编辑推荐:
当前多数文件系统取证研究聚焦于文件内容和元数据恢复,对恶意数据隐藏关注较少。研究人员开展符号链接用于文件系统制造空闲空间以隐藏数据的研究。结果发现 8 个支持符号链接的文件系统中 6 个可用于数据隐藏。这为理解文件系统安全隐患提供依据。
在数字化飞速发展的时代,文件系统就像一座庞大而复杂的数字仓库,储存着人们生活、工作和学习的各种重要信息。然而,这座看似井然有序的仓库却隐藏着诸多安全隐患。一直以来,大部分文件系统取证研究都把重点放在从各类文件系统中恢复文件内容和元数据上,就好比只关注如何从仓库里找回丢失的物品,却很少有人思考不法分子会怎样偷偷地在仓库里藏东西。
正是在这样的背景下,为了填补这一研究空白,来自未知研究机构的研究人员开启了一项意义非凡的研究。他们将目光投向了文件系统中的符号链接(Symbolic links),这是一种在许多文件系统中都存在的元数据结构,就像是文件系统里的 “快捷方式”,能从一个文件对象指向另一个。研究人员想探究利用符号链接的存储方式制造空闲空间(Slack space)来隐藏信息的可能性,这项研究成果发表在《Forensic Science International: Digital Investigation》上。
该研究成果意义重大。它让人们更加深入地了解文件系统中潜在的数据隐藏风险,为系统管理员、安全分析师以及执法人员在进行文件系统检查和取证工作时敲响了警钟,使他们能更好地防范和应对恶意数据隐藏行为,保障数字信息的安全。
在研究方法上,研究人员首先确定符号链接在现代文件系统中的存储方式。他们发现,在操作系统创建符号链接时,文件系统会生成新的元数据对象,该对象存储的是链接目标的路径,而非文件内容的存储位置。接着,研究人员分析不同文件系统中符号链接的存储结构,判断其能否制造空闲空间用于数据隐藏,并评估该隐藏方法的有效性。
下面来看具体的研究结果:
- 相关工作:介绍了反取证、数据隐藏及文件系统级数据隐藏技术分类,还阐述了文件系统中的链接文件,重点提及硬链接、reflinks 和符号链接这三种常见链接。
- 方法:明确研究目的是确定符号链接能否用于制造文件系统空闲空间。通过分析符号链接在不同文件系统中的存储方式,研究人员发现当符号链接过大无法存储在元数据结构内时,可能会产生可利用的空闲空间。
- 评估:在 8 个支持符号链接的文件系统中,该方法在 6 个文件系统(BtrFS 和 APFS 除外)中可行。研究人员从容量、检测等方面评估了符号链接空闲空间数据隐藏方法在各支持文件系统中的有效性。
- 讨论:研究的 8 个支持符号链接的文件系统中,APFS 和 BtrFS 这两个较新的文件系统无法被利用进行数据隐藏。以 BtrFS 为例,它是基于树结构存储数据的文件系统,其最小节点大小为 4,096d字节,而最大链接大小在最小节点尺寸下为 3,949d字节,较大节点尺寸下为 4,095d字节,这使得符号链接无法产生可用于数据隐藏的空闲空间。
- 局限性与未来工作:这项研究存在一定局限性。若怀疑符号链接空闲空间存在隐藏数据,很容易被检测出来,不过前提是分析人员要先有所怀疑,正常操作时难以发现隐藏信息。而且该技术在较旧的文件系统上更为有效。未来研究可以探索更隐蔽的数据隐藏方法,以及如何更高效地检测这类隐藏数据。
- 结论:该研究提出了一种基于符号链接的跨文件系统数据隐藏方法。多数文件系统将符号链接内联存储(即作为文件系统元数据结构的一部分存储,如 inode、MFT 记录等),研究人员探讨了根据链接大小强制系统将链接存储在外部簇 / 块并利用产生的空闲空间的可能性。
综合研究结论和讨论部分,该研究首次系统地探索了利用符号链接空闲空间进行数据隐藏的方法,尽管存在局限性,但为后续研究指明了方向。它提醒人们在关注文件系统正常功能的同时,不能忽视潜在的安全风险,对于保障文件系统的安全性和可靠性具有重要的理论和实践指导意义。
