计算机取证技术研究如何科学有效且合法地从计算机及其相关设备中发现并提取出真实有效并符合法律规定的电子数据。我们知道取证意为取和证,取之有道,证之有效,才是把一个任务完成了。
1.上网记录痕迹分析
浏览器为了加速,都会使用保存的方法。IE浏览器一般保存于Index.dat中,用户访问时 IE会首先查找这个索引文件。可以使用如Index.dat Suite等软件进行提取。
比如Cookie记录、缓存记录、历史记录等都有其索引文件。这个文件多么重要呢,即使该文件被删除,仍可以根据其特点进行数据恢复。其包括url、redr和leak三种条目。条目的大小以128Byte即块为单位,结合Windows文件空间以簇即512Byte为单位,则从磁盘逻辑分区第一个扇区开始查找,128byte为一步,只要发现前3个byte是这三个条目,即为查询成功。
360浏览器、搜狗、猎豹等都是将历史访问记录和Cookie记录保存在SQLite数据库里,这是一个轻量级数据库,可用SQLite Database Browser等工具进行查看。
查看360浏览器的历史记录:
查看Cookie:
2.系统使用痕迹分析
用户对主机操作后会保存在Register中,它是Windiws系统中庞大复杂的数据库。注册表由根键、子键和数据组成。键对应文件夹,子键对应子文件夹,值是由名称、数据类型和其值组成。注册表的监测工具RegSnap在安装新软件前后各建立一次快照,一解析就可以知道何处被修改。因此 我们可以关注以下:
开机自动运行软件记录:
开始菜单最近打开的项目:
"开始"菜单运行历史记录:
使用Windows搜索历史记录:
按文件扩展名分类的文件打开历史记录:
主机已安装软件详细列表:
微软office打开历史记录:
3.设备使用痕迹
USB连接计算机后,会在注册表中留下信息。Windows主要使用USB设备ID和兼容ID来描述USB设备。USB设备ID包括生产商标识、产品型号标识和产品版本号。 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum下的USB和USBSTOR
打印设备也是取出证据的重要来源,打印机的型号、操作者,甚至是打印的内容,都可以在这个文件夹下找到:
拿到以上信息之后,剩下的就是要做一个完善的归一化处理,然后进行后续的推断。基于按事实说话的思路,任何推断都必须有凭有据,比如我们找到大量有关网络渗透的查询记录,则可以猜测此人是网络黑客。
引用于
《一种基于用户行为的Windows系统取证方法》施维 华东政法大学刑事司法学院