The invention discloses a method for recovering and preread file parsing of the Windows operating system, the method comprises the following steps: S1, acquiring the Windows operating system to read documents; S2: analysis of the Windows operating system to read documents, including the application program stored procedure name, path, the last application run time, application running times; S3: according to the results of analysis, extract the application name, the application store path, the application at run time, the number of applications running, the invention solves the specific methods and steps in the prior art can not be restored, analytical documents read and unpublished documents read the underlying data format file not open the preview.
【技术实现步骤摘要】
一种恢复并解析Windows操作系统预读文件的方法
本专利技术属于数据恢复和计算机取证领域,涉及事实取证中的使用痕迹调查,尤其涉及一种恢复并解析Windows操作系统预读文件的方法。
技术介绍
计算机取证是包括计算机取证技术、计算机鉴识、计算机法医学等运用计算机辨析技术,对计算机犯罪行为进行分析以确认所需的计算机证据,并将犯罪者留在计算机中的痕迹作为有效的诉讼证据提供给法庭,以便对犯罪嫌疑人提起诉讼并据此将罪犯绳之以法的有效工具。同时,也是针对计算机入侵与犯罪,进行证据获取、保存、分析和出示的过程。计算机证据指在计算机系统运行过程中产生的以其记录的内容来证明案件事实的电磁记录物,可理解为从计算机上提取证据,即:获取、保存、分析、出示、提供的证据。由于对计算机取证的分类十分复杂,往往难以按一定的标准进行合理分类。通常情况下根据取得的证据的用途不同进行分类,通常可以分为两类不同性质的取证:一类是来源取证,一类是事实取证。所谓来源取证,指的是取证的目的主要是确定犯罪嫌疑人或者证据的来源。例如在网络犯罪侦查中,为了确定犯罪嫌疑人,可能需要找到犯罪嫌疑人犯罪时使用的机器的IP地址,则寻找IP地址便是来源取证。事实取证指的是取证不是查明犯罪嫌疑人,而是取得与案件相关事实的证据。在事实取证中常见的取证方法有文件内容调查、使用痕迹调查、软件功能分析、软件相似性分析、日志文件分析、网络状态分析、网络数据包分析等。使用痕迹调查包括Windows运行的痕迹,包括运行栏历史记录、搜索栏历史记录、打开/保存文件记录、临时文件夹、最近访问的文件等使用文件与程序调查、上网记录的调查、O ...
【技术保护点】
一种恢复并解析Windows操作系统预读文件的方法,其特征在于包括以下步骤:S1:获取所述Windows操作系统预读文件;S2:解析所述Windows操作系统预读文件,包括应用程序名称、应用程序存放路径、应用程序最后运行时间、应用程序运行次数;S3:根据解析结果,提取所述应用程序名称、所述应用程序存放路径、所述应用程序最后运行时间、所述应用程序运行次数。
【技术特征摘要】
1.一种恢复并解析Windows操作系统预读文件的方法,其特征在于包括以下步骤:S1:获取所述Windows操作系统预读文件;S2:解析所述Windows操作系统预读文件,包括应用程序名称、应用程序存放路径、应用程序最后运行时间、应用程序运行次数;S3:根据解析结果,提取所述应用程序名称、所述应用程序存放路径、所述应用程序最后运行时间、所述应用程序运行次数。2.根据权利要求1所述的一种恢复并解析Windows操作系统预读文件的方法,其特征在于,所述Windows操作系统预读文件后缀为pf且保存在%systemroot%\Prefetch目录中,所述Windows操作系统预读文件为二进制文件,用十六进制编辑器软件打开后显示为十六进制文件并用于解析。3.根据权利要求2所述的一种恢复并解析Windows操作系统预读文件的方法,其特征在于,所述步骤S1中,获取所述Windows操作系统预读文件包括以下步骤:S101:判断所述Windows操作系统预读文件是否被删除,如果是,执行步骤S102,否则执行步骤S2;S102:以所述Windows操作系统预读文件的文件头为关键字,扫描存储介质空闲区;S103:判断是否查找到所匹配的所述文件头,如果是,执行步骤S2,否则执行步骤S102。4.根据权利要求3所述的一种恢复并解析Windows操作系统预读文件的方法,其特征在于,所述步骤S2中,解析所述Windows操作系统预读文件包括以下步骤:S201:查找并解析所述Windows操作系统预读文件的文件头和文件长度:所述Window...
【专利技术属性】
技术研发人员:梁效宁,许超明,赵飞,李航,
申请(专利权)人:四川艾特赢泰智能科技有限责任公司,
类型:发明
国别省市:四川,51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。