專利名稱:基于特征掃描的Windows回收站刪除記錄取證方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種計(jì)算機(jī)刪除文件記錄取證方法����,特別是關(guān)于一種用于分析還原Windows回收站刪除文件記錄,以幫助計(jì)算機(jī)取證工作的基于特征掃描的Windows回收站刪除記錄取證方法�。
背景技術(shù):
隨著計(jì)算機(jī)與網(wǎng)絡(luò)逐漸成為社會(huì)、政治����、經(jīng)濟(jì)、文化生活的重要組成部分����,在計(jì)算機(jī)與網(wǎng)絡(luò)帶來快捷辦公、便捷溝通等便利的同時(shí)�����,利用其犯罪的現(xiàn)象也日益突出。計(jì)算機(jī)取證技術(shù)作為打擊此項(xiàng)犯罪的重要手段�,目前已成為計(jì)算機(jī)科學(xué)和法學(xué)界共同關(guān)注和研究的重點(diǎn)。各種數(shù)字證據(jù)一般都以網(wǎng)絡(luò)日志�、文本文檔、圖像及視頻等形式存儲(chǔ)����。因此,取證分析員要對(duì)犯罪分子所使用的計(jì)算機(jī)進(jìn)行取證�,主要包括從其訪問過的文檔、網(wǎng)站���、打印的文件及已刪除的文件中提取并分析電子證據(jù)�。在實(shí)際案例中�,犯罪分子通常會(huì)將一些敏感文件刪除進(jìn)入回收站���,并清空回收站或從回收站徹底刪除這個(gè)文件�。這些被犯罪分子刪除的文件可能包含重要的取證信息��,其文件名以及被刪除時(shí)間也可能成為取證工作的重要線索���。本發(fā)明就是針對(duì)Windows回收站��,通過文中提供的取證方法提取出用戶曾刪除進(jìn)入回收站的文件的文件名�、文件大小、被刪除時(shí)間等數(shù)據(jù)���,從中獲得取證信息����。在Windows系統(tǒng)中有一個(gè)叫做回收站的機(jī)制�����,這種機(jī)制把被刪除的文件暫時(shí)隱藏的存起來���,以備需要時(shí)還原���。在用戶刪除文件時(shí),其實(shí)是回收站暫時(shí)將被刪除文件移動(dòng)到了一個(gè)隱藏的系統(tǒng)文件夾中����,同時(shí)為了處理同名文件放入回收站時(shí)的沖突問題,回收站先將文件進(jìn)行了重命名��,然后再進(jìn)行移動(dòng)。為了能夠正確地將重命名后的文件還原到被刪除前的狀態(tài)�,回收站需要一個(gè)數(shù)據(jù)庫存儲(chǔ)被刪除的文件的信息。該數(shù)據(jù)庫存儲(chǔ)了所有放入回收站的文件的刪除文件記錄�����,每條記錄包括被刪除文件原來的存放路徑�、文件名、文件大小以及被刪除時(shí)間等信息�。在Windows不同版本下,回收站機(jī)制的實(shí)現(xiàn)方式可分為兩類一類是Windows 2003及其之前版本���,以Windows XP為代表(下文以Windows XP版本來統(tǒng)稱這類版本)�����;另一類是 Windows Vista 和 Windows 7,以 Windows 7 為代表(下文以 Windows 7版本來統(tǒng)稱這類版本)�。這兩類Windows版本使用了不同的回收站機(jī)制����。在Windows XP版本中��,當(dāng)文件被刪除并進(jìn)入回收站時(shí)�,回收站把被刪除文件重命名后再放入回收站。重命名的方式為“Dc###. ** ”,其中“Dc ”為固定的文件名頭,“ ”是此文件在回收站中的唯一序號(hào),“**”是文件被刪除前的擴(kuò)展名����。同時(shí)為了能夠正確地將重命名后的文件還原到被刪除前的狀態(tài),并記錄文件被刪除時(shí)間等信息�,回收站使用了一個(gè)集中的數(shù)據(jù)庫來記錄這些信息,這個(gè)數(shù)據(jù)庫就是INF02文件��。每當(dāng)有一個(gè)文件被放入回收站時(shí)��,都會(huì)在INF02文件中添加一個(gè)記錄項(xiàng)�,記錄與被刪除文件相關(guān)的信息。INF02文件保存了刪除文件的記錄�����。在INF02文件中��,首先是有16字節(jié)的文件頭���。在默認(rèn)情況下�����,文件頭后的每800個(gè)字節(jié)為一條刪除文件記錄�,其中包括被刪除文件的原存放路徑和文件名、文件大小��、被刪除時(shí)間�����、文件在回收站里對(duì)應(yīng)的序號(hào)��,如表I所示�。、
表I Windows XP類版本下回收站刪除文件記錄格式
權(quán)利要求
1.一種基于特征掃描的Windows回收站刪除記錄取證方法,其包括如下步驟 (1)獲取取證目標(biāo)磁盤鏡像文件�; (2)判斷該磁盤鏡像文件中Windows系統(tǒng)的版本是WindowsXP或Windows 7 ; (3)根據(jù)所述步驟(2)判斷的系統(tǒng)版本�����,通過與該系統(tǒng)版本相應(yīng)的特征掃描方法掃描磁盤鏡像文件�����,獲得回收站刪除文件記錄���; (4)通過獲得的回收站刪除文件記錄�����,根據(jù)其格式提取回收站刪除文件信息���,為提取刪除文件信息中的證據(jù)信息或取證線索提供數(shù)據(jù)基礎(chǔ),完成回收站刪除文件記錄取證����。
2.如權(quán)利要求I所述的基于特征掃描的Windows回收站刪除記錄取證方法,其特征在于所述步驟(2)中,所述Windows XP統(tǒng)指Windows 2003及其之前的與Windows XP回收站機(jī)制相同版本的Windows操作系統(tǒng)�����;所述Windows 7統(tǒng)指Windows Vista�、Windows 7及之后與Windows 7回收站機(jī)制相同版本的Windows操作系統(tǒng)。
3.如權(quán)利要求I或2所述的基于特征掃描的Windows回收站刪除記錄取證方法,其特征在于所述步驟(3)中��,通過刪除文件記錄的特征以及刪除文件在磁盤中的分布情況����,對(duì)各所述Windows版本的磁盤按照以下特征掃描方法進(jìn)行掃描,其步驟如下 ①打開給定的磁盤鏡像文件�; ②讀取一段鏡像文件的字節(jié)流,并根據(jù)回收站刪除文件記錄分布�����,從該段字節(jié)流的第一個(gè)字節(jié)為起始位置,按預(yù)先設(shè)定的掃描步長(zhǎng)逐個(gè)對(duì)當(dāng)前位置起的數(shù)據(jù)按刪除文件記錄特征進(jìn)行一一匹配���; ③所述步驟②中�����,若匹配成功���,則保存匹配到的文件刪除記錄;若匹配失敗��,則按掃描步長(zhǎng)對(duì)下一字節(jié)起的數(shù)據(jù)按刪除文件記錄特征進(jìn)行匹配�����; ④掃描完這段鏡像文件的字節(jié)流后�����,返回所述步驟②���,直到磁盤鏡像全部掃描完畢����。
4.如權(quán)利要求3所述的基于特征掃描的Windows回收站刪除記錄取證方法,其特征在于所述步驟②中,所述Windows版本為Windows XP時(shí),貝U刪除文件記錄特征包括以下四種���,需滿足以下所有特征才能匹配成功 (I)記錄第I字節(jié)起至第264字節(jié)的264個(gè)字節(jié)為ASCII編碼的文件路徑,以“X:\”起始���,其中“X”為盤符����,應(yīng)為ASCII編碼的“A” “Z” �����; (II)記錄第283字節(jié)起至第800字節(jié)的518個(gè)字節(jié)為UNICODE編碼的文件路徑���,也以“X:\”起始���,其中“X”應(yīng)與記錄開始的盤符一致,編碼應(yīng)為UNICODE編碼����; (III)記錄第265字節(jié)為記錄文件原分區(qū)位置標(biāo)識(shí),與記錄路徑中的“X”一致��,因?yàn)槭且孕蛱?hào)表示,所以為“X”的ASCII碼減65 ����; (IV)記錄第273字節(jié)起至第280字節(jié)的8個(gè)字節(jié)表示被刪除時(shí)間,應(yīng)符合Windows合法時(shí)間格式并小于當(dāng)前時(shí)間�。
5.如權(quán)利要求3所述的基于特征掃描的Windows回收站刪除記錄取證方法,其特征在于所述步驟②中,所述Windows版本為Windows 7時(shí),貝U刪除文件記錄特征包括以下三種���,需滿足以下所有特征才能匹配成功 (I)記錄第I字節(jié)起至第8字節(jié)的8個(gè)字節(jié)為固定的文件頭“10000000”�; (II)記錄第25字節(jié)起至第544字節(jié)的520個(gè)字節(jié)為UNICODE編碼的文件路徑��,以“X: \”開頭�����,其中“X”為盤符����,應(yīng)為UNICODE編碼的“A” “Z” ; (III)記錄第17字節(jié)起至第24字節(jié)的8個(gè)字節(jié)表示被刪除時(shí)間,應(yīng)符合Windows合法時(shí)間格式并小于當(dāng)前時(shí)間���。全文摘要
本發(fā)明涉及一種基于特征掃描的Windows回收站刪除記錄取證方法��,其包括如下步驟(1)獲取取證目標(biāo)磁盤鏡像文件���;(2)判斷該磁盤鏡像文件中Windows系統(tǒng)的版本是Windows XP或Windows Vista/Windows 7����;(3)根據(jù)所述步驟(2)判斷的系統(tǒng)版本��,通過與該系統(tǒng)版本相應(yīng)的特征掃描方法掃描磁盤����,恢復(fù)回收站刪除文件記錄���;(4)通過恢復(fù)的回收站刪除文件記錄���,根據(jù)其格式提取回收站刪除文件信息,為提取刪除文件信息中的證據(jù)信息或取證線索提供數(shù)據(jù)基礎(chǔ)��,完成回收站刪除文件記錄取證���。本發(fā)明能有效地恢復(fù)用戶回收站刪除文件記錄信息��,恢復(fù)成功率高����,能覆蓋所有主流版本W(wǎng)indows的回收站機(jī)制。本發(fā)明可以廣泛應(yīng)用于計(jì)算機(jī)取證領(lǐng)域應(yīng)用中��。
文檔編號(hào)G06F17/30GK102662981SQ201210065430
公開日2012年9月12日 申請(qǐng)日期2012年3月13日 優(yōu)先權(quán)日2012年3月13日
發(fā)明者劉品新, 梁彬, 石文昌, 肖漢 申請(qǐng)人:中國(guó)人民大學(xué)