Windows系統(tǒng)回收站的電子物證特性分析比較研究

摘? 要：本文著重對(duì)各個(gè)Windows版本的回收站進(jìn)行分析研究。分析了Windows回收站的原理和功能、Windows XP回收站文件格式、Windows 7及Windows 10的回收站文件格式。實(shí)現(xiàn)了針對(duì)Windows系統(tǒng)的回收站文件夾深層次的電子數(shù)據(jù)取證研究，同時(shí)在研究過(guò)程中主要利用Winhex軟件對(duì)回收站所存儲(chǔ)的文件進(jìn)行分析，成功獲取用戶刪除文件的文件內(nèi)容、刪除時(shí)間及刪除路徑等信息，旨在為電子數(shù)據(jù)取證完整證據(jù)鏈的構(gòu)建提供可靠依據(jù)。

關(guān)鍵詞：Windows;回收站;電子數(shù)據(jù)取證

Abstract：This article focuses on the analysis of the various Windows versions of the recycle bin. Analyzed the principle and function of Windows recycle bin，Windows XP recycle bin file format，recycle bin file format for Windows 7 and Windows 10. The deep-level electronic data forensics research of the recycle bin folder for Windows system is realized. At the same time，Winhex software is mainly used to analyze the files stored in the recycle bin，and the file contents，deletion time and deletion of the deleted files are successfully obtained. Path information is intended to provide a reliable basis for the construction of a complete evidence chain for electronic data forensics.

Keywords：Windows;recycle bin;electronic data forensics

0? 引? 言

隨著人民生活水平的不斷提高和科技的不斷進(jìn)步，目前計(jì)算機(jī)幾乎已遍布世界任何一個(gè)角落，但是計(jì)算機(jī)在方便人們的生活的同時(shí)，也成為犯罪的滋生地，計(jì)算機(jī)技術(shù)的快速發(fā)展也成為計(jì)算機(jī)犯罪的催化劑。面對(duì)數(shù)量及種類激增的計(jì)算機(jī)犯罪，電子數(shù)據(jù)取證應(yīng)運(yùn)而生。作為打擊計(jì)算機(jī)犯罪的關(guān)鍵手段，及時(shí)、有效地提取相關(guān)電子物證成為電子數(shù)據(jù)取證的必要條件[1]。目前國(guó)內(nèi)在電子數(shù)據(jù)取證方面的研究正如火如荼地發(fā)展中，但Windows系統(tǒng)尤其是最新的微軟操作系統(tǒng)Windows 10的回收站方面的研究的相關(guān)文獻(xiàn)較少。

在電子數(shù)據(jù)取證過(guò)程中，回收站的取證至關(guān)重要。Windows系統(tǒng)95版本及其后各版本文件被刪除后會(huì)存放于回收站中，為用戶整理文件提供便利，但同時(shí)對(duì)于取證人員來(lái)說(shuō)，這正是發(fā)現(xiàn)證據(jù)的突破口。因大多數(shù)計(jì)算機(jī)犯罪都是將計(jì)算機(jī)作為犯罪的工具，且并不具備較好的專業(yè)技術(shù)，因此將相關(guān)涉案數(shù)據(jù)文件進(jìn)行刪除是最常見(jiàn)的反偵查手段，這也正是回收站數(shù)據(jù)取證的意義所在。

2? Windows回收站的概念

回收站是Windows操作系統(tǒng)中的一個(gè)隱藏的系統(tǒng)文件夾，其文件名根據(jù)Windows系統(tǒng)的不同而不同，當(dāng)然對(duì)于每一個(gè)固定的磁盤(pán)分區(qū)來(lái)說(shuō)，回收站都會(huì)在其根目錄下創(chuàng)建系統(tǒng)對(duì)應(yīng)的隱藏文件夾，當(dāng)文件被刪除后，被刪除的文件就被移動(dòng)到隱藏文件夾中。根據(jù)Windows系統(tǒng)版本的不同，被刪除文件的存放位置也不同。如表1所示[2]。

當(dāng)用戶需要恢復(fù)刪除至回收站的文件時(shí)，系統(tǒng)就會(huì)從記錄的文件位置中提取所需信息，以供恢復(fù)。回收站相關(guān)操作可以分為刪除、還原及徹底刪除三種類型[3]，刪除的文件可以在回收站內(nèi)通過(guò)還原操作進(jìn)行還原，但是徹底刪除的文件則無(wú)法使用還原操作。

3? Windows XP回收站特性及取證分析

3.1? Windows XP回收站特性

Windows XP是微軟公司2001年推出的操作系統(tǒng)，雖然早已停止更新，但至今仍有部分用戶使用，因此在電子數(shù)據(jù)取證過(guò)程中仍是取證人員必須熟悉的操作系統(tǒng)之一[4]。在Windows XP系統(tǒng)中，每一個(gè)磁盤(pán)根目錄都有一個(gè)隱藏文件夾用于存放已刪除的文件，此文件夾的名稱在文件系統(tǒng)NTFS中為Recycle，圖標(biāo)為文件夾，此文件夾創(chuàng)建于分區(qū)第一次刪除文件時(shí)，屬性默認(rèn)隱藏。在文件系統(tǒng)FAT32中稱為Recycled，圖標(biāo)為回收站，屬性默認(rèn)隱藏。

3.2? Windows XP回收站取證分析

在文件系統(tǒng)FAT32刪除的文件在Recycled文件夾中的命名格式為：D[文件原始隸屬盤(pán)符][索引號(hào)][原始擴(kuò)展名]。同時(shí)在文件夾中會(huì)存在一個(gè)名為INFO2的二進(jìn)制文件，用來(lái)記錄所有刪除文件的時(shí)間及路徑信息，需使用二進(jìn)制查看器Winhex來(lái)進(jìn)行分析。圖1中是INFO2中記錄刪除文件“111”的相關(guān)內(nèi)容。

同時(shí)發(fā)現(xiàn)從0x120到0x127的八個(gè)字節(jié)存儲(chǔ)著被刪除文件的時(shí)間信息，通過(guò)Winhex的數(shù)據(jù)解釋器得到被刪除時(shí)間為“2018/03/2802：30：35”，換算為北京時(shí)間“2018/03/28 10：30：35”，與刪除文件的時(shí)間相匹配。

4? Windows 7及Windows 10回收站特性及取證分析

4.1? Windows 7回收站特性

Windows 7是微軟公司在2009年發(fā)布的操作系統(tǒng)，較Windows XP在界面及性能上都有極大的提升。與此同時(shí)，電子數(shù)據(jù)取證領(lǐng)域也面臨著重大變革，在回收站方面Windows 7與Windows XP相比也有較大的變化。在Windows 7系統(tǒng)中，在NFTS文件系統(tǒng)下的回收站是名為“$Recycle.Bin”屬性默認(rèn)隱藏的文件夾。而在文件系統(tǒng)FAT32下，回收站文件夾是直接顯示為回收站圖標(biāo)、屬性默認(rèn)隱藏且名稱為“回收站”的文件夾。

4.2? Windows 7回收站取證分析

在$Recycle.Bin文件夾下刪除的文件不會(huì)以Windows XP的方式存儲(chǔ)[5]，而是在此目錄下所對(duì)應(yīng)的SID子文件夾下自動(dòng)生成了兩個(gè)開(kāi)頭為“$R”和“$I”的文件，通過(guò)對(duì)比發(fā)現(xiàn)，“$R”和“$I”開(kāi)頭的兩個(gè)文件后面的6個(gè)字符串是一樣的，并且在“.”后面是原文件的文件后綴。在Windows 7中，記錄回收站原文件信息的文件的命名應(yīng)該是由三個(gè)部分組成：“$R”或者“$I”加上一個(gè)由數(shù)字和字母組成的6個(gè)隨機(jī)字符和原文件的文件后綴。具體如圖2所示。

開(kāi)頭“$R”文件即所刪除文件，在實(shí)驗(yàn)中使用Winhex打開(kāi)“$I”開(kāi)頭文件，在文件中偏移從0x08到0x0F的八個(gè)字節(jié)存放原文件的大小，分別是“0500000000000000”，按照“大端序和小端序”的讀法，應(yīng)該讀為“0000000000 000005”，換算為十進(jìn)制數(shù)為5字節(jié)，跟原文件大小一致。同時(shí)，在文件偏移0x10到0x17的八個(gè)字節(jié)存放原文件的刪除時(shí)間，分別是“F0 29 D4 64 6D 04 D5 01”，同上應(yīng)該讀為“01 D5 04 6D 64 D4 29 F0”，通過(guò)Winhex的數(shù)據(jù)解釋器，可以讀取到時(shí)間為“2019/05/07 00：39：56”，由于得到的是格林尼治時(shí)間，所以需在原時(shí)間上加8個(gè)小時(shí)，得到時(shí)間為“2018/05/07 08：39：56”，跟刪除時(shí)間保持一致。得到了被刪除文件的原路徑、文件類型和文件名，如圖3，可以得知“$I”開(kāi)頭的文件記錄著被刪除文件的原路徑、文件類型、刪除時(shí)間和文件名等信息。

對(duì)比Windows XP系統(tǒng)發(fā)現(xiàn)之前使用INFO2記錄多個(gè)被刪除文件的方式已經(jīng)被徹底替代，取而代之的是通過(guò)重命名的兩個(gè)文件來(lái)存儲(chǔ)被刪除文件的內(nèi)容及信息，因此在Windows 7系統(tǒng)下回收站可提取的數(shù)據(jù)量較Windows XP更多。

4.3? Windows 10回收站取證分析

經(jīng)與Windows 7回收站取證進(jìn)行對(duì)比分析，Windows 10在回收站設(shè)置方面并沒(méi)有進(jìn)行更新，還是套用之前系統(tǒng)，即將刪除文件存儲(chǔ)為“$R”和“$I”開(kāi)頭的兩種文件，其中前者負(fù)責(zé)存儲(chǔ)數(shù)據(jù)，后者負(fù)責(zé)存儲(chǔ)文件相關(guān)信息。因此針對(duì)Windows 10系統(tǒng)回收站的電子數(shù)據(jù)取證方面的操作完全可以套用Windows 7系統(tǒng)的方法進(jìn)行。圖4為使用Winhex查看Windows 10回收站中以“$R”開(kāi)頭文件的內(nèi)容。

5? 結(jié)? 論

目前微軟系統(tǒng)已在家用機(jī)操作系統(tǒng)方面占據(jù)市場(chǎng)多年，對(duì)于微軟系統(tǒng)的電子數(shù)據(jù)取證意義極為重大，而回收站作為其中一個(gè)重要環(huán)節(jié)，了解常見(jiàn)微軟操作系統(tǒng)回收站的取證方法極為重要。本文的研究對(duì)象選取的是常見(jiàn)的微軟操作系統(tǒng)Windows XP、Windows 7和Windows 10，介紹了Windows回收站研究的原理和功能，分別對(duì)三個(gè)操作系統(tǒng)進(jìn)行回收站特性方面的分析比較和電子數(shù)據(jù)取證方面的探索，尤其是在兩類完全不同的回收站存儲(chǔ)原理方面進(jìn)行了分析和比對(duì)，并在二進(jìn)制下分析回收站存儲(chǔ)文件的方式，旨在為電子數(shù)據(jù)取證工作提供可行的思路。

參考文獻(xiàn)：

[1] 鄧宇瓊.網(wǎng)絡(luò)犯罪證據(jù)的提取和固定 [J].中國(guó)人民公安大學(xué)學(xué)報(bào)，2003（3）：120-122.

[2] 劉景云.回收站使用技巧談 [J].電腦知識(shí)與技術(shù)（經(jīng)驗(yàn)技巧），2017（12）：39-41.

[3] SINDHU KK，KOMBADE R，GADGE R，et al. Forensic Investigation Processes for Cyber Crime and Cyber Space [M].New Delhi： Springer India，2014：193-206.

[4] VREEMAN D J，TAGGARD S L，RHINE M D，et al. Evidence for electronic health record systems in physical therapy.[J].Physical Therapy，2006，86（3）：434-46+9.

[5] 孫奕.Windows 7環(huán)境下電子取證特點(diǎn)分析 [J].信息網(wǎng)絡(luò)安全，2010（11）：43-45.

作者簡(jiǎn)介：王志銘（1993-），男，漢族，山東濟(jì)南人，研究生在讀，研究方向：網(wǎng)絡(luò)安全執(zhí)法技術(shù)。