羅文華 鄭志翔

（1中國刑警學(xué)院 遼寧 沈陽 110035；2新疆警察學(xué)院 新疆 烏魯木齊 830013）

從電子數(shù)據(jù)取證角度看Windws7操作系統(tǒng)新變化

羅文華1鄭志翔2

（1中國刑警學(xué)院 遼寧 沈陽 110035；2新疆警察學(xué)院 新疆 烏魯木齊 830013）

基于電子數(shù)據(jù)取證視角，從系統(tǒng)文件（夾）、注冊表、回收站和事件日志等4個(gè)方面解析Windws7操作系統(tǒng)的重要變化，并對實(shí)際工作中的具體技術(shù)方法予以歸納總結(jié)。

Windws7電子數(shù)據(jù)取證 系統(tǒng)文件（夾） 注冊表 回收站 事件日志

1 引言

Windws7是由微軟公司開發(fā)的操作系統(tǒng)，核心版本號為WindowsN T6.1，可供家庭及商業(yè)工作環(huán)境、筆記本電腦、平板電腦、多媒體中心等使用。相比于WindowsXP，其在性能指標(biāo)方面有著良好的表現(xiàn)，取得了一定的口碑。同時(shí)由于微軟公司宣稱2014年將取消WindowsXP的所有技術(shù)支持，因此目前Windws7在國內(nèi)市場的占有率越來越大。電子數(shù)據(jù)取證工作也會隨之越來越多地面對Windws7操作系統(tǒng)。Windws7在很多方面與WindowsXP都存在較大差異，從而導(dǎo)致了電子數(shù)據(jù)取證具體技術(shù)與方法的不同，因此從取證角度審視Windws7的系統(tǒng)變化具有積極的實(shí)戰(zhàn)意義。

2 從電子數(shù)據(jù)取證角度看Windws7操作系統(tǒng)新變化

2.1 系統(tǒng)文件（夾）的變化

Windws7不再使用“Documents and Settings”文件夾存放用戶文件，卻而代之的是“Users”文件夾。并在“Users”文件夾下新增了名為“Public”的子文件夾，以提供所有用戶均可訪問的文件及文件夾。Windws7中還新增了文件虛擬化（File virtualization）技術(shù)，以確保不具有管理員權(quán)限的用戶無法向“Windows”、“Program Files”、“Program Data”等受保護(hù)的文件夾寫入內(nèi)容，但可以寫入“虛擬”文件夾。所謂“虛擬”文件夾，其在磁盤介質(zhì)上是確實(shí)存在的，只不過Windws7操作系統(tǒng)屏蔽了轉(zhuǎn)寫過程，使轉(zhuǎn)寫操作對用戶而言是透明的。圖1所示即為當(dāng)非管理員用戶F L-800安裝應(yīng)用程序時(shí)，程序信息并未寫入Program Files文件夾，而是寫到了該用戶的AppDataLoca lVirtualStore文件夾中。因此當(dāng)針對特定用戶操作行為進(jìn)行分析時(shí)，不可忽視“虛擬”文件（夾）。

圖1 用戶F L-800的“虛擬”文件夾

微軟公司最早在WindowsM e中增加了“系統(tǒng)還原”功能，并且一直沿用到其后版本的Windows系列操作系統(tǒng)中。“系統(tǒng)還原”的目的是在不需要重新安裝操作系統(tǒng)，也不會破壞數(shù)據(jù)文件的前提下使系統(tǒng)回到工作狀態(tài)。系統(tǒng)還原程序通常在后臺運(yùn)行，并在觸發(fā)器事件發(fā)生時(shí)自動創(chuàng)建還原點(diǎn)。Windows操作系統(tǒng)主要依靠System Volume Information（系統(tǒng)卷標(biāo)信息）文件夾實(shí)現(xiàn)“系統(tǒng)還原”功能，用它存儲相關(guān)信息及還原點(diǎn)。該文件夾是一個(gè)隱藏的系統(tǒng)文件夾，需要在“工具”→“文件夾選項(xiàng)”→“查看”選項(xiàng)卡中勾除“隱藏受保護(hù)的操作系統(tǒng)文件”并勾選“顯示所有文件和文件夾”之后才可以查看得到。Windows XP系統(tǒng)中，System Volume Information文件夾中包含有以字符串“_restore”開頭的后接全局唯一標(biāo)識符（GUID，Globally Unique Identifier）的文件夾。該文件夾包含有“R P#”字樣的子文件夾，同時(shí)還含有_filelist.cfg、_driver.cfg等文件。其中，_filelist.cfg是一種二進(jìn)制文件，用來定義監(jiān)視文件的類型；_driver.cfg則用來負(fù)責(zé)說明存儲介質(zhì)信息（圖2）。

圖2 WindowsXP下_restore文件夾內(nèi)容

每個(gè)還原點(diǎn)都對應(yīng)一個(gè)R P#（#代表數(shù)字序列號）文件夾。該文件夾下除包含有snapshot文件夾外，還包括系統(tǒng)還原操作所涉及的各類文件。從圖3可以看出，當(dāng)用戶針對還原點(diǎn)監(jiān)視的文件進(jìn)行修改操作時(shí)，該文件即被添加至R P#文件夾下，但名稱被更換為字母和數(shù)字組成的序號字符串，并且當(dāng)有新文件添加時(shí)序號自動加1。若要解析出序號文件與真實(shí)文件的對應(yīng)關(guān)系，需要依靠同樣保存在R P#文件夾下的change.log文件。與序號文件對應(yīng)的文件原始名稱及存放路徑均保存在change.log文件中。因此，依據(jù)此文件可深入解析出用戶的惡意操作行為。需要指出的是，當(dāng)被用戶更改的文件添加至R P#文件夾下時(shí)，創(chuàng)建時(shí)間、修改時(shí)間與訪問時(shí)間等屬性卻保持不變。R P#文件夾的這種特殊性質(zhì)為取證人員進(jìn)一步挖掘時(shí)間信息提供了有利的線索。snapshot文件夾主要包括還原點(diǎn)涉及的注冊表巢文件，涉及SAM、SECURITY、SOFTWARE、SYSTEM、DEFAULT、NTUSER和USRCLASS等多重分支。依據(jù)注冊表巢文件可以解析出硬件及軟件安裝、應(yīng)用程序配置、密碼修改、網(wǎng)絡(luò)連接記錄等變化情況。

圖3 R P#文件夾下內(nèi)容

Windws7下的System Volume Information文件夾結(jié)構(gòu)卻與X P截然不同，不再單獨(dú)描述特定文件的變化，而是利用整體文件（文件名稱中含有G U I D信息）的形式描述特定時(shí)間點(diǎn)的卷信息。并且，除了常規(guī)的還原點(diǎn)文件之外，該文件夾下還包含一名為“Syscache.hve”的注冊表文件及其歷史文件備份（圖4）。此文件夾的具體電子數(shù)據(jù)取證特征還有待進(jìn)一步挖掘。

圖4 Windws7下的System Volume Information文件夾內(nèi)容

Windws7操作系統(tǒng)為了幫助用戶快速定位自己的常用文件，新增了一種文件選擇功能——跳轉(zhuǎn)列表。雖然WindowsXP中的“我最近的文檔”也能起到類似的作用，但Windws7下的“跳轉(zhuǎn)列表”則在功能上做了極大的延伸。首先，跳轉(zhuǎn)列表可以按程序進(jìn)行分類顯示，依據(jù)任務(wù)欄上的特定程序圖標(biāo)可查看歷史操作記錄并進(jìn)行選擇。在任務(wù)欄上右鍵單擊指定程序圖標(biāo)，然后單擊該文件便能實(shí)現(xiàn)開啟文件的目的；另外，跳轉(zhuǎn)列表除了顯示最近使用的文件記錄外，還增添了“鎖定”功能，顯示跳轉(zhuǎn)列表時(shí)將鼠標(biāo)停在選定文件上，右側(cè)則出現(xiàn)“鎖定”選項(xiàng)。將其鎖定后，文件便固定于該列表的最上方，當(dāng)文件操作數(shù)目超過跳轉(zhuǎn)列表最大顯示項(xiàng)目數(shù)時(shí)，新記錄不會覆蓋鎖定的記錄，只會刷新“最近”里的記錄（圖5）。

圖5 跳轉(zhuǎn)列表中的“已固定”與“最近”項(xiàng)

為實(shí)現(xiàn)跳轉(zhuǎn)列表功能，操作系統(tǒng)在Users\%username%AppDataRoamingMicrosoftWindowsRecent文件夾下設(shè)置有名為“AutomaticDestinations”的文件夾。該文件夾下包含擴(kuò)展名為automaticDestinations-ms的相關(guān)文件，文件名稱為16個(gè)十六進(jìn)制數(shù)字組成的字符串。值得注意的是，AutomaticDestinations以數(shù)據(jù)流方式進(jìn)行存放，即使勾選“顯示所有文件和文件夾”選項(xiàng)，Recent文件夾中也無法顯示此文件夾。除非在地址欄中鍵入完整的路徑名稱，才能觀察得到AutomaticDestinations文件夾下的內(nèi)容（圖6）。不同的程序擁有不同的字符串名稱，如“ExplorerPinnedandRecent”關(guān)聯(lián)名稱“1b4dd67f29cb1962”，“Paint6.1”關(guān)聯(lián)“12dc1ea8e34b5a6”。

圖6 Recent文件夾下Automatic Destinations文件內(nèi)容

使用工具JumpLister可實(shí)現(xiàn)automaticDestinationsms文件內(nèi)容的解析。如圖7所示，Word程序的跳轉(zhuǎn)列表中有一名為1.doc的文件，該文件存放在“C:UsersAdministratorDesktop”文件夾下；其創(chuàng)建時(shí)間與訪問時(shí)間均為“2013年6月28日7∶01∶04”，修改時(shí)間卻為“2012年3月29日4∶15∶06”。需要指出的是，上述時(shí)間信息并未考慮時(shí)區(qū)因素，實(shí)踐中要考慮時(shí)區(qū)時(shí)間才能做出準(zhǔn)確的分析與判斷。

圖7 automaticDestinations-ms敏感信息分析

2.2 注冊表的變化

Windws7在WindowsSystem32config下設(shè)置有“TxR”（Transactionsupportfortheregistry）文件夾，以存放注冊表事務(wù)處理日志信息。依據(jù)“TxR”文件夾下的blf文件，取證人員可以追溯注冊表的歷史狀態(tài)。特別需要指出的是，HKEY_LOCAL_MACHINESYSTEMControlSet001ControlFileSystem下的NtfsDisableLastAccessUpdate鍵值（圖8）默認(rèn)設(shè)置為1（WindowsXP中默認(rèn)設(shè)置為0），會使最近訪問時(shí)間無法自動更新。因此在針對時(shí)間屬性進(jìn)行調(diào)查時(shí)，需首先查看此鍵值，以確定訪問時(shí)間是否可靠。

圖8 Windws7下NtfsDisableLastAccessUpdate鍵值默認(rèn)為1

WindowsXP的注冊表項(xiàng)中包含有ShellNoRoam表鍵，其下含有BagMRU表鍵（圖9）。BagMRU表項(xiàng)對應(yīng)著用戶使用的“桌面”文件夾，其下子鍵則以數(shù)字進(jìn)行命名。“0”代表桌面上的“我的文檔”文件夾，“1”代表“我的電腦”，其余數(shù)字則依次與桌面上的其它文件（夾）對應(yīng)。除子鍵外，BagMRU表項(xiàng)下還有名為“MRUListEX”、“NodeSlots”、“0”、“1”、“2”的鍵值。名稱為數(shù)字序號的鍵值與子鍵對應(yīng)，其數(shù)據(jù)的值用于描述文件夾名稱與時(shí)間屬性。MRUListEx鍵值的數(shù)據(jù)中以四字節(jié)為一組存放文件夾對應(yīng)的數(shù)字序號，文件夾的訪問次序可利用此信息進(jìn)行分析。Windws7注冊表項(xiàng)中雖然不再包含ShellNoRoam表鍵，而只是設(shè)置了Shell鍵。但是，Shell鍵用于描述遠(yuǎn)程文件夾的操作行為，其分析方法也與ShellNoRoam鍵相同。

圖9 通過ShellNoRoam表項(xiàng)分析文件操作行為

WindowsXP和Windws7均使用HKLMSYSTEMCurrentControlSetEnum表鍵下的USBSTOR子鍵描述USB存儲設(shè)備。該表鍵采用Disk&Ven_iManufacturer&Prod_iProduct&Rev_r(4)格式描述設(shè)備信息。其中，iManufacturer代表制造商，iProduct代表設(shè)備類型，r(4)代表修正碼。從圖10可以看出，該設(shè)備制造廠商為Newsmy，設(shè)備類型則是FLSAH_DISK，修正碼1100，設(shè)備序列號最重要，當(dāng)前為“AA20091118000001”（類似“&0”字樣的字符串為操作系統(tǒng)附加，不應(yīng)劃分在序列號范疇）。

圖10 注冊表項(xiàng)中的USB設(shè)備使用信息

Windws7最新設(shè)置的UMB表鍵為分析USB存儲設(shè)備痕跡帶來巨大便利。該表項(xiàng)全面覆蓋USB與USBSTOR表鍵敏感內(nèi)容，并標(biāo)記說明該設(shè)備曾經(jīng)擁有的盤符，從而彌補(bǔ)MountedDevices表鍵的不足。序列號為AA20091118000001的USB設(shè)備對應(yīng)盤符為I（圖11）。

圖11 UMB表鍵下的移動存儲設(shè)備信息

2.3 回收站的變化

Windws7回收站不再設(shè)有WindowsXP時(shí)代的Info2文件。當(dāng)一個(gè)文件被刪除時(shí)，Windws7會在回收站文件$Recycle.Bin中用戶所對應(yīng)的SID（SecurityIdentifiers，Windows內(nèi)部進(jìn)程引用帳戶的SID而不是帳戶的用戶名或組名）子文件夾下自動生成文件名稱以“$I”和“$R”作為開頭的兩個(gè)文件。“$I”和“$R”后接有6位長度的隨機(jī)字符串（同一被刪除文件的隨機(jī)字符串相同）及“.”和原文件的擴(kuò)展名（圖12）。

圖12 回收站中以“$I”和“$R”作為文件名稱開頭的文件

$I文件中保存有以Unicode格式存儲的被刪除文件的文件名稱、原始存放路徑以及刪除時(shí)間等信息（圖13），$R文件則負(fù)責(zé)保留文件內(nèi)容等數(shù)據(jù)流信息。無論是Windws7還是WindowsXP，在注冊表項(xiàng)HKEY_USER”UsersID”SOFTWAREMicrosoftWindowsCurrentVersionExplorerBitBucketvolumeGUID下均有一名為NukeOnDelete的鍵值，當(dāng)被設(shè)置為1時(shí)，被刪除文件會繞過回收站直接被徹底刪除。

圖13 $IOVQ3ET.txt文件中的文件名稱與存放路徑信息

2.4 事件日志的變化

Windws7環(huán)境下事件日志不再存放于WindowsSystem32config文件夾下，而變更為WindowsSystem32winevtLogs，日志文件的擴(kuò)展名也由evt變?yōu)閑vtx（圖14）。在日志文件被清空的情況下，WindowsXP/2003下可選擇日志記錄特征標(biāo)識“LfLe”（4C664C65）作為關(guān)鍵字；Windws7下日志文件可通過關(guān)鍵字“ElfFile”（456C6646696C65）定位，日志記錄則可利用“ElfChnk”（456C6643686E6B）搜尋。需要指出的是，evtx格式的日志文件采用XML（Extensible Markup Language，可擴(kuò)展標(biāo)記語言）進(jìn)行描述，需深入理解其格式規(guī)范才能正確解析記錄內(nèi)容。

圖14 Windws7環(huán)境下日志文件

Windows操作系統(tǒng)主要記錄應(yīng)用程序、系統(tǒng)和安全三種日志，并且被記錄的事件均對應(yīng)有事件ID。Windws7保留了原有的上述三種日志，同時(shí)增加了服務(wù)日志（如ACEEEventlog、InternetExplorer、KeyManagement、MicrosoftOfficeAlerts等）。并在安全日志中更換了其所記錄事件的ID（應(yīng)用程序日志與系統(tǒng)日志則保留其原有事件ID），系統(tǒng)日志也增加了審核項(xiàng)目。例如，WindowsXP原本并不記錄更改移動設(shè)備掛載事件，而在Windws7則增加了此類事件的審核，并分配相應(yīng)的事件ID20001與20003等（圖15）。

圖15 Windws7系統(tǒng)日志記錄的移動設(shè)備掛載事件

3 結(jié)束語

除上述變化外，Windws7操作系統(tǒng)中還增設(shè)一些更為復(fù)雜的功能，如RegistryVirtualization（注冊表虛擬化）、BitLocker（位鎖服務(wù)）等。這些功能會給電子數(shù)據(jù)取證工作造成更為深刻的影響，但需要全面深入的實(shí)驗(yàn)分析才能獲知其取證方法。Windws7在IconCache.db文件、Superfetch文件夾、UserAssist表鍵等方面取證特性與WindowsXP保持一致，具體技術(shù)與方法同樣適用。

[1]CarveyH．Windows Forensic Analysis[M]．US:Syngress，2012：134-156．

[2]羅文華．基于Recent文件夾下的快捷方式文件解析用戶行為方法研究[J]．信息網(wǎng)絡(luò)安全，2013，(5)：22-24．

[3]Russinovich MR，Solomon DA．Microsoft Windo ws Internals：Windows Server 2008 andWindows Vista(5thed)[M]．USA：Microsoft Press，2009：246-266．

（責(zé)任編輯：孟凡騫）

D F 793.5

A

2095-7939(2015)04-0034-04

2015-04-14

網(wǎng)絡(luò)安全執(zhí)法與公安技術(shù)信息化協(xié)同創(chuàng)新中心項(xiàng)目。

羅文華（1977-），男，遼寧沈陽人，中國刑警學(xué)院網(wǎng)絡(luò)犯罪偵查系教授，碩士，主要從事電子數(shù)據(jù)取證研究。