作者:誠信網安--葉子
【51CTO.com 專家特稿】近幾年計算機網路的高速發展,各個行業的業務都依懶於計算機的應用。從而導致
各個行業涉及計算機、區域網、網際網路的高科技犯罪、商業欺詐、白領犯罪等行為越來越多,因此有越來越多的諮詢顧問公司、商業調查機構、會計師行、私人調查
公司開始從事計算機取證服務。在國際上,軍隊、警察、海關、反貪、金融、稅務、律師、保險等部門是電子證據的主要應用部門。計算機取證的應用已經成為一門
專用的學科了。
各個行業涉及計算機、區域網、網際網路的高科技犯罪、商業欺詐、白領犯罪等行為越來越多,因此有越來越多的諮詢顧問公司、商業調查機構、會計師行、私人調查
公司開始從事計算機取證服務。在國際上,軍隊、警察、海關、反貪、金融、稅務、律師、保險等部門是電子證據的主要應用部門。計算機取證的應用已經成為一門
專用的學科了。
計算機取證與真實生活中的偵探工作很相似――當一個人被殺後,偵探會開始一系列的調查工作:首先,保護和隔離犯罪現場;然後,拍照並作記錄;最後,
開始調查並收集和整理所有能發現的證據。計算機取證分析的主要目的是儘可能真實地恢復出過去發生的事情。在取證過程中,案發的時間資訊是非常關鍵的,可以
在做出最後判斷之前將各種可能得到的資訊關聯起來。在本篇文章中,葉子淺析計算機取證中的MACtimes概念及其罪犯可能利用相關的工具進行修改
MACtimes資訊的例子。
開始調查並收集和整理所有能發現的證據。計算機取證分析的主要目的是儘可能真實地恢復出過去發生的事情。在取證過程中,案發的時間資訊是非常關鍵的,可以
在做出最後判斷之前將各種可能得到的資訊關聯起來。在本篇文章中,葉子淺析計算機取證中的MACtimes概念及其罪犯可能利用相關的工具進行修改
MACtimes資訊的例子。
什麼是MACtimes?MACtimes是檔案系統後設資料記錄,記錄檔案的最後建立、修改、訪問的時間,分別稱為“create time(ctime)”、“Modify time(mtime)”、“access time(atime)”。
在MACtimes中的 Mtime指最後修改的時間; Atime指最後訪問的時間; Ctime指最後狀態改變的時間。MACtimes是資料
偵察工具中最有價值的取證工具,利用它可以完成許多功能:研究網路或計算機被侵入的過程,理解系統的行為,提供保護系統的建議,跟蹤使用者的行為等。因此在
案件發生後,對計算機進行相關的取證,除了及時收及一些易丟失的證據外,還可以利用MACtimes從執行著的系統中獲取資訊,也可以從硬碟中獲取(通過
mount掛上該硬碟)。讀取資料的機器不需要和產生MACtimes資料的機器擁有相同的作業系統。Windows檔案系統有4個時間屬性:
changetime、creationtime、lastaccesstime、lastwritetime,Linux還有dtime屬性(刪除檔案
的時間屬性,僅存在Linux系統中)。
偵察工具中最有價值的取證工具,利用它可以完成許多功能:研究網路或計算機被侵入的過程,理解系統的行為,提供保護系統的建議,跟蹤使用者的行為等。因此在
案件發生後,對計算機進行相關的取證,除了及時收及一些易丟失的證據外,還可以利用MACtimes從執行著的系統中獲取資訊,也可以從硬碟中獲取(通過
mount掛上該硬碟)。讀取資料的機器不需要和產生MACtimes資料的機器擁有相同的作業系統。Windows檔案系統有4個時間屬性:
changetime、creationtime、lastaccesstime、lastwritetime,Linux還有dtime屬性(刪除檔案
的時間屬性,僅存在Linux系統中)。
mtime (modify time)反映的是檔案資料最後被修改的時間,系統呼叫比如write, trucate, mknod
都會改變mtime。Mtime屬性只能記錄最後一次的檔案內容修改的時間,之前的檔案內容修改的時間則無法記錄。一些***程式通過動態庫的形式注入到系
統程式時,則會修改相關係統程式的Mtime時間屬性。ctime(change
time)反映的是檔案的inode結構最後被改變的時間,檔案在建立時產生的時間資訊。atime(access
time)反映的是檔案資料最後被訪問的時間。當系統呼叫execve, read, mknode, utime,
pipe等都會修改atime。如果直接訪問檔案檢視atime的屬性,則會是當前訪問檔案的時間屬性。
都會改變mtime。Mtime屬性只能記錄最後一次的檔案內容修改的時間,之前的檔案內容修改的時間則無法記錄。一些***程式通過動態庫的形式注入到系
統程式時,則會修改相關係統程式的Mtime時間屬性。ctime(change
time)反映的是檔案的inode結構最後被改變的時間,檔案在建立時產生的時間資訊。atime(access
time)反映的是檔案資料最後被訪問的時間。當系統呼叫execve, read, mknode, utime,
pipe等都會修改atime。如果直接訪問檔案檢視atime的屬性,則會是當前訪問檔案的時間屬性。
雖然MACtimes很有用,但它還是存在著一些問題:它只能記錄檔案的最後時間,因此不能瞭解檔案或目錄的歷
史行為。比如一個程式能夠被執行1000次,而用MACtimes只能看到最後一次的記錄。MACtimes中的三個時間很容易被修改,很多是在使用者並不
希望發生的情況下出現的,如一些誤操作。另外MACtimes也是比較容易被偽造的,WinNT提供了用來修改ctimes的SetFileTime()
命令等。
史行為。比如一個程式能夠被執行1000次,而用MACtimes只能看到最後一次的記錄。MACtimes中的三個時間很容易被修改,很多是在使用者並不
希望發生的情況下出現的,如一些誤操作。另外MACtimes也是比較容易被偽造的,WinNT提供了用來修改ctimes的SetFileTime()
命令等。
為了最大限度地利用MACtimes,最好將MACtimes與其他資訊收集方法結合起來,如:執行程式,程式統計,系統和程式的日誌,核心審計和通常的審計等。
在認識了計算機取證的MACtimes知識後,葉子舉例說明在Windows平臺上修改相關的MACtimes的資訊內容。先從
Metasploit網站上的Anti-Forensic專案中下載Timestomp工具,下載連結:http:
//www.metasploit.com/research/projects/antiforensics/。Timestomp工具是針對
Windows系統的NTFS檔案格式的時間戳的MAC times的修改。
Metasploit網站上的Anti-Forensic專案中下載Timestomp工具,下載連結:http:
//www.metasploit.com/research/projects/antiforensics/。Timestomp工具是針對
Windows系統的NTFS檔案格式的時間戳的MAC times的修改。
◆例如種植***到系統的system32目錄中,其檔案FNTCHCHE.DAT的相關MAC times如下圖所示,建立時間為2008年4月8日,修改時間為2008年5月20日。
 |
| 圖1 |
◆由於檔案產生的時間比較接近當前的時間,容易被有經驗的管理人員發現,因此需要用到Timestomp工具進行修改時間,Timestomp執行如下圖所示,timestomp工具可以修改檔案最後寫的時間,最後訪問的時間,建立的時間等功能。
 |
| 圖2 |
◆使用命令“timestomp targetfile.txt –m“ Monday 12/15/2005 8:00:00 PM””的操作,修改最後修改的時間資訊。如下圖所示:
 |
| 圖3 |
檢視檔案的修改時間屬性,已被修改為2005年12月15日,如下圖所示:
 |
| 圖4 |
◆再利用工具修改建立時間等操作,如下圖所示:
 |
| 圖5 |
◆修改後的檔案時間屬性中的建立時間和修改時間,如下圖所示:
 |
| 圖6 |
◆檔案的建立時間和修改時間已被修改,則會造成加大取證分析的難度。
誠信網安的葉子在本篇檔案中初步介紹了MACtimes的基本概念,以及在Window系統上利用timestomp工具修改MACtimes的屬性。至於Linux系統及其它系統上對MACtimes屬性的修改,則在以後的其它文章中進一步深入的分析介紹。
【51CTO.COM 獨家特稿,需經書面許可才可轉載!】