信息安全与通信保密
信息安全與通信保密
신식안전여통신보밀
CHINA INFORMATION SECURITY
2014年
9期
108-112
,共5页
胡壮%张俊%麦永浩%姚秋凤%杨超%杨佳
鬍壯%張俊%麥永浩%姚鞦鳳%楊超%楊佳
호장%장준%맥영호%요추봉%양초%양가
链接文件%电子数据取证%时间戳
鏈接文件%電子數據取證%時間戳
련접문건%전자수거취증%시간착
link file%electronic data forensics%timestamps
Windows链接文件是Windows系统中文件打开后生成的记录被打开文件相关信息的特殊文件,在电子数据取证中有着极为重要的作用。文中介绍了链接文件的基本结构,分析了从链接文件中获取目标文件属性,以及产生该链接文件所在计算机的MAC地址等信息的方法。并以具体案例说明了链接文件在取证的实践应用,分析了如何从一个链接文件中获取已经被删除的可疑文件以及所在计算机的相关信息。
Windows鏈接文件是Windows繫統中文件打開後生成的記錄被打開文件相關信息的特殊文件,在電子數據取證中有著極為重要的作用。文中介紹瞭鏈接文件的基本結構,分析瞭從鏈接文件中穫取目標文件屬性,以及產生該鏈接文件所在計算機的MAC地阯等信息的方法。併以具體案例說明瞭鏈接文件在取證的實踐應用,分析瞭如何從一箇鏈接文件中穫取已經被刪除的可疑文件以及所在計算機的相關信息。
Windows련접문건시Windows계통중문건타개후생성적기록피타개문건상관신식적특수문건,재전자수거취증중유착겁위중요적작용。문중개소료련접문건적기본결구,분석료종련접문건중획취목표문건속성,이급산생해련접문건소재계산궤적MAC지지등신식적방법。병이구체안례설명료련접문건재취증적실천응용,분석료여하종일개련접문건중획취이경피산제적가의문건이급소재계산궤적상관신식。
Windows link files,created when files are opened,are a kind of special files to record related information of the opened files,and play an important role in the electronic forensics. This paper discusses the basic structure of link files,analyzes the property to obtain target file from link files and proposes a method for acquiring information of the computer on which the link file is created,in-cluding MAC address of this computer. This paper also explains,through a specific case,practical application of link files in evidence acquisition,and analyzes how to recover the deleted suspect file and the related information of computer from a link file.
