КРИМИНАЛИСТИЧЕСКИЙ ПОДХОД К АНАЛИЗУ ВРЕМЕННЫХ АТРИБУТОВ ФАЙЛОВ В ОПЕРАЦИОННОЙ СИСТЕМЕ СЕМЕЙСТВА MICROSOFT WINDOWS И ФАЙЛОВОЙ СИСТЕМЕ NTFS
Аннотация
Все существующие средства просмотра содержимого файловых систем отображают три временных атрибута (дата и время создания, последнего изменения и последнего доступа к файлу) в файловой системе NTFS. На сегодняшний день разработано много программных средств, которые позволяют произвести подмену этих атрибутов с целью запутывания следов работы с файлами или «подражания» системным файлам. Однако для каждого файла таких атрибутов ровно 8, и это позволяет произвести дополнительный анализ для выявления фактов подмены. Так как существует ряд тонкостей при таком анализе, предложен метод определения оригинальных временных атрибутов, и его автоматизация для возможности обработки большого количества файлов.
Ключевые слова
временные атрибуты; файловая запись; главная файловая таблица; компьютерная криминалистика
Полный текст:
PDFЛитература
1 Lee R. Windows 7 MFT Entry Timestamp Properties [Электронный ресурс]: международные публикации по компьютерной криминалистике. SANS Forensics Community, 2010. URL: http://computer-forensics.sans.org/blog/2010/04/12/windows-7-mft-entry-timestamp-properties. (дата обращения: 29.12.2012 г.).
2 Carrier B. File System Forensic Analysis. Addison Wesley Professional (издательство), 2005. 400 — 502 р.
Ссылки
- На текущий момент ссылки отсутствуют.
Это произведение доступно по лицензии Creative Commons «Attribution» («Атрибуция») 4.0 Всемирная.