Windows 8 回收站取证研究.docVIP

Windows 8 回收站取证研究【 摘 要 】 在计算机取证过程中，对于删除文件的分析常常提供有价值的信息。知道在哪里找到被删除文件并且能够理解文件被删除过程中产生的元数据，这是一个合格的计算机取证人员必备的素质。本文对Window 8 系统的回收站与传统的Windows XP系统的回收站的相似点和不同点进行了对比分析，并详细说明了Windows 8 系统回收站的工作细节，以期为计算机取证人员提供帮助。 【 关键词 】 计算机取证；Windows 8；回收站；SID Recycle Bin Forensic for Windows 8 Song Bing （Henan Police College HenanZhengzhou 450046） 【 Abstract 】 Analysis of deleted files often provides useful information for the forensic computer examiner. Knowing where to find the deleted files， and how to interpret the metadata associated with the file’s deletion， make up the cornerstone of a successful forensic computer examination. In this paper， the author compares and contrasts the similarities and differences of the Recycle Bin of the Windows 8 between the Recycle Bin of the Windows XP Operating System. In this investigation， the author points-out the details of each implementation that are of interest for the forensic computer examiner. 【 Keywords 】 computer forensics； Windows 8； recycle bin； SID 0 引言 计算机取证是指对依靠计算机实施的犯罪行为利用计算机软硬件技术，按照符合法律规范的方式进行证据获取、保存、分析和出示的过程，是将存于计算机及相关外围设备中的电子数据转换固定为实质的证据，以及鉴定这些电子证据属性的过程。 所有计算机取证人员都知道这样一个事实：当一个文件被删除时，它没有真正消失。Windows系统桌面上的回收站图标更好地说明了这点。回收站如同现实的垃圾桶：将纸张揉成一团然后扔进垃圾桶，纸张仍可被展开查看上面的内容。回收站同样允许恢复“不小心”删除的文件。用户可以打开回收站，选择先前丢弃的文件，然后将其恢复到之前的位置。 因此，当一些文件通过系统命令器解释器（Shell）删除时，也就是用户在资源管理器中选中并删除文件时，它并不是真正地消失。文件仅仅被移动到回收站中。在回收站中，文件被重新命名和保存，放置在一个隐藏的系统文件夹下。为了实现被删除文件能够被用户恢复，系统需要存储被删除文件的原始状态信息。在很多案件中，回收站中保存了嫌疑人最近被丢弃的文件，对于计算机取证人员来说，这发现证据的最好方式。 在不同的Windows系统中，采取不同的方法管理回收站中的文件。早期的Windows如Windows95 或XP采用在回收站中创建一个数据文件Info2（或Info），用于存放所有的被删除文件的信息。Windows 8 系统则放弃了Info2文件，采取为每个被删除文件创建一个单独的记录文件。这些文件记录着被删除文件的原始的位置和结构。对于该文件的深入理解和分析，是每个计算机取证人员不可缺少技能。 1 相关背景 要了解记录文件的结构和它们的命名规则，首先必须了解回收站是如何工作的。当用户删除一个文件时，该文件其实并没有被删除，而是被复制到系统文件夹回收站中。删除文件所在位置随着Windows的版本不同而不同，参见表1。下面以Windows XP为例，对比说明Windows 8的回收站工作的不同点。 在Windows XP 中，每个驱动器都包含一个名为 Recycled 的隐藏文件夹。此文件夹包含 Windows 资源管理器、“我的电脑”或基于 Windows 的程序中删除的文件。 删除文件时，文件的完整路径和文件名存储在 Recycled 文件夹中名为 Info2（Info）的隐藏文件中。Windows系统使用下面的语法对已删除的文件进行了重命名： D. 例如Dc1