电子数据取证学习笔记
1、电子数据取证架构
2、电子数据取证与应急响应的区别
2.1 实施主体不同
电子取证的主体一般为执法部门和内部安全审计人员,应急响应的主体一般为负责网络安全的政府组织、安全厂商、系统维护人员。
2.2 过程不同
电子数据取证是案件发生后采取措施的过程,应急响应贯穿到事先预防、集中处理和事后弥补整个过程。
2.3 目标不同
电子数据取证是为了获得违法犯罪的证据,目的是形成证据链,应急响应的目标是为了恢复整个系统的正常。
3、存储器指标
3.1 存储器容量
存储容量是存储介质中可以容纳二进制信息的总量,即存储容量=存储单元数✖️存储字长。存储容量越大存储的信息就越多。存储容量通常用位(bit)或字节(Byte)来表示,一般一个字节定义为8个二进制位,因此计算机中一个字的字长通常是8的整数倍。
3.2 数据传输率
数据传输率是指单位时间内存储器所存取的信息量,度量单位通常为位(bit)/秒或字节(Byte)/秒,是衡量电子数据取证效率的重要技术指标。速率越高,意味着单位时间镜像或分析的数据越多。
3.3 数据接口
电子数据取证人员在工作中可能会见到各种外部存储介质接口。接口上的标识主要有IDE、ATA、Ultra ATA/33、Ultra ATA/66、Ultra ATA/100、Ultra ATA/133、Ultra DMA/33、Ultra DMA/66、Ultra DMA/100、Ultra DMA/133、Serial ATA、SCSI、SCSI II、Wide SCSI II、Ultra SCSI II、Ultra Wide SCSI II、Ultra2 SCSI、Ultra160 SCSI、Ultra320 SCSI。
接口按照物理接口种类区别,常见只有九类:SATA、SAS、IDE、SCSI、光纤通道、ZIF、LIF、IEEE 1394和USB。
从控制指令区分,存储介质可以归纳为两大类,即ATA类与SCSI类。SATA、IDE、ZIF、LIF使用的是ATA指令,除了SATA使用串行方式传输数据,其他的都以并行方式传输数据,又称为PATA类;SCSI、SAS和光纤通道使用SCSI指令。
4、扩展分区结构
5、逻辑数据恢复原理
高级格式化仅更新文件分配表,数据区并未被擦除,只有数据擦除或低级格式化,才能破坏系统区域和数据区域的数据。
数据区域的数据通常通过两种方式恢复:
一种是按照文件系统的存储原理,重建MBR、DBR、FAT、FDT,根据存储介质内的数据信息来确定记录文件或目录存储位置的FAT或MFT中的值,从而找回丢失的数据;
另一种是根据文件签名特征中文件头和文件尾特征值进行检索,通过文件签名特征恢复技术直接从数据区域的数据中找回丢失的特定格式的文件。
5.1 文件系统恢复原理
(1)FAT文件系统
在Windows系统中,删除文件或文件夹一般分为普通删除和彻底删除。
普通删除:将文件或文件夹移入回收站(RECYCLER),回收站是Windows系统自动建立在每个硬盘分区根目录下的隐藏文件夹。
FAT文件系统删除一个文件或文件夹需要经过以下过程:
• 将文件或文件夹所对应目录项的第一个字节被标记为“已删除对象”,该目录项将不再显示给用户 • 更新FAT,FAT表中所记录的分配给该文件或文件夹的所有簇的状态值全部改变为“未分配簇”(Unallocated)
文件删除前后文件数据区域对比。
“fat-test.txt”文件被删除后,文件目录项头字节被修改为删除标记“E5”,表示该文件已被删除,FAT表中该文件占用的簇被标记为“0”,表示该簇未分配使用,但是文件的数据区域并没有发生任何变化。带有删除标记的文件,操作系统会认为已被删除,在操作系统下不借助专门程序或软件无法看到,直到这些簇被新的文件或文件夹占用,当再次往硬盘中写入数据文件时,系统才会覆盖这些被标为已删除的文件所占用的簇,写入新的数据从而覆盖原文件内容。
(2)NTFS文件系统
“delete-test.txt”文件被删除后,$MFT属性头的4处数据发生了变化,偏移08H~0FH处由“6F 0D E0 00 00 00 00 00”修改为“A8 08 00 01 00 00 00 00”,这8个字节是日志文件的序列号,每当文件被修改时,都会在$LogFile日志文件中生成相应记录,从而引起日志文件序列号发生变化。
偏移10H~11H处由“01 00”被修改为“02 00”,这2个字节是序列号,记录主文件记录表被重复使用的次数,由于文件被删除,主文件记录表被修改,因此序列号增加1。
偏移16H~17H处由“01 00”被修改为“00 00”,这2个字节是主文件记录表使用标志,“00 00”表示文件被删除。
偏移30H~31H处由“08 00”被修改为“09 00”,这2个字节是主文件记录表的更新序列号,这2个字节同时会出现在该文件记录第一个扇区和第二个扇区最后2个字节处,但$MTF项的10H、30H、40H、80H属性数据均未发生改变。其中80H属性即$DATA属性,容纳着文件的内容,从图中可以看出,该80H属性为常驻属性,属性头后面紧跟的是文件的内容,文件数据内容部分也没有发生该改变,常驻80H属性以“00H”结束,由于文件属性长度是8的整数倍,如果文件内容结束不能达到8的整数倍时,就用“00H”来填充。
(3)exFAT文件系统
(4)HFS+文件系统
(5)Ext3
从Ext3文件系统删除文件的过程可以看出,被删除文件的目录项中的文件名和i-节点号还存在,通过这些信息可以找到文件的i-节点,但是i-节点中的文件大小和块指针都被清零,虽然数据块没有被清零,但要找到文件的存储位置很难,因此,Ext3文件系统下删除文件的恢复可以考虑按照文件类型签名进行恢复,但是如果文件占用的块比较多,文件不连续存储的可能性较大,文件恢复难度也会增加。
6、文件数据恢复原理
6.1 逻辑数据恢复原理
特点:扫描完全,只要数据区中存在特征文件,就会被检索出来。
例:word文档(97-2003)
word文档在硬盘中的实际构成总是以“D0CF11E0A1B11AE10000000000000000”为文件头部特征的,如下图。扫描到文件头之后,继续按扇区查找其文件脚,发现它的二进制表示的文件脚。
• 一是文件是否为连续存储,即是否存在碎片; • 二是文件中数据是否被覆盖(部分覆盖)。
7、物理修复原理
7.1 固件修复
固件的概念
固件存放位置一般有两种形式:
• 一种是一部分固件数据保存在硬盘电路板的芯片中,另一部分保存在硬盘盘片的副磁道上,即0磁道前面的磁道 • 另一种是所有的固件数据全部保存在硬盘的副磁道上。 固件的结构
大部分硬盘固件有两个工作区,即主固件和次固件区,有些硬盘则有三个,多一个备份固件区。 • 固件管理模块:由初始诊断模块、伺服电机旋转控制模块、磁头定位模块、硬盘控制器和缓冲存储器的信息交换模块等构成。管理模块出现损坏,一般会造成硬盘不能准备就绪或者硬盘的型号、容量等相关参数不能被正确识别等故障。 • 配置和设置表:包含关于硬盘空间的逻辑和物理信息。如果配置和设置表出现故障,硬盘的型号、最大LBA值、物理磁头的定位、Zone分配表等相关参数将不能被正确识别。 • 缺陷列表:厂家会通过缺陷列表的方式将缺陷扇区进行记录,从而使用户不能发现和使用到缺陷扇区。一般缺陷列表包括P-list、G-list、U表和道表四种。P-list又称为永久缺陷列表,厂家在硬盘出场前会对其进行全面校准,将校准过程中找到的缺陷磁道和扇区记录在P-list中,并且对所有磁道和扇区编号过程中,跳过这些缺陷扇区。G-list又称为增长缺陷列表,硬盘在使用中如果出现了新的缺陷扇区,硬盘会通过自动修复机制,使用保留扇区中的一个备用扇区来替换该缺憾扇区,并将新发现的缺陷扇区记录到G-list中。保留扇区在硬盘内磁道,缺陷扇区加入G-list后会影响读写速度。U表即固件区缺陷列表,用于记录硬盘固件区产生的缺陷,该表主要存在于迈拓和西部数据两个品牌的硬盘。道表就是压缩后的P表,由于固件区存储空间有限,当向其中加入的缺陷信息达到一定程度时,无法继续写入,这是就可将P-list进行压缩,以增加P-list容量。 • 固件区还有硬盘工作记录表,包括硬盘生产和运行过程中的辅助信息,如检测结果、检测程序动作记录等。
7.2 硬盘物理故障修复
对于硬盘电路板供电、接口、缓存、BIOS、电机驱动芯片等出现故障时,既可以通过维修或更换受损电阻、电容、场效应管等元器件修复故障硬盘的电路板,也可以使用相同型号硬盘的电路板替换故障硬盘的电路板,从而使硬盘恢复正常工作。
对于硬盘磁头芯片、前置信号处理器、音圈电机、磁头等磁头组件出现故障时,由于磁头组件精密度高、维修成本高,因此一般是使用相同型号的硬盘的磁头组件替换故障硬盘的磁头组件,从而将故障硬盘上的数据读取出来。
对于硬盘主轴电机故障,由于多数硬盘的主轴电机是铆在硬盘盘体上,不能拆解,因此一般是通过把故障硬盘盘片取下放到相同型号的备件盘盘体内的方法,使用备件盘将故障盘盘片上的数据读取出来。
对于硬盘盘片出现坏扇区时,一般通过替换G-list或者隐藏P-list等方法进行修复,而如果硬盘盘片出现划伤,盘片上的数据基本就无法恢复了。
7.3 芯片存储物理故障修复
芯片存储设备(U盘、存储卡、固态硬盘等)出现物理故障一般表现为没有任何反应、无法识别的设备、无容量、无媒体、无法格式化等情况,故障原因一般为接口故障、供电故障、晶振故障、主控芯片故障、闪存芯片故障或其他元器件烧毁。
对于U盘的故障,一般可以通过焊脚补焊、替换相同频率晶振、替换相同型号主控芯片等方法进行修复。如果U盘电路板上的元器件损坏比较严重,较难修复,可以将其闪存芯片吹焊下来,再吹焊到相同型号的备件U盘电路板上,使U盘能够正常工作。
除此之外,还可以利用由软件和硬件相结合来实现一个U盘控制器的仿真器,通过译码器运算将闪存芯片的内容解码,即可实现正确读取闪存芯片内数据的目的。
8、数据分析
8.1 时间的基本知识
1、时间概念
• GMT(格林威治平均时)时间:平太阳时就是指经修订后的视太阳时。在本初子午线(英国格林威治子午线)上的平太阳时被确定为格林威治平时(GMT) • UTC是协调世界时英文缩写,由于地球每天的自转是有些不规则的,而且正在缓慢减速。UTC相当于本初子午线(即经度0度)上的平均太阳时,UTC的本质强调的是比GMT更为精确的世界时间标准,不过对于大部分应用来说,GMT与UTC的功能与精确度是没有区别的。 • 国际原子时(TAI):国际计量局(BIPM)根据世界20多个国家的实验室的100多台原子钟提供的数据进行处理,得出“国际时间标准”称为国际原子时(TAI)。国际原子时(TAI)的准确度为每日数纳秒,而协调世界时(UTC)的准确度为每日数毫秒。计算机中,一般不用国际原子时(TAI)表示时间,多采用GMT和UTC时间基准。国际原子时(TAI)仅在网络校时中起到一定作用。 • 时区 • 夏时制(简称D.S.T):是指夏天太阳升起的比较早时,将时钟拨快一小时,以提早日光的使用,在英国则称为夏令时间。 • 本地时间:本地时间就是所在地的时间,本地时间基于GMT/UTC,计算了本地所在时区偏差和夏时制所得出的时间。 • 闰年 2、时间定义
系统时间
1. 系统时间定义:系统时间以CMOS时间作为基准,CMOS(互补金属氧化物)是板载的半导体芯片。从某种意义上来讲,CMOS时间是所有时间的来源,操作系统读取CMOS时间作为系统时间,文件在创建、修改、访问的时候,创建、修改、访问时间是根据系统时间进行修正和存储的。 2. 系统时间在Windwos中以128bit长度存储。分为8部分,每部分为16bit。 3. 存储格式:
1. 系统时间在写入文件时将转化为文件时间。
时区偏移
文件时间
文件时间主要格式
32位Windows/Dos文件时间格式
修改时间是正常的32位的时间表示;
根据FAT的设计,访问时间只保存日期,不保存时间。
32位Windows/Dos时间显示的秒只能为偶数(以2s为间隔)
MS-DOS:wFatDate wFatTime的时间格式。这种时间格式是将32位Windows/Dos时间进行了转化。将32位分为两个部分,分别是wFatDate存放日月年,wFatTime存放秒分钟小时。MS-DOS:wFatDate+wFatTime(将32位Windows/Dos时间格式高16位和低16位置换。在DCode中MS-DOS 32bit Hex Value和MS-DOS:wFatDate wFatTime 就是这个关系)
64位Windows/FILETIME文件时间格式
64位的Windows/FILETIME文件时间还保存在日志文件、缩略图文件和快捷方式文件等多种文件中。
64位的Windows/FILETIME文件时间格式为8个字节长,通常最后一位是01H。
C/Unix文件时间格式
C/Unix时间在Unix系统中和网络传输中很常见。Java和Win32可执行程序也使用这个时间。Windows存储在注册表中国呢的开机时间也是使用C/Unix时间格式。C/Unix时间用于UFS1、UFS2、Ext2、Ext3、Ext4文件系统。
C/Unix时间可以使用dcode,也可以在线解析,但是要注意字节顺序。
HFS和HFS+文件时间格式
HSF和HSF+文件系统的卷头和目录中包含有时间,其中HFS均以本地时间标准来存储,而HFS+卷头的创建时间以本地时间标准、其他时间以GMT/UTC时间标准存储,这是因为HFS+文件系统中以创建时间作为软件的统一标识,如果以GMT/UTC时间格式存储,会被时区干扰。目录中的时间都以GMT/UTC时间标准来存储。
ISO9660/UDF时间
ISO9660有4个时间,包括创建时间、修改时间、有效时间和过期时间。
UDF与ISO9660类似,但是没有修改时间。
ISO9660/UDF时间都为17个字节长度。
GSM/UMTS时间格式
Windows时间属性
M-A-C时间为修改时间、访问时间、创建时间的简称。
M-A-C时间在FAT文件系统中以32位Windows/Dos时间格式存储。在NTFS文件系统中是以64位Windows/FILETIME时间格式存储。
创建时间
修改时间
Accessed Time,A时间
节点修改时间(E时间,ENTRY MODIFIED)
在文件系统中,数据流相应的也有一个修改时间,称为节点修改时间(E时间)。NTFS的时间也被称为M-A-C-E时间。
文件的最后访问时间的更新间隔被设置成最近的一天(FAT)或最近的一小时(NTFS),最后访问时间不是精确时间,不能作为证据使用。
Ext3下还包括创建时间、修改时间、备份时间和最后检查时间。
文件内嵌时间
Office中的时间
这些信息是以二进制形式保存在文件内部。在Office中,保存在SummaryInformation数据流中。通过属性ID表示和属性偏移量来定义保存空间。
JIFF文件时间
JFIF格式是内嵌到图片数据中的。
JFIF中的内嵌的拍摄时间是以ASCII形式保存的,可以直接查看拍摄时间。
8.2 文件挖掘
文件挖掘是针对元数据。
文件挖掘种类
普通挖掘
文件头/尾挖掘
头+长度挖掘
文件结构挖掘
碎片恢复挖掘
重构挖掘
8.3 网络数据分析
嗅探技术类型
本机嗅探
网络嗅探
网卡四种接受模式
广播方式
组播方式
直接方式
混杂模式
嗅探方式
广播网嗅探
ARP欺骗嗅探
1、与自己硬件地址相匹配的数据帧
2、发向所有机器的广播数据帧
ARP欺骗嗅探是将本身伪造成网关,向目标PC发送广播数据,欺骗目标PC,让它认为嗅探PC是网关,由嗅探PC承担数据转发,以此截获目标PC的网络数据。
端口镜像嗅探
基于端口镜像的嗅探受限于交换机能够支持的镜像功能,能够镜像多少端口、镜像出来的协议如何都取决于交换机的型号和配置。低端交换机不能活着只能单端口到单端口的镜像,高端交换机都支持多对一的端口镜像。基于端口镜像的嗅探必须拥有交换机的管理权限。
嗅探器分为通用嗅探器和专用嗅探器。前者支持多种协议,如tcpdump、Wireshark、Sniffit等,后者是针对特定协议进行嗅探的。
9、电子数据取证的原则与流程
9.1 电子取证的基本原则
2、必须采取完全可靠的取证方法来保证电子数据的完整性、连续性。即在作为证据使用的电子数据被正式提交给法庭时,必须能够说明在数据从最初的获取状态到在法庭上出现状态之间的任何变化;
3、从事取证的执法人员必须经过专业的培训;
4、任何针对数据的获取、存储、运输、分析检查的活动都必须在案,存档待查;
5、取证人员应该配备符合要求的取证工具。
9.2 电子取证的流程
电子数据取证流程步骤
1、评估
2、获取
3、分析
4、报告
9.3 收集易失性数据的基本步骤
1. 运行可信的程序 2. 记录系统时间和日期 3. 确定登陆信息(包括远程用户) 4. 记录所有文件的创建、修改和访问时间 5. 确定打开的端口 6. 列出与打开端口相关的应用程序 7. 列出所有正在运行的进程 8. 列出所有当前和最近的连接 9. 再次记录系统时间和日期 9.4 分析过程
1、获得取证目标的基本信息
基本信息包括系统类型、账户信息、安装时间、关机时间等;基本信息的获取,可以利用取证工具的脚本或者自动提取功能来实现。基本信息可以为电子数据取证人员提供目标的一个基本概况,为下一步的取证工作打好基础。 2、文件过滤
文件过滤依赖于操作系统、文件系统和应用程序。 3、关键词搜索
关键词搜索不依赖文件系统,设置的关键词以二进制的形式,在介质中进行遍历,直到命中结果。 4、文件分析
针对过滤或者查找到的文件信息和元数据进行分析。 需要分析的信息
查看文件数量和类型。
检查文件内容;
检查文件元数据。
9.5 单机环境电子数据取证
单机环境电子数据取证特点
• 数据保存在相对稳定的环境中。 • 人机关联。 • 取证的难度较低。
9.6 网络环境电子数据取证
网络环境电子数据取证特点
• 数据量大。 • 数据类型相对单一。 • 数据格式复杂化。
10、电子数据取证技术
10.1 时间取证
取证环境时间校正和同步
• 取证设备的操作系统时间要与标准时间同步,确保取证的绝对时间准确。 • 取证工具的时间设置与被取证目标操作系统的时间偏移量保持相对一致。 取证目标的时间检查
取证目标的时间检查需注意的因素:
1、系统时间是否准确
需要查看CMOS时间与标准时间的差异。如果系统时间不准确,文件时间也会相应不准确,需要注意偏移,防止因为偏移造成误判。 2、时区和夏时制的影响
时区和夏时制往往被忽略,检查时不但要通过系统时间查看,还要查看注册表中当前时区。 3、用户是否重新设置过时间和设置系统时间的次数
恶意用户为了掩盖行为,往往修改系统时间后进行非法操作,然后再将系统时间改为正常来逃避打击。联网时是否进行过校正系统的时区。 4、进程和应用程序写入的时间戳
1. 不同操作系统、不同文件系统和不同的格式化工具,都可能影响时间。 2. 某些防病毒软件对文件进行扫描时,最后访问时间会发生改变。而某些防病毒软件在完成病毒扫描后会恢复最后访问时间。 3. 部分软件为了加快数据的索引速度,索引功能会改变时间戳。 4. 在不同格式分区移动或者拷贝文件,其中的M-A-C时间可能会发生多种变化。 时间的更新规律
文件和文件夹在移动、复制、剪贴等常见操作下,时间会有不同的变化规律。
文件夹在重命名、修改属性和文件夹内容修改时,时间更新规律如下:
时间取证的基本判断规则
1、如果修改时间等于建立时间,那么文件是原始文件,既没有被修改也没有被剪切。
2、如果修改时间早于建立时间,则文件被复制或者移动过。
3、如果硬盘上批量文件具有相近访问时间,则有可能被同一工具软件扫描过,如杀软。如果相同文件夹中图像和视频文件有相近访问时间,并且没有其他的图像和视频文件具有相似的访问时间,则这极有可能被一个图像和视频预览工具访问或者打开过。
4、同文件夹中,如果一些文件的修改时间等于创建时间,并且有很近的创建时间或修改时间,则可能是从网上批量下载。
5、文件拷贝时,文件创建时间为拷贝时间,文件修改时间与源文件一致。
6、文件下载时,文件创建时间为开始下载的时间,文件修改时间为下载结束的时间。注意:使用IE下载时是先下载到临时目录在拷贝。
7、压缩文件解压时,通常情况(WinRAR、WinZip)下文件的创建时间为解压时间,文件修改时间与压缩前的文件一致。
文件系统创建时间
1、FAT文件系统确定卷创建时间
2、NTFS文件系统卷M-A-C时间
3、Ext3文件系统卷M-A-C时间
块大小 | ||
HFS+文件系统确定卷M-A-C方法
操作系统安装时间
开机和关机时间
1、日志中的开机时间
其中事件ID=6005记录事件日志启动时间,也可以认为系统的启动时间。
事件ID=6006记录事件日志停止时间,也可以认为是系统关闭时间。
事件ID=6008记录异常关闭。
事件ID=6009记录在启动过程中的操作系统版本和其他系统信息。
2、用户登陆时间
设置密码时间 = “6D DB BB 11 20 7F CB 01” = 2010年11月8日 16:36:42 GMT+8
注意:木马添加的账户,在一般情况是只能通过注册表才能查看的。
3、SAM更新时间
在Windows中,正常关机会在以下两处留下记录。
1、系统日志中的关机时间
2、注册表中的关机时间
如果系统断电和死机,系统不一定会记录时间更新信息。
在Mac OS中,关机时间会在HFS+文件系统卷头(2号扇区)中体现。一般认为,修改时间就是系统关机时间。
10.2 Windows取证
10.2.1 Windows重点目录
1、用户目录
1、最近访问的文档。
最近访问的文档包括用户最近访问的文件。在WinVista/7以后,最近访问的文档已经被更名为最后访问的位置,目录位于\Users<用户名>\AppData\Roaming\Microsoft\Windows\Recent
2、桌面
3、我的文档
4、发送到目录
5、临时目录
临时目录存在于“Documents and Settings\用户名\Local Setting”中。用于文件临时存放。部分程序在安装时,会在临时目录中暂存相关文件,但在安装后不一定删除该文件。
Windows Vista/7/2008的临时目录位于\Users<用户名>\AppData\Local\Temp
6、收藏夹
收藏夹保存的是IE的快捷链接,扩展名为Url。
快捷方式由类组成,类主要分为[InternetShortcut]、[DEFAULT]、[DOC#n(#n#n#n...)]
以InternetShortcut类为例:
Cookies目录存在于用户目录下,为隐藏属性。在访问一个网站后,会在此目录中保存网站的Cookie文件。
Cookie目录中通常有两类文件,一类是以“用户名@网站名.txt”命名的TXT文件,一类是index.dat文件。二者都保存了访问网站的信息。但是TXT文件是真正起作用的Cookies文件。其中包括了创建时间和过期时间。
历史记录目录存在于用户的“Local Setting”目录下。默认保持历史记录为20天。
Internet历史文件位于用户目录的“Local Setting”目录中,用于保存IE访问Internet的缓存信息和文件。功能是当用户再次访问同一网站时,如果网站没有较大变动,就不用重复下载网站图片和页面信息,以提高浏览速度。这个目录下也有index.dat文件,它保存在子目录“Content.IE5”中。
Internet历史文件目录不但保存着IE的历史记录,而且还是Outlook的附件缓存目录,在Outlook打开附件时,会在Internet历史文件目录中生成一个以“OLK”开头,附加一系列随机字母的目录,其中保存着附件。在这个目录下,还有Outlook Express和Hotmail的附件信息。
Users<user name>\AppData\Roaming\Microsoft\Office\Recent中保存的是最近打开的Office文档的快捷方式。
2、交换文件
交换文件可以解决动态内存数据因为断电而不复存在的问题。通过检查交换文件,可以获取文件碎片以便进行分析。
3、休眠文件(Hibernation File)
休眠文件保存在系统根目录中的hiberfil.sys中。
因为是将内存数据完全镜像于休眠文件中,因此休眠文件的大小等同于系统内存。即使系统并未进入休眠状态,休眠文件也将存在,只不过数据都为0x00。
4、假脱机打印文件(Print Spooling)
打印机以RAW和EMF两种模式来进行打印。RAW模式指的是原始图像格式。EMF模式,图像将被转换为EMF格式,EMF不是单独的文件,而是内嵌在其他文件中。EMF时默认打印模式。
每个打印任务会生成两个文件。一个是假脱机文件,扩展名为SPL;另一个是影子文件,扩展名为SHD。
命名方式:“5个数字”或“字母+5个数字”,根据打印任务递增。如00002.SPL、00002.SHD。
假脱机文件(SPL)和影子文件(SHD)包括了用户名、打印机名、文件名、打印模式(RAW或EMF)等打印信息。
假脱机文件(SPL)还包括了打印内容,如果是RAW模式,假脱机文件(SPL就包含了原始打印内容)。Windows系统默认使用EMF模式,每个打印页面都被转换为EMF格式保存在假脱机文件(SPL)中。
打印时,假脱机文件(SPL)和影子文件(SHD)会被保存在打印池中。这个目录是由注册表HKEY_LOCAL_MATHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Print\Printer\的DefaultSpoolDirectory键值决定。
5、日志文件
Windows\inf\setupapi.app.log,应用程序安装日志。
6、预读取文件(Windows Prefetch)
系统启动时,Windows Cache manager监测两分钟内的启动程序,1分钟内的Windows服务以及10秒内运行的应用程序。
预读取文件由注册表项“HKLM\System\CurrentControlSet\Control\SessionManager\MemoryManagement\Prefetch paramters”控制。
预读取文件(pf)主要分三类,主要起以下作用:
(1)启动加速类
某些文件是系统启动时需要用的文件,将这些文件形成预读取文件会提高系统启动速度。
启动加速文件的命名是固定的,例如NTOSBOOT-BOODFAAD.pf。此类文件的文件名后面总是BAADFOOD,里面保存的是未初始化的数据,是预读取文件中占用空间最大的一类文件。
(2)程序加速类
程序的内存页形成的预读取文件会提高程序的启动速度。命名以文件名后跟4个字节运算值,这个值以PI(3.14159)为种子随机运算+37而得出的。例如:CMD.EXE-4A81B364.pf
(3)进程加速类
预读取文件中包含了程序名称、时间戳和运行次数等信息。其中时间戳以GMT格式存储。
每一个预读取文件的文件头都有特殊标记,Windows XP/2003以“11 00 00 00 53 43 43 41”开头,而Windows Vista/7以“17 00 00 00 53 43 43 41”开头。因此即使预读取文件被删除,也能通过GREP语法来找到文件起始,由于预读取文件没有文件尾,可以将超过源文件大小的数据提取出来进行分析。
10.3 浏览器取证
1、上网访问历史记录(访问过的站点地址列表、次数、最后访问时间等)
2、缓存(Cache)
3、Cookies
4、收藏夹(Favorites)
1、IE浏览器
(1)传统IE浏览器(5.0-9.0版本)
IE浏览器会将所有访问过的站点各个页面的URL地址记录到用户配置文件夹下的History.IE5文件夹中,并以浏览时间为序列列出最近浏览过的站点。所有地址链接和各种访问的详细信息都存储在名为Index.dat的索引文件中。
• Windows 2000/Windows XP:“%systemdir%\Documents” and “Settings%username%\Local Settings\History\History.IE5” • Vista/Win7/Win8:“%systemdir%\Users%username%\AppData\Local\Microsoft\Windows\History”
用户在IE浏览器地址栏输入URL地址后,系统将会把输入过的网站URL存储到用户注册表NTUser.dat中,通常可通过注册表取证工具读取该文件节点Software\Microsoft\Internet Explorer\TypedURLs找到相应信息。
2)缓存(Cache)
IE浏览器的缓存数据通常存储在用户配置文件夹下的Local Settings\Temporary Internet Files文件夹(如\Documents and Settings%username%\Local Settings\Temporary Internet Files\Content.IE5),用户也可以通过工具修改默认存储缓存的路径。
Content.IE5中的索引文件Index.dat,包含了通过IE浏览器访问网页后在该计算机中缓存的文件的相关记录,用于加速浏览器的速度。缓存的文件存储在本地计算机时被重新命名。
3)Cookies
Cookies通常存储在用户配置文件夹下的Cookies文件夹,该文件夹下保存了1个索引文件Index.dat和大量的Cookies文本文件。Index.dat记录了用户访问的所有站点地址信息,Cookies文本文件则单独记录了各个站点的相关信息。
通常Windows下的Cookies文件的命名规则:“用户名@站点相关的名称[序号].txt”
通常收藏夹默认存储于用户配置文件夹下的Favorites文件夹(%UserProfile%\Favorites)。
收藏夹中每个站点链接的文件的扩展名为url。可以通过分析用户注册表(NTUser.dat)解析IE浏览器收藏夹的存储路径来查看。
用户注册表中记录用户IE收藏夹的路径:Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Favorites
(2)新一代IE浏览器(10.0-11.0版本)
ESE可扩展存储引擎是一种灵活度很高的数据库类型,大小可以是1MB,也可以是1TB,使用一种崩溃恢复机制,保证数据库所存储的数据的一致性,ESE的高级缓存系统让其能高效访问数据。
ESE可扩展引擎数据库的存储单元是页(Page),在Windows7系统中,每个页大小为32KB,除了部分特殊的“长”记录需要跨页存储外,数据库每条记录都尽可能存储在一个独立的页中。ESE采用B树(B-Tree)结构存储数据。
新一代IE浏览器的数据库及日志相关文件位置:%systemdirve%\Users%user%\AppData\Local\Microsoft\Windows\Webcache
往期推荐
E
N
D
微信扫码关注该文公众号作者