Windows 8 系統(tǒng)中的USB 設備連接時間戳問題的研究

吳玉強

摘要：在計算機取證工作中，針對文件或設備的使用和安裝時間的取證分析是一個很重要的內(nèi)容，往往對案件的重建有著重要價值。而操作系統(tǒng)的快速更新?lián)Q代，使得系統(tǒng)中一些功能優(yōu)化或修改從而對取證帶來影響。因此，取證人員要緊跟操作系統(tǒng)的更新?lián)Q代對取證過程可能帶來的變化引起重視。本文就針對Windows 8操作系統(tǒng)中的USB設備連接時間戳問題進行分析研究，并對比其與之前操作系統(tǒng)的異同，以期能夠為計算機取證工作提供幫助。

關鍵詞：計算機取證；Windows 8；USB；時間戳

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2015）26-0039-01

所謂USB，即通用串行總線是英文Universal Serial Bus的縮寫，它是一個外部總線標準，在1994年底由Intel、Compaq、Microsoft、IBM等多家公司聯(lián)合提出的應用在PC領域的接口技術以規(guī)范電腦與外部設備的連接和通訊并且支持設備的即插即用和熱插拔功能。

查看一些USB設備連接歷史是在計算機取證工作中經(jīng)常遇到的事情，根據(jù)USB設備的固有特點，可知任何一個USB設備都有設備描述符，它主要是由bcdUSB（USB 版本）、idVendor（廠商編號）、idProduct（產(chǎn)品編號）、bcdDevice（設備出廠編號）、iSerialNumber（設備序列號）等字段組成。其中設備序列號的值可以作為該USB 設備的唯一性標記（UID，unique instanceidentifier），當于網(wǎng)卡的MAC 地址，可以在操作系統(tǒng)中區(qū)分開不同的USB設備，這也是我們在計算機取證中驗證設備唯一性很重要的一項值。區(qū)分不同USB設備固然簡單，但是要跟蹤USB設備插入時間就不是那么容易了。在Windows 8出來之前，當在電腦上連接USB設備時，系統(tǒng)會彈出對話框，但一般沒有與之直接相關的時間戳。也就是說在Windows Vista和Windows 7的注冊表中不能獲取Last Modified timestamps（最后修改的時間戳）信息的。但通過筆者的操作實驗，在Windows 8系統(tǒng)的注冊表的設備信息上發(fā)現(xiàn)了3個新的時間戳信息：Last Arrival Date（最后插入日期），Last Removal Date（設備最后移除日期）和Fireware Date（固件日期）。這些時間戳信息無疑是計算機取證中一個很有價值的證據(jù)關注點。我們可以在Windows 8注冊表的HKEY_LOCAL_MACHINE＼SYSTEM＼下看到如下地址：

CurrentControlSet＼Enum＼DeviceType＼DeviceID＼InstanceID＼{GUID}＼Properties＼xxxx

以筆者安裝了Windows 8.1專業(yè)版系統(tǒng)的臺式機為例，其具體地址為：

CurrentControlSet＼Enum＼USBSTOR＼CdRom&Ven_HTC&Prod_Android_Phone&Rev_0000＼9&50dc296&0&HC43GWW00615&0＼Properties＼{83da6326-97a6-4088-9453-a1923f573b29}

如圖所示：

我們可以看出Windows 8系統(tǒng)增加了3個新的時間戳信息：

[名稱＼&屬性路徑＼&Last Arrival Date＼&{83da6326-97a6-4088-9453-a1923f573b29}＼0066＼&Last Removal Date＼&{83da6326-97a6-4088-9453-a1923f573b29}＼0067＼&Firmware Date＼&{540b947e-8b40-45bc-a8a26a0b894cbda2}＼0011＼&]

我們可以在Windows SDK（即，軟件開發(fā)工具包，它包含了開發(fā)該版本所需的API函數(shù)說明文檔、Windows函數(shù)和常數(shù)定義等相關工具和示例）中驗證這些細節(jié)，這些特性在包含文件‘devpkey.h中被定義。所有的時間戳都是標準的Windows 64位（文件時間）格式。最后一個時間戳Firmware Date “固件日期”只在Windows8.1中推出，但筆者沒有在注冊表中查找到，對此有待后續(xù)研究發(fā)現(xiàn)。術語Last Arrival Date（最后抵達時間）是由微軟給出的描述，通常，我們稱之為“最后插入時間”。Last Removal Date為該設備的最后移除時間。因此在Windows 8中，我們可以獲取到USB設備的更為精確的時間戳。

為了與之前操作系統(tǒng)進行對比，這里，我們列出Windows7中USB設備所包含的3個時間戳：

[名稱＼&屬性路徑＼&Driver Assembly Date＼&{a8b865dd-2e3d-4094-ad97-e593a70c75d6}＼0002＼&Install Date＼&{83da6326-97a6-4088-9453-a1923f573b29}＼0064＼&First Install Date＼&{83da6326-97a6-4088-9453-a1923f573b29}＼0065＼&]

（下轉(zhuǎn)第44頁）

（上接第39頁）

需要注意的是，上面顯示的屬性路徑是針對Windows8系統(tǒng)而言，在Windows 7中，其顯示格式為{GUID}＼00xx＼00000000＼Data，而非{GUID}＼00xx。此外Install Date（安裝日期）和First Install Date（首次安裝日期）包含完全相同的時間戳，當一個驅(qū)動程序重新安裝或升級時才會產(chǎn)生不同。

本文比較了Windows 8系統(tǒng)與Windows 7系統(tǒng)中USB設備連接時間戳的異同。通過實驗，我們可以獲取Windows 8系統(tǒng)中USB設備中新加了Last Arrival Date、Last Removal Date、Firmware Date這幾項時間戳信息，從而給計算機取證工作帶來一些便利。

參考文獻：

[1] 孫奕. Widows 7環(huán)境下電子取證特點分析[J]. 信息網(wǎng)絡安全，2010（4）.

[2] 王寧， 劉志軍. Widows 7系統(tǒng)注冊表的取證分析[J]. 警察技術，2013（5）.

[3] 湯艷君， 高洪濤， 羅文華，等. 電子物證檢驗與分析[M]. 北京：清華大學出版社，2014.

[4] 吳劍. 針對Windows 7系統(tǒng)的計算機取證問題分析[J]. 電腦知識與技術，2011（6）.

[5] 邢桂東. Windows操作系統(tǒng)注冊表檢驗[J].刑事技術，2011（4）.

[6] 劉志軍，王寧. USB設備盜竊文件案的分析與鑒定[J].信息網(wǎng)絡安全，2011（5）：91-93.