基于NTFS文件系統的反取證加密設計與研究

◆王中杉

（四川發展（控股）有限責任公司數字化中心 四川 610041）

隨著計算機取證的程序化及其技術的完善，反取證發展[1]為針對計算機取證過程的各階段及其形成證據鏈（Chain of Custody）的條件，破壞電子證據的調查、保護、收集、分析和法庭訴訟，減少被獲取證據數量，降低被獲取證據質量，從而盡量隱藏或不在對方系統甚至自己系統中留下法律意義上的證據。目前，計算機反取證技術[2]主要有數據擦除、數據隱藏、數據加密、數據重定向等，信息隱藏技術是將特定信息隱藏在數字化宿主信息如數字圖像、音頻及視頻中的方法，如利用小波域的圖像融合算法將特定的信息嵌入到宿主信息中，使載體文件盡可能地不失真并要求具有極高的魯棒性，其對外的表現形式為宿主信息，在沒有經過特定處理的情況下明文信息是不可見的，只有將帶有明文信息的宿主信息進行分離算法的處理才能將明文信息無損地全部恢復出來，比如反取證工具Runefs就利用一些取證工具不檢查磁盤的壞塊的特點，把存放敏感文件的數據塊標記為壞塊以逃避取證。

本文主要研究基于文件系統的信息隱藏技術，通過分析NTFS文件系統空閑區域，設計了一種快速有效的分區文件掃描算法，重構文件目錄樹結構，將所有滿足條件即可隱藏區域大小超過1KB的正常文件以樹型結構方式展現，供用戶合理的選擇一個或者多個文件作為載體，將文件寫入到這些載體的空閑區域，能快速有效選擇性隱藏文件，并結合有序規則的加密算法，實時文件信息隱藏。……