11、Windows文件分析与事件日志解析全攻略

Windows文件分析与事件日志解析全攻略

在Windows系统的分析工作中，文件分析和事件日志解析是非常重要的环节。通过对这些数据的深入研究，我们可以获取系统活动的关键信息，从而更好地理解系统的运行状态和可能存在的问题。

1. MFT与文件系统隧道机制

理解主文件表（MFT）对于文件分析至关重要。提取$SIA和$FNA时间戳进行比较分析只是一个示例，深入了解MFT的其他元素以及每个MFT记录的结构，能为我们提供有关各种文件状态的更多详细信息。

文件系统隧道机制是Windows文件系统中一个常被忽视但会影响时间戳的特性。该机制适用于文件分配表（FAT）和新技术文件系统（NTFS），微软知识库文章172190（http://support.microsoft.com/kb/172190）对其进行了描述。简单来说，在文件被删除后的特定时间段（默认15秒）内，文件表记录（FAT或MFT）会被同名文件复用，原文件的创建日期会被保留。这一特性旨在保持与执行“安全保存”操作的旧16位Windows应用程序的向后兼容性。

为了验证这一机制，我们进行了相关测试。在Windows XP SP3系统上，运行一个Perl脚本后，“kernel32.dll”的最后访问时间被修改，“test.txt”文件的时间戳也根据从“kernel32.dll”复制的时间戳进行了修改。使用FTK Imager从系统中提取MFT，并使用“mft.pl”提取信息，“test.txt”文件的信息如下（时间以UTC或“Zulu”格式显示）：

70319 FILE Seq: 15 Link: 1 0x38 3 Flags: 1 0x0010 96 0 0x0000 0x000