Windows系統(tǒng)回收站的電子物證特性分析比較研究

摘? 要：本文著重對各個Windows版本的回收站進行分析研究。分析了Windows回收站的原理和功能、Windows XP回收站文件格式、Windows 7及Windows 10的回收站文件格式。實現(xiàn)了針對Windows系統(tǒng)的回收站文件夾深層次的電子數(shù)據(jù)取證研究，同時在研究過程中主要利用Winhex軟件對回收站所存儲的文件進行分析，成功獲取用戶刪除文件的文件內(nèi)容、刪除時間及刪除路徑等信息，旨在為電子數(shù)據(jù)取證完整證據(jù)鏈的構(gòu)建提供可靠依據(jù)。

關(guān)鍵詞：Windows;回收站;電子數(shù)據(jù)取證

Abstract：This article focuses on the analysis of the various Windows versions of the recycle bin. Analyzed the principle and function of Windows recycle bin，Windows XP recycle bin file format，recycle bin file format for Windows 7 and Windows 10. The deep-level electronic data forensics research of the recycle bin folder for Windows system is realized. At the same time，Winhex software is mainly used to analyze the files stored in the recycle bin，and the file contents，deletion time and deletion of the deleted files are successfully obtained. Path information is intended to provide a reliable basis for the construction of a complete evidence chain for electronic data forensics.

Keywords：Windows;recycle bin;electronic data forensics

0? 引? 言

隨著人民生活水平的不斷提高和科技的不斷進步，目前計算機幾乎已遍布世界任何一個角落，但是計算機在方便人們的生活的同時，也成為犯罪的滋生地，計算機技術(shù)的快速發(fā)展也成為計算機犯罪的催化劑。面對數(shù)量及種類激增的計算機犯罪，電子數(shù)據(jù)取證應運而生。作為打擊計算機犯罪的關(guān)鍵手段，及時、有效地提取相關(guān)電子物證成為電子數(shù)據(jù)取證的必要條件[1]。目前國內(nèi)在電子數(shù)據(jù)取證方面的研究正如火如荼地發(fā)展中，但Windows系統(tǒng)尤其是最新的微軟操作系統(tǒng)Windows 10的回收站方面的研究的相關(guān)文獻較少。

在電子數(shù)據(jù)取證過程中，回收站的取證至關(guān)重要。Windows系統(tǒng)95版本及其后各版本文件被刪除后會存放于回收站中，為用戶整理文件提供便利，但同時對于取證人員來說，這正是發(fā)現(xiàn)證據(jù)的突破口。因大多數(shù)計算機犯罪都是將計算機作為犯罪的工具，且并不具備較好的專業(yè)技術(shù)，因此將相關(guān)涉案數(shù)據(jù)文件進行刪除是最常見的反偵查手段，這也正是回收站數(shù)據(jù)取證的意義所在。

2? Windows回收站的概念

回收站是Windows操作系統(tǒng)中的一個隱藏的系統(tǒng)文件夾，其文件名根據(jù)Windows系統(tǒng)的不同而不同，當然對于每一個固定的磁盤分區(qū)來說，回收站都會在其根目錄下創(chuàng)建系統(tǒng)對應的隱藏文件夾，當文件被刪除后，被刪除的文件就被移動到隱藏文件夾中。根據(jù)Windows系統(tǒng)版本的不同，被刪除文件的存放位置也不同。如表1所示[2]。

當用戶需要恢復刪除至回收站的文件時，系統(tǒng)就會從記錄的文件位置中提取所需信息，以供恢復。回收站相關(guān)操作可以分為刪除、還原及徹底刪除三種類型[3]，刪除的文件可以在回收站內(nèi)通過還原操作進行還原，但是徹底刪除的文件則無法使用還原操作。

3? Windows XP回收站特性及取證分析

3.1? Windows XP回收站特性

Windows XP是微軟公司2001年推出的操作系統(tǒng)，雖然早已停止更新，但至今仍有部分用戶使用，因此在電子數(shù)據(jù)取證過程中仍是取證人員必須熟悉的操作系統(tǒng)之一[4]。在Windows XP系統(tǒng)中，每一個磁盤根目錄都有一個隱藏文件夾用于存放已刪除的文件，此文件夾的名稱在文件系統(tǒng)NTFS中為Recycle，圖標為文件夾，此文件夾創(chuàng)建于分區(qū)第一次刪除文件時，屬性默認隱藏。在文件系統(tǒng)FAT32中稱為Recycled，圖標為回收站，屬性默認隱藏。

3.2? Windows XP回收站取證分析

在文件系統(tǒng)FAT32刪除的文件在Recycled文件夾中的命名格式為：D[文件原始隸屬盤符][索引號][原始擴展名]。同時在文件夾中會存在一個名為INFO2的二進制文件，用來記錄所有刪除文件的時間及路徑信息，需使用二進制查看器Winhex來進行分析。圖1中是INFO2中記錄刪除文件“111”的相關(guān)內(nèi)容。

同時發(fā)現(xiàn)從0x120到0x127的八個字節(jié)存儲著被刪除文件的時間信息，通過Winhex的數(shù)據(jù)解釋器得到被刪除時間為“2018/03/2802：30：35”，換算為北京時間“2018/03/28 10：30：35”，與刪除文件的時間相匹配。

4? Windows 7及Windows 10回收站特性及取證分析

4.1? Windows 7回收站特性

Windows 7是微軟公司在2009年發(fā)布的操作系統(tǒng)，較Windows XP在界面及性能上都有極大的提升。與此同時，電子數(shù)據(jù)取證領(lǐng)域也面臨著重大變革，在回收站方面Windows 7與Windows XP相比也有較大的變化。在Windows 7系統(tǒng)中，在NFTS文件系統(tǒng)下的回收站是名為“$Recycle.Bin”屬性默認隱藏的文件夾。而在文件系統(tǒng)FAT32下，回收站文件夾是直接顯示為回收站圖標、屬性默認隱藏且名稱為“回收站”的文件夾。

4.2? Windows 7回收站取證分析

在$Recycle.Bin文件夾下刪除的文件不會以Windows XP的方式存儲[5]，而是在此目錄下所對應的SID子文件夾下自動生成了兩個開頭為“$R”和“$I”的文件，通過對比發(fā)現(xiàn)，“$R”和“$I”開頭的兩個文件后面的6個字符串是一樣的，并且在“.”后面是原文件的文件后綴。在Windows 7中，記錄回收站原文件信息的文件的命名應該是由三個部分組成：“$R”或者“$I”加上一個由數(shù)字和字母組成的6個隨機字符和原文件的文件后綴。具體如圖2所示。

開頭“$R”文件即所刪除文件，在實驗中使用Winhex打開“$I”開頭文件，在文件中偏移從0x08到0x0F的八個字節(jié)存放原文件的大小，分別是“0500000000000000”，按照“大端序和小端序”的讀法，應該讀為“0000000000 000005”，換算為十進制數(shù)為5字節(jié)，跟原文件大小一致。同時，在文件偏移0x10到0x17的八個字節(jié)存放原文件的刪除時間，分別是“F0 29 D4 64 6D 04 D5 01”，同上應該讀為“01 D5 04 6D 64 D4 29 F0”，通過Winhex的數(shù)據(jù)解釋器，可以讀取到時間為“2019/05/07 00：39：56”，由于得到的是格林尼治時間，所以需在原時間上加8個小時，得到時間為“2018/05/07 08：39：56”，跟刪除時間保持一致。得到了被刪除文件的原路徑、文件類型和文件名，如圖3，可以得知“$I”開頭的文件記錄著被刪除文件的原路徑、文件類型、刪除時間和文件名等信息。

對比Windows XP系統(tǒng)發(fā)現(xiàn)之前使用INFO2記錄多個被刪除文件的方式已經(jīng)被徹底替代，取而代之的是通過重命名的兩個文件來存儲被刪除文件的內(nèi)容及信息，因此在Windows 7系統(tǒng)下回收站可提取的數(shù)據(jù)量較Windows XP更多。

4.3? Windows 10回收站取證分析

經(jīng)與Windows 7回收站取證進行對比分析，Windows 10在回收站設(shè)置方面并沒有進行更新，還是套用之前系統(tǒng)，即將刪除文件存儲為“$R”和“$I”開頭的兩種文件，其中前者負責存儲數(shù)據(jù)，后者負責存儲文件相關(guān)信息。因此針對Windows 10系統(tǒng)回收站的電子數(shù)據(jù)取證方面的操作完全可以套用Windows 7系統(tǒng)的方法進行。圖4為使用Winhex查看Windows 10回收站中以“$R”開頭文件的內(nèi)容。

5? 結(jié)? 論

目前微軟系統(tǒng)已在家用機操作系統(tǒng)方面占據(jù)市場多年，對于微軟系統(tǒng)的電子數(shù)據(jù)取證意義極為重大，而回收站作為其中一個重要環(huán)節(jié)，了解常見微軟操作系統(tǒng)回收站的取證方法極為重要。本文的研究對象選取的是常見的微軟操作系統(tǒng)Windows XP、Windows 7和Windows 10，介紹了Windows回收站研究的原理和功能，分別對三個操作系統(tǒng)進行回收站特性方面的分析比較和電子數(shù)據(jù)取證方面的探索，尤其是在兩類完全不同的回收站存儲原理方面進行了分析和比對，并在二進制下分析回收站存儲文件的方式，旨在為電子數(shù)據(jù)取證工作提供可行的思路。

參考文獻：

[1] 鄧宇瓊.網(wǎng)絡(luò)犯罪證據(jù)的提取和固定 [J].中國人民公安大學學報，2003（3）：120-122.

[2] 劉景云.回收站使用技巧談 [J].電腦知識與技術(shù)（經(jīng)驗技巧），2017（12）：39-41.

[3] SINDHU KK，KOMBADE R，GADGE R，et al. Forensic Investigation Processes for Cyber Crime and Cyber Space [M].New Delhi： Springer India，2014：193-206.

[4] VREEMAN D J，TAGGARD S L，RHINE M D，et al. Evidence for electronic health record systems in physical therapy.[J].Physical Therapy，2006，86（3）：434-46+9.

[5] 孫奕.Windows 7環(huán)境下電子取證特點分析 [J].信息網(wǎng)絡(luò)安全，2010（11）：43-45.

作者簡介：王志銘（1993-），男，漢族，山東濟南人，研究生在讀，研究方向：網(wǎng)絡(luò)安全執(zhí)法技術(shù)。