電子取證中的時間作用以及USN日誌、ADS數據流

*取證中的時間及作用

一、 取證中經常需要用到各種時間來分析嫌疑人的行爲軌跡。
比如可以獲取文件的
1、創建時間 2、修改時間 3、訪問時間 4、記錄更新
二、 可以從註冊表中獲取：
1、登錄 2、關機 3、系統安裝 4、程序安裝 5、連接設備
6、訪問文件
三、 從日誌中獲取以下時間：
1、開機 2、關機 3、程序運行 4、系統報錯 5、各種修改
四、 從APP中得到如下時間：
1、瀏覽 2、下載 3、上傳 4、安裝 5、卸載 6、郵件
7、聊天 8、日程
五、 但是，有些時間無法直接獲得：
1、刪除文件和目錄(未經回收站) 2、重命名 3、文件移動 4、磁盤格式化 5、多次打開同一個目錄 6、多次運行程序
7、臨時文件痕跡 8、刪除的聊天記錄 9、擦除和覆蓋
六、 通過時間可以體現出事件的關聯：
1、惡意代碼的生長週期 2、竊取數據的具體過程
3、創建、打開、修改的經過 4、拷貝、移動、刪除的行爲
5、文件的下載、上傳、發送 6、程序運行、位置和次數
7、動作的先後順序
（在取證大師和法證通、火眼裏，都有時間線分析方法）
七、 時間屬性：創建時間、訪問時間、修改時間、內容修改時間
（這些文件的時間屬性我們從usn日誌中、資源管理器和lnk文件都可以找到）

NTFS中的USN日誌**

一、 日誌：
●在安全領域，日誌系統的重要地位非常明顯，可以說是安全審計方面最主要的工具之一。簡單地說，日誌和我們平時所做的日記是差不多，都是把自己一些信息記錄下來，方便以後查看。
二、 USN是Update Service Number Journal的英文縮寫，是對NTFS卷中所修改過的信息進行相關記錄的功能。微軟發佈Windows 2000時，建立NTFS 5.0的同時，加入了一些新功能和改進了舊版本的文件系統，加入了USN日誌功能。USN日誌可以在分區中設置監視更改的文件和目錄的數量，記錄下監視對象修改時間和修改內容。當這個功能啓用時，對於每一個NTFS卷，當發生有關添加、刪除和修改文件的信息時，NTFS都使用USN日誌記錄下來。
三、 USN日誌的工作方式，相對來說很簡單。它開始的時候是一個空文件，包括NTFS卷的信息。每當NTFS卷有改變的時候，改變的信息會馬上被添加到這個文件裏。
四、 USN日誌的查看方式
（USN的位置：$Extend$UsnJrnl:$J） 1、X-Ways Forensics，可解析$UsnJrnl:$J，具體效果參見視頻。 ●在磁盤快照中，選擇解析文件元數據，包含有$UsnJrn|: $J解析、預覽的功能 2、法證通試用版 先解析$J，再查看。
用這種辦法很方便，可以進行文件名過濾，就可以看出某個文件的變化歷程。所以，從這點上看，法證通比xways更方便。
3.用dos命令
使用命令（管理員） fsutil usn readjournal c: csv >1.csv 提取USN記錄，輸出爲一個csv。
4. 用工具
用winhex或者取證軟件或者其他工具導出$UsnJrnl後，再用UsnJrnl2Csv-master進行轉換成csv文件。
（但是這個我覺得比較麻煩，還不如DOS命令來得快）。
5. 另外，winhex和取證軟件都可以找到這個日誌文件，但是有些軟件不能解析，那就可以導出來，用UsnJrnl2Csv-mastr轉換成csv，也就是excel文件查看。

ADS數據流

一、 USN日誌文件 $UsnJrnl:$J 中， $表示的NTFS系統文件，這裏的冒號就是表示ADS數據流。
二、 NTFS數據流從Windows NT 3.1開始被引入，起初設計目的是爲了Services for Macintosh (SFM) 能夠正確存儲Macintosh的資源分岔。
三、 ADS全名叫做Alternate data streams, 是NTFS的一個特性，它允許除一個文件主流之外，還可以擁有很多其他流，這些其他流我們在資源管理器中是看不到的。
四、 可選數據流使單個文件可以關聯到多個數據流。NTFS數據流的表述方式爲“文件名:流名"，例如"text.txt:extrastream"。 可選數據流不會顯示在Windows資源管理器中，也不會算入查看文件屬性時顯示的文件大小。
五、 注意: 如果將文件複製到FAT格式的磁盤、附加到電子郵件、上傳到網站， 或者移動到任何其它不支持可選流的位置上時，則只有主數據流會被保留下來，其它可選流將被全部丟棄，因此使用可選流來保存重要數據很可能會發生意外。）
六、 ADS是NTFS基礎結構的固有部分，是不可被禁用的，是幾乎不可知的，是隱藏的。
ADS能夠包含程序代碼 必須通過防病毒處理.
（我們上面的usn日誌，其實就是用數據流的方式來保存文件的日誌的）
七、除了USN日誌用到了ADS數據流，還有其他一些大家可以接觸到的情況
IE瀏覽器:
下載某些可信的文件時，會包含名爲“Zone. Identifier”的ADS流文件。
0ffice:
Office會識別下載文件中的“Zone.Identifier”數據流，並以“保護模式視圖”安全地打開該文檔。
Local Intranet Zone:本地局域網
Trusted Sites Zone:信任的網站
Internet Zone：網絡
Restricted Sites Zone :限制的網站
Local Machine Zone:本機
八.對於其他的情況：
1）dos裏用dir /r查看，顯示的信息太少
具體有多少，自己去實驗
2）AlternateStreamView 小工具可以掃描數據流 顯示信息 多 還可以刪除，
當然也還有其他小工具
3）微軟的Streams命令
具體運行效果也要自己去做了才知道。
（這裏的例子，就是先把2.pptx寫入1.txt裏，相當於2是1的一個數據流，就好比1的很多其他屬性流一樣，然後又把1寫到4裏面，相當於4.jpg裏有了ads數據流，可以用dir /r去查看，還可以用notepad去打開1.txt。）
九. 如果電腦裏沒有流文件，就自己用dos去寫入流，然後去查看。也可以用AlternateStreamView去刪除文件中的某個流。