F2FS文件系統(tǒng)是一種基于NAND存儲設備設計的新型開源Flash文件系統(tǒng),具有良好的性能和Flash友好的特性,得到越來越多手機廠商的關(guān)注。在手機數(shù)據(jù)取證中,人們對F2FS文件系統(tǒng)鏡像文件的數(shù)據(jù)解析相關(guān)研究還很少,支持F2FS文件系統(tǒng)近期刪除文件的數(shù)據(jù)解析相關(guān)研究也還不充分。文章根據(jù)F2FS文件系統(tǒng)特有的讀寫訪問機制和手機圖形化界面的垃圾回收機制,提出一種F2FS文件系統(tǒng)鏡像文件的通用數(shù)據(jù)解析取證框架。實驗結(jié)果表明,該方法可以準確解析F2FS文件系統(tǒng)的目錄結(jié)構(gòu),實現(xiàn)近期刪除文件的數(shù)據(jù)取證,有效支撐F2FS文件系統(tǒng)的取證研究。 

【文章來源】：網(wǎng)絡空間安全. 2020,11(08)

【文章頁數(shù)】：7 頁

【文章目錄】：
1 引言
2 F2FS文件系統(tǒng)概述
    2.1 F2FS文件系統(tǒng)布局結(jié)構(gòu)
    2.2 文件元數(shù)據(jù)信息塊
    2.3 近期刪除數(shù)據(jù)解析原理
        (1)確定.Trash目錄文件節(jié)點號ino以及文件元數(shù)據(jù)信息塊地址:
        (2)解析.Trash目錄文件元數(shù)據(jù)信息塊:
        (3)獲取被刪除文件的元數(shù)據(jù)信息塊和原存儲路徑:
    2.4 F2FS文件系統(tǒng)鏡像文件
3 F2FS鏡像文件目錄項取證分析
    3.1 基于根目錄文件時間戳獲取有效節(jié)點地址表法
    3.2 F2FS鏡像目錄樹取證方法
4 F2FS鏡像文件的刪除文件取證分析
5 系統(tǒng)實現(xiàn)與結(jié)果分析
    5.1 鏡像文件目錄樹取證結(jié)果
    5.2 鏡像文件刪除文件取證結(jié)果
    5.3 平均取證時間分析
6 結(jié)束語


【參考文獻】：
期刊論文
[1]大數(shù)據(jù)環(huán)境下的電子取證研究[J]. 黃少榮,陳丹.  網(wǎng)絡空間安全. 2019(07)
[2]大數(shù)據(jù)環(huán)境下的電子取證研究[J]. 劉衛(wèi)華.  科技創(chuàng)新與應用. 2018(35)
[3]基于計算機取證的Linux文件系統(tǒng)解析與設計[J]. 劉春枚.  中國測試. 2013(S2)
[4]基于Flash存儲的智能手機文件系統(tǒng)解析[J]. 張輝極.  電信科學. 2010(S2)
[5]文件刪除的恢復與反恢復[J]. 楊澤明,許榕生,劉寶旭.  信息網(wǎng)絡安全. 2002(04)

碩士論文
[1]閃存友好型文件系統(tǒng)性能優(yōu)化技術(shù)的設計[D]. 鄧傲松.重慶大學 2018
[2]計算機取證磁盤鏡像研究與虛擬仿真實現(xiàn)[D]. 李繼偉.重慶郵電大學 2016
[3]Windows數(shù)據(jù)恢復技術(shù)在電子取證中的應用研究[D]. 艾紹新.東北石油大學 2013



本文編號：3645484