Windows系统回收站的电子物证特性分析比较研究

2019-10-21 08:16王志铭
现代信息科技 2019年11期
关键词:回收站

摘  要:本文着重对各个Windows版本的回收站进行分析研究。分析了Windows回收站的原理和功能、Windows XP回收站文件格式、Windows 7及Windows 10的回收站文件格式。实现了针对Windows系统的回收站文件夹深层次的电子数据取证研究,同时在研究过程中主要利用Winhex软件对回收站所存储的文件进行分析,成功获取用户删除文件的文件内容、删除时间及删除路径等信息,旨在为电子数据取证完整证据链的构建提供可靠依据。

关键词:Windows;回收站;电子数据取证

Abstract:This article focuses on the analysis of the various Windows versions of the recycle bin. Analyzed the principle and function of Windows recycle bin,Windows XP recycle bin file format,recycle bin file format for Windows 7 and Windows 10. The deep-level electronic data forensics research of the recycle bin folder for Windows system is realized. At the same time,Winhex software is mainly used to analyze the files stored in the recycle bin,and the file contents,deletion time and deletion of the deleted files are successfully obtained. Path information is intended to provide a reliable basis for the construction of a complete evidence chain for electronic data forensics.

Keywords:Windows;recycle bin;electronic data forensics

0  引  言

随着人民生活水平的不断提高和科技的不断进步,目前计算机几乎已遍布世界任何一个角落,但是计算机在方便人们的生活的同时,也成为犯罪的滋生地,计算机技术的快速发展也成为计算机犯罪的催化剂。面对数量及种类激增的计算机犯罪,电子数据取证应运而生。作为打击计算机犯罪的关键手段,及时、有效地提取相关电子物证成为电子数据取证的必要条件[1]。目前国内在电子数据取证方面的研究正如火如荼地发展中,但Windows系统尤其是最新的微软操作系统Windows 10的回收站方面的研究的相关文献较少。

在电子数据取证过程中,回收站的取证至关重要。Windows系统95版本及其后各版本文件被删除后会存放于回收站中,为用户整理文件提供便利,但同时对于取证人员来说,这正是发现证据的突破口。因大多数计算机犯罪都是将计算机作为犯罪的工具,且并不具备较好的专业技术,因此将相关涉案数据文件进行删除是最常见的反侦查手段,这也正是回收站数据取证的意义所在。

2  Windows回收站的概念

回收站是Windows操作系統中的一个隐藏的系统文件夹,其文件名根据Windows系统的不同而不同,当然对于每一个固定的磁盘分区来说,回收站都会在其根目录下创建系统对应的隐藏文件夹,当文件被删除后,被删除的文件就被移动到隐藏文件夹中。根据Windows系统版本的不同,被删除文件的存放位置也不同。如表1所示[2]。

当用户需要恢复删除至回收站的文件时,系统就会从记录的文件位置中提取所需信息,以供恢复。回收站相关操作可以分为删除、还原及彻底删除三种类型[3],删除的文件可以在回收站内通过还原操作进行还原,但是彻底删除的文件则无法使用还原操作。

3  Windows XP回收站特性及取证分析

3.1  Windows XP回收站特性

Windows XP是微软公司2001年推出的操作系统,虽然早已停止更新,但至今仍有部分用户使用,因此在电子数据取证过程中仍是取证人员必须熟悉的操作系统之一[4]。在Windows XP系统中,每一个磁盘根目录都有一个隐藏文件夹用于存放已删除的文件,此文件夹的名称在文件系统NTFS中为Recycle,图标为文件夹,此文件夹创建于分区第一次删除文件时,属性默认隐藏。在文件系统FAT32中称为Recycled,图标为回收站,属性默认隐藏。

3.2  Windows XP回收站取证分析

在文件系统FAT32删除的文件在Recycled文件夹中的命名格式为:D[文件原始隶属盘符][索引号][原始扩展名]。同时在文件夹中会存在一个名为INFO2的二进制文件,用来记录所有删除文件的时间及路径信息,需使用二进制查看器Winhex来进行分析。图1中是INFO2中记录删除文件“111”的相关内容。

同时发现从0x120到0x127的八个字节存储着被删除文件的时间信息,通过Winhex的数据解释器得到被删除时间为“2018/03/2802:30:35”,换算为北京时间“2018/03/28 10:30:35”,与删除文件的时间相匹配。

4  Windows 7及Windows 10回收站特性及取证分析

4.1  Windows 7回收站特性

Windows 7是微软公司在2009年发布的操作系统,较Windows XP在界面及性能上都有极大的提升。与此同时,电子数据取证领域也面临着重大变革,在回收站方面Windows 7与Windows XP相比也有较大的变化。在Windows 7系统中,在NFTS文件系统下的回收站是名为“$Recycle.Bin”属性默认隐藏的文件夹。而在文件系统FAT32下,回收站文件夹是直接显示为回收站图标、属性默认隐藏且名称为“回收站”的文件夹。

4.2  Windows 7回收站取证分析

在$Recycle.Bin文件夹下删除的文件不会以Windows XP的方式存储[5],而是在此目录下所对应的SID子文件夹下自动生成了两个开头为“$R”和“$I”的文件,通过对比发现,“$R”和“$I”开头的两个文件后面的6个字符串是一样的,并且在“.”后面是原文件的文件后缀。在Windows 7中,记录回收站原文件信息的文件的命名应该是由三个部分组成:“$R”或者“$I”加上一个由数字和字母组成的6个随机字符和原文件的文件后缀。具体如图2所示。

开头“$R”文件即所删除文件,在实验中使用Winhex打开“$I”开头文件,在文件中偏移从0x08到0x0F的八个字节存放原文件的大小,分别是“0500000000000000”,按照“大端序和小端序”的读法,应该读为“0000000000 000005”,换算为十进制数为5字节,跟原文件大小一致。同时,在文件偏移0x10到0x17的八个字节存放原文件的删除时间,分别是“F0 29 D4 64 6D 04 D5 01”,同上应该读为“01 D5 04 6D 64 D4 29 F0”,通过Winhex的数据解释器,可以读取到时间为“2019/05/07 00:39:56”,由于得到的是格林尼治时间,所以需在原时间上加8个小时,得到时间为“2018/05/07 08:39:56”,跟删除时间保持一致。得到了被删除文件的原路径、文件类型和文件名,如图3,可以得知“$I”开头的文件记录着被删除文件的原路径、文件类型、删除时间和文件名等信息。

对比Windows XP系统发现之前使用INFO2记录多个被删除文件的方式已经被彻底替代,取而代之的是通过重命名的两个文件来存储被删除文件的内容及信息,因此在Windows 7系统下回收站可提取的数据量较Windows XP更多。

4.3  Windows 10回收站取证分析

经与Windows 7回收站取证进行对比分析,Windows 10在回收站设置方面并没有进行更新,还是套用之前系统,即将删除文件存储为“$R”和“$I”开头的两种文件,其中前者负责存储数据,后者负责存储文件相关信息。因此针对Windows 10系统回收站的电子数据取证方面的操作完全可以套用Windows 7系统的方法进行。图4为使用Winhex查看Windows 10回收站中以“$R”开头文件的内容。

5  结  论

目前微软系统已在家用机操作系统方面占据市场多年,对于微软系统的电子数据取证意义极为重大,而回收站作为其中一个重要环节,了解常见微软操作系统回收站的取证方法极为重要。本文的研究对象选取的是常见的微软操作系统Windows XP、Windows 7和Windows 10,介绍了Windows回收站研究的原理和功能,分别对三个操作系统进行回收站特性方面的分析比较和电子数据取证方面的探索,尤其是在两类完全不同的回收站存储原理方面进行了分析和比对,并在二进制下分析回收站存储文件的方式,旨在为电子数据取证工作提供可行的思路。

参考文献:

[1] 鄧宇琼.网络犯罪证据的提取和固定 [J].中国人民公安大学学报,2003(3):120-122.

[2] 刘景云.回收站使用技巧谈 [J].电脑知识与技术(经验技巧),2017(12):39-41.

[3] SINDHU KK,KOMBADE R,GADGE R,et al. Forensic Investigation Processes for Cyber Crime and Cyber Space [M].New Delhi: Springer India,2014:193-206.

[4] VREEMAN D J,TAGGARD S L,RHINE M D,et al. Evidence for electronic health record systems in physical therapy.[J].Physical Therapy,2006,86(3):434-46+9.

[5] 孙奕.Windows 7环境下电子取证特点分析 [J].信息网络安全,2010(11):43-45.

作者简介:王志铭(1993-),男,汉族,山东济南人,研究生在读,研究方向:网络安全执法技术。

猜你喜欢
回收站
自动清空回收站的几种实现方法
神奇裁缝最省布
Windows 10回收站问题巧解决
巧用“垃圾桶” 生活有滋味
旧衣回收