实战数字取证：从$MFT时间戳异常揪出Timestomp攻击痕迹

当桌面文件突然"穿越"到过去的时间点，这背后往往隐藏着攻击者精心设计的痕迹掩盖行为。本文将带你深入NTFS文件系统的核心——$MFT，通过WinHex和Mft2Csv工具链的实战操作，揭示如何从时间戳矛盾中发现Timestomp攻击的铁证。

1. 理解$MFT与时间戳的取证价值

NTFS文件系统中，每个文件在$MFT（主文件表）里都有两条关键时间记录：

• 标准信息时间（SI Time）：包括SI_CTime（创建时间）、SI_MTime（修改时间）等，存储在$STANDARD_INFORMATION属性中
• 文件名时间（FN Time）：包括FN_CTime、FN_MTime等，存储在$FILE_NAME属性中

这两组时间戳的差异往往能揭示异常。由于Windows系统设计特性：

• 用户态程序可以修改SI时间（通过SetFileTime API）
• FN时间通常只能由内核级操作修改
• 正常文件操作会同步更新两组时间戳

取证要点：当发现SI_CTime与FN_CTime存在明显差异（特别是SI时间早于FN时间），极可能是Timestomp攻击的痕迹。

2. 搭建取证分析环境

2.1 工具准备

需要以下专业工具组合：

2.2 获取$MFT文件

在取证场景中获取$MFT的两种方式：

1. 物理提取：

   bash复制# 使用FTK Imager等工具提取
   ftkimager --source C: --destination /evidence --image-type raw --e01 C_MFT.raw
   

2. 逻辑提取：

   powershell复制# 管理员权限执行
   cp \\.\C:\$MFT C:\evidence\MFT_copy
   

注意：直接复制$MFT需要绕过系统保护，建议使用专业取证工具避免污染证据。

3. 实战分析流程

3.1 初步观察$MFT结构

使用WinHex打开$MFT文件，观察关键特征：

• 文件签名：每个记录以"FILE"开头
• 记录大小：通常为1024字节
• 属性标识：常见属性类型包括：
  • 0x10：$STANDARD_INFORMATION
  • 0x30：$FILE_NAME
  • 0x80：$DATA

3.2 使用Mft2Csv解析数据

运行Mft2Csv工具生成结构化数据：

powershell复制.\Mft2Csv.exe -f .\evidence\MFT_copy -o .\output\mft_analysis.csv

关键参数说明：

• -f：指定$MFT文件路径
• -o：输出CSV文件路径
• -c：可选，指定时间格式（如-c "yyyy-MM-dd HH:mm:ss"）

3.3 聚焦桌面文件分析

在Excel中打开CSV文件，按以下步骤筛选：

1. 路径筛选：

   excel复制=FILTER(A2:Z1000, ISNUMBER(SEARCH("Desktop", Z2:Z1000)))
   

2. 时间对比公式：

   excel复制=IF(ABS(N(O2)-N(S2))>1, "异常", "正常")
   

   （假设O列为SI_CTime，S列为FN_CTime）

3. 典型异常特征：

   • SI时间全部为"2019-01-01 01:01:01"等整齐数值
   • SI与FN时间差超过合理范围（如创建时间早于系统安装时间）
   • 修改时间早于创建时间等逻辑矛盾

3.4 深度解析时间戳矛盾

以示例中的Mod-File.txt为例：

异常点分析：

• SI时间明显被设置为固定值（常见于Timestomp工具默认值）
• FN时间显示真实活动时间（2020年）
• 时间差超过1年，远超正常操作可能产生的误差

4. 对抗Timestomp的高级技巧

4.1 验证时间戳可信度

通过以下系统日志交叉验证：

• 事件日志ID 4663：文件访问审计记录
• USN日志：更新序列号日志中的文件变更记录
• Prefetch文件：记录程序执行时间线

4.2 检测常见篡改工具特征

已知会留下痕迹的Timestomp工具：

4.3 自动化分析脚本示例

使用Python实现快速检测：

python复制import pandas as pd
from datetime import datetime

def detect_timestomp(csv_path):
    df = pd.read_csv(csv_path)
    anomalies = []
    
    for _, row in df.iterrows():
        si_ctime = datetime.strptime(row['SI_CTime'], '%Y-%m-%d %H:%M:%S')
        fn_ctime = datetime.strptime(row['FN_CTime'], '%Y-%m-%d %H:%M:%S')
        
        # 检测明显的时间差
        if abs((si_ctime - fn_ctime).days) > 30:
            anomalies.append({
                'filename': row['FN_FileName'],
                'si_ctime': row['SI_CTime'],
                'fn_ctime': row['FN_CTime'],
                'time_diff': str(si_ctime - fn_ctime)
            })
    
    return pd.DataFrame(anomalies)

results = detect_timestomp('mft_analysis.csv')
results.to_csv('timestomp_suspects.csv', index=False)

5. 完整取证报告要点

撰写专业报告时应包含：

1. 证据链记录：

   • $MFT文件的哈希值（SHA-256）
   • 分析工具版本信息
   • 操作过程截图

2. 时间线重建：

   mermaid复制timeline
       title 文件时间线对比
       section FN记录
       2020-01-19 11:51:19 : 文件创建
       2020-01-19 11:51:25 : 最后修改
       section SI记录
       2019-01-01 01:01:01 : 所有时间戳
   

3. 攻击者画像线索：

   • 使用固定时间戳可能暴露工具类型
   • 只修改部分文件可能指向特定攻击目标
   • 时间戳与已知攻击活动时间窗的关联

在一次企业应急响应案例中，我们通过分析财务部门共享文件夹的$MFT，发现攻击者在窃取Excel文件后，将SI时间全部设置为2015年（该文件夹创建之前），却忽略了FN时间显示的真实访问发生在数据泄露事件期间。这种时间矛盾成为指证内部人员作案的关键证据。