Е.И. Духан – к.т.н., доцент, 

Уральский федеральный университет имени первого Президента России Б.Н. Ельцина (г. Екатеринбург)

Н.С. Князева – аспирант, 

Уральский федеральный университет имени первого Президента России Б.Н. Ельцина (г. Екатеринбург)

Постановка проблемы. Восстановление последовательности пользовательских действий или системных событий путем исследования метаданных файловой системы является малоизученной задачей, решением которой занимаются многие специалисты. К основным метаданным файловой системы относятся временные отметки. Временные отметки файлов могут храниться в различных областях файловой системы. Абсолютно все файлы имеют временные отметки внутри файловой записи таблицы MFT (Master File Table). Некоторые файлы содержат временные отметки внутри своей структуры. Эти временные отметки обновляются конкретной прикладной программой, закрепленной за данным форматом файла. Огромное количество временных отметок хранится в специальных системных файлах, необходимых для функционирования операционной системы. В данной статье изучаются временные отметки таблицы MFT, так как данный элемент является основной структурой данных файловой системы NTFS, без которого функционирование файловой системы невозможно. Обзор публикаций показывает высокий интерес к тематике анализа временных отметок, но большинство авторов рассматривают всего 3 или 4 временные отметки, содержащиеся в атрибутах таблицы $MFT, хотя для каждого файла содержится до 12 временных отметок в таблице MFT. Их наблюдения ограничиваются небольшим количеством файловых операций, а в качестве исследуемых объектов используются однотипные файлы, что не позволяет делать точные выводы при изучении механизмов изменения временных отметок. Таким образом необходимо разработать методику проведения исследования характера изменений временных отметок при выполнении файловых операций, так как неверно проведенные эксперименты могут привести к неправильным выводам.

Цель. Разработать методику исследования изменений временных отметок файловых объектов.

Результаты. Разработана методика исследования изменений временных отметок файловых объектов, в которой описаны этапы подготовки файловых объектов, проведения экспериментов и фиксирования результатов. Для наблюдения за формированием и обновлением временных отметок файлов в NTFS разработана консольная программа FTA (File Time Analyzer), которая для каждого файлового объекта находит и выводит 12 временных отметок из таблицы MFT. Полученные результаты наблюдений позволяют сделать вывод, что существуют закономерности в изменениях временных отметках файлов при совершении над ними операций. Многие файловые операции уникально влияют на характер изменений временных отметок. На основе наблюдений за временными отметками сформирована сводная таблица изменения временных отметок для файловой системы NTFS и ОС Windows XP, 7, 8 10. 

Практическая значимость. На основе результатов исследований изменений временных отметок создана модель процесса изменения временных отметок и методика проведения ретроспективного анализа файловых объектов. Для автоматизации методики восстановления последовательности файловых операций разработана программа, которая успешно используется при проведении компьютерных исследований.

1. Кэрриэ Б. Криминалистический анализ файловых систем. СПб.: Питер. 2007. 480 с.
2. Chow K., Law F., Kwan M., Lai K. The Rules of Time on NTFS File System // Second International Workshop on Systematic Approaches to Digital Forensic Engineering. 2007. URL = i.cs.hku.hk/cisc/forensics/papers/RuleOfTime.pdf (дата обращения: 03.06.2019).
3. Матвеева В.С. Криминалистический подход к анализу временных атрибутов файлов в операционной системе семейства Microsoft Windows и файловой системе NTFS // Безопасность информационных технологий. 2013. № 1.
4. Minnaard W. Timestomping NTFS. 2014. URL = http://www.delaat.net/rp/2013−2014/p48/report.pdf (03.06.2019).
5. Knutson T. Filesystem Timestamps: What Makes Them Tick? 2016.  URL = https://www.sans.org/reading-room/whitepapers/forensics/filesystem-timestamps-tick-36842 (дата обращения 03.06.2019).
6. NtfsDisableLastAccessUpdate. URL = https://technet.microsoft.com/en-us/library/cc959914.aspx (дата обращения 03.06.2019).
7. Руссинович М., Соломон Д., Ионеску А., Йосифович П. Внутреннее устройство Windows. Изд. 7-е. СПб.: Питер. 2018. 944 с.
8. https://docs.microsoft.com/en-us/sysinternals/downloads/clockres+ (дата обращения 03.06.2019).