Windows操作系統(tǒng)環(huán)境下調(diào)查USB設(shè)備使用痕跡方法研究

段嚴(yán)兵，羅文華

（中國刑事警察學(xué)院網(wǎng)絡(luò)犯罪偵查系，沈陽 110854）

Windows操作系統(tǒng)環(huán)境下調(diào)查USB設(shè)備使用痕跡方法研究

段嚴(yán)兵，羅文華

（中國刑事警察學(xué)院網(wǎng)絡(luò)犯罪偵查系，沈陽 110854）

獲取送檢介質(zhì)曾經(jīng)掛載的USB設(shè)備使用痕跡，是電子數(shù)據(jù)取證實(shí)踐中典型鑒定需求之一。雖然現(xiàn)有取證工具有的聲稱支持此類信息的分析，但實(shí)際工作中發(fā)現(xiàn)其提取到的痕跡（特別是USB設(shè)備序列號(hào)）并不準(zhǔn)確，同時(shí)也不夠全面（如缺少USB設(shè)備被分配的盤符信息），難于滿足取證實(shí)踐的需要。傳統(tǒng)的此類痕跡調(diào)查完全依靠注冊(cè)表中的USBSTOR表鍵，為彌補(bǔ)其不足，本文基于電子數(shù)據(jù)取證視角，在詳細(xì)說明USBSTOR表鍵取證關(guān)鍵的基礎(chǔ)上，增加了USB和UMB表鍵的分析；并闡述了在相關(guān)注冊(cè)表鍵被清除的情況下，如何依靠系統(tǒng)文件補(bǔ)充調(diào)查USB設(shè)備使用過程中可能留有的痕跡。實(shí)踐證明，所述方法準(zhǔn)確高效。

電子物證；USB設(shè)備；使用痕跡；注冊(cè)表；設(shè)備序列號(hào)；系統(tǒng)文件

DOΙ: 10.16467/j.1008-3650.2015.02.013

USB是一種外部總線標(biāo)準(zhǔn)，Universal Serial BUS（通用串行總線）的英文縮寫，用于電腦與外部設(shè)備的連接和通訊。典型的USB設(shè)備主要包括U盤、移動(dòng)硬盤、數(shù)碼相機(jī)、掃描儀、圖像設(shè)備、打印機(jī)、鍵盤和鼠標(biāo)等。電子數(shù)據(jù)取證實(shí)踐發(fā)現(xiàn)，能夠證明嫌疑人犯罪事實(shí)的關(guān)鍵證據(jù)很多情況下存在于計(jì)算機(jī)主機(jī)掛載過的USB設(shè)備中［1］。因此基于計(jì)算機(jī)主機(jī)調(diào)查USB設(shè)備使用痕跡對(duì)于電子證據(jù)相關(guān)性分析，證據(jù)鏈建立，以及擴(kuò)大證據(jù)介質(zhì)來源具有極其重要的實(shí)戰(zhàn)意義。

實(shí)際工作中通常會(huì)利用自動(dòng)獲取工具進(jìn)行USB設(shè)備使用痕跡分析。……