CN105022677B - 一种usb设备使用记录恢复检查方法 - Google Patents
一种usb设备使用记录恢复检查方法 Download PDFInfo
- Publication number
- CN105022677B CN105022677B CN201410167160.5A CN201410167160A CN105022677B CN 105022677 B CN105022677 B CN 105022677B CN 201410167160 A CN201410167160 A CN 201410167160A CN 105022677 B CN105022677 B CN 105022677B
- Authority
- CN
- China
- Prior art keywords
- usb
- usage records
- system files
- usb usage
- file
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Landscapes
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明涉及一种USB设备使用记录恢复检查方法,在操作系统安装硬盘被快速格式化后,对其USB设备使用记录进行恢复。获取被格式化后的硬盘后,将其插入正常运行的主机中,通过对SYSTEM文件进行恢复,获取其USB使用记录信息;之后,通过与日志进行比对,判定信息的完整性,若一致则进行记录,否则进入恢复阶段;在恢复过程中,通过机器学习方法最大化进行使用记录恢复,恢复后再次进行验证,如果经过有效次恢复仍无法进行判定,则退出。利用该方法可以有效对格式化后操作系统相关USB使用历史记录进行恢复与分析,提高安全监管的力度。
Description
技术领域
本发明属于信息安全技术领域,主要涉及USB使用记录恢复,具体涉及操作系统被格式化后如何对USB设备使用记录进行恢复的方法。
背景技术
信息化的迅猛发展,在给人们带来巨大方便和利益的同时,也给保密工作提出严峻挑战。在保密工作中,主机的安全管理在信息安全对抗和信息安全保密中越来越占据重要地位。因而加强主机安全管理监督检查,通过管理手段提升安全防护能力成为安全防护发展的趋势之一。然而,反保密检查手段和技术的使用给保密安全检查带来了新的挑战,用户会快速格式化系统硬盘,清除使用记录,逃避检查。
本发明将通过文件恢复功能对注册表文件进行恢复,然后解析恢复后的注册表文件,读取注册表文件中的内容,从而恢复出用户的移动介质使用记录。这种技术现实操作中可能存在的问题是注册表文件被覆盖而导致的注册表文件不能被完全恢复,从而导致不能完全甚至不能(注册表文件不能读取、或者移动介质使用记录部分被覆盖)解析移动介质的使用记录,本发明仅针对快速格式化情况下,注册表文件未被损坏的情况下进行恢复。
发明内容
针对上述问题,本发明的目的在于提供一种操作系统安装的硬盘被快速格式化后,对其USB设备使用记录进行恢复的方法。利用该方法,可以对操作系统中,尤其是USB使用历史记录进行分析,可以避免部分人员通过对操作系统进行快速格式化而躲避保密检查的行为,更大程度提高监管的力度,加大检查的强度。
根据以上目的,本发明采用的具体方案是:
一种USB设备使用记录恢复检查方法,其步骤包括:
1)对格式化后的硬盘进行扫描,获取硬盘中注册表相关的SYSTEM文件;
2)从SYSTEM文件中提取USB使用记录,并对其进行解析;
3)对解析的USB使用记录进行验证,将其与系统日志中的USB使用记录进行比对,若一致则记录,否则进入步骤4);
4)分析并查找SYSTEM文件中被破坏或者缺失的部分,对其进行恢复。
进一步地,步骤1)所述获取硬盘中注册表相关的SYSTEM文件,包括获取硬盘中的SYSTEM文件,以及确认所需的SYSTEM文件。
进一步地,步骤1)获取SYSTEM文件的方法是:
a)扫描磁盘头,解析包括磁盘格式、磁盘大小、磁盘分块在内的基本信息;
b)全面扫描磁盘文件,遇到名为SYSTEM的文件则对其路径进行重构,分析其是否为所要查找的系统SYSTEM文件;
c)将找到的SYSTEM文件恢复到临时文件夹中,以备进一步分析。
进一步地,步骤2)从SYSTEM文件中提取USB使用记录的方法是:对文件搜索关键词“#USBSTOR#”,直至遇到结束符‘\0’为止,取出一条USB存储设备记录。
进一步地,步骤2)对USB使用记录进行解析的方法是:通过对USB使用记录中关键标识‘&’或‘#’进行分割,解析出该USB使用记录的设备名称、类型、序列号、首次安装日期,并记录。
进一步地,步骤3)所述与系统日志中的USB使用记录进行比对的方法是:通过对系统日志中的USB使用记录进行解析,获取相关字段信息,之后与步骤2)解析获得的SYSTEM文件中USB使用记录进行关键字段比对。
进一步地,步骤4)使用机器学习的方法对USB使用记录进行恢复,从其他主机获取的SYSTEM文件库中匹配最相似的其他SYSTEM文件,并用其中的部分数据替换本主机的SYSTEM文件中的被破坏或者缺失部分的数据。
进一步地,所述机器学习方法是:通过对大量样本信息采用K-means方法进行聚类,之后将待学习的字段与聚类结果进行比较,选择较为接近的结果对被破坏或者缺失的部分进行替换。
本发明的优点在于,使用格式化或删除后的硬盘获取相关SYSTEM文件,对系统相关信息进行恢复与检测,并从中提取USB使用记录信息;此外,使用系统文件记录信息与USB日志记录信息相结合的方式,避免了单独使用系统文件进行恢复后获取信息不完全的情况,提高了查找的力度和完整性,极大的提高了系统综合性能。
附图说明
图1为本发明的USB设备使用记录恢复检查方法的流程图;
图2为本发明实施例的路径重构示意图;
图3为本发明实施例的USB使用记录解析流程图;
图4为本发明实施例的SYSTEM文件打开后示意图。
具体实施方式
下面通过具体实施例和附图,对本发明做进一步说明。
如图1所示,本发明为对删除或快速格式化系统硬盘中USB使用记录信息恢复的方法。将被格式化后的硬盘其插入正常运行的主机中,并通过最大化文件恢复方法对硬盘中注册表文件SYSTEM进行查找及恢复;通过对SYSTEM文件进行解析,获取USB设备相关使用记录,并对记录进行验证与恢复。传统方式下如果SYSTEM文件被破坏,则无法进行读取。本发明采用最大化恢复方法,即使部分SYSTEM文件被破坏,也能够在一定程度上进行数据的解析。具体的实现步骤如下:
1)利用注册表解析模块解析SYSTEM文件
主要是获取硬盘中注册表相关的SYSTEM文件,并确认所需的SYSTEM文件。该步骤通过对格式化后的硬盘进行扫描,遇到名为SYSTEM的文件则对其路径进行重构,若匹配所需的SYSTEM路径,则存储进行分析。具体过程如下:
a)扫描磁盘头,解析磁盘格式(FAT32或是NTFS)、磁盘大小、磁盘分块等基本信息,有效提高在全盘扫描过程中按照相应磁盘分块情况进行扫描的速度;
b)全面扫描磁盘文件,遇到名为SYSTEM的文件则对其路径进行重构,分析其是否为所要查找的系统SYSTEM文件。图2所示是以NTFS格式硬盘下的路径重构的过程。其中,从SYSTEM文件起,通过查找父MFT号逐层重构路径,最终确认路径\WINDOWS\system32\config\SYSTEM。其中MFT是主文件表,标识这个卷上每一个文件的索引。
c)将找到的SYSTEM文件恢复到临时文件夹中,以备进一步分析。
2)获取USB使用记录
主要是对打开SYSTEM文件后通过划分关键字段找到USB使用记录,并对记录进行解析,如图3所示。具体过程如下:
a)打开SYSTEM文件,如图4所示;
b)向下搜索“#USBSTOR#”字串,若查找失败则结束退出;
c)从“#USBSTOR#”向后按字节读取,直至遇到结束符‘\0’为止,取出一条USB存储设备记录;
d)USB使用记录之间使用‘&’或‘#’进行分割,可以解析出该USB记录的设备名称、类型、序列号、首次安装日期等信息;
e)检查该记录是否已存在于设备列表中,若不存在则添加,若已存在则丢弃;
f)返回b)执行。
3)对USB使用记录进行验证
主要是主要与系统日志中USB记录进行比对,若一致则记录,否则进入恢复阶段。因为文件被格式化后可能部分内容被破坏或缺失,恢复的信息存在缺陷或错误,因此需要对其进行验证。具体的验证方法是使用此SYSTEM文件进行USB使用记录与系统日志信息进行比较,如果匹配,则完成验证功能,否则继续转入步骤4)的恢复阶段,进行机器学习后对信息进行修正,再返回后反复验证。下面提供一个验证实例:
a)检测当前系统类型,区分XP或WIN7;
b)XP系统下打开$(SYSTEM)\setupapi.log,实际系统中通常是C:\WINDOWS\setupapi.log;WIN7下打开$(SYSTEM)\inf\setupapi.dev.log,通常是C:\WINDOWS\\inf\setupapi.dev.log;
c)日志文件中包含各种硬件驱动首次运行的信息,解析其中包含“usbstor”的记录,从中获取USB名称、序列号、初次连接时间等信息;
d)解析SYSTEM文件,取出其中的USB记录,与日志文件中的信息进行比对,若存在匹配则保留该记录,否则使用机器学习的方法尝试对该记录进行恢复并记录。
具体过程如下:
4)USB使用记录恢复
主要是使用机器学习模块发掘匹配的SYSTEM文件,并进行恢复。通过分析SYSTEM文件,查找被破坏或者缺失的部分。在找到文件被破坏或者缺失的部分后,使用机器学习方法通过从其他主机获取的SYSTEM文件库中匹配最相似的其他SYSTEM文件。此时用其他部分的SYSTEM中的部分数据替换本主机的SYSTEM文件中的部分数据。因为多数SYSTEM文件结构中大部分内容相同,所以有很大概率能够恢复出这部分SYSTEM文件,之后进入步骤3),进行反复验证。当尝试次数超过阈值(例如20次)则判定无法正确恢复,验证失败。
具体过程如下:
a)收集的大量系统完整的SYSTEM文件,并对SYSTEM文件进行解析,将记录进行存储,供机器学习使用。
b)打开受损的USB使用记录;
c)使用机器学习算法K-means对收集的记录信息进行归类对受损的USB使用记录相应字段与收集的信息进行学习,恢复其字段的有效性和合法性。
d)用学习结果替换SYSTEM文件的受损部分,并转入步骤3)。
ML_usb函数中定义的具体学习过程如下:
以上实施例仅用以说明本发明的技术方案而非对其进行限制,本领域的普通技术人员可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明的精神和范围,本发明的保护范围应以权利要求所述为准。
Claims (8)
1.一种USB设备使用记录恢复检查方法,其步骤包括:
1)对格式化后的硬盘进行扫描,获取硬盘中注册表相关的SYSTEM文件;
2)从SYSTEM文件中提取USB使用记录,并对其进行解析;
3)对解析的USB使用记录进行验证,将其与系统日志中的USB使用记录进行比对,若一致则记录,否则进入步骤4);
4)分析并查找SYSTEM文件中被破坏或者缺失的部分,对其进行恢复;
步骤4)使用机器学习的方法对USB使用记录进行恢复,从其他主机获取的SYSTEM文件库中匹配最相似的其他SYSTEM文件,并用其中的部分数据替换本主机的SYSTEM文件中的被破坏或者缺失部分的数据。
2.如权利要求1所述的方法,其特征在于,步骤1)所述获取硬盘中注册表相关的SYSTEM文件,包括获取硬盘中的SYSTEM文件,以及确认所需的SYSTEM文件。
3.如权利要求2所述的方法,其特征在于,步骤1)获取SYSTEM文件的方法是:
a)扫描磁盘头,解析包括磁盘格式、磁盘大小、磁盘分块在内的基本信息;
b)全面扫描磁盘文件,遇到名为SYSTEM的文件则对其路径进行重构,分析其是否为所要查找的系统SYSTEM文件;
c)将找到的SYSTEM文件恢复到临时文件夹中,以备进一步分析。
4.如权利要求1所述的方法,其特征在于,步骤2)从SYSTEM文件中提取USB使用记录的方法是:对文件搜索关键词“#USBSTOR#”,直至遇到结束符‘\0’为止,取出一条USB存储设备记录。
5.如权利要求1所述的方法,其特征在于,步骤2)对USB使用记录进行解析的方法是:通过对USB使用记录中关键标识‘&’或‘#’进行分割,解析出该USB使用记录的设备名称、类型、序列号、首次安装日期,并记录。
6.如权利要求1所述的方法,其特征在于,步骤3)所述与系统日志中的USB使用记录进行比对的方法是:通过对系统日志中的USB使用记录进行解析,获取相关字段信息,之后与步骤2)解析获得的SYSTEM文件中USB使用记录进行关键字段比对。
7.如权利要求1所述的方法,其特征在于,所述机器学习方法是:通过对大量样本信息采用K-means方法进行聚类,之后将待学习的字段与聚类结果进行比较,选择较为接近的结果对被破坏或者缺失的部分进行替换。
8.如权利要求1所述的方法,其特征在于:步骤4)对USB使用记录进行恢复后返回步骤3)进行反复验证,当尝试次数超过一设定阈值时判定无法正确恢复,验证失败。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410167160.5A CN105022677B (zh) | 2014-04-24 | 2014-04-24 | 一种usb设备使用记录恢复检查方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410167160.5A CN105022677B (zh) | 2014-04-24 | 2014-04-24 | 一种usb设备使用记录恢复检查方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105022677A CN105022677A (zh) | 2015-11-04 |
| CN105022677B true CN105022677B (zh) | 2018-06-26 |
Family
ID=54412666
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410167160.5A Expired - Fee Related CN105022677B (zh) | 2014-04-24 | 2014-04-24 | 一种usb设备使用记录恢复检查方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105022677B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107301557A (zh) * | 2016-04-14 | 2017-10-27 | 北京蓝光引力网络股份有限公司 | 一种移动存储电子设备的统计方法 |
| CN108021469B (zh) * | 2016-10-31 | 2020-10-27 | 中国电信股份有限公司 | 数据修复方法和装置 |
| CN109254796A (zh) * | 2018-08-13 | 2019-01-22 | 深圳市德名利电子有限公司 | 一种usb设备的上盘配置方法及主机 |
| CN109784103B (zh) * | 2019-01-21 | 2021-06-08 | 北京天融信网络安全技术有限公司 | 一种usb设备使用记录的获取方法和装置及存储介质 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103092730A (zh) * | 2013-01-29 | 2013-05-08 | 许继集团有限公司 | 一种信息存储与读取方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8930769B2 (en) * | 2010-08-13 | 2015-01-06 | International Business Machines Corporation | Managing operating system deployment failure |
-
2014
- 2014-04-24 CN CN201410167160.5A patent/CN105022677B/zh not_active Expired - Fee Related
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103092730A (zh) * | 2013-01-29 | 2013-05-08 | 许继集团有限公司 | 一种信息存储与读取方法 |
Non-Patent Citations (1)
| Title |
|---|
| 移动存储介质检查技术研究;罗晓波,史洪,陈凌;《保密科学技术》;20100930(第2期);正文第2页第5段-第5页第2段,图2 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105022677A (zh) | 2015-11-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Pal et al. | The evolution of file carving | |
| Walls et al. | Forensic Triage for Mobile Phones with {DEC0DE} | |
| CN105022677B (zh) | 一种usb设备使用记录恢复检查方法 | |
| Poisel et al. | Advanced file carving approaches for multimedia files. | |
| Bhat et al. | Can computer forensic tools be trusted in digital investigations? | |
| CN104035839A (zh) | Android系统隐私数据恢复实现方法 | |
| Wahyudi et al. | Virtual machine forensic analysis and recovery method for recovery and analysis digital evidence | |
| CN112560031B (zh) | 一种勒索病毒检测方法及系统 | |
| CN112380922B (zh) | 复盘视频帧确定方法、装置、计算机设备和存储介质 | |
| US8341538B1 (en) | Systems and methods for reducing redundancies in quality-assurance reviews of graphical user interfaces | |
| CN108959922B (zh) | 一种基于贝叶斯网的恶意文档检测方法及装置 | |
| CN104794025B (zh) | 快速校验存储设备的方法 | |
| KR101327740B1 (ko) | 악성코드의 행동 패턴 수집장치 및 방법 | |
| Ravi et al. | A method for carving fragmented document and image files | |
| CN108563751A (zh) | 数据库碎片提取方法 | |
| CN107392060A (zh) | 一种硬盘、复印机安全检查方法、系统 | |
| CN114153721A (zh) | 一种基于决策树算法的api误用检测方法 | |
| Li | Searching and extracting digital image evidence | |
| Adegbehingbe et al. | Improved Decay Tolerant Inference of Previously Uninstalled Computer Applications | |
| CN103139293B (zh) | 一种根据痕迹类型进行编码还原的痕迹信息获取方法 | |
| Ruriawan et al. | Development of digital evidence collector and file classification system with K-Means algorithm | |
| KR100567813B1 (ko) | 텐덤 시스템의 트랜잭션 분석 시스템 | |
| Chang et al. | File recovery of high-order clearing first cluster based on FAT32 | |
| Prem et al. | Disk memory forensics: Analysis of memory forensics frameworks flow | |
| Chen et al. | A novel data recovery algorithm for fat32 file system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20180626 Termination date: 20190424 |