МЕТОДИКА И РЕЗУЛЬТАТЫ ИССЛЕДОВАНИЯ ИЗМЕНЕНИЙ ВРЕМЕННЫХ ОТМЕТОК ФАЙЛОВЫХ ОБЪЕКТОВ

Результат исследований: Вклад в журналСтатья

Аннотация

Постановка проблемы. Восстановление последовательности пользовательских действий или системных событий путем исследования метаданных файловой системы является малоизученной задачей, решением которой занимаются многие специалисты. К основным метаданным файловой системы относятся временные отметки. Временные отметки файлов могут храниться в различных областях файловой системы. Абсолютно все файлы имеют временные отметки внутри файловой записи таблицы MFT (Master File Table). Некоторые файлы содержат временные отметки внутри своей структуры. Эти временные отметки обновляются конкретной прикладной программой, закрепленной за данным форматом файла. Огромное количество временных отметок хранится в специальных системных файлах, необходимых для функционирования операционной системы. В данной статье изучаются временные отметки таблицы MFT, так как данный элемент является основной структурой данных файловой системы NTFS, без которого функционирование файловой системы невозможно. Обзор публикаций показывает высокий интерес к тематике анализа временных отметок, но большинство авторов рассматривают всего 3 или 4 временные отметки, содержащиеся в атрибутах таблицы $MFT, хотя для каждого файла содержится до 12 временных отметок в таблице MFT. Их наблюдения ограничиваются небольшим количеством файловых операций, а в качестве исследуемых объектов используются однотипные файлы, что не позволяет делать точные выводы при изучении механизмов изменения временных отметок. Таким образом необходимо разработать методику проведения исследования характера изменений временных отметок при выполнении файловых операций, так как неверно проведенные эксперименты могут привести к неправильным выводам. Цель. Разработать методику исследования изменений временных отметок файловых объектов. Результаты. Разработана методика исследования изменений временных отметок файловых объектов, в которой описаны этапы подготовки файловых объектов, проведения экспериментов и фиксирования результатов. Для наблюдения за формированием и обновлением временных отметок файлов в NTFS разработана консольная программа FTA (File Time Analyzer), которая для каждого файлового объекта находит и выводит 12 временных отметок из таблицы MFT. Полученные результаты наблюдений позволяют сделать вывод, что существуют закономерности в изменениях временных отметках файлов при совершении над ними операций. Многие файловые операции уникально влияют на характер изменений временных отметок. На основе наблюдений за временными отметками сформирована сводная таблица изменения временных отметок для файловой системы NTFS и ОС Windows XP, 7, 8 10. Практическая значимость. На основе результатов исследований изменений временных отметок создана модель процесса изменения временных отметок и методика проведения ретроспективного анализа файловых объектов. Для автоматизации методики восстановления последовательности файловых операций разработана программа, которая успешно используется при проведении компьютерных исследований.
Переведенное названиеMethodology for the study of changes in timestamps of file objects
Язык оригиналаРусский
Страницы (с-по)64-72
Число страниц9
ЖурналРадиотехника
Том84
Номер выпуска2 (4)
DOI
СостояниеОпубликовано - 2020

ГРНТИ

  • 81.93.00 Безопасность. Аварийно-спасательные службы

Уровень публикации

  • Перечень ВАК

Fingerprint Подробные сведения о темах исследования «МЕТОДИКА И РЕЗУЛЬТАТЫ ИССЛЕДОВАНИЯ ИЗМЕНЕНИЙ ВРЕМЕННЫХ ОТМЕТОК ФАЙЛОВЫХ ОБЪЕКТОВ». Вместе они формируют уникальный семантический отпечаток (fingerprint).

Цитировать