Windows文件分析与事件日志解析全攻略
在Windows系统的分析工作中,文件分析和事件日志解析是非常重要的环节。通过对这些数据的深入研究,我们可以获取系统活动的关键信息,从而更好地理解系统的运行状态和可能存在的问题。
1. MFT与文件系统隧道机制
理解主文件表(MFT)对于文件分析至关重要。提取$SIA和$FNA时间戳进行比较分析只是一个示例,深入了解MFT的其他元素以及每个MFT记录的结构,能为我们提供有关各种文件状态的更多详细信息。
文件系统隧道机制是Windows文件系统中一个常被忽视但会影响时间戳的特性。该机制适用于文件分配表(FAT)和新技术文件系统(NTFS),微软知识库文章172190(http://support.microsoft.com/kb/172190)对其进行了描述。简单来说,在文件被删除后的特定时间段(默认15秒)内,文件表记录(FAT或MFT)会被同名文件复用,原文件的创建日期会被保留。这一特性旨在保持与执行“安全保存”操作的旧16位Windows应用程序的向后兼容性。
为了验证这一机制,我们进行了相关测试。在Windows XP SP3系统上,运行一个Perl脚本后,“kernel32.dll”的最后访问时间被修改,“test.txt”文件的时间戳也根据从“kernel32.dll”复制的时间戳进行了修改。使用FTK Imager从系统中提取MFT,并使用“mft.pl”提取信息,“test.txt”文件的信息如下(时间以UTC或“Zulu”格式显示):
70319 FILE Seq: 15 Link: 1 0x38 3 Flags: 1 0x0010 96 0 0x0000 0x000