專利名稱：基于特征掃描的Windows回收站刪除記錄取證方法
技術(shù)領(lǐng)域：
本發(fā)明涉及一種計算機刪除文件記錄取證方法，特別是關(guān)于一種用于分析還原Windows回收站刪除文件記錄，以幫助計算機取證工作的基于特征掃描的Windows回收站刪除記錄取證方法。
背景技術(shù)：
隨著計算機與網(wǎng)絡(luò)逐漸成為社會、政治、經(jīng)濟、文化生活的重要組成部分，在計算機與網(wǎng)絡(luò)帶來快捷辦公、便捷溝通等便利的同時，利用其犯罪的現(xiàn)象也日益突出。計算機取證技術(shù)作為打擊此項犯罪的重要手段，目前已成為計算機科學(xué)和法學(xué)界共同關(guān)注和研究的重點。各種數(shù)字證據(jù)一般都以網(wǎng)絡(luò)日志、文本文檔、圖像及視頻等形式存儲。因此，取證分析員要對犯罪分子所使用的計算機進行取證，主要包括從其訪問過的文檔、網(wǎng)站、打印的文件及已刪除的文件中提取并分析電子證據(jù)。在實際案例中，犯罪分子通常會將一些敏感文件刪除進入回收站，并清空回收站或從回收站徹底刪除這個文件。這些被犯罪分子刪除的文件可能包含重要的取證信息，其文件名以及被刪除時間也可能成為取證工作的重要線索。本發(fā)明就是針對Windows回收站，通過文中提供的取證方法提取出用戶曾刪除進入回收站的文件的文件名、文件大小、被刪除時間等數(shù)據(jù)，從中獲得取證信息。在Windows系統(tǒng)中有一個叫做回收站的機制，這種機制把被刪除的文件暫時隱藏的存起來，以備需要時還原。在用戶刪除文件時，其實是回收站暫時將被刪除文件移動到了一個隱藏的系統(tǒng)文件夾中，同時為了處理同名文件放入回收站時的沖突問題，回收站先將文件進行了重命名，然后再進行移動。為了能夠正確地將重命名后的文件還原到被刪除前的狀態(tài)，回收站需要一個數(shù)據(jù)庫存儲被刪除的文件的信息。該數(shù)據(jù)庫存儲了所有放入回收站的文件的刪除文件記錄，每條記錄包括被刪除文件原來的存放路徑、文件名、文件大小以及被刪除時間等信息。在Windows不同版本下，回收站機制的實現(xiàn)方式可分為兩類一類是Windows 2003及其之前版本，以Windows XP為代表(下文以Windows XP版本來統(tǒng)稱這類版本)；另一類是 Windows Vista 和 Windows 7,以 Windows 7 為代表(下文以 Windows 7版本來統(tǒng)稱這類版本)。這兩類Windows版本使用了不同的回收站機制。在Windows XP版本中，當(dāng)文件被刪除并進入回收站時，回收站把被刪除文件重命名后再放入回收站。重命名的方式為“Dc###. ** ”,其中“Dc ”為固定的文件名頭,“ ”是此文件在回收站中的唯一序號，“**”是文件被刪除前的擴展名。同時為了能夠正確地將重命名后的文件還原到被刪除前的狀態(tài)，并記錄文件被刪除時間等信息，回收站使用了一個集中的數(shù)據(jù)庫來記錄這些信息，這個數(shù)據(jù)庫就是INF02文件。每當(dāng)有一個文件被放入回收站時，都會在INF02文件中添加一個記錄項，記錄與被刪除文件相關(guān)的信息。INF02文件保存了刪除文件的記錄。在INF02文件中，首先是有16字節(jié)的文件頭。在默認情況下，文件頭后的每800個字節(jié)為一條刪除文件記錄，其中包括被刪除文件的原存放路徑和文件名、文件大小、被刪除時間、文件在回收站里對應(yīng)的序號，如表I所示。、
表I Windows XP類版本下回收站刪除文件記錄格式
權(quán)利要求
1.一種基于特征掃描的Windows回收站刪除記錄取證方法,其包括如下步驟 (1)獲取取證目標(biāo)磁盤鏡像文件； (2)判斷該磁盤鏡像文件中Windows系統(tǒng)的版本是WindowsXP或Windows 7 ； (3)根據(jù)所述步驟(2)判斷的系統(tǒng)版本，通過與該系統(tǒng)版本相應(yīng)的特征掃描方法掃描磁盤鏡像文件，獲得回收站刪除文件記錄； (4)通過獲得的回收站刪除文件記錄，根據(jù)其格式提取回收站刪除文件信息，為提取刪除文件信息中的證據(jù)信息或取證線索提供數(shù)據(jù)基礎(chǔ)，完成回收站刪除文件記錄取證。
2.如權(quán)利要求I所述的基于特征掃描的Windows回收站刪除記錄取證方法,其特征在于所述步驟(2)中，所述Windows XP統(tǒng)指Windows 2003及其之前的與Windows XP回收站機制相同版本的Windows操作系統(tǒng)；所述Windows 7統(tǒng)指Windows Vista、Windows 7及之后與Windows 7回收站機制相同版本的Windows操作系統(tǒng)。
3.如權(quán)利要求I或2所述的基于特征掃描的Windows回收站刪除記錄取證方法,其特征在于所述步驟(3)中，通過刪除文件記錄的特征以及刪除文件在磁盤中的分布情況，對各所述Windows版本的磁盤按照以下特征掃描方法進行掃描，其步驟如下 ①打開給定的磁盤鏡像文件； ②讀取一段鏡像文件的字節(jié)流，并根據(jù)回收站刪除文件記錄分布，從該段字節(jié)流的第一個字節(jié)為起始位置，按預(yù)先設(shè)定的掃描步長逐個對當(dāng)前位置起的數(shù)據(jù)按刪除文件記錄特征進行一一匹配； ③所述步驟②中，若匹配成功，則保存匹配到的文件刪除記錄；若匹配失敗，則按掃描步長對下一字節(jié)起的數(shù)據(jù)按刪除文件記錄特征進行匹配； ④掃描完這段鏡像文件的字節(jié)流后，返回所述步驟②，直到磁盤鏡像全部掃描完畢。
4.如權(quán)利要求3所述的基于特征掃描的Windows回收站刪除記錄取證方法,其特征在于所述步驟②中，所述Windows版本為Windows XP時,貝U刪除文件記錄特征包括以下四種，需滿足以下所有特征才能匹配成功 (I)記錄第I字節(jié)起至第264字節(jié)的264個字節(jié)為ASCII編碼的文件路徑，以“X:\”起始，其中“X”為盤符，應(yīng)為ASCII編碼的“A” “Z” ； (II)記錄第283字節(jié)起至第800字節(jié)的518個字節(jié)為UNICODE編碼的文件路徑，也以“X:\”起始，其中“X”應(yīng)與記錄開始的盤符一致，編碼應(yīng)為UNICODE編碼； (III)記錄第265字節(jié)為記錄文件原分區(qū)位置標(biāo)識，與記錄路徑中的“X”一致，因為是以序號表示，所以為“X”的ASCII碼減65 ； (IV)記錄第273字節(jié)起至第280字節(jié)的8個字節(jié)表示被刪除時間，應(yīng)符合Windows合法時間格式并小于當(dāng)前時間。
5.如權(quán)利要求3所述的基于特征掃描的Windows回收站刪除記錄取證方法,其特征在于所述步驟②中，所述Windows版本為Windows 7時,貝U刪除文件記錄特征包括以下三種，需滿足以下所有特征才能匹配成功 (I)記錄第I字節(jié)起至第8字節(jié)的8個字節(jié)為固定的文件頭“10000000”； (II)記錄第25字節(jié)起至第544字節(jié)的520個字節(jié)為UNICODE編碼的文件路徑，以“X: \”開頭，其中“X”為盤符，應(yīng)為UNICODE編碼的“A” “Z” ； (III)記錄第17字節(jié)起至第24字節(jié)的8個字節(jié)表示被刪除時間,應(yīng)符合Windows合法時間格式并小于當(dāng)前時間。全文摘要
本發(fā)明涉及一種基于特征掃描的Windows回收站刪除記錄取證方法，其包括如下步驟(1)獲取取證目標(biāo)磁盤鏡像文件；(2)判斷該磁盤鏡像文件中Windows系統(tǒng)的版本是Windows XP或Windows Vista/Windows 7；(3)根據(jù)所述步驟(2)判斷的系統(tǒng)版本，通過與該系統(tǒng)版本相應(yīng)的特征掃描方法掃描磁盤，恢復(fù)回收站刪除文件記錄；(4)通過恢復(fù)的回收站刪除文件記錄，根據(jù)其格式提取回收站刪除文件信息，為提取刪除文件信息中的證據(jù)信息或取證線索提供數(shù)據(jù)基礎(chǔ)，完成回收站刪除文件記錄取證。本發(fā)明能有效地恢復(fù)用戶回收站刪除文件記錄信息，恢復(fù)成功率高，能覆蓋所有主流版本W(wǎng)indows的回收站機制。本發(fā)明可以廣泛應(yīng)用于計算機取證領(lǐng)域應(yīng)用中。
文檔編號G06F17/30GK102662981SQ201210065430
公開日2012年9月12日 申請日期2012年3月13日 優(yōu)先權(quán)日2012年3月13日
發(fā)明者劉品新, 梁彬, 石文昌, 肖漢 申請人:中國人民大學(xué)