一种恢复并解析Windows操作系统预读文件的方法技术方案

本发明专利技术公开了一种恢复并解析Windows操作系统预读文件的方法，所述方法包括以下步骤：S1：获取所述Windows操作系统预读文件；S2：解析所述Windows操作系统预读文件，包括应用程序名称、应用程序存放路径、应用程序最后运行时间、应用程序运行次数；S3：根据解析结果，提取所述应用程序名称、所述应用程序存放路径、所述应用程序最后运行时间、所述应用程序运行次数，本发明专利技术解决了现有技术中不能恢复预读文件、未公开解析预读文件的具体方法和步骤以及未公开预读文件的底层数据格式的问题。

A method of recovering and reading file parsing Windows operating system

The invention discloses a method for recovering and preread file parsing of the Windows operating system, the method comprises the following steps: S1, acquiring the Windows operating system to read documents; S2: analysis of the Windows operating system to read documents, including the application program stored procedure name, path, the last application run time, application running times; S3: according to the results of analysis, extract the application name, the application store path, the application at run time, the number of applications running, the invention solves the specific methods and steps in the prior art can not be restored, analytical documents read and unpublished documents read the underlying data format file not open the preview.

【技术实现步骤摘要】
一种恢复并解析Windows操作系统预读文件的方法
本专利技术属于数据恢复和计算机取证领域，涉及事实取证中的使用痕迹调查，尤其涉及一种恢复并解析Windows操作系统预读文件的方法。
技术介绍
计算机取证是包括计算机取证技术、计算机鉴识、计算机法医学等运用计算机辨析技术，对计算机犯罪行为进行分析以确认所需的计算机证据，并将犯罪者留在计算机中的痕迹作为有效的诉讼证据提供给法庭，以便对犯罪嫌疑人提起诉讼并据此将罪犯绳之以法的有效工具。同时，也是针对计算机入侵与犯罪，进行证据获取、保存、分析和出示的过程。计算机证据指在计算机系统运行过程中产生的以其记录的内容来证明案件事实的电磁记录物，可理解为从计算机上提取证据，即：获取、保存、分析、出示、提供的证据。由于对计算机取证的分类十分复杂，往往难以按一定的标准进行合理分类。通常情况下根据取得的证据的用途不同进行分类，通常可以分为两类不同性质的取证：一类是来源取证，一类是事实取证。所谓来源取证，指的是取证的目的主要是确定犯罪嫌疑人或者证据的来源。例如在网络犯罪侦查中，为了确定犯罪嫌疑人，可能需要找到犯罪嫌疑人犯罪时使用的机器的IP地址，则寻找IP地址便是来源取证。事实取证指的是取证不是查明犯罪嫌疑人，而是取得与案件相关事实的证据。在事实取证中常见的取证方法有文件内容调查、使用痕迹调查、软件功能分析、软件相似性分析、日志文件分析、网络状态分析、网络数据包分析等。使用痕迹调查包括Windows运行的痕迹，包括运行栏历史记录、搜索栏历史记录、打开/保存文件记录、临时文件夹、最近访问的文件等使用文件与程序调查、上网记录的调查、Office、RealPlay和MediaPlay的播放列表及其它应用软件使用历史记录。在Windows运行的痕迹中，最近访问的程序调查痕迹就存储于预读文件中，在预读文件中存储有应用程序名称、应用程序存放路径、应用程序最后运行时间、应用程序运行次数等信息。在现有技术中，虽然涉及到提取和分析预读文件的相关文献和软件，但未涉及如何恢复被删除的预读文件，也未公开解析预读文件的具体方法和步骤，同时，也未公开预读文件的底层数据格式。
技术实现思路
本专利技术针对现有技术的不足和上述问题，提出一种恢复并解析Windows操作系统预读文件的方法，通过解析预读文件的底层数据，能够提取预读文件中保存的应用程序名称、应用程序存放路径、应用程序最后运行时间、应用程序运行次数，解决了现有技术中不能恢复预读文件、未公开解析预读文件的具体方法和步骤以及未公开预读文件的底层数据格式的问题，所述方法包括以下步骤：S1：获取所述Windows操作系统预读文件；S2：解析所述Windows操作系统预读文件，包括应用程序名称、应用程序存放路径、应用程序最后运行时间、应用程序运行次数；S3：根据解析结果，提取所述应用程序名称、所述应用程序存放路径、所述应用程序最后运行时间、所述应用程序运行次数。作为优选，所述Windows操作系统预读文件后缀为pf且保存在％systemroot％\Prefetch目录中，所述Windows操作系统预读文件为二进制文件，用十六进制编辑器软件打开后显示为十六进制文件并用于解析。作为优选，所述步骤S1包括以下步骤：S101：判断所述Windows操作系统预读文件是否被删除，如果是，执行步骤S102，否则执行步骤S2；S102：以所述Windows操作系统预读文件的文件头为关键字，扫描存储介质空闲区；S103：判断是否查找到所匹配的所述文件头，如果是，执行步骤S2，否则执行步骤S102；作为优选，所述步骤S2包括以下步骤：S201：查找并解析所述Windows操作系统预读文件的文件头和文件长度：所述Windows操作系统预读文件前8个字节的内容为所述文件头，所述文件长度以小端格式存储在地址0x0000000C开始的连续4个字节中，所述文件长度是相对于文件起始地址0x00000000的偏移量；S202：查找并解析所述应用程序名称：所述应用程序名称以Unicode编码的小端格式存储在地址0x00000010开始的连续多个字节中，且以不少于连续2个全零字节作为结束符；S203：查找并解析路径区：所述路径区的起始地址以小端格式存储在地址0x00000064开始的连续4个字节中；所述路径区的偏移量是相对于所述路径区的起始地址的偏移量，以小端格式存储在地址0x00000068开始的连续4个字节中；所述路径区的结束地址以小端格式存储在地址0x0000006C开始的连续4个字节中，所述路径区的路径以Unicode编码格式存储；S204：查找并解析所述应用程序存放路径：以所述路径区的结束地址作为起始位置，向前查找所述应用程序名称，再以所述应用程序名称的起始地址作为起始位置，向前查找第一个路径隔断标识，所述路径隔断标识后2个字节的内容为路径标识符，从所述路径标识符起，向后至所述应用程序名称截止，为所述应用程序存放路径；所述应用程序存放路径以Unicode编码格式存储；S205：查找并解析所述应用程序的运行时间：所述应用程序的最后运行时间以FILETIME时间格式存储在地址0x00000080开始的连续8个字节中；S206：查找并解析所述应用程序的运行次数：所述应用程序的运行次数以小端格式存储在地址0x00000098开始的连续4个字节中。与现有技术相比，本专利技术的有益效果是：能够恢复Windows操作系统预读文件，提供了一种解析预读文件的具体方法和步骤以及提供了预读文件的底层数据格式，为计算机取证提供了一种恢复及调查使用痕迹的方法。附图说明图1为本专利技术的主流程图。图2为本专利技术中获取Windows操作系统预读文件的处理流程图。图3为本专利技术中解析Windows操作系统预读文件的处理流程图。图4为本专利技术中预读文件包含的应用程序名称、路径区、最后运行时间、运行次数的数据结构图。图5为本专利技术中预读文件包含的路径区起始位置的数据结构图。图6为本专利技术中预读文件包含的路径区结束位置的数据结构图。图7为本专利技术中预读文件包含的应用程序存放路径的数据结构图。具体实施方式下面结合附图和实施例对本专利技术作进一步阐述。如图1所示，一种恢复并解析Windows操作系统预读文件的方法，包括以下步骤：S1：获取Windows操作系统预读文件：Windows操作系统预读文件后缀为pf且保存在％systemroot％\Prefetch目录下，即系统根目录下的Prefetch文件夹；本实施例中，选用WindowsXP操作系统的预读文件进行解析，而WindowsXP操作系统的系统根目录是C:\Windows，因此，预读文件以二进制方式存储在C:\Windows\Prefetch路径下；本实施例中，选用的预读文件是WINWORD.EXE-CEA9B574.pf，用十六进制编辑器软件打开后显示为十六进制文件并用于解析；步骤S2包括如图2所示的以下步骤：S101：判断Windows操作系统预读文件是否被删除，如果是，执行步骤S102，否则执行步骤S2；S102：以Windows操作系统预读文件的文件头为关键字，扫描存储介质空闲区；该实施例中，由于预读文件以二进制方式存储在C:\Windows\Prefetch路径下，所以扫描C:\Wi本文档来自技高网...

【技术保护点】
一种恢复并解析Windows操作系统预读文件的方法，其特征在于包括以下步骤：S1：获取所述Windows操作系统预读文件；S2：解析所述Windows操作系统预读文件，包括应用程序名称、应用程序存放路径、应用程序最后运行时间、应用程序运行次数；S3：根据解析结果，提取所述应用程序名称、所述应用程序存放路径、所述应用程序最后运行时间、所述应用程序运行次数。

【技术特征摘要】
1.一种恢复并解析Windows操作系统预读文件的方法，其特征在于包括以下步骤：S1：获取所述Windows操作系统预读文件；S2：解析所述Windows操作系统预读文件，包括应用程序名称、应用程序存放路径、应用程序最后运行时间、应用程序运行次数；S3：根据解析结果，提取所述应用程序名称、所述应用程序存放路径、所述应用程序最后运行时间、所述应用程序运行次数。2.根据权利要求1所述的一种恢复并解析Windows操作系统预读文件的方法，其特征在于，所述Windows操作系统预读文件后缀为pf且保存在％systemroot％\Prefetch目录中，所述Windows操作系统预读文件为二进制文件，用十六进制编辑器软件打开后显示为十六进制文件并用于解析。3.根据权利要求2所述的一种恢复并解析Windows操作系统预读文件的方法，其特征在于，所述步骤S1中，获取所述Windows操作系统预读文件包括以下步骤：S101：判断所述Windows操作系统预读文件是否被删除，如果是，执行步骤S102，否则执行步骤S2；S102：以所述Windows操作系统预读文件的文件头为关键字，扫描存储介质空闲区；S103：判断是否查找到所匹配的所述文件头，如果是，执行步骤S2，否则执行步骤S102。4.根据权利要求3所述的一种恢复并解析Windows操作系统预读文件的方法，其特征在于，所述步骤S2中，解析所述Windows操作系统预读文件包括以下步骤：S201：查找并解析所述Windows操作系统预读文件的文件头和文件长度：所述Window...

【专利技术属性】
技术研发人员：梁效宁，许超明，赵飞，李航，
申请(专利权)人：四川艾特赢泰智能科技有限责任公司，
类型：发明
国别省市：四川,51