基于EXT3系统的文件内容操作痕迹提取软件设计

doi:10.3969/j.issn.1671-1122.2014.12.010

信息网络安全 ›› 2014, Vol. 14 ›› Issue (12): 47-50.doi: 10.3969/j.issn.1671-1122.2014.12.010

基于EXT3系统的文件内容操作痕迹提取软件设计

徐国天

中国刑警学院网络犯罪侦查系,辽宁沈阳110854

收稿日期:2014-11-05 出版日期:2014-12-15
通讯作者: 徐国天 xu_guo_tian@163.com
作者简介:徐国天（1978-）,男,辽宁,副教授,硕士,主要研究方向：网络安全、数据还原。
基金资助:
公安部应用创新计划项目[2014YYCXXJXY055]; 公安部技术研究计划项目[2014JSYJB033]; 辽宁省教育科学“十二五”规划立项课题[JG14DB440]

Software Design of EXT3 File Operation Trace Extraction

XU Guo-tian

China Criminal Police College, Shenyang Liaoning 110854, China

Received:2014-11-05 Online:2014-12-15

摘要/Abstract

摘要： EXT3文件系统是大多数Linux主机的默认硬盘分区格式,EXT3格式的硬盘中可能存储了大量涉案文件,识别出嫌疑人对这些涉案文件内容执行的增、删、改操作行为,提取出被修改的相关数据对公安机关的调查、取证工作有重要意义。文章对不同类型文件的操作痕迹进行了分析;介绍了EXT3日志文件的基本结构;研究了从日志中提取出文件名称和inode结点信息的方法;提出了基于inode编号链表的操作痕迹提取方法;设计了用于痕迹提取的状态转换机。设计的操作痕迹提取软件可以直接运行在Linux主机上,通过扫描日志文件完成痕迹提取,经过大量实际测试,软件可以有效提取EXT3文件系统中未被覆盖的操作痕迹。

关键词: 操作痕迹, 提取, EXT3, 日志, inode

Abstract: Most of the Linux hosts use the EXT3 file system. The hard disk of EXT3 format can store a large number of suspicious files. It's very important to identify the increase, delete, change operation of the suspect in the documents. Extraction of the modified data is important for the investigation and forensic of the public security organs. The operation traces of different files are analyzed in this paper. The basic structure of the EXT3 log file and a method to extract the file name and the inode node information from the log are studied. Extraction method of operating traces based on inode and a state transition machine are designed. The software can be run directly in the Linux host and complete the trace extraction by scanning the log file. After a lot of practical testing, the software can effectively extract the uncovered traces of operation in EXT3 file system.

Key words: operation trace, extraction, EXT3, journal, inode

中图分类号:

TP309

徐国天. 基于EXT3系统的文件内容操作痕迹提取软件设计[J]. 信息网络安全, 2014, 14(12): 47-50.

XU Guo-tian. Software Design of EXT3 File Operation Trace Extraction[J]. 信息网络安全, 2014, 14(12): 47-50.

[1]	陶源, 黄涛, 李末岩, 胡巍. 基于知识图谱驱动的网络安全等级保护日志审计分析模型研究[J]. 信息网络安全, 2020, 20(1): 46-51.
[2]	康健, 王杰, 李正旭, 张光妲. 物联网中一种基于多种特征提取策略的入侵检测模型[J]. 信息网络安全, 2019, 19(9): 21-25.
[3]	段詠程, 王雨晴, 李欣, 杨乐. 基于RSAR的随机森林网络安全态势要素提取[J]. 信息网络安全, 2019, 19(7): 75-81.
[4]	李辉, 倪时策, 肖佳, 赵天忠. 面向互联网在线视频评论的情感分类技术[J]. 信息网络安全, 2019, 19(5): 61-68.
[5]	王旭东, 余翔湛, 张宏莉. 面向未知协议的流量识别技术研究[J]. 信息网络安全, 2019, 19(10): 74-83.
[6]	文伟平, 李经纬, 焦英楠, 李海林. 一种基于随机探测算法和信息聚合的漏洞检测方法[J]. 信息网络安全, 2019, 19(1): 1-7.
[7]	鲁刚, 郭荣华, 周颖, 王军. 恶意流量特征提取综述[J]. 信息网络安全, 2018, 18(9): 1-9.
[8]	陆勰, 罗守山, 张玉梅. 基于Hadoop的海量安全日志聚类算法研究[J]. 信息网络安全, 2018, 18(8): 56-63.
[9]	罗文华, 王俊, 孙媛媛. 基于云服务端的节点多层次数据协同分析研究[J]. 信息网络安全, 2018, 18(3): 39-45.
[10]	段桂华, 申卓祥, 申东杰, 李智. 一种基于特征提取的有效下载链接识别方案研究[J]. 信息网络安全, 2018, 18(10): 31-36.
[11]	戚犇, 王梦迪. 基于信息增益的贝叶斯态势要素提取[J]. 信息网络安全, 2017, 17(9): 54-57.
[12]	徐燕. 基于数据挖掘的网络链接预测研究[J]. 信息网络安全, 2017, 17(6): 30-34.
[13]	宋淑男, 杨震. 密钥提取中降低密钥不一致率的量化方法研究[J]. 信息网络安全, 2017, 17(4): 46-52.
[14]	杨晶, 赵鑫, 芦天亮. 基于logs2intrusions与Web Log Explorer的综合取证分析研究[J]. 信息网络安全, 2017, 17(3): 33-38.
[15]	李红灵, 邹建鑫. 基于SVM和文本特征向量提取的SQL注入检测研究[J]. 信息网络安全, 2017, 17(12): 40-46.

基于EXT3系统的文件内容操作痕迹提取软件设计

Software Design of EXT3 File Operation Trace Extraction

RichHTML

可视化

摘要/Abstract

引用本文

使用本文

参考文献

相关文章 15

编辑推荐

Metrics

本文评价