Sleuth Kit中文使用教程NTFS實施說明
介紹
在NTFS文件系統中的所有關鍵的Microsoft Windows系統中使用。它是一個高級文件系統,與原始TCT所設計的UNIX文件系統明顯不同。本文檔簡要概述了NTFS及其實現方式。最大的區別是在指定元數據結構時使用備用數據流(ADS)。
Sleuth Kit允許您以與任何UNIX映像相同的方式研究NTFS映像,包括:
- 創建文件活動 的ASCII 時間軸
- 群集分析以及群集和MFT條目之間的映射
- MFT分析以及MFT條目和文件名之間的映射
- 文件和目錄級別分析,包括已刪除的文件
元數據地址
Sleuth套件允許您查看NTFS結構的所有方面。它使用特殊的元數據地址格式來執行此操作。在UNIX中,您僅需要引用索引節點號,因為該文件只有一個內容。使用NTFS,可以只指定MFT編號,并使用默認的數據屬性,也可以通過將其添加到MFT條目的末尾(例如36-128)來指定類型。如果存在多個相同類型的屬性,則可以在類型之后使用id,例如36-128-5。
所有Sleuth Kit工具都可以采用上述任何格式的MFT值,并且這些工具的輸出也將采用上述格式之一。例如,istat工具將列出文件具有的所有屬性。要獲取MFT條目49的詳細信息,請使用:
# istat -f ntfs ntfs.dd 49
MFT Entry: 49
Sequence: 2
Allocated
UID: 0
DOS Mode: File
Size: 15
Links: 1
Name: multiple.txt
$STANDARD_INFORMATION Times:
File Modified: Mon Nov 5 19:58:27 2001
MFT Modified: Mon Nov 5 19:58:27 2001
Accessed: Mon Nov 5 19:58:27 2001
$FILE_NAME Times:
Created: Mon Nov 5 19:57:29 2001
File Modified: Mon Nov 5 19:57:29 2001
MFT Modified: Mon Nov 5 19:57:29 2001
Accessed: Mon Nov 5 19:57:29 2001
Attributes:
Type: $STANDARD_INFORMATION (16-0) Name: N/A Resident size: 72
Type: $FILE_NAME (48-2) Name: N/A Resident size: 90
Type: $OBJECT_ID (64-3) Name: N/A Resident size: 16
Type: $DATA (128-1) Name: $Data Resident size: 15
Type: $DATA (128-5) Name: overhere Resident size: 26我們看到它有5個屬性,它們都是常駐的(注意小尺寸)。其中兩個屬性是$ DATA屬性(128-1和128-5)。128-1的全名是“ multiple.txt”,128-5的全名是“ multiple.txt:overhere”。
以下命令將顯示默認數據屬性(128-1):
#icat -f ntfs ntfs.dd 49 以下是相同的:
#icat -f ntfs ntfs.dd 49-128-1 下面顯示了另一個數據流:
#icat -f ntfs ntfs.dd 49-128-5 作為另一個示例,可以使用以下命令查看$ FILE_NAME屬性的原始格式:
#icat -f ntfs ntfs.dd 49-48-2 上面命令的輸出將是UNICODE字符和其他二進制數據的組合(我建議僅將istat命令的輸出用于此類數據)。
fls命令 的輸出類似:
# fls -f ntfs ntfs.dd
<...>
r/r 48-128-1: test-1.txt
r/r 49-128-1: multiple.txt
r/r 49-128-5: multiple.txt:NEW
r/r 50-128-1: test-2.txt
<...>這使您可以輕松識別所有數據流。
請注意,驗尸可以為您自動執行此過程,并允許您查看所有屬性。
http://www.sleuthkit.org/autopsy
TSK目前無法執行的操作
The Sleuth Kit尚不能使用NTFS進行以下操作:
- 安全描述符尚未分析。因此,無法顯示該對象的確切ACL。
- 不支持由除文件名以外的描述符建立索引的目錄。
- 不支持加密的文件
推薦文章: