Все программы, упоминавшиеся в главе 1, поддерживают работу с образами NTFS, но могут предоставлять различные уровни доступа к отдельным атрибутам. Для просмотра различных атрибутов в системе Windows можно воспользоваться программой nfi.exe от компании Microsoft [Microsoft, 2000]. Программа выводит содержимое MFT в рабочей системе, включая имена атрибутов и адреса кластеров. При проведении экспертизы она не принесет особой пользы, потому что система должна быть «живой», однако программа поможет в изучении NTFS. Утилита Марка Руссиновича (Mark Russinovich) NTFSInfo [Russinovich, 1997] выводит аналогичную информацию.

Пакет TSK позволяет просмотреть содержимое любого атрибута. Чтобы примеры двух следующих глав стали более понятными, я опишу синтаксис просмотра различных атрибутов. Вспомните, что каждый атрибут обладает типом и каждому атрибуту в записи MFT присваивается уникальный идентификатор. При помощи этих двух значений можно отобразить любой атрибут.

Вместо одного адреса метаданных программе icat передается адрес и тип атрибута. При наличии нескольких атрибутов такого типа к ним добавляется уникальный идентификатор. Например, чтобы просмотреть атрибут $FILE_NAME (тип 48) записи MFT 34, следует использовать запрос «34-48». Для просмотра атрибута $DATA (тип 128) запрос принимает вид «34-128». Если существуют другие атрибуты $DATA, в запрос также включается уникальный идентификатор атрибута. Скажем, для атрибута с идентификатором 3 будет использоваться строка «34-128-3».

Программа istat из пакета TSK выводит все атрибуты файла. Пример вывода для атрибутов записи MFT:

[...]

Type: $STANDARD_INF0RMATI0N (16-0) Name: N/A Resident size: 72

Type: $FILE_NAME (48-2) Name: N/A Resident size: 84

Type: $0BJECT_ID (64-8) Name: N/A Resident size: 16

Name: $DATA (128-3) Name: $Data Non-Resident, Encrypted size: 4294

94843 94844 94845 94846 94847 94848 102873 102874

102875

Name: $DATA (128-5) Name: ADS Non-Resident, Encrypted size: 4294

102879 102880 102881 102882 102883 102884 102885 102886

102887

Type: $LOGGED_UTILITY_STREAM (256-7) Name: $EFS Non-Resident size: 552 102892 102893

Итоги

Все важнейшие данные в NTFS ассоциируются с файлами или индексами. В этой главе были рассмотрены важнейшие концепции NTFS - записи MFT, атрибуты и индексы. На основе этих концепций мы перейдем к рассмотрению конкретных атрибутов и категорий в главе 12.

Библиография

• Cooperstein, Jeffrey, and Richter, Jeffrey. «Keeping an Eye on Your NTFS Drives: The Windows 2000 Change Journal Explained». Microsoft SystemsJournal, September 1999. http://www.microsoft.com/msj/0999/journal/journaLaspx.

• Cooperstein, Jeffrey, and Richter, Jeffrey. «Keeping an Eye on Your NTFS Drives, Part II: Building a Change Journal Application». Microsoft SystemsJournal, October 1999. http://www.microsoft.com/msj/1099/journaL2/journaL2.aspx.

• Linux NTFS Project. NTFS Documentation. 1996-2004. http://linux-ntfs.source-forge.net/ntfs/index.html.

• Microsoft. «Analysis of Reported Vulnerability in the Windows 2000 Encrypting File System (EFS)». 1999. http://www.microsoft.com/technet/security/news/analefs.mspx.

• Microsoft. «Description of NTFS Date and Time Stamps for Files and Folders». Microsoft Knowledge Base Article 299648, 2003. http://support.microsoft.com/ default.aspx?scid=kb;en-us;299648.

• Microsoft. «INFO: Understanding Encrypted Directories». Microsoft Knowledge Base Article 248723, 2003. http://support.microsoft.com/default.aspx?scid=kb;en-us;248723&sd=tech.

• Microsoft. «Overview of FAT, HPFS and NTFS File Systems». Microsoft Knowledge Base Article 100108, 2003. http://support.microsoft.com/default.aspx?scid=kb;EN-US;100108.

• Microsoft. «Windows NT 4.0 and Windows 2000 OEM Support Tools». February 2,2000. http://www.microsoft.com/downloads/details.aspx?FamilyId=82D6AB58-890C-405F-B532-B75lD9217CA4&displaylang=en.

• Microsoft. «Windows Server 2003 Technical Reference». Storage Technologies Collection Section, 2004. http://www.microsoft.com/resources/documentation/Windows-Serv/2003/aU/techref/en-us/Default.asp?url=/resources/documentation/windowsServ/ 2003/all/techref/en-us/W2K3TR_ntfs/intro.asp.

• Microsoft. «Windows XP Professional Resource Kit Documentation». Chapter 13-File Systems, 2004. http://www.microsoft.com/resources/documentation/Windows/XP/ aU/reskit/en-us/Default.asp?url=/resources/documentation/Windows/XP/all/reskit/en-us/prork_overview.asp.

• Microsoft MSDN Library. «Change Journals» 2004. http://msdn.microsoft.com/ Library/default.asp?url=/library/en-us/fUeio/base/change Journals, asp.

• Microsoft TechNet. «Encrypting File System in Windows XP and Windows Server 2003». 2002. http://www.microsoft.com/technet/prodtechnol/winxppro/deploy/cryptfs.-mspx#XSLTsectionl22121120120.

• Russinovich, Mark. «Inside Encrypting File System». Part 7, Windows and .NET Magazine Network, June 1999. http://www.winntmag.com/Artides/Print.cfm?ArtideID=5387.

• Russinovich, Mark. «Inside Encrypting File System». Part 2, Windows and.NET Magazine Network, July 1999. http://www.winntmag.com/Artides/Print.cfm7Ar-ticleID=5592.

• Russinovich, Mark. «Inside Win2K NTFS». Pan 1, Windows and .NET Magazine Network, November 2000. http://www.winntmag.com/Artides/Print.cfm?ArtideID=15719.

• Russinovich, Mark. «Inside Win2K NTFS». Part 2t Windows and .NET Magazine Network, Winter 2000. http://www.winntmag.com/Artides/Print.cfm?ArtideID=15900.

• Solomon, David, and Mark Russinovich. Inside Windows 2000. 3rd ed. Redmond: Microsoft Press. 2000.

Атрибуты индексов ntfs | Криминалистический анализ файловых систем | Ntfs: анализ


Криминалистический анализ файловых систем



Новости за месяц

  • Апрель
    2020
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31