手机端F2FS镜像文件数据取证方法
发布时间:2022-02-28 19:52
F2FS文件系统是一种基于NAND存储设备设计的新型开源Flash文件系统,具有良好的性能和Flash友好的特性,得到越来越多手机厂商的关注。在手机数据取证中,人们对F2FS文件系统镜像文件的数据解析相关研究还很少,支持F2FS文件系统近期删除文件的数据解析相关研究也还不充分。文章根据F2FS文件系统特有的读写访问机制和手机图形化界面的垃圾回收机制,提出一种F2FS文件系统镜像文件的通用数据解析取证框架。实验结果表明,该方法可以准确解析F2FS文件系统的目录结构,实现近期删除文件的数据取证,有效支撑F2FS文件系统的取证研究。
【文章来源】:网络空间安全. 2020,11(08)
【文章页数】:7 页
【文章目录】:
1 引言
2 F2FS文件系统概述
2.1 F2FS文件系统布局结构
2.2 文件元数据信息块
2.3 近期删除数据解析原理
(1)确定.Trash目录文件节点号ino以及文件元数据信息块地址:
(2)解析.Trash目录文件元数据信息块:
(3)获取被删除文件的元数据信息块和原存储路径:
2.4 F2FS文件系统镜像文件
3 F2FS镜像文件目录项取证分析
3.1 基于根目录文件时间戳获取有效节点地址表法
3.2 F2FS镜像目录树取证方法
4 F2FS镜像文件的删除文件取证分析
5 系统实现与结果分析
5.1 镜像文件目录树取证结果
5.2 镜像文件删除文件取证结果
5.3 平均取证时间分析
6 结束语
【参考文献】:
期刊论文
[1]大数据环境下的电子取证研究[J]. 黄少荣,陈丹. 网络空间安全. 2019(07)
[2]大数据环境下的电子取证研究[J]. 刘卫华. 科技创新与应用. 2018(35)
[3]基于计算机取证的Linux文件系统解析与设计[J]. 刘春枚. 中国测试. 2013(S2)
[4]基于Flash存储的智能手机文件系统解析[J]. 张辉极. 电信科学. 2010(S2)
[5]文件删除的恢复与反恢复[J]. 杨泽明,许榕生,刘宝旭. 信息网络安全. 2002(04)
硕士论文
[1]闪存友好型文件系统性能优化技术的设计[D]. 邓傲松.重庆大学 2018
[2]计算机取证磁盘镜像研究与虚拟仿真实现[D]. 李继伟.重庆邮电大学 2016
[3]Windows数据恢复技术在电子取证中的应用研究[D]. 艾绍新.东北石油大学 2013
本文编号:3645484
【文章来源】:网络空间安全. 2020,11(08)
【文章页数】:7 页
【文章目录】:
1 引言
2 F2FS文件系统概述
2.1 F2FS文件系统布局结构
2.2 文件元数据信息块
2.3 近期删除数据解析原理
(1)确定.Trash目录文件节点号ino以及文件元数据信息块地址:
(2)解析.Trash目录文件元数据信息块:
(3)获取被删除文件的元数据信息块和原存储路径:
2.4 F2FS文件系统镜像文件
3 F2FS镜像文件目录项取证分析
3.1 基于根目录文件时间戳获取有效节点地址表法
3.2 F2FS镜像目录树取证方法
4 F2FS镜像文件的删除文件取证分析
5 系统实现与结果分析
5.1 镜像文件目录树取证结果
5.2 镜像文件删除文件取证结果
5.3 平均取证时间分析
6 结束语
【参考文献】:
期刊论文
[1]大数据环境下的电子取证研究[J]. 黄少荣,陈丹. 网络空间安全. 2019(07)
[2]大数据环境下的电子取证研究[J]. 刘卫华. 科技创新与应用. 2018(35)
[3]基于计算机取证的Linux文件系统解析与设计[J]. 刘春枚. 中国测试. 2013(S2)
[4]基于Flash存储的智能手机文件系统解析[J]. 张辉极. 电信科学. 2010(S2)
[5]文件删除的恢复与反恢复[J]. 杨泽明,许榕生,刘宝旭. 信息网络安全. 2002(04)
硕士论文
[1]闪存友好型文件系统性能优化技术的设计[D]. 邓傲松.重庆大学 2018
[2]计算机取证磁盘镜像研究与虚拟仿真实现[D]. 李继伟.重庆邮电大学 2016
[3]Windows数据恢复技术在电子取证中的应用研究[D]. 艾绍新.东北石油大学 2013
本文编号:3645484
本文链接:https://www.wllwen.com/kejilunwen/jisuanjikexuelunwen/3645484.html
