Windows平臺(tái)下的監(jiān)控取證技術(shù)

HＹPＥRＬＩNK”htｔp://ｒiuｓksk。ｂlｏ／ｌｏgｓ/３３91435１．ｈtmｌ”Ｗinｄｏｗｓ平臺(tái)下的監(jiān)控取證技術(shù)作者：泉哥主頁：httｐ：//rｉuｓｋsk。blｏｇ前言監(jiān)控取證技術(shù)大多被國家政府公安部門采納的技術(shù)，主要用于針對計(jì)算機(jī)犯罪而進(jìn)行取證，以此確保人民信息平安。當(dāng)然對于我們一般的平民,掌握肯定的取證技術(shù)也可以很好實(shí)行反監(jiān)控技術(shù)，以防止我們的個(gè)人隱私泄露，造成不必要的損失。但監(jiān)控取證技術(shù)的范圍很廣，本專題主要針對ｗindows平臺(tái)下的監(jiān)控取證技術(shù)進(jìn)行簡要分析，盼望大家能有所得.一．NＴＦＳ屬性NTFS(NeｗTｅcｈnoｌogyFｉleSystｅm）是HＹＰERLＩＮK”hｔｔp：／/wwｗ.blogbus．cｏｍ/vｉew/４821。htm＂\ｔ"_ｂｌanｋ”WｉndowｓＮT操作環(huán)境和WindowsNT高級HYPERＬINK"htｔｐ：／／wｗw。ｂ／vｉeｗ/8９９.ｈｔm"\ｔ"＿blank”服務(wù)器網(wǎng)絡(luò)操作系統(tǒng)環(huán)境的HYPERＬINK”htｔp：//wwｗ。bloｇbuｓ．cｏm／view／266５89。hｔm”\ｔ"_bｌaｎk＂文件系統(tǒng)．NTFS的目標(biāo)是供應(yīng)：牢靠性,通過可恢復(fù)能力（大事跟蹤）和熱定位的容錯(cuò)特征實(shí)現(xiàn)；增加功能性的一個(gè)平臺(tái)；對ＨYPＥＲLINＫ"htｔp：//wｗw.ｂlogbｕs。ｃｏm／viｅw/2０95７3.hｔｍ"\t”_blank＂ＰOＳIＸ需求的支持;消除＿blanｋ”HPFＳ文件系統(tǒng)中的限制。NTFS供應(yīng)長文件名、數(shù)據(jù)保護(hù)和恢復(fù),并通過ＨＹＰＥＲLINK”ｈtｔｐ://www。blｏｇｂuｓ。cｏｍ/ｖieｗ/637．ｈtm"\ｔ”_blaｎｋ”名目和HYPERＬＩNK＂hｔtp://wwｗ.bｌｏgbus.ｃｏm/ｖiew／3４５６85。ｈｔm”\ｔ＂_bｌaｎk＂文件許可實(shí)現(xiàn)平安性。NＴＦS支持大HYPERLＩNＫ”hｔtp：/／wｗw．bloｇbus。coｍ／ｖieｗ/4480．htm"\ｔ”_bｌank”硬盤和在多個(gè)硬盤上存儲(chǔ)文件（稱為跨越分區(qū)).例如，一個(gè)大公司的數(shù)據(jù)庫可能大得必須跨越不同的硬盤。NTFＳ供應(yīng)內(nèi)置平安性特征,它掌握文件的隸屬關(guān)系和訪問。從HYＰEＲLINK”htｔp:／／ｗww．blｏgbus．com／vｉew/3６5.hｔm＂＼ｔ"＿blaｎｋ＂DＯS或其他HYPERLＩNK"hｔtp:/／ｗｗw.ｂｌogｂus.cｏm／view／８8０。ｈtm＂\ｔ＂_blank＂操作系統(tǒng)上不能直接訪問NTFS分區(qū)上的文件.如果要在DOS下讀寫ＮＴＦS分區(qū)文件的話可以借助第三方軟件；現(xiàn)如今，HYPEＲLINK＂ｈｔｔp://wｗw.bloｇbuｓ．com/view／163４。htｍ＂\ｔ"_ｂｌank”Liｎｕx系統(tǒng)上已可以使用ＨYPERLＩNＫ”htｔｐ：//www。bｌogbuｓ。coｍ/ｖiew/１687３３4．htm＂\t”_blａnk”NTFS-３G進(jìn)行對NTFＳ分區(qū)的完善讀寫，不必關(guān)注數(shù)據(jù)丟失。這是WinｄｏwsＮT平安性系統(tǒng)的一部分，但是,只有在使用NTＦＳ時(shí)才是這樣。說白了,NTＦS就是一種文件系統(tǒng),而非文件格式，ＦAT16，F(xiàn)AT32均是如此.你查看一下磁盤的屬性就可查看是何種文件系統(tǒng)了,如圖1：

圖1在NＴFＳ文件系統(tǒng)中，文件亦是按HYPEＲLINＫ＂htｔp://www。ｂlogｂus。ｃom/uｓeｒ/dｏc。pｈp？ａcｔiｏn=vｉeｗ＆tiｔle=簇＂簇進(jìn)行安排的，文件通過主文件表ＭＦT（ＭasｔerＦｉleTaｂｌe)來確定其在磁盤上的HＹＰERＬINK”hｔtｐ：/／www.bloｇbｕs.ｃｏm/user/doc.phｐ?action＝vｉew＆ｔitle=存儲(chǔ)＂存儲(chǔ)位置、大小、屬性等信息.每個(gè)文件都有一個(gè)文件記錄（FｉlｅＲｅcord）數(shù)據(jù)結(jié)構(gòu)，其中第一個(gè)記錄就是MＦＴ自己本身。ＭFT結(jié)構(gòu)如圖2，３所示：

圖2

圖３關(guān)于MFT更簡略的資料可參考《ＮTFＳ中的$MＦT詳解》一文:HYＰＥＲＬIＮＫ"http://hi．ｂａiｄu．com/sｃ＿ｗoｌf/bｌｏg／ｉｔｅm／e3f6d3５cb０６3ｂ3４5faｆ２ｃ０5b．htｍl”ｈttｐ：//hｉ.ｂaｉｄ/ｓc_ｗolf／blog/iteｍ/e３f６ｄ３５cb０63ｂ３４5ｆａf2c05ｂ。hｔｍl下面是FILE

Ｒｅcｏrd的結(jié)構(gòu)：?Offsｅｔ

Ｓiｚe

Deｓｃｒiｐｔiｏn

?

0ｘ０0

４

Mａgiｃ

nuｍbeｒ

＇ＦILE’

／/標(biāo)志,肯定是“ＦＩLE”?

0x０4

２

Ｏｆfseｔ

ｔo

ｔhe

uｐｄａt(yī)e

ｓequence

//更新序列ＵS的偏移?

0x０６

２

Siｚe

iｎ

wｏｒｄs

oｆ

Upｄaｔe

Ｓeｑuence

Number

＆

Arraｙ

(S)

/／更新序列號(hào)USN的大小與數(shù)組，包括第一個(gè)字節(jié)

0ｘ０8

8

$ＬｏｇＦiｌe

Ｓeｑｕeｎce

Nuｍbeｒ

（ＬSN）

//

日志文件序列號(hào)ＬＳＮ?

０x10

2

Ｓｅｑｕｅncｅ

number

/／序列號(hào)（ＳN)?

0x12

2

Haｒｄ

link

ｃouｎt

／／硬連接數(shù)?

０ｘ14

2

Offseｔ

ｔo

Update

Sequencｅ

Arrａｙ

/／

第一個(gè)屬性的偏移地址?

0x1６

2

Fｌａｇs

／/標(biāo)志，1表示記錄正在使用,２表示該記錄為名目?

0x18

4

Ｒeａｌ

sｉze

oｆ

tｈｅ

ＦILE

ｒeｃｏrd

//記錄頭和屬性的總長度，即文件記錄的實(shí)際長度?

0ｘ1C

４

Allocａｔｅd

size

ｏｆ

the

ＦＩＬE

reｃｏｒｄ

/／總共安排給記錄的長度?

0x２0

8

Ｆiｌe

rｅfｅrence

ｔo

the

basｅ

ＦＩLE

record

//基本文件記錄中的文件索引號(hào)?

0ｘ2８

2

Neｘｔ

Ａttｒibuｔe

Iｄ

//下一屬性ID?

0ｘ２A

2

Aｌiｇn

to

4

byte

boundary

／/ＸＰ中使用,邊界

0x2C

4

Nｕｍbeｒ

of

this

MＦT

Record

/／ＸP中使用，本文件記錄號(hào)

2

Update

Sｅquence

Ｎumｂｅｒ

（a）

//更新序列號(hào),大小為２B，是為了保證該扇區(qū)是否正確，以扇區(qū)的最后兩個(gè)字節(jié)與該值比較，如果一樣，則說明該扇區(qū)是正確的,否則就是有問題.

2S—２

Uｐdatｅ

Seqｕｅnce

Arrａｙ

(a）

/／更新序列數(shù)組,大小一般為２＊2B＝４B，如果該扇區(qū)正確，在解析的時(shí)候,則將該數(shù)組中的兩個(gè)２B大小的數(shù)字依次復(fù)制到該Filｅ

Ｒｅcord所在的兩個(gè)扇區(qū)的最后兩個(gè)字節(jié)。

在日志文件＄ＬｏgFile中包含有全部文件系統(tǒng)操作日志,刪除文件會(huì)在$LｏgFile中留有記錄,因此找到一些不在磁盤上的文件是完全有可能的，在$LogＦile上還可以找到一些被系統(tǒng)調(diào)用過的文件。在ＮTＦS中包含有四個(gè)時(shí)間戳：創(chuàng)建時(shí)間,最后訪問時(shí)間,最后寫入時(shí)間以及最后修改時(shí)間,因此能過它我們可以查看我們的隱秘文件是否被復(fù)制,查看等操作。剛好這里在網(wǎng)上找到一篇關(guān)于NＴＦS分區(qū)格式化數(shù)據(jù)恢復(fù)的文件，有愛好的可以看下:ＮTＦS分區(qū)格式化后用ＷIＮＨEX手工提取數(shù)據(jù)：ＨYPＥRLＩＮＫ”htｔｐ：／/blog．ｉnｔohard.cｏｍ/ｈｔmｌ/44/t—462４4。html＂hｔtp：／/blog．ｉntｏhard．com/ｈtml/4４/t-４６244.ｈtｍl二．注冊文件注冊文件＊.ｒeg文件是一種注冊表腳本文件,通過它將數(shù)據(jù)導(dǎo)入注冊表中，以此來操作注冊表,因此在該文件中包含有各類軟件、硬件、用戶的相關(guān)信息及設(shè)置。在注冊表包含有一組主鍵或根鍵（HKＥY）、鍵(keｙ）、子鍵(ｓubｋey）、鍵值(ｖａｌue),通過它可以進(jìn)行數(shù)據(jù)備份。在ｗiｎ９8中,注冊文件命名為ｕseｒ．ｄａｔ與ｓystｅｍ．ｄaｔ；在winｄoｗsmiｌlｅnｎiumedition中則為ｃlａsses.daｔ，ｕser.daｔ和sysｔem.dat；而在２０00＼xp及vista中是在C:\wiｎｄoｗｓ＼ｓysｔｅm3２\config文件。通過查看備份的數(shù)據(jù)可以獲得一些已刪除文件或程序的相關(guān)信息,對于取證有肯定的幫助。另外能過注冊表還可以用于確定用戶進(jìn)行了哪些操作，比如攻擊者常常要運(yùn)行一些指令，而且常常是通過啟動(dòng)-＞運(yùn)行……然后輸入需要運(yùn)行的程序名，接著啟動(dòng)程序或指令.而在ｗiｎdoｗｓ中就記錄了大部分注冊表中當(dāng)前用戶通過該方式執(zhí)行的最近26條指令，只需查看ＨKＣU、Ｓoｆtwａre\Microｓoｆｔ\Ｗindows\CurrenｔＶersion＼Eｘplorer＼ＲuｎMRU這里舉個(gè)實(shí)例，先用啟動(dòng)－>運(yùn)行－＞輸入reｇedit，然后查看以上鍵值,結(jié)果如圖4所示：

圖４另外還有一個(gè)地方可以用來查看當(dāng)前用戶最近打開的文件名:ＨＫCＵ\Soｆｔwarｅ＼Mｉｃrosoｆｔ\Windows＼CｕｒｒｅｎtVｅｒsｉon＼Explorer\ＲｅcentDoｃs如圖5所示:

圖5除此之外,還有hｋｃｕ\sｏfｔｗａｒe＼ｍiｃroｓofｔ\ｉnｔernetexpｌoreｒ\tyｐｅｄuｒls可以查看全部IＥ中URＬ，hｋcｕ\sｏftwａre\reａlvnｃ＼ｖncｖiewｅr４\mru可以查看黑客進(jìn)入到的系統(tǒng)的歷史記錄.在《miniｎgdｉｇitalevidenceｉnｍicrosｏｆｔwｉｎｄoｗｓ》一文中提到注冊表中包含下列大事：ｓystemandｕｓｅｒ—ｓpeciｆicsｅｔtingsUｓｅｒAｓsistMuｉＣaｃｈe

ＭRULisｔs

PｒｏgramsCacｈｅStrｅamMＲUSheｌlbagsUsbstor

IEpaｓsｗoｒdｓandｍanymore!三.預(yù)讀取文件ｐｒefetchfｉｌe（*.pｆ）MS在WiｎＸP以后的操作系統(tǒng)中加入了預(yù)讀取文件的功能，用于提高系統(tǒng)啟動(dòng),程序加載及文件讀取的速度。通過緩存正在被使用的程序，可以幫助系統(tǒng)安排用戶可能即將訪問的系統(tǒng)資源，以此來提高訪問速度。預(yù)讀取文件保存在c:\ｗiｎdｏｗs\Ｐｒefeｔch名目中,每個(gè)應(yīng)用程序都會(huì)在Prｅｆetch名目中留下相應(yīng)的預(yù)讀取文件,預(yù)讀取文件描述了應(yīng)用程序或系統(tǒng)啟動(dòng)時(shí)各個(gè)模塊的裝載挨次,其命名方式是以應(yīng)用程序的可執(zhí)行文件名為基礎(chǔ),加上一個(gè)”－"和描述執(zhí)行文件完整路徑的十六進(jìn)制值，再加上文件擴(kuò)展名PF構(gòu)成的,例如opｅrａ．eｘe－０065A２A1。pｆ．不過，ｗindowsXP啟動(dòng)的預(yù)讀取文件總是同一個(gè)名稱，即NTＯSＢOOＴ—B0０ＤＦAAＤ．ＰＦ，其中包含著啟動(dòng)時(shí)載入文件的記錄。預(yù)讀取文件的功能可能過修改注冊表ＨＫEY_LOCAＬ＿M(jìn)AＣHINＥ\SYＳTEM\CuｒrｅntCｏｎtroｌＳeｔ＼Contｒｏｌ\ＳeｓsionManaｇer\ＭemoryＭanａgemｅｎt\ＰrefetcｈＰarａmｅｔeｒｓ來設(shè)置,如圖６所示：

HYＰＥＲLINK"http：／/riｕsｋｓｋ．ｂｌogbus.ｃｏｍ/fｉleｓ／s/1233140７８5０．jｐｇ"\t”＿blａｎk"

圖６可修改EnａblePrefetcheｒ的“DWORD”值為：“0”—-取消預(yù)讀取功能;?“1”——系統(tǒng)將只預(yù)讀取應(yīng)用程序；?“2"-—系統(tǒng)將只預(yù)讀取Winｄｏwｓ系統(tǒng)文件，此為WｉnｄoｗsＸP／Sｅrver2003的默認(rèn)設(shè)置；?“３”—-系統(tǒng)將預(yù)讀取Wｉnｄowｓ系統(tǒng)文件和應(yīng)用程序。

預(yù)讀取文件的分析可借助WFA(ｗindowｓfｉlｅａnalｙzer）來進(jìn)行,如圖7所示：

圖7通過上圖可知,＊.pｆ文件中包含程序的最新訪問時(shí)間,嵌入數(shù)據(jù)的時(shí)間，運(yùn)行次數(shù)及文件路徑hash值等信息.四．后臺(tái)打印文件(ｐrinｔｓｐoｏleｒfile)在打印作業(yè)完成之后，會(huì)在Ｃ：\Winnｔ＼Sｙsｔｅm32\Sｐoｏl\Priｎters名目中留下幾個(gè)SＰL和SHＤ文件.SPＬ文件是實(shí)際的后臺(tái)打印(打印作業(yè))文件。?SHD文件供應(yīng)有關(guān)的打印機(jī)打印作業(yè)已發(fā)送與其打印作業(yè)一起供應(yīng)的信息。一個(gè)SHＤ文件是”影子"文件跟蹤的哪些規(guī)律打印機(jī)(同一號(hào)碼)xｘｘxｘ.spl文件轉(zhuǎn)到。它還包含隊(duì)列，發(fā)送該的打印機(jī)和其他信息的文件在用戶中的文件的挨次。除非規(guī)律打印機(jī)設(shè)置否則狀態(tài),通常會(huì)刪除這些文件.可以通過Spｌviｅｗ。exｅ(hｔtp：／/uｎdｏｃpｒinｔ.ｐrintasｓoｃiａt(yī)eｓ.ｃoｍ)來查看這類文件的元數(shù)據(jù)，如圖8所示：

圖8也可通過ＥＭFSpoolvieｗer(ｈtｔｐ:／/ｗwｗ。ｃｏdeprojeｃｔ．cｏm/doｔnｅt/ＥMＦＳpｏｏlViｅｗer/EMFSpoolVieｗer.ｚip)來查看實(shí)際的后臺(tái)打印工作,如圖９所示：

圖9五．iｎfｏ２文件inｆｏ2文件中記錄著每個(gè)被刪除后放入回收站的文件的相應(yīng)信息，比如驅(qū)動(dòng)器指示器dirvedeｓigｎaｔor

，原刪除文件的完整文件名，文件大小，存放的位置(路徑）以及文件被移到回收站的時(shí)間.當(dāng)一文件被移動(dòng)到回收站時(shí),該文件被重命名為：D％ＤrivｅＬetteｒ%_%ＩndexNumbｅr％＿％FileExtensiｏｎ%．

D％ＤrｉveLetｔｅｒ%:“Ｄ”代表Drive，％ＤｒｉveLｅtter%為文件放置的磁盤，第一磁盤均有其自已的Rｅcycler名目以及iｎfo２文件。

%IｎdｅxNｕｍbeｒ％:每一被放入回收站的文件或文件夾均會(huì)被安排一索引號(hào)，用來標(biāo)記刪除次序,索引號(hào)越大，說明越晚刪除。但當(dāng)加收站清空或系統(tǒng)重啟時(shí)，索引號(hào)將會(huì)從新開頭安排。

%FｉleＥxtenｓioｎ％:

原始文件的擴(kuò)展名。當(dāng)一文件夾被刪除時(shí)，它將沒有擴(kuò)展名。例如:一個(gè)文件名為ｈａcker．txｔ被刪除而放入回收站后，該文件將會(huì)被重命名為Dｃ２．txｔ,文件入口可在C：＼Reｃycleｒ\％SＩD%\ＩＮＦO2文件中找到。關(guān)于INFO2文件結(jié)構(gòu)可參考下圖(來源：HYPＥRLIＮK”ｈｔｔp://ｗｗw．cybersｅｃuｒｉtyinsｔｉｔutｅ.biｚ＂ｗwｗ.ｃybeｒsecｕrityｉｎｓｔｉ）：

圖１0六。tｈｕｍbs。dｂ文件ｔｈｕｍｂs.db文件是用于緩存文件中的縮略圖，以提高圖片的讀取速度,它保存在每個(gè)包含圖片的名目中，里面保存了這個(gè)名目下全部圖像文件的縮略圖（格式為jｐｅｇ），相當(dāng)于一個(gè)縮略圖數(shù)據(jù)庫，當(dāng)以縮略圖查看圖片時(shí)，就會(huì)生成一個(gè)Thｕmbｓ.dｂ文件。ＯLＥ(OｂｊectLinkinｇandEｍbｅｄｄｉng:對象連接與嵌入，是在一個(gè)文件或一個(gè)程序中能夠包含多種不同數(shù)據(jù)格式的數(shù)據(jù)內(nèi)容而產(chǎn)生的）就在ｔhｕmｂs.dｂ文件中嵌入當(dāng)前數(shù)據(jù)。在一些情況下，當(dāng)圖片從名目中被刪除后,圖片仍然保存在tｈｕmbs．dｂ緩存中,因此該文件也存在肯定的平安風(fēng)險(xiǎn)。下面引用百度百科上的一個(gè)例子:比如當(dāng)你上傳電腦的數(shù)碼HYＰERＬINK”ｈttp：／/ｗｗw．blｏgbｕ／view/１78723.htm"＼ｔ＂_blａnｋ”相片，在查看時(shí),刪除了其中的一張“SＳA25０1”，再將其后的“ＳSＡ２50２"改成了“ＳＳＡ2501”,看，“SSＡ250２”的照片立刻換成了“ＳSA2５01”的照片，不只是名字換了，照片也變了.如果再將“ＳSA2503”的名字重命名成“ＳＳＡ２５02”，奇跡發(fā)生了,原來的“ＳSＡ2５0２”照片又回來了，“ＳSＡ2５0３"的照片不見了！在WindowｓＸＰ/2０03中,用戶可以通過以下操作來關(guān)閉它,如圖11所示：

１．打開工具欄——文件夾選項(xiàng)?２．點(diǎn)擊查看?３.打勾，不緩存縮略圖

4.確定

圖11?但在wｉｎｄowsｖｉsｔa中，微軟取消了ｔｈumbｓ．ｄb文件，而是使用把縮略圖數(shù)據(jù)庫"tｈumｂcacｈe_xｘxｘ．db＂文件集中保存于\Users＼［userｎame］\ＡppDａt(yī)a＼Ｌocal＼Ｍicrｏsoft\Ｗｉｎdows\Eｘplorｅｒ該名目中。?如果你想查看ｔhumｂs.db文件中緩存的圖片,那么可以借助ｗinｄｏwsfileanalyzｅr來查看，如圖12所示:

圖1２接下來直接點(diǎn)“sａｖｅｉmage”保存圖片即可。也可采納司法分析軟件FTK進(jìn)行查看，如圖１３所示：

圖１3七．日志文件(＊。evt)windowｓ系統(tǒng)中的日志文件供應(yīng)了系統(tǒng)中發(fā)生的重要大事，再結(jié)合注冊表數(shù)據(jù)可用于追蹤之前發(fā)生的系統(tǒng)大事，它主要有三種形式:應(yīng)用程序,系統(tǒng),平安性，通過打開開頭菜單＞運(yùn)行,輸入Ｅventvwｒ。msc或打開開頭>掌握面版〉管理工具〉大事查看器即可查看相關(guān)的日志文件，如圖１4所示:

圖１4本文我是在網(wǎng)吧寫,開頭里面作了限制，不能打開運(yùn)行，因此寫了一個(gè)內(nèi)容為cmd．exｅ的批處理文件１。bａt(yī)，打開運(yùn)行進(jìn)入doｓ后,輸入Ｅveｎtvｗr.mｓc亦可打開大事查看器。通過查看日志文件，我們可以知曉：１.失敗的登陸嘗試,２。成功的權(quán)限提升嘗試，3。更改系統(tǒng)時(shí)間，4.突破登陸時(shí)間限制，5．登陸/退出時(shí)間，6.成功/失敗的對象訪問。默認(rèn)情況下,windｏws的平安設(shè)置是不支持日志文件，另外,惋惜的是，日志文件只記錄ＮetbiosNａmｅ,而不記錄IＰ地址。八.網(wǎng)絡(luò)歷史文件網(wǎng)絡(luò)掃瞄器將用戶掃瞄過的站點(diǎn)及圖片，還有cookie文件等保存在硬盤上，對于調(diào)查用戶的網(wǎng)站掃瞄行為供應(yīng)幫助，如圖１所示：

圖15圖１５是IＥ掃瞄器保存在硬盤上的歷史文件,不同的掃瞄器保存的歷史文件路徑不一樣，但騰訊ＴT掃瞄器與IE是共用歷史文件的，因此路徑也是一樣.我們也可以通過一些閱讀工具來讀取這些網(wǎng)絡(luò)歷史文件，比如：Enｃase，NeｔAｎａｌyｓis,WeｂHistoｒｉan。通過IE的歷史文件我們就可以獲得用戶掃瞄過的站點(diǎn),cooｋie以及相關(guān)的臨時(shí)文件.如果我們能夠竊取cｏokｉe文件，我們就可以獲得用戶的登陸權(quán)限了.九．快捷方式文件（＊。ｌｎk）快捷方式文件(*。ｌnｋ）用于鏈接到目標(biāo)文件的一種文件，目標(biāo)文件可為應(yīng)用程序，名目,文檔或者數(shù)據(jù)文件,在lｉnk文件中包含有目標(biāo)文件的各種屬性：

＊

目標(biāo)文件的完整路徑

＊

目標(biāo)文件或者名目所在的卷標(biāo)(ｖoｌｕmelabｅl）和卷序列號(hào)（voｌumeseriａlｎumｂｅr）,這些將有利于將文件連接到一唯一的卷（volｕｍe)

＊

文件大?。ǎ鈟tes）

＊

目標(biāo)文件的MＡC時(shí)間戳

＊

媒體類型（如圖1）

＊

工作名目

*

MAＣ地址

＊

遠(yuǎn)程共享文件名

圖1６快捷方式文件的整體結(jié)構(gòu)如圖1７所示:

圖17關(guān)于該文件更為簡略的資料可參考此文（Windows快捷方式文件格式解析):ｈｔtp：//www．ｖｃｋbasｅ.ｃｏm/ｄocumenｔ/vｉewｄoｃ/?ｉd＝14１1ｌink文件可在未安排的集群(cｌusｔerｓ)與交換（swａｐ)內(nèi)存空間找到．我們也可借助相關(guān)工具來讀取linｋ文件所包含的信息，比如EncaselinkｐarserＥnＳcｒｉpt和WｉndowsFiｌeAｎalｙzeｒ,如圖18所示：

圖１８十。系統(tǒng)還原點(diǎn)(ＳｙｓtemＲestorePoint）

系統(tǒng)還原是Ｗindｏwｓ操作系統(tǒng)默認(rèn)的一個(gè)功能，它用來幫助你恢復(fù)你的電腦到預(yù)設(shè)的狀態(tài),同時(shí)不會(huì)丟失你的數(shù)據(jù)文件,可通過“開頭－程序－附件－系統(tǒng)工具—系統(tǒng)還原"來建立系統(tǒng)還原點(diǎn),如果你選擇系統(tǒng)還原，你就可以看到最新的系統(tǒng)還原點(diǎn)了.

關(guān)于系統(tǒng)還原更多的資料可參考下面兩篇文章:《ｗindowsｖｉsta系統(tǒng)還原專題》：http:／/tech。ddviｐ.cｏｍ/２0０７-05/117８520７4８２3５3３。ｈtmｌ《ｗinｄoｗsｘpPｒｏfessiｏnaｌ系統(tǒng)恢復(fù)淺談》:HYPERLINK”http：//www.microｓoft。coｍ/chｉｎa/ｃommunｉｔy/proｇram／orｉginaｌarticｌes/ｔｅchｄoc/WinｘｐＳys.msｐｘ"ｈttｐ:／/www.mｉcroｓｏft。ｃoｍ/chinａ/commｕnity/proｇram/oriｇiｎaｌarｔicｌeｓ/tｅchdoc／ＷinxpSyｓ．mｓpxrp．log文件是存儲(chǔ)在還原點(diǎn)（ReｓtoｒeＰoｉnｔ）名目的日志文件，設(shè)置系統(tǒng)還原點(diǎn)后,就會(huì)生成該文件。通過ｒp。ｌoｇ文件，我們可以獲得以下信息：＊

還原點(diǎn)類型（ＡＰPＬＩＣATION＿IＮSTAＬL，CAＮCELLED_OPERAＴIＯN……）*

還原點(diǎn)創(chuàng)建大事的名稱（i。e,應(yīng)用程序或設(shè)備驅(qū)動(dòng)程序安裝/卸載等）*

通過64-biｔＦILEＴＩMEoｂjecｔ可取得還原點(diǎn)的創(chuàng)建時(shí)間

ＣHＡNGE.LOG。x文件（ｘ為一數(shù)字)是系統(tǒng)還原所用的一個(gè)記錄文件是系統(tǒng)更改日志,通過它我們可以獲得以下信息:＊

當(dāng)系統(tǒng)記錄發(fā)生更改時(shí)，原始文件名會(huì)連同一序列號(hào)及其它信息(比如:記錄更改類型:文件刪除，屬性更改或內(nèi)容更改等）存入change．loｇ文件中＊

有時(shí)整個(gè)文件可能被保存（Ａxxxxxx。ｅxt格式）

通過還原點(diǎn)，我們可以獲得以下信息：＊

應(yīng)用程序的安裝或卸載＊

系統(tǒng)時(shí)間更改*

刪除/卸載的應(yīng)用程序的碎片*

被刪除的文件的碎片＊

曾被訪問過的文件跡象十一.Ｐ２Ｐ軟件調(diào)查取證

P2P（ｐoinｔtopｏint)即點(diǎn)對點(diǎn)的意思,當(dāng)一臺(tái)主機(jī)從其它服務(wù)器下載文件時(shí)，它作為客戶端;當(dāng)其它主機(jī)從它機(jī)上下載文件時(shí),它就作為服務(wù)端，像BT,eＭｕｌｅ，ＰＰＬive等均為P2P軟件,本文主要以BＴ為例來講解P2P軟件的調(diào)查取證,其它Ｐ2P軟件的取證可以此為參考.P２P軟件調(diào)查取證的主要目的是為了查找不良信息或危害言論的傳染源，以準(zhǔn)時(shí)切斷傳染源,防止其連續(xù)傳播并追究相關(guān)人員的法律責(zé)任。ＢT的運(yùn)行原理我們需要先從WＥB服務(wù)器上下載種子文件＊。ｔorrent,該文件中包含trａckｅr服務(wù)端地址列表以及下載文件的哈希值，通過種子文件中的服務(wù)端地址，我們就可以向其發(fā)送以下載文件名哈希值為參數(shù)的HＴＴPget懇求,服務(wù)端再查找種子列表，供應(yīng)各下載服務(wù)器地址給我們，我們就可以從這些服務(wù)器上下載文件片段了。種子文件格式：

BT種子文件使用了一種叫benｃoｄing的編碼方法來保存數(shù)據(jù)。

bencｏdinｇ現(xiàn)有四種類型的數(shù)據(jù)：srings（字符串）,iｎtegｅｒs（整數(shù))，ｌisｔｓ（列表），dictｉoｎａrieｓ（字典)?

整個(gè)文件為一個(gè)字典結(jié)構(gòu)，包含如下關(guān)鍵字:?aｎnｏunｃe：trａckｅr服務(wù)器的UＲL(字符串）

annｏunce-ｌist（可選)：備用ｔrackｅr服務(wù)器列表（列表）?crｅationｄate(可選）：種子創(chuàng)建的時(shí)間，Unｉx標(biāo)準(zhǔn)時(shí)間格式，從１9７01月1日00:00:0０到創(chuàng)建時(shí)間的秒數(shù)(整數(shù))?cｏmmｅｎｔ(可選):備注（字符串）

ｃrｅaｔedby（可選）:創(chuàng)建人或創(chuàng)建程序的信息(字符串)?ｉnｆｏ：一個(gè)字典結(jié)構(gòu)，包含文件的主要信息，為分二種情況：單文件結(jié)構(gòu)或多文件結(jié)構(gòu)?單文件結(jié)構(gòu)如下：?

leｎgｔh:文件長度,單位字節(jié)(整數(shù)）?

md5sum（可選)：長32個(gè)字符的文件的MD5校驗(yàn)和，BT不使用這個(gè)值,只是為了兼容一些程序所保留!（字符串）?

ｎａｍｅ:文件名（字符串)?

piｅcelｅnｇｔh：每個(gè)塊的大小,單位字節(jié)(整數(shù))?

piecｅｓ：每個(gè)塊的2０個(gè)字節(jié)的SHＡ１Hash的值（二進(jìn)制格式）?多文件結(jié)構(gòu)如下：

ｆiles:一個(gè)字典結(jié)構(gòu)