。證據(jù)提交，提交最終獲得的所有證據(jù)進(jìn)行展示，并將分析使用的一部分證據(jù)返還。第六頁，共42頁。取證(qǔzhènɡ)工作流程模型在對(duì)各種安全事件進(jìn)行響應(yīng)之前，合理安排整個(gè)工作過程是非常重要的。在整個(gè)取證過程中應(yīng)該明確劃分工作流程，確定每個(gè)階段應(yīng)該完成的任務(wù)。這樣不但可以避免取證流程的混亂，而且抽象出的整個(gè)工作流程的模型能夠適用于一大類安全事件的響應(yīng)過程。處理不同的安全事件可能需要考慮(kǎolǜ)不同的問題，這會(huì)對(duì)整個(gè)取證流程造成影響，所以提出一個(gè)好的工作流程模型并不簡(jiǎn)單，需要同時(shí)考慮(kǎolǜ)實(shí)際使用中的可行性和定義的準(zhǔn)確性。第七頁，共42頁。取證(qǔzhènɡ)工作流程模型圖中的工作流程模型按照軟件工程中黑盒的概念進(jìn)行劃分整個(gè)工作流程被分割成子工作塊，塊與塊之間交互(jiāohù)的是每個(gè)子工作流程產(chǎn)生的數(shù)據(jù)輸出。取證工作流按照箭頭的方向流動(dòng)，每個(gè)子工作流程完成后產(chǎn)生的數(shù)據(jù)就是下一個(gè)子工作流程的輸入數(shù)據(jù)。

第八頁，共42頁。取證工作流程(liúchéng)模型取證準(zhǔn)備階段：這一階段完成取證之前的準(zhǔn)備工作，例如組建安全事件(shìjiàn)響應(yīng)小組，購買和部署取證過程中需要使用的設(shè)備的工作環(huán)境等，對(duì)相關(guān)人員進(jìn)行培訓(xùn)，執(zhí)行安全漏洞評(píng)估和制定基本的響應(yīng)策略。這個(gè)階段是取證過程的開始，和后面6個(gè)部分相對(duì)獨(dú)立。事件(shìjiàn)檢測(cè)：找出潛在或者未被發(fā)現(xiàn)計(jì)算機(jī)安全事件(shìjiàn)隱患，這個(gè)階段對(duì)整個(gè)安全事件(shìjiàn)響應(yīng)過程至關(guān)重要，因?yàn)槭录?shìjiàn)檢測(cè)階段是響應(yīng)過程的起點(diǎn)。事件(shìjiàn)初步響應(yīng)：對(duì)事件(shìjiàn)進(jìn)行初步調(diào)查，記錄事件(shìjiàn)發(fā)生現(xiàn)場(chǎng)的一些基本細(xì)節(jié)信息，召集安全響應(yīng)小組和通知相關(guān)人員。第九頁，共42頁。取證工作(gōngzuò)流程模型制定響應(yīng)策略：在已經(jīng)了解事件基本情況的前提下，根據(jù)初步響應(yīng)得到的所有信息，制定出最佳響應(yīng)方案并申報(bào)上級(jí)部門同意。策略的制定需要圍繞技術(shù)、法律和事件涉及的商業(yè)規(guī)范而展開。數(shù)據(jù)采集和數(shù)據(jù)分析：進(jìn)行深入的數(shù)據(jù)收集工作，對(duì)采集到的數(shù)據(jù)進(jìn)行細(xì)致分析。這個(gè)階段需要解決的問題是安全事件是如何發(fā)生的，何時(shí)發(fā)生的以及確定嫌疑人。報(bào)告階段：根據(jù)前面所有的調(diào)查結(jié)果向決策人員提供一份準(zhǔn)確的報(bào)告。提出解決方案：采用安全各種必須的安全手段或者對(duì)現(xiàn)有系統(tǒng)進(jìn)行修改，以期在一段時(shí)間內(nèi)可以對(duì)可以檢測(cè)到的同類安全時(shí)間做出有效響應(yīng)，防止相同事件再次發(fā)生并且對(duì)系統(tǒng)造成(zàochénɡ)影響。第十頁，共42頁。取證模型－過程(guòchéng)抽象模型AbstractProcessModel空軍研究院、司法部、信息督導(dǎo)防御局提出。在數(shù)據(jù)取證基本理論和基本方法研究中具有里程碑的作用。過程抽象模型包括：識(shí)別identification、準(zhǔn)備preparation、策略制定approachstrategy、保存(bǎocún)preservation，收集collection、檢驗(yàn)examination、分析analysis、證據(jù)呈堂presentation、證據(jù)返還returningevidences幾個(gè)部分。第十一頁，共42頁。取證(qǔzhènɡ)模型－綜合計(jì)算機(jī)取證(qǔzhènɡ)模型IDIP，TheIntegratedDigitalInvestigationModel(1)準(zhǔn)備階段這一階段主要目的是保證取證所需的各種人力物力資源，主要任務(wù)有操作(cāozuò)準(zhǔn)備和設(shè)備準(zhǔn)備。操作(cāozuò)準(zhǔn)備就是保證取證人員通過培訓(xùn)能夠勝任取證工作；設(shè)備準(zhǔn)備是指取證工具的準(zhǔn)備是充分的。第十二頁，共42頁。(2)部署階段這一階段是為了提供偵查和確認(rèn)機(jī)制，包括偵查和通報(bào)階段、確認(rèn)和授權(quán)階段。前者對(duì)事件進(jìn)行偵查和通告，后者是為了獲得對(duì)事件的法律調(diào)查(diàochá)權(quán)。(3)物理犯罪現(xiàn)場(chǎng)調(diào)查(diàochá)階段這一階段的目的是收集和分析物理證據(jù)并重構(gòu)犯罪行為。包括保護(hù)現(xiàn)場(chǎng)、調(diào)查(diàochá)取證、記錄歸檔、進(jìn)一步搜索取證、重構(gòu)和出示等六個(gè)階段。(4)數(shù)字犯罪現(xiàn)場(chǎng)調(diào)查(diàochá)階段這一階段主要是收集和深入分析物理調(diào)查(diàochá)階段獲取的數(shù)字證據(jù)，它包括和物理調(diào)查(diàochá)階段類似的步驟:；保護(hù)現(xiàn)場(chǎng)、調(diào)查(diàochá)取證、記錄歸檔、深入分析、重構(gòu)犯罪事實(shí)和出示證據(jù)六個(gè)階段。(5)總結(jié)階段這一階段要對(duì)取證的整個(gè)過程進(jìn)行跟蹤總結(jié)，發(fā)現(xiàn)問題并積極改進(jìn)。取證模型(móxíng)－綜合計(jì)算機(jī)取證模型(móxíng)第十三頁，共42頁。取證(qǔzhènɡ)模型—取證(qǔzhènɡ)層次模型該模型是第十九次計(jì)算機(jī)安全技術(shù)交流會(huì)上提出的。這一模型認(rèn)為：計(jì)算機(jī)取證可以分為證據(jù)發(fā)現(xiàn)層、證據(jù)固定層、證據(jù)提取層、證據(jù)分析(fēnxī)層和證據(jù)表達(dá)層五個(gè)層次。第十四頁，共42頁。取證(qǔzhènɡ)模型－取證(qǔzhènɡ)層次模型證據(jù)發(fā)現(xiàn)層：計(jì)算機(jī)證據(jù)的發(fā)現(xiàn)就是通過偵查和現(xiàn)場(chǎng)勘察搜集最原始的證據(jù)，可以把一般的偵查技術(shù)與計(jì)算機(jī)技術(shù)相結(jié)合進(jìn)行研究。證據(jù)固定層：計(jì)算機(jī)證據(jù)的固定主要是解決證據(jù)的完整性驗(yàn)證，即通過數(shù)字簽名(qiānmíng)和見證人簽名(qiānmíng)等保證現(xiàn)場(chǎng)勘察和偵查獲得的數(shù)據(jù)的完整性和真實(shí)性。證據(jù)提取層：證據(jù)的提取從本質(zhì)上說就是從眾多的未知和不確定性中找到確定性的東西。。證據(jù)分析層：分析證據(jù)是計(jì)算機(jī)取證的核心和關(guān)鍵。通過關(guān)聯(lián)分析證實(shí)信息的存在、信息的來源以及信息傳播途徑，重構(gòu)犯罪行為、動(dòng)機(jī)以及嫌疑人特征。證據(jù)表達(dá)層：通過數(shù)據(jù)恢復(fù)、殘缺數(shù)據(jù)提取、解碼、解密、過濾等技術(shù)將原始數(shù)據(jù)表達(dá)成可以理解的數(shù)據(jù)。

第十五頁，共42頁。目錄計(jì)算機(jī)取證(qǔzhènɡ)基礎(chǔ)計(jì)算機(jī)操作系統(tǒng)文件系統(tǒng)數(shù)據(jù)收集與恢復(fù)第十六頁，共42頁。計(jì)算機(jī)操作系統(tǒng)(cāozuòxìtǒnɡ)目前為止，大多數(shù)取證分析文獻(xiàn)和工具都是基于Unix/Linux環(huán)境的。Unix/Linux環(huán)境提供了很多Windows平臺(tái)本身不具備的功能，例如(lìrú)只讀驅(qū)動(dòng)器，正則表達(dá)式查詢以及對(duì)驅(qū)動(dòng)器的直接訪問。Windows操作系統(tǒng)在很多機(jī)構(gòu)中廣泛采用。因?yàn)槭袌?chǎng)占有率上的絕對(duì)優(yōu)勢(shì)，所以Windows平臺(tái)上的取證是實(shí)際中最有可能遇到的?；赪indows的取證工具和技術(shù)支持也同步增長(zhǎng)。第十七頁，共42頁。Windows操作系統(tǒng)(cāozuòxìtǒnɡ)－9x/MEWin9X系統(tǒng)是微軟針對(duì)個(gè)人桌面應(yīng)用推出的產(chǎn)品。Win9X不支持NTFS文件系統(tǒng)，在對(duì)FAT文件系統(tǒng)進(jìn)行修改之后得到了FAT32文件系統(tǒng)，支持長(zhǎng)文件名，文件回收站。XP系統(tǒng)占領(lǐng)個(gè)人應(yīng)用領(lǐng)域之后，Windows9X系列在個(gè)人PC操作系統(tǒng)市場(chǎng)上逐步被淘汰，但是在取證調(diào)查中仍然(réngrán)會(huì)遇到9X系統(tǒng)。第十八頁，共42頁。WindowsNT4中增加了許多管理特性，穩(wěn)定性進(jìn)一步提高WindowsNT系統(tǒng)(xìtǒng)引入了NTFS文件系統(tǒng)(xìtǒng)，相對(duì)FAT而言，在大硬盤上使用NTFS文件系統(tǒng)(xìtǒng)減少了殘留區(qū)(slackspace)所占的硬盤存儲(chǔ)空間，增加了通過文件系統(tǒng)(xìtǒng)鏡像恢復(fù)受損驅(qū)動(dòng)器的能力。微軟公司在2000年12月發(fā)布了WindowsNT系列的純32位操作系統(tǒng)(xìtǒng)Windows2000（；Windows2000支持使用EFS文件加密系統(tǒng)(xìtǒng)，這在一定程度上增加了取證的難度。Windows操作系統(tǒng)(cāozuòxìtǒnɡ)－NT/2000第十九頁，共42頁。WindowsXP將用于個(gè)人(gèrén)消費(fèi)和商業(yè)用途的兩套Windows產(chǎn)品線合并，在2000的基礎(chǔ)上微軟開發(fā)了WindowsXP。WindowsXP進(jìn)一步加強(qiáng)了系統(tǒng)的安全性，保留了NT/2000系統(tǒng)的一些管理特性，改進(jìn)了NTFS文件系統(tǒng)。在SP2安裝后，系統(tǒng)會(huì)增加一個(gè)Windows防火墻和安全中心，這也為取證調(diào)查增加了難度。統(tǒng)計(jì)數(shù)據(jù)顯示，WindowsXP是全球使用數(shù)量最多的操作系統(tǒng)，擁有最大的個(gè)人(gèrén)計(jì)算機(jī)操作系統(tǒng)的市場(chǎng)份額。對(duì)于計(jì)算機(jī)取證而言，WindowsXP是最重要的操作系統(tǒng)；反過來說，WindowsXP強(qiáng)大的功能和卓越的穩(wěn)定性是Windows取證環(huán)境的最佳選擇。Windows操作系統(tǒng)(cāozuòxìtǒnɡ)－XP/2003第二十頁，共42頁。Unix/Linux操作系統(tǒng)(cāozuòxìtǒnɡ)*nix系統(tǒng)有很多發(fā)行版本，相互之間不一定兼容，幾乎每一個(gè)版本都需要特定的工具，為它們分別創(chuàng)建應(yīng)急響應(yīng)工具包花費(fèi)的時(shí)間很多。

大部分取證實(shí)用工具都不包含在Unix的標(biāo)準(zhǔn)(biāozhǔn)發(fā)行版本中，需要自己下載源代碼后編譯。很多Unix版本都不提供向上和向下的兼容性。例如Solaris2.6和2.7。取證工具推薦在和受害者主機(jī)相同的環(huán)境下編譯。取證過程中一個(gè)基本的原則是假設(shè)受害主機(jī)上所有命令是不可信任的，需要使用可信任的命令和工具進(jìn)行工作取證。第二十一頁，共42頁。*nix系統(tǒng)的取證工具包應(yīng)該包括(bāokuò)這些工具Unix/Linux操作系統(tǒng)(cāozuòxìtǒnɡ)lsfindnetstatstringsmorescriptddicatpcattrussgzipbashdeslsofperldflastmodinfofilemd5sumpsviwlsmodpkginfonetcatstracecatrmifconfig第二十二頁，共42頁。目錄計(jì)算機(jī)取證基礎(chǔ)(jīchǔ)計(jì)算機(jī)操作系統(tǒng)文件系統(tǒng)數(shù)據(jù)收集與恢復(fù)第二十三頁，共42頁。文件系統(tǒng)概述(ɡàishù)大多數(shù)情況下，各種存儲(chǔ)設(shè)備往往是證據(jù)被發(fā)現(xiàn)的地方(dìfāng)，有時(shí)即使得不到在網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)，也可以通過存儲(chǔ)設(shè)備上的數(shù)據(jù)加以分析，所以存儲(chǔ)介質(zhì)是大多數(shù)計(jì)算機(jī)取證案例的核心。文件系統(tǒng)是指在計(jì)算機(jī)上存儲(chǔ)和組織文件的數(shù)據(jù)結(jié)構(gòu)和方法的集合。文件系統(tǒng)底層的實(shí)現(xiàn)細(xì)節(jié)對(duì)用戶來說是透明的，操作系統(tǒng)已經(jīng)把這些細(xì)節(jié)封裝并給用戶提供簡(jiǎn)單的接口；文件系統(tǒng)對(duì)用戶最直觀并且最有用的特性就是實(shí)現(xiàn)了從文件名到存儲(chǔ)介質(zhì)上文件的映射。第二十四頁，共42頁。文件系統(tǒng)概述(ɡàishù)Windows操作系統(tǒng)每個(gè)版本對(duì)文件系統(tǒng)的支持情況有區(qū)別。如Win9X系列僅支持FAT文件系統(tǒng)，NT系列的操作系統(tǒng)則同時(shí)支持FAT和NTFS兩種文件系統(tǒng)。作為取證調(diào)查人員，應(yīng)當(dāng)對(duì)文件系統(tǒng)有個(gè)總體的認(rèn)識(shí)，特別是Windows平臺(tái)所支持的文件系統(tǒng)。目前正在使用的操作系統(tǒng)和對(duì)應(yīng)的文件系統(tǒng)有很多種，比如我們熟知的MSWindows系列，MacOSX，Unix/Linux對(duì)應(yīng)上面的操作系統(tǒng)，現(xiàn)在正在使用的文件系統(tǒng)也有很多種，例如FAT16/32(早期還有FAT12)，NTFS，HFS，HFS+，ext2，ext3，ISO9660，UDF和UFS。文件系統(tǒng)確定了文件在磁盤上的組織(zǔzhī)方式和如何存取等問題，在文件系統(tǒng)的支持下，操作系統(tǒng)通過調(diào)用文件系統(tǒng)提供的接口在外存儲(chǔ)器上讀寫數(shù)據(jù)。第二十五頁，共42頁。主引導(dǎo)(yǐndǎo)記錄主引導(dǎo)扇區(qū)位于整個(gè)硬盤的0磁道0柱面1扇區(qū)，包括硬盤主引導(dǎo)記錄MBR(MainBootRecord)和分區(qū)表DPT(DiskPartitionTable)。主引導(dǎo)記錄的作用是檢查分區(qū)表是否正確以及(yǐjí)確定引導(dǎo)分區(qū)，并在程序結(jié)束時(shí)將DBR(DOSBootRecord，操作系統(tǒng)引導(dǎo)記錄)調(diào)入內(nèi)存并跳轉(zhuǎn)過去執(zhí)行。第二十六頁，共42頁。磁盤分區(qū)表DPT以80H或00H為開始標(biāo)志，以55AAH為結(jié)束標(biāo)志，長(zhǎng)度共64字節(jié)，位于主引導(dǎo)扇區(qū)的最末端。這64個(gè)字節(jié)又分為四個(gè)分區(qū)表項(xiàng)，每個(gè)分區(qū)表項(xiàng)占16字節(jié)，表示一個(gè)主分區(qū)如果需要將硬盤劃分成更多的分區(qū)，就把這四個(gè)分區(qū)表項(xiàng)中的一個(gè)定義為擴(kuò)展(kuòzhǎn)分區(qū)，然后在擴(kuò)展(kuòzhǎn)分區(qū)中劃分邏輯分區(qū)。擴(kuò)展(kuòzhǎn)分區(qū)的分區(qū)表項(xiàng)指向邏輯分區(qū)。而邏輯分區(qū)的分區(qū)表在其它的扇區(qū)中存放。偏移數(shù)據(jù)長(zhǎng)度

（字節(jié)）注釋0x001引導(dǎo)標(biāo)志

，0x80表示啟動(dòng)分區(qū)，

0x00表示其余分區(qū)0x011分區(qū)起始磁頭0x026bits低6位是分區(qū)起始扇區(qū)0x0210bits高2位和3字節(jié)是分區(qū)起始柱面0x041分區(qū)文件系統(tǒng)標(biāo)志0x051分區(qū)結(jié)束磁頭0x066bits低6位為分區(qū)終止扇區(qū)0x0610bits高2位和7字節(jié)是分區(qū)終止柱面0x084該分區(qū)前的扇區(qū)數(shù)，低位字節(jié)在前0x0B4該分區(qū)所占用的扇區(qū)數(shù)，低位字節(jié)在前第二十七頁，共42頁。FAT文件系統(tǒng)FAT文件系統(tǒng)因?yàn)樗褂梦募峙浔磉@種方式存儲(chǔ)文件而得名，文件分配表本身會(huì)去部分磁盤空間。在FAT文件系統(tǒng)中，主引導(dǎo)扇區(qū)位于(wèiyú)一個(gè)分區(qū)的最前面，接著是兩個(gè)文件分配表，F(xiàn)AT2是FAT1的鏡像。然后是根文件目錄，它用來保存所有根目錄下的文件和目錄條目，最后是數(shù)據(jù)區(qū)。FAT文件系統(tǒng)命名(mìngmíng)后面的數(shù)字代表了文件分配表可以支持簇的最大數(shù)目；例如FAT12文件系統(tǒng)的文件分配表中使用12個(gè)比特來給簇編號(hào)，即最大支持4096個(gè)簇。無論何種文件系統(tǒng)，最大可分配的簇的數(shù)目?jī)H僅是一個(gè)理論值，其中一些簇是保留給文件系統(tǒng)本身使用的。文件系統(tǒng)最大支持簇?cái)?shù)目FAT124,084FAT1665,524FAT3267,092,481第二十八頁，共42頁。文件系統(tǒng)－簇(cluster)“簇”是FAT文件系統(tǒng)管理和分配磁盤空間的基本單位。一個(gè)簇包含了多個(gè)扇區(qū)，一個(gè)扇區(qū)的大小是固定的512個(gè)字節(jié)。對(duì)于操作系統(tǒng)而言，扇區(qū)是在存儲(chǔ)設(shè)備上進(jìn)行讀寫操作的最小獨(dú)立(dúlì)單位。每個(gè)簇中包含的扇區(qū)數(shù)目在FAT文件系統(tǒng)中是根據(jù)存儲(chǔ)設(shè)備的容量而定的，對(duì)一個(gè)分區(qū)而言，簇是文件系統(tǒng)可以分配的最小存儲(chǔ)單元。第二十九頁，共42頁。文件系統(tǒng)－殘留(cánliú)區(qū)(slackspace)基于簇的分配方案在文件尾部平均浪費(fèi)半個(gè)簇的空間(kōngjiān)，造成殘留區(qū)。從取證意義上來說，這些多余的空間(kōngjiān)可能就保存著一些敏感數(shù)據(jù)。這些存儲(chǔ)有敏感信息的剩余空間(kōngjiān)就被稱為殘留區(qū)。由于文件大小不可能都是一個(gè)簇的整數(shù)倍長(zhǎng)度，所以在計(jì)算機(jī)使用過程中，文件創(chuàng)建和刪除會(huì)形成殘留區(qū)。第三十頁，共42頁。假設(shè)磁盤上有5個(gè)空閑的簇被文件系統(tǒng)用來分配給兩個(gè)文件File1和File2。File1的大小是12K，占用了這5個(gè)簇中的前3個(gè)；File2的大小是8K，占用了剩下的2個(gè)簇?，F(xiàn)在將File1刪除，文件系統(tǒng)將原來已經(jīng)分配出去的3個(gè)簇回收，并將它們標(biāo)記(biāojì)為空閑塊?，F(xiàn)有一個(gè)大小為10K的文件File3，因?yàn)橄惹皠h除File1釋放掉的12K空間足夠容納File3，文件系統(tǒng)就將這3個(gè)簇分配給了新的File3。但是原先存儲(chǔ)File1內(nèi)容的第3個(gè)簇由于只用掉2KB，所以剩下的2KB空間中可以發(fā)現(xiàn)原來File1尾部2KB的文件內(nèi)容文件系統(tǒng)－殘留(cánliú)區(qū)(slackspace)第三十一頁，共42頁。計(jì)算機(jī)取證不僅關(guān)心文件系統(tǒng)中實(shí)際存在的文件，同時(shí)也注意整個(gè)磁盤或者分區(qū)上沒有直接通過文件系統(tǒng)接口體現(xiàn)的數(shù)據(jù)。殘留區(qū)會(huì)產(chǎn)生磁盤碎片，即用于存儲(chǔ)文件所有數(shù)據(jù)的簇在磁盤上的分布是不連續(xù)的。碎片整理就是合并碎片數(shù)據(jù)使文件的簇連續(xù)的過程，這樣可以(kěyǐ)優(yōu)化讀寫速度并且簡(jiǎn)化簇的映射。經(jīng)過碎片整理之后，一個(gè)分區(qū)的開始部分經(jīng)過整理之后大量的殘留區(qū)會(huì)被覆蓋；但是相對(duì)于開始部分的尾部空間被覆蓋的概率就很小。文件系統(tǒng)－殘留(cánliú)區(qū)(slackspace)第三十二頁，共42頁。FAT文件系統(tǒng)－目錄(mùlù)FAT文件系統(tǒng)引導(dǎo)扇區(qū)和文件分配表之后是根目錄條目，根目錄是分區(qū)上的第一個(gè)目錄，其他所有目錄都是它的子目錄;FAT文件系統(tǒng)的一個(gè)重要(zhòngyào)組成部分就是目錄條目，每個(gè)目錄條目占用32個(gè)字節(jié)，記錄了對(duì)應(yīng)文件的文件名、長(zhǎng)度和簇的分配情況。偏移量注釋0文件名的第一個(gè)字節(jié)或者條目狀態(tài)1–7文件名的第2-8個(gè)字節(jié)8–103字節(jié)的文件擴(kuò)展名11文件屬性12–13為NT系統(tǒng)保留14–17文件創(chuàng)建日期和時(shí)間18–19最后訪問日期20–21起始簇號(hào)的高2字節(jié)22–25最后修改日期和時(shí)間26–27起始簇號(hào)的低2字節(jié)28–31以字節(jié)為單位的文件長(zhǎng)度，目錄為0第三十三頁，共42頁。NTFS提供了更強(qiáng)的容錯(cuò)性和災(zāi)難恢復(fù)特性并在安全性上有了重大的突破，性能上也提升了很多。NTFS支持長(zhǎng)文件名、文件訪問控制和日志功能、文件和目錄的壓縮以及在NTFS后面的版本中增加的加密文件系統(tǒng)EFS。訪問控制和日志這些增強(qiáng)功能對(duì)取證帶來了額外的幫助，但是如壓縮和加密之類的特性就給取證工作(gōngzuò)增加了難度。NTFS是一種日志型文件系統(tǒng)。（維護(hù)一致性）NTFS文件系統(tǒng)第三十四頁，共42頁。NTFS文件系統(tǒng)的核心是MFT(

MasterFileTable，主文件表)，它為每一個(gè)文件或者目錄分配1024個(gè)字節(jié)的空間作為一個(gè)條目，記錄文件的各種屬性。

元文件(例如$Bitmap,$MFTMirr,$Secure)在MFT中，每個(gè)文件或者目錄對(duì)應(yīng)一條1024字節(jié)的記錄，這些記錄從0開始唯一編號(hào)，按順序存放。MFT可以看成(kànchénɡ)是一個(gè)由一條條文件記錄構(gòu)成的數(shù)據(jù)庫，每條記錄保存了文件或者目錄的信息。NTFS文件系統(tǒng)－MFT第三十五頁，共42頁。交替數(shù)據(jù)流(ADS，AlternateDataStream)；NTFS文件系統(tǒng)中每條文件記錄支持多個(gè)$DATA屬性，每個(gè)屬性稱為一個(gè)交替數(shù)據(jù)流。$DATA屬性既可以(kěyǐ)用來定義文件的常駐數(shù)據(jù)，又可以(kěyǐ)用來定義非常駐數(shù)據(jù)。交替數(shù)據(jù)流對(duì)用戶和絕大多數(shù)應(yīng)用程序來說是不可見的，這就為數(shù)據(jù)隱藏提供了一個(gè)方法。NTFS文件系統(tǒng)－ADS第三十六頁，共42頁。加密文件系統(tǒng)(EFS，EncryptingFileSystem)EFS并不是NTFS文件系統(tǒng)的內(nèi)建功能，而是一個(gè)驅(qū)動(dòng)(qūdònɡ)模塊以本地服務(wù)的形式存在。EFS提供針對(duì)文件、目錄或卷的透明加密功能，可以防止用戶的敏感數(shù)據(jù)泄漏?？梢酝ㄟ^資源管理器或cipher命令加密文件。NTFS文件系統(tǒng)－EFS第三十七頁，共42頁。如果用戶是第一次加密文件，本地安全授權(quán)子系統(tǒng)進(jìn)程）的EFS服務(wù)會(huì)使用加密API為用戶分配一個(gè)密鑰對(duì)。Windows使用從用戶個(gè)人憑證中提取的主密鑰對(duì)產(chǎn)生的私鑰加密，然后將加密的私鑰和用戶檔案一起存儲(chǔ)。整個(gè)加密過程分為下面幾個(gè)(jǐɡè)步驟：EFS隨機(jī)產(chǎn)生一個(gè)128位的密鑰，稱為這個(gè)文件的文件加密密鑰（FEK，F(xiàn)ileEncrytionKey）

；Windows獲取用戶公鑰，使用RSA算法加密FEK；產(chǎn)生數(shù)據(jù)解密域（DDF,DataDecryptionField），DDF中包含用戶信息以及經(jīng)過用戶公鑰加密后的FEK；產(chǎn)生其他被授權(quán)訪問該文件的用戶的DDF，同樣包含了用戶信息和經(jīng)過被授權(quán)用戶公鑰加密后的FEK；NTFS文件系統(tǒng)－EFS第三十八頁，共42頁。用和產(chǎn)生DDF同樣的方法產(chǎn)生數(shù)據(jù)恢復(fù)代理域（DRF,DataRecoverField），在單機(jī)環(huán)境中，本地管理員是默認(rèn)的數(shù)據(jù)恢復(fù)代理；文件數(shù)據(jù)使用DESX或TripleDES進(jìn)行對(duì)稱加密，將密文復(fù)制到新建的$DATA屬性中，同時(shí)所有產(chǎn)生的DDF和DRF也一起被寫入文件的$LOGGED_UTILITY_STREAM屬性中；刪除原始數(shù)據(jù)，完成加密過程。當(dāng)加密文件的所有者需要訪問文件時(shí)，EFS就會(huì)讀取保存在文件中DDF并使用用戶私鑰解密FEK，然后對(duì)文件進(jìn)行解密。數(shù)據(jù)恢復(fù)代理需要通過(tōngguò)組策略編輯器中的恢復(fù)策略向?qū)нM(jìn)行添加。如果在取證中遇到EFS加密的文件，只有通過(tōngguò)獲取DDF或者DRF中指定的帳號(hào)證書，然后將這些證書導(dǎo)入本地證書庫，從而恢復(fù)文件內(nèi)容。NTFS文件系統(tǒng)－EFS第三十九頁，共42頁。目錄計(jì)算機(jī)取證基礎(chǔ)計(jì)算機(jī)操作系統(tǒng)文件系統(tǒng)數(shù)據(jù)(shùjù)收集與恢復(fù)第四十頁，共42頁。Windows2000支持使用EFS文件加密系統(tǒng)