КРИМИНАЛИСТИЧЕСКИЙ ПОДХОД К АНАЛИЗУ ВРЕМЕННЫХ АТРИБУТОВ ФАЙЛОВ В ОПЕРАЦИОННОЙ СИСТЕМЕ СЕМЕЙСТВА MICROSOFT WINDOWS И ФАЙЛОВОЙ СИСТЕМЕ NTFS
14 сентября 2018
436
Предметная область | — |
Выходные данные | — |
Ключевые слова | — |
Вид публикации | Статья |
Контактные данные автора публикации | МАТВЕЕВА ВЕСТА СЕРГЕЕВНА1, МАМАЕВ АЛЕКСАНДР ВЛАДИМИРОВИЧ |
Ссылка на публикацию в интернете | elibrary.ru/item.asp?id=21003152 |
Аннотация
ЖУРНАЛ:
БЕЗОПАСНОСТЬ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ
Издательство: Всероссийский научно-исследовательский институт проблем вычислительной техники и информатизации (Москва)
ISSN: 2074-7128
КЛЮЧЕВЫЕ СЛОВА:
TIMESTAMPS, ФАЙЛОВАЯ ЗАПИСЬ, FILE RECORD, ГЛАВНАЯ ФАЙЛОВАЯ ТАБЛИЦА, MASTER FILE TABLE, КОМПЬЮТЕРНАЯ КРИМИНАЛИСТИКА, COMPUTER FORENSICS, ВРЕМЕННЫЕ АТРИБУТЫ
АННОТАЦИЯ:
Все существующие средства просмотра содержимого файловых систем отображают три временных атрибута (дата и время создания, последнего изменения и последнего доступа к файлу) в файловой системе NTFS. На сегодняшний день разработано много программных средств, которые позволяют произвести подмену этих атрибутов с целью запутывания следов работы с файлами или «подражания» системным файлам. Однако для каждого файла таких атрибутов ровно 8, и это позволяет произвести дополнительный анализ для выявления фактов подмены. Так как существует ряд тонкостей при таком анализе, предложен метод определения оригинальных временных атрибутов, и его автоматизация для возможности обработки большого количества файлов.
ПодробнееБЕЗОПАСНОСТЬ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ
Издательство: Всероссийский научно-исследовательский институт проблем вычислительной техники и информатизации (Москва)
ISSN: 2074-7128
КЛЮЧЕВЫЕ СЛОВА:
TIMESTAMPS, ФАЙЛОВАЯ ЗАПИСЬ, FILE RECORD, ГЛАВНАЯ ФАЙЛОВАЯ ТАБЛИЦА, MASTER FILE TABLE, КОМПЬЮТЕРНАЯ КРИМИНАЛИСТИКА, COMPUTER FORENSICS, ВРЕМЕННЫЕ АТРИБУТЫ
АННОТАЦИЯ:
Все существующие средства просмотра содержимого файловых систем отображают три временных атрибута (дата и время создания, последнего изменения и последнего доступа к файлу) в файловой системе NTFS. На сегодняшний день разработано много программных средств, которые позволяют произвести подмену этих атрибутов с целью запутывания следов работы с файлами или «подражания» системным файлам. Однако для каждого файла таких атрибутов ровно 8, и это позволяет произвести дополнительный анализ для выявления фактов подмены. Так как существует ряд тонкостей при таком анализе, предложен метод определения оригинальных временных атрибутов, и его автоматизация для возможности обработки большого количества файлов.
Для того чтобы оставить комментарий необходимо авторизоваться.