本发明专利技术涉及一种基于特征扫描的Windows回收站删除记录取证方法,其包括如下步骤:(1)获取取证目标磁盘镜像文件;(2)判断该磁盘镜像文件中Windows系统的版本是Windows?XP或Windows?Vista/Windows?7;(3)根据所述步骤(2)判断的系统版本,通过与该系统版本相应的特征扫描方法扫描磁盘,恢复回收站删除文件记录;(4)通过恢复的回收站删除文件记录,根据其格式提取回收站删除文件信息,为提取删除文件信息中的证据信息或取证线索提供数据基础,完成回收站删除文件记录取证。本发明专利技术能有效地恢复用户回收站删除文件记录信息,恢复成功率高,能覆盖所有主流版本Windows的回收站机制。本发明专利技术可以广泛应用于计算机取证领域应用中。
【技术实现步骤摘要】
本专利技术涉及一种计算机删除文件记录取证方法,特别是关于一种用于分析还原Windows回收站删除文件记录,以帮助计算机取证工作的。
技术介绍
随着计算机与网络逐渐成为社会、政治、经济、文化生活的重要组成部分,在计算机与网络带来快捷办公、便捷沟通等便利的同时,利用其犯罪的现象也日益突出。计算机取证技术作为打击此项犯罪的重要手段,目前已成为计算机科学和法学界共同关注和研究的重点。各种数字证据一般都以网络日志、文本文档、图像及视频等形式存储。因此,取证分析员要对犯罪分子所使用的计算机进行取证,主要包括从其访问过的文档、网站、打印的文件及已删除的文件中提取并分析电子证据。在实际案例中,犯罪分子通常会将一些敏感文件删除进入回收站,并清空回收站或从回收站彻底删除这个文件。这些被犯罪分子删除的文件可能包含重要的取证信息,其文件名以及被删除时间也可能成为取证工作的重要线索。本专利技术就是针对Windows回收站,通过文中提供的取证方法提取出用户曾删除进入回收站的文件的文件名、文件大小、被删除时间等数据,从中获得取证信息。在Windows系统中有一个叫做回收站的机制,这种机制把被删除的文件暂时隐藏的存起来,以备需要时还原。在用户删除文件时,其实是回收站暂时将被删除文件移动到了一个隐藏的系统文件夹中,同时为了处理同名文件放入回收站时的冲突问题,回收站先将文件进行了重命名,然后再进行移动。为了能够正确地将重命名后的文件还原到被删除前的状态,回收站需要一个数据库存储被删除的文件的信息。该数据库存储了所有放入回收站的文件的删除文件记录,每条记录包括被删除文件原来的存放路径、文件名、文件大小以及被删除时间等信息。在Windows不同版本下,回收站机制的实现方式可分为两类一类是Windows 2003及其之前版本,以Windows XP为代表(下文以Windows XP版本来统称这类版本);另一类是 Windows Vista 和 Windows 7,以 Windows 7 为代表(下文以 Windows 7版本来统称这类版本)。这两类Windows版本使用了不同的回收站机制。在Windows XP版本中,当文件被删除并进入回收站时,回收站把被删除文件重命名后再放入回收站。重命名的方式为“Dc###. ** ”,其中“Dc ”为固定的文件名头,“ ”是此文件在回收站中的唯一序号,“**”是文件被删除前的扩展名。同时为了能够正确地将重命名后的文件还原到被删除前的状态,并记录文件被删除时间等信息,回收站使用了一个集中的数据库来记录这些信息,这个数据库就是INF02文件。每当有一个文件被放入回收站时,都会在INF02文件中添加一个记录项,记录与被删除文件相关的信息。INF02文件保存了删除文件的记录。在INF02文件中,首先是有16字节的文件头。在默认情况下,文件头后的每800个字节为一条删除文件记录,其中包括被删除文件的原存放路径和文件名、文件大小、被删除时间、文件在回收站里对应的序号,如表I所示。、表I Windows XP类版本下回收站删除文件记录格式权利要求1.一种,其包括如下步骤 (1)获取取证目标磁盘镜像文件; (2)判断该磁盘镜像文件中Windows系统的版本是WindowsXP或Windows 7 ; (3)根据所述步骤(2)判断的系统版本,通过与该系统版本相应的特征扫描方法扫描磁盘镜像文件,获得回收站删除文件记录; (4)通过获得的回收站删除文件记录,根据其格式提取回收站删除文件信息,为提取删除文件信息中的证据信息或取证线索提供数据基础,完成回收站删除文件记录取证。2.如权利要求I所述的,其特征在于所述步骤(2)中,所述Windows XP统指Windows 2003及其之前的与Windows XP回收站机制相同版本的Windows操作系统;所述Windows 7统指Windows Vista、Windows 7及之后与Windows 7回收站机制相同版本的Windows操作系统。3.如权利要求I或2所述的,其特征在于所述步骤(3)中,通过删除文件记录的特征以及删除文件在磁盘中的分布情况,对各所述Windows版本的磁盘按照以下特征扫描方法进行扫描,其步骤如下 ①打开给定的磁盘镜像文件; ②读取一段镜像文件的字节流,并根据回收站删除文件记录分布,从该段字节流的第一个字节为起始位置,按预先设定的扫描步长逐个对当前位置起的数据按删除文件记录特征进行一一匹配; ③所述步骤②中,若匹配成功,则保存匹配到的文件删除记录;若匹配失败,则按扫描步长对下一字节起的数据按删除文件记录特征进行匹配; ④扫描完这段镜像文件的字节流后,返回所述步骤②,直到磁盘镜像全部扫描完毕。4.如权利要求3所述的,其特征在于所述步骤②中,所述Windows版本为Windows XP时,贝U删除文件记录特征包括以下四种,需满足以下所有特征才能匹配成功 (I)记录第I字节起至第264字节的264个字节为ASCII编码的文件路径,以“X:\”起始,其中“X”为盘符,应为ASCII编码的“A” “Z” ; (II)记录第283字节起至第800字节的518个字节为UNICODE编码的文件路径,也以“X:\”起始,其中“X”应与记录开始的盘符一致,编码应为UNICODE编码; (III)记录第265字节为记录文件原分区位置标识,与记录路径中的“X”一致,因为是以序号表示,所以为“X”的ASCII码减65 ; (IV)记录第273字节起至第280字节的8个字节表示被删除时间,应符合Windows合法时间格式并小于当前时间。5.如权利要求3所述的,其特征在于所述步骤②中,所述Windows版本为Windows 7时,贝U删除文件记录特征包括以下三种,需满足以下所有特征才能匹配成功 (I)记录第I字节起至第8字节的8个字节为固定的文件头“10000000”; (II)记录第25字节起至第544字节的520个字节为UNICODE编码的文件路径,以“X: \”开头,其中“X”为盘符,应为UNICODE编码的“A” “Z” ; (III)记录第17字节起至第24字节的8个字节表示被删除时间,应符合Windows合法时间格式并小于当前时间。全文摘要本专利技术涉及一种,其包括如下步骤(1)获取取证目标磁盘镜像文件;(2)判断该磁盘镜像文件中Windows系统的版本是Windows XP或Windows Vista/Windows 7;(3)根据所述步骤(2)判断的系统版本,通过与该系统版本相应的特征扫描方法扫描磁盘,恢复回收站删除文件记录;(4)通过恢复的回收站删除文件记录,根据其格式提取回收站删除文件信息,为提取删除文件信息中的证据信息或取证线索提供数据基础,完成回收站删除文件记录取证。本专利技术能有效地恢复用户回收站删除文件记录信息,恢复成功率高,能覆盖所有主流版本Windows的回收站机制。本专利技术可以广泛应用于计算机取证领域应用中。文档编号G06F17/30GK102662981SQ201210065430公开日2012年9月12日 申请日期2012年3月13日 优先权日2012年3月13日专利技术者刘品新, 梁彬, 石文昌, 肖汉 申请人:中国本文档来自技高网...
【技术保护点】
【技术特征摘要】
【专利技术属性】
技术研发人员:梁彬,肖汉,石文昌,刘品新,
申请(专利权)人:中国人民大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。