Windows 8系统的计算机取证问题分析

王 宇，吴玉强，杨 扬

（1.吉林警察学院，吉林 长春 130117；2.南京森林警察学院，江苏 南京 210023；3.天津市公安局，天津 130033）

Windows 8系统的计算机取证问题分析

王 宇1，吴玉强2，杨 扬3

（1.吉林警察学院，吉林 长春 130117；2.南京森林警察学院，江苏 南京 210023；3.天津市公安局，天津 130033）

随着微软最新一代操作系统Windows 8的逐渐推广，计算机取证人员也将在工作中与之越来越多地相遇。在此背景下，针对Windows8系统，从其新增功能、注册表分析、Bitlocker加密和网络浏览记录取证等角度出发，分析取证过程中可能涉及的问题及其解决方法，以期能够为计算机取证工作提供帮助。

Windows8；计算机取证；注册表；Bitlocker；分析

一、引言

从最新的Net Applications的调查结果来看，Windows XP系统与Windows 7系统目前在个人电脑操作系统市场仍然占据着不可动摇的领先地位，两者的市场占有率仍超过将70%，但微软公司宣布将于2014年4月8日全面停止对于Windows XP系统的支持，这也就意味着从那时起市场占有率达33%的Windows XP系统用户将再也不会收到微软的官方更新。没有官方更新支持的Windows XP系统无疑会变得不安全，会更轻易地遭受病毒和黑客的入侵。在此条件下，越来越多的个人用户和企业用户将升级至Windows 7系统和Windows 8系统。虽然截至目前Windows 8系统与Windows 8.1系统的市场占有率才将近10%，但考虑到在开机后的启动速度以及电池续航等方面都有十分显著的提高，同时满足了用户对于便携性的要求，未来使用Windows 8系统的人也会越来越多。因此，针对Windows 8系统的取证分析也显得越来越重要。

Windows 8系统与之前的Windows 7系统相比较，在安全设置上和操作习惯上相比有进步和差别，因此，伴随而来的是对司法取证人员工作的影响。作为一名计算机取证人员，熟悉Windows 8系统及其功能的最新变化，对实际工作有很重要的价值。本文针对Windows 8系统的计算机取证问题进行分析，主要从其新增的一些网络功能、注册表分析、Bitlocker加密和网络浏览取证等方面进行介绍，并简单地分析取证过程中可能涉及的问题及其解决方法，以期能够更好为计算机取证工作提供帮助。

二、Windows 8系统简介

Windows 8操作系统是微软在北京时间2012年10月25日23点15分推出的最新版的Windows系列操作系统，也是继Windows 7之后发布的最新操作系统，它延续了Windows 7系统的各种优点，并且将用户体验作为一个重要的组成部分。除了新增大量的实用功能外，Windows 8系统对硬件的要求也适合绝大部分用户的计算机配置，它可以采用多种安装方法来进行安装体验。

三、Windows 8系统新增功能分析

Windows 8系统为了方便用户在日常能够即时使用邮件进行联系，提供了人脉、日历、消息以及邮件应用功能，特别是人脉应用可以集合社交网络和即时聊天服务的联系人。

当用户使用Microsoft账户登录Windows 8系统的电脑之后，即可与自己所关注的文件、人脉和相关设置相连接。用户可以将喜爱的服务，比如微软Hotmail、微软MSN和sina微博等连接至Microsoft账户。与此同时，联网情况下用户还可以随时访问在Microsoft SkyDrive、Flickr或其他服务项目上的所有文档、照片和其他文件。

以连接到新浪微博为例，进入Windows 8系统人脉应用界面后，依次选择“设置”——“账户”——“添加账户”，就会出现“新浪微博”的选项。点击选择，输入账户名和密码，授权之后完成链接，在链接到的微软账户中，会同时接收到一封邮件，通知已成功链接，然后对链接后的权限可以在邮件中进行简单的设置。之后用户就可以在人脉应用面板中看到新浪微博中关注的好友动态，同时在右上角的图标中会加入新浪微博的标志。按照类似的方法，用户还可以继续添加其他的账户，例如Hotmail、Google等。此外，全新的Windows 8系统的开始屏幕将联系人、照片、天气和日历上的下一次约会等电脑机主所关注的信息集于一处，这对分析机主的个人行为也起到了一定的作用。

在对Windows 8系统的取证中，这些新增功能要引起取证人员的足够注意。取证人员不但在脱机环境下对系统有关数据进行分析取证，还要注意在联网情况下通过Windows 8系统的这些新增网络功能获得相关的有用信息，为案件的侦查取得线索。

四、注册表分析

注册表是Windows系统存储关于计算机配置信息的数据库，是Windows操作系统的核心。注册表中所有的数据都是以二进制的形式存储的，它存储系统硬件的全部配置信息、文档文件和应用软件的关联信息、系统和应用软件的初始化信息、硬件设备说明以及各种网络状数据和状态信息。可以说计算机上所有针对软硬件以及网络上的操作都是源于注册表。因此，正确提取注册表中的有效数据将对侦查破案工作大有帮助。

Windows 8系统注册表与之前的Windows 7系统差别不大，仍然保留了5个根键，其名称、缩写及功能描述如表1所示。关于Windows 8系统注册表的结构和存储方式，本文不做过多交代，读者可以参阅相关资料。下面分类列举取证工作中关注较多的一些注册表信息，弄清楚它们对于勾画嫌疑人在计算机上的活动是很有帮助的。

表1 注册表根键的名称、缩写和描述

（一）系统信息分析方面

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlComputerNameComputerName：查看本地计算机名称。

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersion：查看系统的用户名、公司名、安装日期、系统版本等信息。

HKEY_LOCAL_MACHINESYSTEMControl001ControlWindows：查看系统最后关机的时间（这里需要注意的是系统时间与当地标准时间是否一致）。

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTimeZoneInformation：查看系统的时区。

（二）应用程序信息分析方面

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun：由控制面板设定的计算机启动时运行程序的列表。

HKEY_LOCAL_MACHINESOFTWARERegisteredApplications：记载了所有应用程序的信息。

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionuninstall：保存已安装的Windows应用程序的卸载信息。

（三）网络信息分析方面

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionNetwork：网卡列表信息，通过这个键值可以看出上网的网卡是以太网还是Wi-Fi网卡，是外接网卡还是嵌入式网卡。

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionNetworkListNla CacheIntranet：操作系统连接Intranet网的信息。

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionNetworkList Profiles{Wireless-Identifier}：系统连接的无线网络的相关信息，包括无线网络名称、无线网络的创建时间、最后连接时间等信息。

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesTcpipParametersInterfaces：电脑每个网卡最后设置的IP地址和默认网关等信息。

（四）最近使用文件分析方面

HKEY_USERSS-1-5-21-〔UserIdentifier〕SoftwareMicrosoftOffice14.0WordFile MRU：用户最近使用过哪些Word文档（14.0表示系统安装的是OFFICE 2010版本）。

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerRecentDocs：最近通过文件资源管理器打开或运行的文件。

（五）设备接入分析方面

HKEY_LOCAL_MACHINESYSTEMControlSet001ControlPrintPrinters：系统中保存的打印机驱动程序信息。

HKEY_LOCAL_MACHINESYSTEMControlSet001EnumUSBSTOR：Windows系统中曾经插入的USB设备、手机设备、平板电脑设备，包括产品ID、制造商ID、产品名称、型号等信息。

五、BitLocker驱动器加密

Bitlocker驱动器加密是微软公司继Windows Vista版本之后新增的一种对系统数据进行保护的功能，它可以对本地磁盘分区进行加密保护，同时在Windows 7系统和Windows8系统中新增加了对移动存储设备进行全盘加密的功能（Bitlocker To Go）。

这项功能通过加密整个Windows系统，有效地防止未经授权的用户破坏系统文件以及保护系统对已丢失或被盗计算机数据的破坏。利用Bitlocker驱动器可以加密所有用户和系统文件，包括休眠文件和交换文件。

关于Bitlocker的破解工具，目前主要有COFEE（Computer Online Forensic EvidenceExtractor）和PKF（Passware Kit Forensic version 9.5），其中，COFEE是微软向国际刑警组织免费提供的证据提取工具，它是一种形状类似优盘的提取工具，包含了信息搜集、密码破解、网络嗅探等各种工具软件。它的工作原理是绕过所有Windows系统安全措施的方式来实现对系统密码的破解、搜索计算机系统数据、显示网络浏览历史等诸多功能。PKF的破解方法是通过扫描目标计算机物理内存中的映像文件，进而得到Bitlocker加密磁盘时使用的加密密钥来实现破解。

六、网页浏览记录取证方面

个人的网页浏览记录是调查取证中的重点分析对象。用户在系统上留下的访问记录，不仅可以证明其是否曾经访问过某些特定网络资源，甚至可以作为相关案件破获的重要证据线索。针对Windows 8系统的网页浏览取证的内容与Windows 7系统基本相同，主要包括系统账户保留的浏览器历史记录、缓存记录、cookies信息和收藏夹信息等。

默认情况下，这类信息在Windows 8系统中位于%SYSTEMROOT%用户＜用户名＞AppData文件夹下。可以通过查看注册表项HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrent VesionExplorerUser Shell Folders中相应键值来确定文件存储路径修改后的位置。

特别要注意的是，在Windows 8操作系统中，index.dat是一个由IE浏览器和系统资源管理器所创建的具有隐藏属性的文件。事实上，index.dat是一个保存了cookie、历史记录和IE临时文件中所记录内容的副本。index.dat和各个独立的Cookies文件在一起可以为取证人员提供一些非常重要的信息，如犯罪嫌疑人曾经访问过的网站地址、访问某网站地址的频率、访问某网站的时间信息等。当用户删除cookies记录或者浏览器历史记录时，在index.dat中还是保存了一些相关记录。对于index.dat取证人员除了可以使用IECookiesView和Encase进行手动查看外，还可以通过Index. dat Analyzer专业工具进行检验和查看。

七、结语

随着技术的发展和操作系统的快速更新换代，必然会给计算机取证工作带来一定的影响，取证人员及时熟悉和掌握新操作系统的应用特点及针对新特点、新功能的取证方法是非常重要的。本文主要分析了与之相关的一些问题，包括Windows 8系统新增功能取证分析、注册表内容分析、基于BitLocker驱动器加密的数据保护与破解、网络浏览等方面，希望能对有关人员在对Windows 8系统进行取证工作时起到一定的参考作用。

［1］汤艳君，高洪涛，罗文华等.电子物证检验与分析［M］.北京：清华大学出版社，2014.

［2］王宁，刘志军等.Windows 7系统注册表的取证分析［J］.警察技术，2013.

［3］孙奕.Windows 7环境下电子取证特点分析［J］.信息网络安全，2010.

［4］吴剑.针对Windows 7系统的计算机取证问题分析［J］.电脑知识与技术，2011.

［5］邢桂东.Windows操作系统注册表检验［J］.刑事技术，2011.

［6］吴清，吴顺祥.index.dat文件结构解析［J］.现代计算机（专业版），2008.

［7］Bitlocker使用手册.百度文库［DB/OL］.http：//wenku.baidu.com/link?url=O-gq-A_Y3EzEfepvZVA-6_N2mtoC5lpfT_CpOcGYiWXG2vCVraQsoMT77jxOaeH5I5PNcnorPsVSyM1gvC9Edhpo Kay uun QKktf6Z85CFcu.

［8］bitlocker.百度百科［DB/OL］.http：//baike.baidu.com/link?url=KLcZ8cE7PeYCMZR5YRBE-mAs DnmuTz-xxi8CdkrToozVhBiHHqlGGMB-VQvUCIPZjulSWadAw KPxEY-kxSXOj.

（责任编辑：陈尚坤）

D918.2

A

1671-0541（2015）01-0071-04

2014-04-22

王宇（1987-），女，吉林松原人，吉林警察学院侦查系助教，主要研究方向：电子物证、网络犯罪侦查；吴玉强（1988-），男，河南人，南京森林警察学院信息技术系助教，主要研究方向：电子物证、网络犯罪侦查；杨扬（1988-），女，内蒙古牙克石人，天津市公安局民警。