超级会员免费看
数字取证与协作标签:技术剖析与应用探索
1. 微软Windows Vista系统的取证工件
在数字取证领域,微软Windows Vista系统存在着多种具有重要价值的取证工件。下面将详细介绍这些工件的相关信息。
1.1 回收站支持文件
回收站支持文件未记录原始文件的逻辑文件大小,而这一信息对调查人员追踪特定文件可能有帮助。即便用户清空回收站导致文件从文件系统删除,Vista系统也不会改变主文件表(MFT)中的条目,数据属性在删除过程中保持完整。取证人员可解析文件系统或$MFT来定位已删除的支持文件条目,在某些情况下,还能在$Logfile、MFT记录空闲空间、文件空闲空间或未分配簇中找到支持文件的部分数据。
支持文件的偏移量及对应值如下表所示:
| 文件偏移量 | 字节数 | 值 | 数据 |
| — | — | — | — |
| 0 | 8 | 0x0000000000000001 | 支持文件 - 文件头 |
| 8 | 8 | 64位小端字节序 | 十六进制转十进制 = 原始文件的逻辑文件大小(字节) |
| 16 | 8 | FILETIME日期/时间 | 文件/文件夹/对象的删除日期和时间 |
| 24 | 520(最大) | Unicode | 已删除文件的完整路径和文件名 |
1.2 缩略图缓存
在Windows 2000/XP/2003系统中,以缩略图视图查看文件夹时,会生成名为thumbs.db的缩略图数据库文件。该文件包含文件名、最后写入日期/时间以及JPEG格式的小缩略图图像。使用EnCase或AccessData的FTK等取证软件可对其内容进行
订阅专栏 解锁全文
扫一扫
8
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
