电子取证中的时间作用以及USN日志、ADS数据流

*取证中的时间及作用

一、 取证中经常需要用到各种时间来分析嫌疑人的行为轨迹。
比如可以获取文件的
1、创建时间 2、修改时间 3、访问时间 4、记录更新
二、 可以从注册表中获取：
1、登录 2、关机 3、系统安装 4、程序安装 5、连接设备
6、访问文件
三、 从日志中获取以下时间：
1、开机 2、关机 3、程序运行 4、系统报错 5、各种修改
四、 从APP中得到如下时间：
1、浏览 2、下载 3、上传 4、安装 5、卸载 6、邮件
7、聊天 8、日程
五、 但是，有些时间无法直接获得：
1、删除文件和目录(未经回收站) 2、重命名 3、文件移动 4、磁盘格式化 5、多次打开同一个目录 6、多次运行程序
7、临时文件痕迹 8、删除的聊天记录 9、擦除和覆盖
六、 通过时间可以体现出事件的关联：
1、恶意代码的生长周期 2、窃取数据的具体过程
3、创建、打开、修改的经过 4、拷贝、移动、删除的行为
5、文件的下载、上传、发送 6、程序运行、位置和次数
7、动作的先后顺序
（在取证大师和法证通、火眼里，都有时间线分析方法）
七、 时间属性：创建时间、访问时间、修改时间、内容修改时间
（这些文件的时间属性我们从usn日志中、资源管理器和lnk文件都可以找到）

NTFS中的USN日志**

一、 日志：
●在安全领域，日志系统的重要地位非常明显，可以说是安全审计方面最主要的工具之一。简单地说，日志和我们平时所做的日记是差不多，都是把自己一些信息记录下来，方便以后查看。
二、 USN是Update Service Number Journal的英文缩写，是对NTFS卷中所修改过的信息进行相关记录的功能。微软发布Windows 2000时，建立NTFS 5.0的同时，加入了一些新功能和改进了旧版本的文件系统，加入了USN日志功能。USN日志可以在分区中设置监视更改的文件和目录的数量，记录下监视对象修改时间和修改内容。当这个功能启用时，对于每一个NTFS卷，当发生有关添加、删除和修改文件的信息时，NTFS都使用USN日志记录下来。
三、 USN日志的工作方式，相对来说很简单。它开始的时候是一个空文件，包括NTFS卷的信息。每当NTFS卷有改变的时候，改变的信息会马上被添加到这个文件里。
四、 USN日志的查看方式
（USN的位置：$Extend$UsnJrnl:$J） 1、X-Ways Forensics，可解析$UsnJrnl:$J，具体效果参见视频。 ●在磁盘快照中，选择解析文件元数据，包含有$UsnJrn|: $J解析、预览的功能 2、法证通试用版 先解析$J，再查看。
用这种办法很方便，可以进行文件名过滤，就可以看出某个文件的变化历程。所以，从这点上看，法证通比xways更方便。
3.用dos命令
使用命令（管理员） fsutil usn readjournal c: csv >1.csv 提取USN记录，输出为一个csv。
4. 用工具
用winhex或者取证软件或者其他工具导出$UsnJrnl后，再用UsnJrnl2Csv-master进行转换成csv文件。
（但是这个我觉得比较麻烦，还不如DOS命令来得快）。
5. 另外，winhex和取证软件都可以找到这个日志文件，但是有些软件不能解析，那就可以导出来，用UsnJrnl2Csv-mastr转换成csv，也就是excel文件查看。

ADS数据流

一、 USN日志文件 $UsnJrnl:$J 中， $表示的NTFS系统文件，这里的冒号就是表示ADS数据流。
二、 NTFS数据流从Windows NT 3.1开始被引入，起初设计目的是为了Services for Macintosh (SFM) 能够正确存储Macintosh的资源分岔。
三、 ADS全名叫做Alternate data streams, 是NTFS的一个特性，它允许除一个文件主流之外，还可以拥有很多其他流，这些其他流我们在资源管理器中是看不到的。
四、 可选数据流使单个文件可以关联到多个数据流。NTFS数据流的表述方式为“文件名:流名"，例如"text.txt:extrastream"。 可选数据流不会显示在Windows资源管理器中，也不会算入查看文件属性时显示的文件大小。
五、 注意: 如果将文件复制到FAT格式的磁盘、附加到电子邮件、上传到网站， 或者移动到任何其它不支持可选流的位置上时，则只有主数据流会被保留下来，其它可选流将被全部丢弃，因此使用可选流来保存重要数据很可能会发生意外。）
六、 ADS是NTFS基础结构的固有部分，是不可被禁用的，是几乎不可知的，是隐藏的。
ADS能够包含程序代码 必须通过防病毒处理.
（我们上面的usn日志，其实就是用数据流的方式来保存文件的日志的）
七、除了USN日志用到了ADS数据流，还有其他一些大家可以接触到的情况
IE浏览器:
下载某些可信的文件时，会包含名为“Zone. Identifier”的ADS流文件。
0ffice:
Office会识别下载文件中的“Zone.Identifier”数据流，并以“保护模式视图”安全地打开该文档。
Local Intranet Zone:本地局域网
Trusted Sites Zone:信任的网站
Internet Zone：网络
Restricted Sites Zone :限制的网站
Local Machine Zone:本机
八.对于其他的情况：
1）dos里用dir /r查看，显示的信息太少
具体有多少，自己去实验
2）AlternateStreamView 小工具可以扫描数据流 显示信息 多 还可以删除，
当然也还有其他小工具
3）微软的Streams命令
具体运行效果也要自己去做了才知道。
（这里的例子，就是先把2.pptx写入1.txt里，相当于2是1的一个数据流，就好比1的很多其他属性流一样，然后又把1写到4里面，相当于4.jpg里有了ads数据流，可以用dir /r去查看，还可以用notepad去打开1.txt。）
九. 如果电脑里没有流文件，就自己用dos去写入流，然后去查看。也可以用AlternateStreamView去删除文件中的某个流。