CN102662981B - 基于特征扫描的Windows回收站删除记录取证方法 - Google Patents
基于特征扫描的Windows回收站删除记录取证方法 Download PDFInfo
- Publication number
- CN102662981B CN102662981B CN201210065430.2A CN201210065430A CN102662981B CN 102662981 B CN102662981 B CN 102662981B CN 201210065430 A CN201210065430 A CN 201210065430A CN 102662981 B CN102662981 B CN 102662981B
- Authority
- CN
- China
- Prior art keywords
- file
- record
- byte
- windows
- deleted
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Signal Processing For Digital Recording And Reproducing (AREA)
Abstract
本发明涉及一种基于特征扫描的Windows回收站删除记录取证方法,其包括如下步骤:(1)获取取证目标磁盘镜像文件;(2)判断该磁盘镜像文件中Windows系统的版本是Windows XP或Windows Vista/Windows 7;(3)根据所述步骤(2)判断的系统版本,通过与该系统版本相应的特征扫描方法扫描磁盘,恢复回收站删除文件记录;(4)通过恢复的回收站删除文件记录,根据其格式提取回收站删除文件信息,为提取删除文件信息中的证据信息或取证线索提供数据基础,完成回收站删除文件记录取证。本发明能有效地恢复用户回收站删除文件记录信息,恢复成功率高,能覆盖所有主流版本Windows的回收站机制。本发明可以广泛应用于计算机取证领域应用中。
Description
技术领域
本发明涉及一种计算机删除文件记录取证方法,特别是关于一种用于分析还原Windows回收站删除文件记录,以帮助计算机取证工作的基于特征扫描的Windows回收站删除记录取证方法。
背景技术
随着计算机与网络逐渐成为社会、政治、经济、文化生活的重要组成部分,在计算机与网络带来快捷办公、便捷沟通等便利的同时,利用其犯罪的现象也日益突出。计算机取证技术作为打击此项犯罪的重要手段,目前已成为计算机科学和法学界共同关注和研究的重点。
各种数字证据一般都以网络日志、文本文档、图像及视频等形式存储。因此,取证分析员要对犯罪分子所使用的计算机进行取证,主要包括从其访问过的文档、网站、打印的文件及已删除的文件中提取并分析电子证据。在实际案例中,犯罪分子通常会将一些敏感文件删除进入回收站,并清空回收站或从回收站彻底删除这个文件。这些被犯罪分子删除的文件可能包含重要的取证信息,其文件名以及被删除时间也可能成为取证工作的重要线索。本发明就是针对Windows回收站,通过文中提供的取证方法提取出用户曾删除进入回收站的文件的文件名、文件大小、被删除时间等数据,从中获得取证信息。
在Windows系统中有一个叫做回收站的机制,这种机制把被删除的文件暂时隐藏的存起来,以备需要时还原。在用户删除文件时,其实是回收站暂时将被删除文件移动到了一个隐藏的系统文件夹中,同时为了处理同名文件放入回收站时的冲突问题,回收站先将文件进行了重命名,然后再进行移动。为了能够正确地将重命名后的文件还原到被删除前的状态,回收站需要一个数据库存储被删除的文件的信息。该数据库存储了所有放入回收站的文件的删除文件记录,每条记录包括被删除文件原来的存放路径、文件名、文件大小以及被删除时间等信息。在Windows不同版本下,回收站机制的实现方式可分为两类:一类是Windows 2003及其之前版本,以Windows XP为代表(下文以Windows XP版本来统称这类版本);另一类是Windows Vista和Windows 7,以Windows 7为代表(下文以Windows 7版本来统称这类版本)。这两类Windows版本使用了不同的回收站机制。
在Windows XP版本中,当文件被删除并进入回收站时,回收站把被删除文件重命名后再放入回收站。重命名的方式为“Dc###.**”,其中“Dc”为固定的文件名头,“###”是此文件在回收站中的唯一序号,“**”是文件被删除前的扩展名。同时为了能够正确地将重命名后的文件还原到被删除前的状态,并记录文件被删除时间等信息,回收站使用了一个集中的数据库来记录这些信息,这个数据库就是INFO2文件。每当有一个文件被放入回收站时,都会在INFO2文件中添加一个记录项,记录与被删除文件相关的信息。
INFO2文件保存了删除文件的记录。在INFO2文件中,首先是有16字节的文件头。在默认情况下,文件头后的每800个字节为一条删除文件记录,其中包括被删除文件的原存放路径和文件名、文件大小、被删除时间、文件在回收站里对应的序号,如表1所示。
表1 Windows XP类版本下回收站删除文件记录格式
在Windows 7中,被删除文件被重命名为“$R###.**”(下文以$R文件简称),其中“###”为一串包含数字和字母的随机序列,“**”为原文件的扩展名。Windows7中没有采用之前版本的INFO2文件对被删除的文件做统一的管理,而是采用了分散存储的方式,为每个$R文件配了一个记录文件。此记录文件记录了与被删除文件相关的信息。这个记录文件的命名方式与$R文件类似,在文件被放入回收站并重命名的同时,生成了一个名为“$I###.**”(下文以$I文件简称)的文件。此处“###”是与$R文件完全相同的随机序列,“**”为原文件的扩展名。
$I文件保存了每条被删除文件的记录。$I文件是固定的544字节大小,由文件头、原删除文件大小、被删除时间和原删除文件名四部分组成,如表2所示。
表2 Windows 7类版本下回收站删除文件记录格式
在用户清空回收站或彻底删除回收站中的文件时,这些删除记录有时会随着被删除,但是并不是在物理磁盘上将该记录所占用的每一位都清除,而只是标识该记录已经被删除,这块磁盘空间可以再被利用。因此,除非有另一个文件覆盖这块磁盘空间,否则在磁盘中会一直残留着原来的数据。这些可能残存下来的数据为获得Windows回收站文件删除记录提供了一个基础。我们可以通过磁盘扫描的方式,结合总结出的删除文件记录特征找出残存的数据,从中获得取证信息。由于删除文件记录只有数百字节,被覆盖的几率并不大,因此恢复成功率高,便于进行取证。根据上述的回收站机制可以设计出有效的基于特征扫描的Windows回收站删除记录取证方法。
发明内容
针对上述问题,本发明的目的是提供一种有效恢复Windows回收站删除文件信息的方法,能覆盖所有主流版本Windows的回收站机制,实现对各版本Windows系统下回收站删除文件记录的取证。
为实现上述目的,本发明采取以下技术方案:一种基于特征扫描的Windows回收站删除记录取证方法,其包括如下步骤:(1)获取取证目标磁盘镜像文件;(2)判断该磁盘镜像文件中Windows系统的版本是Windows XP或Windows 7;(3)根据所述步骤(2)判断的系统版本,通过与该系统版本相应的特征扫描方法扫描磁盘镜像文件,获得回收站删除文件记录;(4)通过获得的回收站删除文件记录,根据其格式提取回收站删除文件信息,为提取删除文件信息中的证据信息或取证线索提供数据基础,完成回收站删除文件记录取证。
所述步骤(2)中,所述Windows XP统指Windows 2003及其之前的与WindowsXP回收站机制相同版本的Windows操作系统;所述Windows 7统指Windows Vista、Windows 7及之后与Windows 7回收站机制相同版本的Windows操作系统。
所述步骤(3)中,通过删除文件记录的特征以及删除文件在磁盘中的分布情况,对各所述Windows版本的磁盘按照以下特征扫描方法进行扫描,其步骤如下:①打开给定的磁盘镜像文件;②读取一段镜像文件的字节流,并根据回收站删除文件记录分布,从该段字节流的第一个字节为起始位置,按预先设定的扫描步长逐个对当前位置起的数据按删除文件记录特征进行一一匹配;③所述步骤②中,若匹配成功,则保存匹配到的文件删除记录;若匹配失败,则按扫描步长对下一字节起的数据按删除文件记录特征进行匹配;④扫描完这段镜像文件的字节流后,返回所述步骤②,直到磁盘镜像全部扫描完毕。
所述步骤②中,所述Windows版本为Windows XP时,则删除文件记录特征包括以下四种,需满足以下所有特征才能匹配成功:(I)记录第1字节起至第264字节的264个字节为ASCII编码的文件路径,以“X:\”起始,其中“X”为盘符,应为ASCII编码的“A”~“Z”;(II)记录第283字节起至第800字节的518个字节为UNICODE编码的文件路径,也以“X:\”起始,其中“X”应与记录开始的盘符一致,编码应为UNICODE编码;(III)记录第265字节为记录文件原分区位置标识,与记录路径中的“X”一致,因为是以序号表示,所以为“X”的ASCII码减65;(IV)记录第273字节起至第280字节的8个字节表示被删除时间,应符合Windows合法时间格式并小于当前时间。
所述步骤②中,所述Windows版本为Windows 7时,则删除文件记录特征包括以下三种,需满足以下所有特征才能匹配成功:(I)记录第1字节起至第8字节的8个字节为固定的文件头“10000000”;(II)记录第25字节起至第544字节的520个字节为UNICODE编码的文件路径,以“X:\”开头,其中“X”为盘符,应为UNICODE编码的“A”~“Z”;(III)记录第17字节起至第24字节的8个字节表示被删除时间,应符合Windows合法时间格式并小于当前时间。
本发明由于采取以上技术方案,其具有以下优点:1、本发明提出了一种新的基于特征扫描的Windows回收站删除记录的计算机取证方法,为计算机取证工作提供了新的方法。2、本发明针对不同版本的Windows回收站机制,总结了回收站删除文件记录的特征,并设计了对应的特征扫描算法,实现了对各版本Windows系统下的磁盘进行取证。3、本发明最终通过取证分析,可以取得被删除文件原来的存放路径、文件名、文件大小以及被删除时间等信息,这些信息对于取证往往有着很大的意义。4、本发明采用磁盘扫描方式获得删除文件记录,不依赖于系统的文件管理系统,受用户对回收站及磁盘操作的影响小,只取决于磁盘数据有没有受损。因此,此取证方法能极大程度上地恢复出用户删除文件的信息。本发明可以广泛应用于计算机取证领域应用中。
附图说明
图1是本发明的整体流程示意图;
图2是本发明在Windows XP版本下基于删除文件记录特征的磁盘扫描流程图;
图3是本发明在Windows XP版本下的每条删除文件记录的特征示意效果图;
图4是本发明在Windows 7版本下基于删除文件记录特征的磁盘扫描流程图;
图5是本发明在Windows 7版本下的每条删除文件记录的特征示意效果图。
具体实施方式
下面结合附图和实施例对本发明进行详细的描述。
本发明主要利用删除文件记录进行取证,获取曾放入回收站的文件的文件名、原存放路径、文件大小以及被删除时间等相关信息。由于这些删除文件记录通常会在清空回收站或在从回收站删除时被删除,因此不能直接得到这些文件。本发明主要是通过完全扫描磁盘镜像文件,分别按Windows XP和Windows 7两种版本下的删除文件记录的特征进行逐一匹配,获得回收站删除文件记录,之后分析并获得被删除文件信息。
如图1所示,本发明包括以下步骤:
1)获取取证目标磁盘镜像文件。
2)判断该磁盘镜像文件中Windows系统的版本是Windows XP版本还是Windows 7版本。
3)根据步骤2)判断的系统版本,通过与该系统版本相应的特征扫描方法扫描磁盘镜像文件,获得回收站删除文件记录。
特征扫描是指对二进制数据,从数据的第一字节至最后字节以一定步长进行扫描,判断当前扫描到的数据段与给定的特征或模式是否匹配,从而获得所有匹配给定特征或模式的数据段。其中,扫描步长可根据使用者对扫描时间和精度的不同需求,按删除文件记录在磁盘中的分布特征进行调整,以权衡扫描时间与扫描精度。
4)通过获得的回收站删除文件记录,根据其格式提取回收站删除文件信息,为提取删除文件信息中的证据信息或取证线索提供数据基础,完成回收站删除文件记录取证。
上述步骤3)中,如图2所示,通过删除文件记录的特征以及删除文件记录在磁盘中的分布情况,对Windows XP版本的磁盘可以按照以下特征扫描方法进行扫描,其步骤如下:
①打开给定的磁盘镜像文件。
②读取一段镜像文件的字节流,并根据Windows XP版本回收站删除文件记录分布,从该段字节流的第一个字节为起始位置,按预先设定的扫描步长逐个对当前位置起的数据按Windows XP版本删除文件记录特征进行一一匹配;其中,删除文件记录分布是根据Windows XP系统文件格式得到的。
③上述步骤②中,如果匹配成功,则保存匹配到的删除文件记录;若匹配失败,则按扫描步长对下一字节起的数据按删除文件记录特征进行匹配。
④扫描完这段镜像文件的字节流后,返回至步骤②,直到磁盘镜像全部扫描完毕。
上述步骤②中,如图3所示,Windows XP版本删除文件记录特征包括以下四种,需满足所有特征才可匹配成功:
I)记录第1字节起至第264字节的264个字节为ASCII编码的文件路径,以“X:\”起始,其中“X”为盘符,应为ASCII编码的“A”~“Z”;
II)记录第283字节起至第800字节的518个字节为UNICODE编码的文件路径,也以“X:\”起始,其中“X”应与记录开始的盘符一致,编码应为UNICODE编码;
III)记录第265字节为记录文件原分区位置标识,与记录路径中的“X”一致,因为是以序号表示,所以为“X”的ASCII码减65;
IV)记录第273字节起至第280字节的8个字节表示被删除时间,应符合Windows合法时间格式并小于当前时间。
上述步骤3)中,如图4所示,通过删除文件记录的特征以及删除文件在磁盘中的分布情况,对Windows 7版本的磁盘可以按照以下特征扫描方法进行扫描,其步骤如下:
①打开给定的磁盘镜像文件。
②读取一段镜像文件的字节流,并根据Windows 7版本回收站删除文件记录分布,从该段字节流的第一个字节为起始位置,按预先设定的扫描步长逐个对当前位置起的数据按Windows 7版本删除文件记录特征进行一一匹配;其中,删除文件记录分布是根据Windows 7系统文件格式得到的。
③上述步骤②中,如果匹配成功,则保存匹配到的删除文件记录;若匹配失败,则按扫描步长对下一字节起的数据按删除文件记录特征进行匹配。
④扫描完这段镜像文件的字节流后,返回至步骤②,直到磁盘镜像全部扫描完毕。
上述步骤②中,如图5所示,Windows 7版本下删除文件记录特征包括以下三种,需满足所有特征才可匹配成功:
I)记录第1字节起至第8字节的8个字节为固定的文件头“10000000”;
II)记录第25字节起至第544字节的520个字节为UNICODE编码的文件路径,以“X:\”开头,其中“X”为盘符,应为UNICODE编码的“A”~“Z”;
III)记录第17字节起至第24字节的8个字节表示被删除时间,应符合Windows合法时间格式并小于当前时间。
上述各实施例仅用于说明本发明,各步骤及具体实现方式都是可以有所变化的,在本发明技术方案的基础上,凡根据本发明原理对个别步骤及方法的具体实现方式进行的改进和等同变换,均不应排除在本发明的保护范围之外。
Claims (1)
1.一种基于特征扫描的Windows回收站删除记录取证方法,其包括如下步骤:
(1)获取取证目标磁盘镜像文件;
(2)判断该磁盘镜像文件中Windows系统的版本是Windows XP或Windows7;
(3)根据所述步骤(2)判断的系统版本,通过与该系统版本相应的特征扫描方法扫描磁盘镜像文件,获得回收站删除文件记录;
通过删除文件记录的特征以及删除文件在磁盘中的分布情况,对各所述Windows版本的磁盘按照以下特征扫描方法进行扫描,其步骤如下:
①打开给定的磁盘镜像文件;
②读取一段镜像文件的字节流,并根据回收站删除文件记录分布,从该段字节流的第一个字节为起始位置,按预先设定的扫描步长逐个对当前位置起的数据按删除文件记录特征进行一一匹配;
所述Windows版本为Windows XP时,则删除文件记录特征包括以下四种,需满足以下所有特征才能匹配成功:
(Ⅰ)记录第1字节起至第264字节的264个字节为ASCII编码的文件路径,以“X:\”起始,其中“X”为盘符,应为ASCII编码的“A”~“Z”;
(Ⅱ)记录第283字节起至第800字节的518个字节为UNICODE编码的文件路径,也以“X:\”起始,其中“X”应与记录开始的盘符一致,编码应为UNICODE编码;
(Ⅲ)记录第265字节为记录文件原分区位置标识,与记录路径中的“X”一致,因为是以序号表示,所以为“X”的ASCII码减65;
(Ⅳ)记录第273字节起至第280字节的8个字节表示被删除时间,应符合Windows合法时间格式并小于当前时间;
所述Windows版本为Windows7时,则删除文件记录特征包括以下三种,需满足以下所有特征才能匹配成功:
(Ⅰ)记录第1字节起至第8字节的8个字节为固定的文件头“10000000”;
(Ⅱ)记录第25字节起至第544字节的520个字节为UNICODE编码的文件路径,以“X:\”开头,其中“X”为盘符,应为UNICODE编码的“A”~“Z”;
(Ⅲ)记录第17字节起至第24字节的8个字节表示被删除时间,应符合Windows合法时间格式并小于当前时间;
③所述步骤②中,若匹配成功,则保存匹配到的文件删除记录;若匹配失败,则按扫描步长对下一字节起的数据按删除文件记录特征进行匹配;
④扫描完这段镜像文件的字节流后,返回所述步骤②,直到磁盘镜像全部扫描完毕;
(4)通过获得的回收站删除文件记录,根据其格式提取回收站删除文件信息,为提取删除文件信息中的证据信息或取证线索提供数据基础,完成回收站删除文件记录取证。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210065430.2A CN102662981B (zh) | 2012-03-13 | 2012-03-13 | 基于特征扫描的Windows回收站删除记录取证方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210065430.2A CN102662981B (zh) | 2012-03-13 | 2012-03-13 | 基于特征扫描的Windows回收站删除记录取证方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102662981A CN102662981A (zh) | 2012-09-12 |
| CN102662981B true CN102662981B (zh) | 2014-04-16 |
Family
ID=46772472
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210065430.2A Expired - Fee Related CN102662981B (zh) | 2012-03-13 | 2012-03-13 | 基于特征扫描的Windows回收站删除记录取证方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102662981B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105868056B (zh) * | 2016-04-07 | 2019-06-21 | 北京北信源软件股份有限公司 | 获取Windows虚拟机中已删除文件的方法、装置及安全虚拟机 |
| CN107748780B (zh) * | 2017-10-20 | 2020-07-10 | Oppo广东移动通信有限公司 | 一种回收站文件的恢复方法和装置 |
| CN108228813B (zh) * | 2017-12-29 | 2021-08-24 | 北京奇虎科技有限公司 | 分布式系统中副本数据库的删除方法及装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102207898B (zh) * | 2011-07-11 | 2013-01-16 | 秦玉海 | 电子数据恢复方法 |
-
2012
- 2012-03-13 CN CN201210065430.2A patent/CN102662981B/zh not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| CN102662981A (zh) | 2012-09-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102054022B (zh) | 用于处理并管理与对象相关的数据以供多个应用程序使用的系统及方法 | |
| CN101446984B (zh) | 一种文件存储方法、装置及文件删除方法和装置 | |
| CN101763394B (zh) | 计算机系统涉密文件搜索方法 | |
| CN102937926A (zh) | 一种恢复移动终端已删除sqlite文件的方法及装置 | |
| CN103119550A (zh) | 存储具有时变特性的电子内容 | |
| CN105975575A (zh) | 一种数据类型自动化识别方法 | |
| CN102662981B (zh) | 基于特征扫描的Windows回收站删除记录取证方法 | |
| CN104462433A (zh) | 一种恢复fat32分区数据的方法 | |
| CN106055546A (zh) | 基于Lucene的光盘库全文检索系统 | |
| CN103177022A (zh) | 一种恶意文件搜索方法及装置 | |
| CN107273449B (zh) | 一种基于内存数据库的断点处理方法及系统 | |
| CN103324407B (zh) | 信息处理装置和信息处理方法 | |
| CN114218467A (zh) | 一种数字档案管理方法和系统 | |
| Meshram et al. | Digital forensic analysis of hard disk for evidence collection | |
| CN111045994B (zh) | 一种基于kv数据库的文件分类检索方法及系统 | |
| Şentürk et al. | Image and file system support framework for a digital mobile forensics software | |
| CN104699688A (zh) | 一种搜索文件的方法和电子设备 | |
| Azeem | The Data Carving-The Art of Retrieving Deleted Data as Evidence | |
| CN101510211A (zh) | 多媒体数据处理系统及方法 | |
| US8365067B2 (en) | Method and system for moving single documents between a document processing system and a document repository | |
| CN110781160B (zh) | 基于VMware虚拟化文件系统损坏的数据恢复方法 | |
| CN114495138A (zh) | 一种智能文档识别与特征提取方法、装置平台和存储介质 | |
| CN112380174A (zh) | 含删除文件的xfs文件系统解析方法、终端设备及存储介质 | |
| CN104200163A (zh) | 一种病毒检测方法及病毒检测引擎 | |
| Richard et al. | File system support for digital evidence bags |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20140416 Termination date: 20150313 |
|
| EXPY | Termination of patent right or utility model |