電子數(shù)據(jù)取證技術(shù)--課件--第4章-Windows操作系統(tǒng)取證技術(shù)

1、第4章 Windows操作系統(tǒng)取證技術(shù)4.1 Windows日志取證技術(shù)4.2 Windows注冊(cè)表取證技術(shù)4.3 Windows內(nèi)存取證技術(shù)4.4 Windows其他取證技術(shù)4.1 Windows日志取證技術(shù)4.1.1 Windows事件日志事件日志為操作系統(tǒng)及關(guān)聯(lián)的應(yīng)用程序提供了一種標(biāo)準(zhǔn)化、集中式地記錄重要軟件及硬件信息的方法。微軟將事件定義為：系統(tǒng)或程序中需要向用戶通知的任何重要的事項(xiàng)。事件是統(tǒng)一由Windows事件日志服務(wù)來(lái)統(tǒng)一收集和存儲(chǔ)的。它存儲(chǔ)了來(lái)自各種數(shù)據(jù)源的事件，常稱為事件日志。事件日志可以為取證人員提供豐富的信息，還可將系統(tǒng)發(fā)生的各種事件關(guān)聯(lián)起來(lái)。事件日志通?？梢詾槿∽C人員提

2、供以下信息：(1) 發(fā)生什么：Windows內(nèi)部的事件日志記錄了豐富的歷史事件信息。(2) 發(fā)生時(shí)間：事件日志中記錄了豐富的時(shí)間信息，也常稱為時(shí)間戳，它記錄了各種事件發(fā)生的具體時(shí)間。(3) 涉及的用戶：在Windows操作系統(tǒng)中，幾乎每一個(gè)事件都與相關(guān)的系統(tǒng)賬號(hào)或用戶賬號(hào)有關(guān)。(4) 涉及的系統(tǒng)：在聯(lián)網(wǎng)環(huán)境中，單純記錄主機(jī)名對(duì)于取證人員來(lái)說(shuō)比較難以進(jìn)一步追蹤回溯訪問(wèn)請(qǐng)求的來(lái)源信息。(5) 資源訪問(wèn)：事件日志服務(wù)可以記錄細(xì)致的事件信息。1. Windows事件日志版本劃分Windows事件日志最早始于Windows NT 3.1版本，自1993年起便開(kāi)始使用。Windows事件日志文件的存儲(chǔ)位置

3、和文件格式經(jīng)歷了一些變動(dòng)，其基本可以分為兩大版本：第一版(V1)以Vista操作系統(tǒng)以前的事件日志為代表，它是一種二進(jìn)制格式，默認(rèn)使用.evt文件擴(kuò)展名；第二版(V2)以Vista操作系統(tǒng)開(kāi)始直到最新的Windows 10及Windows Server 1803版本，它們均采用新一代事件日志格式，默認(rèn)使用.evtx文件擴(kuò)展名。2. Windows事件日志數(shù)據(jù)存儲(chǔ)及相關(guān)特征Windows事件日志第一版 (V1)，即Windows Vista之前的版本(含Windows NT 3.1至Windows XP或Windows 2003之間的各個(gè)版本)默認(rèn)的事件日志存儲(chǔ)位置為%System Root%S

4、ystem32Config。Windows事件日志類別主要包括系統(tǒng)(System)、安全性(Security)、應(yīng)用程序 (Application)及部分自定義日志。系統(tǒng)內(nèi)置的3個(gè)事件日志文件大小均默認(rèn)為512 KB，如當(dāng)系統(tǒng)存儲(chǔ)的事件日志數(shù)據(jù)大于512KB時(shí)，默認(rèn)系統(tǒng)將覆蓋超過(guò)7天的日志記錄。事件日志記錄了錯(cuò)誤、失敗、成功、信息及警告事件。Windows事件日志第二版(V2)，即Vista及以上版本(含Vista、Windows 7、Windows 8、Windows 8.1、Windows 10、Windows Server 2008/2012/2016等)采用了新的文件格式，文件擴(kuò)展名為

5、.evtx，如表4-1所示。新版本事件日志的文件結(jié)構(gòu)、日志類型及日志存儲(chǔ)位置均發(fā)生了較大的變化，默認(rèn)的事件日志存儲(chǔ)位置為%System Root%System32 winevtLogs(默認(rèn)安裝的Windows10操作系統(tǒng)已經(jīng)約有290個(gè)文件)。1) 常見(jiàn)取證和分析方法(1) 事件日志文件內(nèi)容查看方法。通常采用商業(yè)化計(jì)算機(jī)取證軟件直接分析事件日志文件，如EnCase、FTK、X-Ways Forensics、Safe Analyzer、取證大師、取證神探等，操作簡(jiǎn)便快捷。通過(guò)在Windows操作系統(tǒng)中運(yùn)行eventvwr.exe，即可調(diào)用系統(tǒng)自帶的事件日志查看器。其具體操作方式如下：在命令行中

6、89輸入eventvwr.exe，也可以同時(shí)按Win+R組合鍵，然后在運(yùn)行輸入框中輸入eventvwr.exe或eventvwr(擴(kuò)展名可省略)，即可運(yùn)行系統(tǒng)事件日志查看器。將待分析的.evtx日志文件通過(guò)取證軟件導(dǎo)出或用其他方式復(fù)制到取證分析機(jī)中，即可使用取證分析機(jī)系統(tǒng)自帶的事件日志查看器來(lái)查看與分析內(nèi)容。取證分析機(jī)的操作系統(tǒng)建議使用最新的Windows 10，以便能最佳兼容.evtx文件格式。Event Log Explorer的亮點(diǎn)在于它支持.evt及.evtx兩種格式，提供了豐富的過(guò)濾條件，此外可正確解析出日志中的計(jì)算機(jī)名、系統(tǒng)賬戶或用戶的SID(Security Identifier

7、s，安全標(biāo)識(shí)符)等信息。(2) 常見(jiàn)的Windows事件日志的分析方法。Windows事件日志中記錄的信息中，關(guān)鍵要素包含事件級(jí)別、記錄時(shí)間、事件來(lái)源、事件ID、事件描述、涉及的用戶、計(jì)算機(jī)、操作代碼及任務(wù)類別等。常見(jiàn)Windows賬戶及相關(guān)事件對(duì)照表如表4-2所示，其中事件ID與操作系統(tǒng)版本有關(guān)，同類事件在不同操作系統(tǒng)中的事件ID不完全相同，最大的差異主要體現(xiàn)在第一版和第二版的事件日志中。因此，在取證過(guò)程中需特別注意，當(dāng)使用事件ID進(jìn)行過(guò)濾搜索時(shí)，需要考慮操作系統(tǒng)版本的差異。常見(jiàn)電子數(shù)據(jù)取證相關(guān)事件對(duì)照表(適用于Vista及以上操作系統(tǒng))如表4-3所示。(3) 事件日志文件結(jié)構(gòu)。事件日志文件

8、是一種二進(jìn)制格式的文件，文件頭部簽名為十六進(jìn)制30 00 00 00 4C 66 4C 65。在默認(rèn)情況下，全新的事件日志文件的事件日志記錄均按順序進(jìn)行存儲(chǔ)，每條記錄均有自己的記錄結(jié)構(gòu)特征。然而當(dāng)日志文件超出最大大小限制時(shí)，系統(tǒng)將會(huì)刪除較早的日志記錄，因此日志記錄也將出現(xiàn)不連續(xù)存儲(chǔ)，同一個(gè)記錄分散在不同的扇區(qū)位置的情況。2) Windows事件日志取證分析注意要點(diǎn)Windows操作系統(tǒng)默認(rèn)沒(méi)有提供刪除特定日志記錄的功能，僅提供了刪除所有日志的操作功能。在電子數(shù)據(jù)取證過(guò)程中仍存在有人有意偽造事件日志記錄的可能性。如遇到此類情況，建議對(duì)日志文件中的日志記錄ID(Event Record ID)進(jìn)行

9、完整性檢查，如檢查記錄ID的連續(xù)性。通過(guò)事件日志記錄ID的連續(xù)性可以發(fā)現(xiàn)操作系統(tǒng)記錄的日志的先后順序。Windows事件日志記錄列表視圖在用戶沒(méi)有對(duì)任何列進(jìn)行排序操作前，默認(rèn)是按其事件日志記錄編號(hào)進(jìn)行排序的。默認(rèn)情況下，事件日志記錄編號(hào)自動(dòng)連續(xù)增加，不會(huì)出現(xiàn)個(gè)別記錄編號(hào)缺失情況。值得注意的是，當(dāng)Windows操作系統(tǒng)用戶對(duì)操作系統(tǒng)進(jìn)行大版本升級(jí)時(shí)，操作系統(tǒng)可能會(huì)重新初始化事件日志記錄編號(hào)。通過(guò)對(duì)Windows事件日志的取證分析，取證人員可以對(duì)操作系統(tǒng)、應(yīng)用程序、服務(wù)、設(shè)備等操作行為記錄及時(shí)間進(jìn)行回溯，重現(xiàn)使用者在整個(gè)系統(tǒng)使用過(guò)程中的行為，對(duì)虛擬的電子數(shù)據(jù)現(xiàn)場(chǎng)進(jìn)行重構(gòu)，了解和掌握涉案的關(guān)鍵信息。

10、4.1.2 NTFS日志NTFS是Windows操作系統(tǒng)重要的文件系統(tǒng)之一。在Windows操作系統(tǒng)中，32 GB以上的分區(qū)都只能格式化為NTFS。在分區(qū)格式化為NTFS文件系統(tǒng)后，自動(dòng)生成一系列的內(nèi)部文件(元文件)，內(nèi)部文件均帶有“$”前綴。這些文件通常要用專業(yè)的取證軟件才能看到，在Windows操作系統(tǒng)中是無(wú)法看到內(nèi)部文件的。NTFS文件系統(tǒng)內(nèi)部包含兩個(gè)重要的日志文件，分別為$UsnJrnl和$Logfile。這兩個(gè)日志文件在取證中可以為取證人員提供分區(qū)文件的歷史操作記錄信息。1. $UsnJrnl日志從Windows 7操作系統(tǒng)開(kāi)始，NTFS文件系統(tǒng)均引入了USN(Update Sequ

11、ence Number，更新序號(hào))日志機(jī)制。該日志文件記錄了NTFS分區(qū)中文件的創(chuàng)建、重命名、內(nèi)容變更及刪除等重要操作。因此，NTFS日志對(duì)于電子數(shù)據(jù)取證來(lái)說(shuō)是一個(gè)“寶藏”，它可以對(duì)系統(tǒng)使用者(用戶)甚至入侵的黑客對(duì)磁盤分區(qū)的操作行為進(jìn)行全面的記錄，包括時(shí)間戳、文件或文件夾名及操作原因等信息。$UsnJrnl日志在每個(gè)NTFS分區(qū)根目錄下的$Extend中可以被找到，由$J和$MAX兩個(gè)文件組成，如表4-4所示。$MAX文件大小為32 B，記錄固定的信息，其文件結(jié)構(gòu)如表4-5所示。采用這種結(jié)構(gòu)的原因是操作系統(tǒng)要保持日志數(shù)據(jù)占用的總空間為固定大小。(1) 新日志記錄一般從$J文件尾部開(kāi)始添加。(

12、2) 如果要添加的記錄總大小超過(guò)分配大小，則操作系統(tǒng)就認(rèn)定整個(gè)日志數(shù)據(jù)大小超過(guò)了最大大小。(3) 如果整個(gè)日志數(shù)據(jù)超過(guò)了最大大小，則$J文件前半部分將以“0”方式填充。因此，$J文件的邏輯大小將持續(xù)增長(zhǎng)，但是保存的實(shí)際數(shù)據(jù)占用的空間卻是固定長(zhǎng)度。常見(jiàn)的日志數(shù)據(jù)大小為0 x200000 x23FFFFF。其文件結(jié)構(gòu)如表4-6所示。2. $Logfile日志NTFS是一種基于事務(wù)的文件系統(tǒng)，在對(duì)任何一個(gè)文件系統(tǒng)中的文件進(jìn)行寫操作時(shí)，都會(huì)記錄每一次寫操作的日志。記錄NTFS文件系統(tǒng)產(chǎn)生的事務(wù)的文件就是$Logfile。事務(wù)是一種每一步都必須執(zhí)行的磁盤操作。在NTFS文件系統(tǒng)中廣泛使用回寫(Write

13、-Through)緩存機(jī)制，因此$Logfile特別重要。$Logfile只記錄NTFS元數(shù)據(jù)事務(wù)，并不包括用戶數(shù)據(jù)(除非這部分是$MFT中的常駐文件)。Microsoft Technet提供了關(guān)于事務(wù)如何先記錄然后提交至磁盤的信息。要確保事務(wù)已完成或回滾，NTFS將會(huì)執(zhí)行每個(gè)事務(wù)的以下步驟：(1) 將事務(wù)的元數(shù)據(jù)操作記錄于內(nèi)存中緩存的日志文件。(2) 將實(shí)際的元數(shù)據(jù)操作記錄于內(nèi)存中。(3) 將緩存日志文件中的事務(wù)標(biāo)記為“已提交”。(4) 刷新(提交)日志文件至磁盤。(5) 刷新(提交)實(shí)際元數(shù)據(jù)操作至磁盤。4.1.3 IIS日志1. IIS日志簡(jiǎn)介IIS是Windows平臺(tái)一直以來(lái)常用的We

14、b站點(diǎn)應(yīng)用服務(wù)。IIS很容易安裝和部署，目前是全球站點(diǎn)中使用較多的Web服務(wù)之一。IIS不同的版本存在一定的安全漏洞，此外加上編寫人員缺乏安全意識(shí)，網(wǎng)站代碼存在一定漏洞(如SQL注入)，因此IIS也是目前黑客喜歡攻擊的目標(biāo)。目前有眾多商業(yè)門戶網(wǎng)站(如戴爾、中國(guó)招商銀行等)就在使用微軟IIS來(lái)為廣大用戶提供訪問(wèn)網(wǎng)站服務(wù)。目前最新的IIS 10.0是基于Windows Server 2016系統(tǒng)運(yùn)行的，微軟IIS網(wǎng)站服務(wù)器版本及功能差異對(duì)照表如表4-7所示。微軟官方網(wǎng)站提供了關(guān)于IIS配置文件更詳細(xì)的說(shuō)明(/en-us/ iis/get-started/planning-your-iis-arch

15、itecture/introduction-to-applicationhostconfig)，具體如下：(1) applicationHost.Config：包含所有站點(diǎn)、應(yīng)用程序、虛擬目錄及應(yīng)用程序池等定義。(2) administration.Config：包含IIS管理配置、管理模塊列表及配置等信息。(3) redirection.config：IIS 7及以上版本支持幾個(gè)IIS服務(wù)器通過(guò)一個(gè)集中化的配置獨(dú)立文件進(jìn)行管理，該文件保存了集中化配置文件的存儲(chǔ)路徑。2. IIS日志存儲(chǔ)及格式IIS網(wǎng)站服務(wù)的默認(rèn)日志保存路徑為%SystemDrive%inetpublogsLogFiles，服

16、務(wù)器管理員可能會(huì)自定義修改其存儲(chǔ)位置，將其保存到非系統(tǒng)盤(如D:Logs)中。IIS站點(diǎn)服務(wù)默認(rèn)使用W3C格式對(duì)網(wǎng)站的訪問(wèn)請(qǐng)求、時(shí)間戳及請(qǐng)求結(jié)果進(jìn)行記錄。管理員可以根據(jù)管理需要對(duì)日志格式及記錄的屬性信息進(jìn)行調(diào)整，從而更加靈活、細(xì)粒度地提供網(wǎng)站站點(diǎn)服務(wù)。IIS日志配置主要包含日志文件格式(默認(rèn)W3C格式，可根據(jù)需要自行選擇要記錄的字段信息)、日志存儲(chǔ)目錄、編碼(默認(rèn)UTF-8)及日志文件滾動(dòng)更新機(jī)制(默認(rèn)每天生成一個(gè)獨(dú)立的日志文件)。日志存儲(chǔ)位置中一般包含多個(gè)前綴為W3SVC、FTKSVC的文件夾，其中W3代表World Wide Web(WWW，代表Web站點(diǎn))，SVC是Service(服務(wù))

17、的縮寫。前綴后面是數(shù)字，數(shù)字代表站點(diǎn)序號(hào)。在IIS的站點(diǎn)日志W(wǎng)3SVC文件中通?？梢钥吹皆S多以“u_ex+數(shù)字”開(kāi)頭的log文件，該數(shù)字為6位的日期(年月日格式)，即每一天的日志文件都以一個(gè)獨(dú)立文件進(jìn)行保存。IIS日志共有3種日志格式，分別為W3C擴(kuò)展日志格式、IIS日志格式和NCSA(National Center for Super Computing Applications，美國(guó)國(guó)家超算應(yīng)用中心)日志格式，如表4-8所示。W3C日志格式默認(rèn)包含14個(gè)字段屬性信息，管理員可以自行選擇字段，擴(kuò)展日志記錄的信息內(nèi)容，如表4-9所示。3. IIS日志取證分析IIS日志均是文本型半結(jié)構(gòu)化數(shù)據(jù)，可

18、以全部轉(zhuǎn)化為結(jié)構(gòu)化數(shù)據(jù)，使用各種數(shù)據(jù)分析工具對(duì)其進(jìn)行分析。常見(jiàn)的IIS日志分析工具有Log Parser(微軟免費(fèi)日志分析命令行工具)、Log Parser GUI Lizard(商業(yè)軟件)、Search & Replace等。當(dāng)日志文件不是特別大時(shí)，直接用Microsoft Excel、記事本、UltraEdit等工具就可以進(jìn)行搜索，如根據(jù)IP地址、URL地址關(guān)鍵詞(如地址中包含SQL語(yǔ)句的關(guān)鍵詞，SELECT、UPDATE、DROP、DELETE、FROM等)等進(jìn)行搜索與分析。對(duì)于日志數(shù)量較多的文件，建議采用Log Parser或Log Parser GUI Lizard進(jìn)行統(tǒng)計(jì)分析、SQ

19、L查詢等分析，篩選與涉案相關(guān)的關(guān)鍵數(shù)據(jù)。涉及IIS服務(wù)器入侵取證的案件中，不少黑客服務(wù)器完成任務(wù)后，可能還會(huì)清除服務(wù)器對(duì)應(yīng)的日志文件，導(dǎo)致增加案件的偵查工作。除了通過(guò)常見(jiàn)的基于文件系統(tǒng)元數(shù)據(jù)信息的數(shù)據(jù)恢復(fù)外，還可以通過(guò)設(shè)置IIS日志不同格式文件中的數(shù)據(jù)記錄的特征關(guān)鍵詞(經(jīng)過(guò)人工總結(jié)，寫成正則表達(dá)式關(guān)鍵字)對(duì)未分配空間進(jìn)行數(shù)據(jù)搜索，尋找黑客入侵的蛛絲馬跡。IIS日志W(wǎng)3C格式的正則表達(dá)式語(yǔ)法：2010-9-0-10-9-0-30-9x200-20-9:0-5 0-9:0-50-9x204.1.4 其他日志除了Windows事件日志、IIS日志外，還有FTP日志、操作系統(tǒng)相關(guān)日志、應(yīng)用程序日志(如

20、殺毒軟件)等。在電子數(shù)據(jù)取證過(guò)程中需要針對(duì)性地對(duì)上述日志進(jìn)行數(shù)據(jù)提取和分析。1. 殺毒軟件360日志360殺毒軟件在Windows操作系統(tǒng)平臺(tái)的安裝及使用中普及率高，在系統(tǒng)或程序運(yùn)行過(guò)程中出現(xiàn)的一些異常行為、文件掃描、可疑文件的上傳等均有相關(guān)的日志記錄。360殺毒軟件的日志存儲(chǔ)位置為C:Program Files360360sdLog。日志目錄分類存儲(chǔ)，包含多個(gè)文件夾，如表4-10所示。2. 可疑文件上傳日志360殺毒軟件會(huì)對(duì)可疑文件(非白名單列表文件)自動(dòng)計(jì)算哈希值，同時(shí)將文件的原始路徑及名稱、MD5哈希值等進(jìn)行上傳。4.2.1 Windows注冊(cè)表簡(jiǎn)介注冊(cè)表是Windows 9x、Wind

21、ows CE、Windows NT及Windows 2000等操作系統(tǒng)用于存儲(chǔ)系統(tǒng)配置、用戶配置、應(yīng)用程序及硬件設(shè)備所需的信息，是一種集中式分層的數(shù)據(jù)庫(kù)。4.2 Windows注冊(cè)表取證技術(shù)注冊(cè)表包含Windows操作系統(tǒng)操作過(guò)程中持續(xù)需要的信息，如每個(gè)用戶的配置文件夾、安裝到計(jì)算機(jī)中的應(yīng)用程序、文件夾及應(yīng)用程序圖標(biāo)的屬性配置、系統(tǒng)中的硬件及正在使用的端口等。它代替了早期DOS、Windows 3.x時(shí)代的INI配置文件。注冊(cè)表文件可分為系統(tǒng)注冊(cè)表和用戶注冊(cè)表兩種。系統(tǒng)注冊(cè)表通常記錄與操作系統(tǒng)相關(guān)的硬件、網(wǎng)絡(luò)、服務(wù)及軟件等配置信息；用戶注冊(cè)表通常記錄與用戶配置相關(guān)的信息。注冊(cè)表存儲(chǔ)位置與名稱如

22、表4-11所示。1. 注冊(cè)表的層級(jí)結(jié)構(gòu)及數(shù)據(jù)類型注冊(cè)表的頂級(jí)目錄一般稱為鍵(Key)、主鍵或項(xiàng)，子目錄稱為子鍵(Subkey)或子項(xiàng)，存儲(chǔ)的數(shù)據(jù)項(xiàng)一般稱為值(Value)。注冊(cè)表中的值可以存儲(chǔ)多種不同類型的數(shù)據(jù)，如表4-12所示。2. 注冊(cè)表配置單元配置單元(Hive)是注冊(cè)表中一個(gè)由鍵、子鍵及值組成的邏輯組。在電子數(shù)據(jù)取證過(guò)程中，應(yīng)當(dāng)熟悉通過(guò)正在運(yùn)行的操作系統(tǒng)中注冊(cè)表編輯器看到的信息與磁盤中對(duì)應(yīng)注冊(cè)表文件的映射關(guān)系。系統(tǒng)注冊(cè)表通常包括SAM、SECURITY、SYSTEM和SOFTWARE等文件。3. 注冊(cè)表預(yù)定義項(xiàng)注冊(cè)表中的預(yù)定義項(xiàng)是指從注冊(cè)表編輯器中看到的最頂層的項(xiàng)目(如HKEY_CLA

23、S SES_ROOT)，每個(gè)項(xiàng)都以HKEY前綴開(kāi)頭，如表4-13所示。5大預(yù)定義項(xiàng)是操作系統(tǒng)在運(yùn)行過(guò)程中經(jīng)常訪問(wèn)的根節(jié)點(diǎn)，其包含的信息實(shí)際上都來(lái)自系統(tǒng)注冊(cè)表(SAM、SECURITY、SYSTEM、SOFTWARE等)、用戶注冊(cè)表(NTUSER.dat、USRCLASS.dat)等文件中的數(shù)據(jù)。4.2.2 Windows注冊(cè)表取證分析要對(duì)Windows操作系統(tǒng)的注冊(cè)表文件進(jìn)行分析，最簡(jiǎn)單的查看工具就是Windows自帶的注冊(cè)表編輯器。要對(duì)涉案的計(jì)算機(jī)磁盤或鏡像文件進(jìn)行注冊(cè)表分析，首先將要分析的注冊(cè)表文件復(fù)制到指定目錄，然后通過(guò)注冊(cè)表編輯器進(jìn)行加載，即可查看注冊(cè)表文件的內(nèi)容。該方式無(wú)法提取和分析

24、已刪除的注冊(cè)表信息。1. Registry Explorer分析注冊(cè)表Eric R.Zimmerman開(kāi)發(fā)了許多取證輔助分析工具，其中Registry Explorer v是一個(gè)十分優(yōu)秀的注冊(cè)表分析工具，它與大多數(shù)商業(yè)取證軟件一樣，支持恢復(fù)已刪除的注冊(cè)表信息。其搜索能力甚至超越了大多數(shù)取證分析軟件，內(nèi)置了取證常用的書(shū)簽功能，選擇要查看的注冊(cè)表信息即可直接跳轉(zhuǎn)到具體位置。Registry Explorer支持批量添加多個(gè)注冊(cè)表配置單元文件。在電子數(shù)據(jù)取證過(guò)程中使用該分析工具非常方便，特別是不清楚鍵值存在于哪個(gè)注冊(cè)表文件時(shí)，取證人員可以直接加載所有系統(tǒng)注冊(cè)表文件及多個(gè)用戶的注冊(cè)表文件(NTUSER

25、.dat)，然后對(duì)所有注冊(cè)表文件進(jìn)行全部搜索。2. X-Ways Forensics分析注冊(cè)表文件利用X-Ways Forensics取證軟件分析注冊(cè)表文件，可以通過(guò)過(guò)濾器找到注冊(cè)表文件，直接雙擊注冊(cè)表文件，X-WaysForensics將自動(dòng)打開(kāi)一個(gè)獨(dú)立的注冊(cè)表查看窗口。3. 取證神探分析注冊(cè)表文件取證神探分析軟件內(nèi)置注冊(cè)表分析功能，除了可以自動(dòng)提取系統(tǒng)注冊(cè)表、用戶注冊(cè)表中的操作系統(tǒng)信息、設(shè)備信息、軟件安裝信息、USB設(shè)備使用痕跡等外，還可以對(duì)注冊(cè)表文件進(jìn)行高級(jí)手工分析，甚至是數(shù)據(jù)解碼。取證神探引入了取證結(jié)果溯源功能，將自動(dòng)取證后的結(jié)果的數(shù)據(jù)來(lái)源清晰地告訴取證人員，取證人員可以看到取證結(jié)果是

26、從哪個(gè)文件讀取并解析數(shù)據(jù)的。取證神探還可以對(duì)注冊(cè)表文件進(jìn)行手工查看與分析、數(shù)據(jù)搜索及數(shù)據(jù)解碼。可通過(guò)關(guān)鍵詞對(duì)注冊(cè)表文件中的內(nèi)容進(jìn)行搜索，可設(shè)定搜索類型(如鍵、值或數(shù)據(jù))、搜索范圍(當(dāng)前選中的鍵或整個(gè)注冊(cè)表)，此外還可以使用通配符進(jìn)行快速搜索。在Windows注冊(cè)表中，不少數(shù)據(jù)經(jīng)過(guò)了編碼或加密。取證神探內(nèi)置的注冊(cè)表分析工具提供了查看注冊(cè)表原始數(shù)據(jù)及高級(jí)手工解碼的能力。有經(jīng)驗(yàn)的取證人員可以對(duì)注冊(cè)表值的數(shù)據(jù)(如十六進(jìn)制、ROT-13編碼)進(jìn)行數(shù)據(jù)解碼，取證工具內(nèi)置了數(shù)值型、時(shí)間類型等數(shù)據(jù)常用的解碼方法。4. 常見(jiàn)的注冊(cè)表取證內(nèi)容1) 時(shí)區(qū)信息Windows操作系統(tǒng)的時(shí)區(qū)設(shè)置關(guān)系到某些特定文件系統(tǒng)(如

27、NTFS)的文件時(shí)間戳解碼。不少取證軟件如EnCase、取證大師、取證神探等默認(rèn)使用的時(shí)區(qū)直接取自當(dāng)前運(yùn)行系統(tǒng)的時(shí)區(qū)，而FTK、X-Ways Forensics等取證軟件均要求取證人員在創(chuàng)建案件時(shí)就要進(jìn)行選擇或設(shè)置。注意：當(dāng)被調(diào)查人員使用的時(shí)區(qū)與取證人員計(jì)算機(jī)使用的時(shí)區(qū)不同時(shí)，切記一定要提取注冊(cè)表中的時(shí)區(qū)信息(Time Zone)，然后手工修改取證軟件對(duì)磁盤設(shè)備的時(shí)區(qū)設(shè)置，只有這樣才能正確解析出文件相關(guān)時(shí)間戳。假如當(dāng)前操作系統(tǒng)時(shí)間為2018-05-26 18:35，將一個(gè)全新的文件henry.jpg寫入一個(gè)NTFS分區(qū)，Windows操作系統(tǒng)將會(huì)讀取時(shí)區(qū)設(shè)置，如當(dāng)前時(shí)區(qū)設(shè)置是北京時(shí)間UTC+8

28、，那么Windows操作系統(tǒng)向$MFT記錄寫入該文件的創(chuàng)建時(shí)間的時(shí)間戳將會(huì)變成2018-05-26 10:35。也就是說(shuō)，將NTFS文件系統(tǒng)中的文件時(shí)間戳寫入元文件($MFT)時(shí)默認(rèn)均采用UTC+0的時(shí)間，如表4-14所示。保存Windows操作系統(tǒng)時(shí)區(qū)信息的注冊(cè)表文件一般存儲(chǔ)于%windir%system32config SYSTEM，通過(guò)取證軟件進(jìn)行查看。步驟1：查看SYSTEMSelectCurrent的值，如果值為00000001，那么需要進(jìn)入Controlset001的子鍵中查看時(shí)區(qū)信息，如圖4-1所示。圖4-1 查看X-Ways Forensics注冊(cè)表內(nèi)容步驟2：提取信息。選擇S

29、YSTEMControlSet001ControlTimeZoneInformation，提取TimeZoneKeyName信息，如圖4-2所示。圖4-2 提取TimeZoneKeyName信息2) 最近使用的文件Windows操作系統(tǒng)本身及許多應(yīng)用程序記錄了最近使用的文件(Most Recently Used，MRU)，主要是為了提升用戶體驗(yàn)，方便用戶再一次打開(kāi)最近打開(kāi)的文件。Windows操作系統(tǒng)及應(yīng)用軟件將MRU的歷史記錄在注冊(cè)表中，在注冊(cè)表的鍵名稱中通常含有MRU的關(guān)鍵詞。國(guó)內(nèi)的多數(shù)計(jì)算機(jī)取證分析軟件可以對(duì)常見(jiàn)的MRU信息進(jìn)行提取和解析。作為電子數(shù)據(jù)取證人員、司法鑒定人員，不能完全依賴

30、取證工具的解析能力，還需要了解各種MRU信息的存儲(chǔ)位置及解碼方法，如表4-15所示。目前大部分MRU信息是明文存儲(chǔ)的，多數(shù)可以直接查看其內(nèi)容。注：不同應(yīng)用程序版本在注冊(cè)表中記錄的MRU通常會(huì)以不同版本號(hào)分別存儲(chǔ)，如表4-16所示。通常從操作系統(tǒng)或應(yīng)用軟件中看到的最近使用的文件列表數(shù)量有限，然而實(shí)際上通過(guò)注冊(cè)表可以找到更多MRU記錄。此外，部分軟件存在MRU記錄數(shù)最大限制。3) 應(yīng)用程序訪問(wèn)痕跡(UserAssist)Windows操作系統(tǒng)在運(yùn)行過(guò)程中對(duì)使用頻率高的應(yīng)用程序進(jìn)行了記錄，包括應(yīng)用程序名稱、路徑、運(yùn)行次數(shù)、最后一次執(zhí)行時(shí)間等信息。記錄的信息存在于注冊(cè)表中的UserAssist子鍵中。

31、用戶注冊(cè)表文件NTUSER.DAT文件記錄了用戶的各種配置信息，通過(guò)取證軟件或注冊(cè)表工具打開(kāi)該文件，找到SOFTWAREMICROSOFTWINDOWSCURRENTVERSION EXPLORERUserAssist，分別如表4-17和圖4-3所示。圖4-3 注冊(cè)表中的UserAssist子鍵信息UserAssist下的Count中包含的值均通過(guò)ROT-13進(jìn)行加密，因此還需要對(duì)信息進(jìn)行數(shù)據(jù)解碼，才能還原出原始信息內(nèi)容。ROT-13加密算法原理：將26個(gè)英文字母分為兩組，每組13個(gè)，英文字母表中的字母通過(guò)置換實(shí)現(xiàn)信息加密，大寫字母對(duì)應(yīng)大寫字母，小寫字母對(duì)應(yīng)小寫字母。例如，原文“HELLO”經(jīng)

32、過(guò)ROT-13加密后，密文變成“URYYB”，如圖4-4所示。注意：UserAssist中的信息使用ROT-13只對(duì)字母進(jìn)行轉(zhuǎn)化，其它非字母(如數(shù)字、中文字符、特殊字符等)均保持不變。圖4-4 ROT-13加密算法4) USB設(shè)備使用記錄Windows除了記錄大量的MRU文件外，還記錄了一些設(shè)備的使用操作記錄。USB設(shè)備(如加密狗、U盤、移動(dòng)硬盤、智能手機(jī)等)在與計(jì)算機(jī)連接時(shí)，系統(tǒng)將會(huì)識(shí)別出USB設(shè)備，并在注冊(cè)表中生成相關(guān)的鍵信息。在%windir%System32ConfigSYSTEM注冊(cè)表中記錄了Windows操作系統(tǒng)中插入過(guò)的USB設(shè)備。通過(guò)取證分析軟件或注冊(cè)表工具查看SYSTEM注冊(cè)

33、表文件，找到ControlSet001EnumUSB(所有USB設(shè)備的記錄)及ControlSet001EnumUSBSTOR(所有USB存儲(chǔ)設(shè)備的記錄)注冊(cè)表項(xiàng)，可分析USB使用痕跡。USBSTOR子鍵中記錄了所有與該計(jì)算機(jī)連接過(guò)的USB存儲(chǔ)設(shè)備。同一個(gè)設(shè)備型號(hào)只會(huì)生成一個(gè)子鍵，如Disk&Ven_Kingston&Prod_DT_Workspace&Rev_KS15。該文件夾還會(huì)有一個(gè)以系列號(hào)命名的子鍵。Disk：說(shuō)明該設(shè)備是一個(gè)USB存儲(chǔ)介質(zhì)設(shè)備，而不是不可存儲(chǔ)的設(shè)備(如加密狗)。CdRom：說(shuō)明該設(shè)備是一個(gè)光盤存儲(chǔ)介質(zhì)設(shè)備。Ven：Vendor廠商縮寫。Prod：Product產(chǎn)品型號(hào)

34、縮寫。Rev：Revision修訂版縮寫。5. 注冊(cè)表分析工具除了Registry Explorer外，RegRipper(Harlan Carvey開(kāi)發(fā))、Mitec Windows Registry Recovery(WRR)等均可以對(duì)注冊(cè)表進(jìn)行分析。RegRipper是Harlan Carvey編寫的注冊(cè)表分析工具，也是一個(gè)免費(fèi)的取證工具。通過(guò)運(yùn)行rr.exe，即可調(diào)用RegRipper的圖形界面。RegRipper內(nèi)置了350多個(gè)插件模塊，支持對(duì)SAM、SECURITY、SYSTEM、SOFTWARE等系統(tǒng)注冊(cè)表，用戶注冊(cè)表NTUSER.dat、AmCache等注冊(cè)表文件的分析。4.3

35、 Windows內(nèi)存取證技術(shù)4.3.1 Windows內(nèi)存簡(jiǎn)介計(jì)算機(jī)內(nèi)存一般指的是隨機(jī)存取存儲(chǔ)器(Random Access Memory，RAM)。內(nèi)存是一種易失性存儲(chǔ)載體，它保存處理器主動(dòng)訪問(wèn)和存儲(chǔ)的代碼和數(shù)據(jù)，是一個(gè)臨時(shí)的數(shù)據(jù)交換空間。大多數(shù)PC的內(nèi)存屬于一種動(dòng)態(tài)RAM(DRAM)，是動(dòng)態(tài)變化的，其利用了電容器在充電和放電狀態(tài)間的差異來(lái)存儲(chǔ)數(shù)據(jù)的比特位。為了維持電容器的狀態(tài)，動(dòng)態(tài)內(nèi)存必須周期性刷新，這也是內(nèi)存控制器最典型的任務(wù)。1. 地址空間CPU處理器在執(zhí)行指令并訪問(wèn)存儲(chǔ)于內(nèi)存中的數(shù)據(jù)時(shí)，必須為被訪問(wèn)的數(shù)據(jù)指定一個(gè)唯一性地址。地址空間(Address Space)指的就是一組大量的有效

36、地址，可用于識(shí)別存儲(chǔ)于有限內(nèi)存分配空間中的數(shù)據(jù)。一個(gè)正在運(yùn)行的程序可以訪問(wèn)的單個(gè)連續(xù)的地址空間一般稱為線性地址空間?；趦?nèi)存模型及采用的分頁(yè)模式，有時(shí)將其稱為線性地址，又稱為虛擬地址。通常使用物理地址空間來(lái)特指處理器請(qǐng)求訪問(wèn)物理內(nèi)存的地址。這些地址是通過(guò)將線性地址轉(zhuǎn)化為物理地址來(lái)獲得的。2. 內(nèi)存分頁(yè)從抽象意義上來(lái)講，頁(yè)(Page)是一個(gè)具有固定尺寸的窗口；從邏輯意義上來(lái)講，頁(yè)是具有固定大小的一組連續(xù)線性地址的集合。分頁(yè)(Paging)可以將線性地址空間虛擬化。它創(chuàng)建了一個(gè)執(zhí)行環(huán)境，大量線性地址空間通過(guò)適量的物理內(nèi)存和磁盤存儲(chǔ)進(jìn)行模擬。每一個(gè)32位的線性地址空間被分為固定長(zhǎng)度的片段，稱為頁(yè)，頁(yè)

37、能以任意順序?qū)⒕€性地址空間映射為物理內(nèi)存。當(dāng)程序嘗試訪問(wèn)線性地址時(shí)，這樣的映射使用駐留內(nèi)存的頁(yè)目錄(Page Directory，PD)及頁(yè)表(Page Table，PT)來(lái)實(shí)現(xiàn)，如圖4-5所示。圖4.5 內(nèi)存分頁(yè)機(jī)制3. 物理地址擴(kuò)展Intel公司的32位架構(gòu)的內(nèi)存分頁(yè)機(jī)制支持物理地址擴(kuò)展(Physical Address Extension，PAE)，該擴(kuò)展允許處理器支持超過(guò)4 GB的物理地址空間。程序雖然仍只能擁有最高4 GB的線性地址空間，但是內(nèi)存管理單元可以將那些地址映射為擴(kuò)展后的64 GB物理地址空間。對(duì)于支持PAE功能的系統(tǒng)，其線性地址分為以下4個(gè)索引：(1) 頁(yè)目錄指針表(Pa

38、ge Directory Pointer Table，PDPT)。(2) 頁(yè)目錄。(3) 頁(yè)表。(4) 頁(yè)偏移(Page Offset)。計(jì)算機(jī)終端及移動(dòng)終端均使用了RAM易失性存儲(chǔ)，主要用于數(shù)據(jù)交換、臨時(shí)存儲(chǔ)等。操作系統(tǒng)及各種應(yīng)用軟件均經(jīng)常需要與物理內(nèi)存進(jìn)行數(shù)據(jù)交互，此外由于內(nèi)存空間有限，因此計(jì)算機(jī)系統(tǒng)還可能將內(nèi)存中的數(shù)據(jù)緩存到磁盤中，如Pagefile.sys(頁(yè)交換文件)及Hiberfil.sys(休眠文件)。內(nèi)存中有大量的結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)。通過(guò)對(duì)物理內(nèi)存鏡像，可以提取有價(jià)值的數(shù)據(jù)。常見(jiàn)有價(jià)值的數(shù)據(jù)包含以下內(nèi)容：(1) 進(jìn)程列表(包括惡意程序進(jìn)程、Rootkit隱藏進(jìn)程等)。(2

39、) 動(dòng)態(tài)鏈接庫(kù)(當(dāng)前系統(tǒng)或程序加載的動(dòng)態(tài)鏈接庫(kù))。(3) 打開(kāi)文件列表(當(dāng)前系統(tǒng)打開(kāi)的文件列表)。(4) 網(wǎng)絡(luò)連接(當(dāng)前活動(dòng)的網(wǎng)絡(luò)連接)。(5) $MFT記錄(常駐文件均可以直接提取恢復(fù))。(6) 注冊(cè)表(部分注冊(cè)表信息，包括系統(tǒng)注冊(cè)表和用戶注冊(cè)表文件)。(7) 加密密鑰或密碼(如Windows賬戶密碼Hash、BitLocker、SafeBoot、PGP、TrueCrypt、 VeraCrypt等全盤加密或加密容器的恢復(fù)密鑰等)。(8) 聊天記錄(如QQ聊天記錄片段)。(9) 互聯(lián)網(wǎng)訪問(wèn)(上網(wǎng)記錄URL地址、網(wǎng)頁(yè)緩存及InPrivate隱私模式訪問(wèn)數(shù)據(jù)等)。(10) 電子郵件(如網(wǎng)頁(yè)郵件緩存

40、頁(yè)面)。(11) 圖片及文檔(尚未保存到磁盤中的圖片、文檔等文件)等。4. 頁(yè)交換文件。除了使用物理內(nèi)存RAM用于數(shù)據(jù)交換外，Windows為了能正常工作，還使用了各種各樣的文件。從Windows 95開(kāi)始，Windows開(kāi)始引入頁(yè)交換文件(Pagefile.sys)用于協(xié)助內(nèi)存數(shù)據(jù)的交換。Pagefile.sys是磁盤中的一個(gè)文件，用于臨時(shí)存儲(chǔ)操作系統(tǒng)中的活動(dòng)數(shù)據(jù)，在必要的情況下，Windows可將Pagefile.sys文件中的數(shù)據(jù)移動(dòng)到物理內(nèi)存中或從內(nèi)存中將數(shù)據(jù)移到該文件中，實(shí)現(xiàn)數(shù)據(jù)的臨時(shí)交換或緩存。從Pagefile.sys中獲得的數(shù)據(jù)通常是當(dāng)前活動(dòng)的相關(guān)信息，也通常與調(diào)查相關(guān)性較高。

41、5. 休眠文件休眠文件(Hiberfil.sys)是當(dāng)系統(tǒng)休眠時(shí)，Windows將物理內(nèi)存的數(shù)據(jù)寫入磁盤生成的一個(gè)文件。當(dāng)系統(tǒng)進(jìn)入休眠狀態(tài)后，網(wǎng)絡(luò)連接將會(huì)中斷；當(dāng)系統(tǒng)重新加電時(shí)，Hiberfil.sys文件中的數(shù)據(jù)重新回寫到物理內(nèi)存中，這也使得系統(tǒng)從休眠狀態(tài)恢復(fù)到原始狀態(tài)變得相當(dāng)快。休眠文件包含標(biāo)準(zhǔn)的頭部(PO_MEMORY_IMAGE)、內(nèi)核上下文與寄存器的相關(guān)信息及壓縮的數(shù)據(jù)塊。該文件采用了Xpress算法(帶Huffman及LZ編碼)。文件頭部通常包含“hibr”“HIBR”“wake”或“WAKE”等特征。操作系統(tǒng)從休眠狀態(tài)恢復(fù)后，頭部即被清零，清零后的文件頭可能會(huì)導(dǎo)致一些取證軟件無(wú)法

42、分析該文件。要進(jìn)入休眠模式，首先要讓系統(tǒng)啟用休眠模式支持。Windows 8及以上版本的操作系統(tǒng)默認(rèn)啟用休眠模式支持。取證人員也可以管理員權(quán)限進(jìn)入命令行模式，并輸入powercfg.exe/hibernate ON 來(lái)啟用休眠模式支持。要讓操作系統(tǒng)進(jìn)入休眠模式，則需要輸入shutdown/h。如果在默認(rèn)的Windows開(kāi)始菜單中的“電源”找不到“休眠”，可以通過(guò)按Win+X鍵，找到“控制面板”，再找到“電源選項(xiàng)”，然后繼續(xù)進(jìn)行設(shè)置。例如，可以通過(guò)“選擇電源按鈕的功能”，選擇“更改當(dāng)前不可用的設(shè)置”，在“關(guān)機(jī)設(shè)置”下將“休眠”選項(xiàng)勾選。后續(xù)在“開(kāi)始”菜單中選擇“電源”便可看到“休眠”選項(xiàng)。以上操

43、作的具體步驟在不同Windows中可能略有差異。4.3.2 Windows 內(nèi)存取證方法和分析技術(shù)內(nèi)存取證通常是指對(duì)計(jì)算機(jī)及相關(guān)智能設(shè)備運(yùn)行時(shí)的物理內(nèi)存中存儲(chǔ)的臨時(shí)數(shù)據(jù)進(jìn)行獲取與分析，提取有價(jià)值的數(shù)據(jù)的過(guò)程。內(nèi)存是操作系統(tǒng)及各種軟件交換數(shù)據(jù)的區(qū)域，內(nèi)存中的數(shù)據(jù)易丟失(Volatile)，即通常在關(guān)機(jī)后數(shù)據(jù)很快就會(huì)消失。常見(jiàn)的物理內(nèi)存獲取方法有冷啟動(dòng)攻擊(Cool Boot Attack)、基于火線(1394)或雷電 (ThunderBolt)接口的直接內(nèi)存訪問(wèn)(Direct Memory Access，DMA)獲取及內(nèi)存獲取軟件工具。不同的操作系統(tǒng)需要用到不同的物理內(nèi)存獲取工具。Windows

44、操作系統(tǒng)平臺(tái)支持內(nèi)存獲取的常見(jiàn)工具有DumpIt(早期版本名為Win32dd)、Belkasoft RAMCapturer、Magnet RAM Capture、WinEn、Winpmem、EnCase Imager、FTK Imager、取證大師 、取證神探。Linux操作系統(tǒng)支持內(nèi)存獲取的常見(jiàn)工具有dd (適合Linux早期版本)、LiME、linpmem、Draugr、Volatilitux、Memfetch、Memdump。Mac OSX操作系統(tǒng)支持內(nèi)存獲取的常見(jiàn)工具有MacMemoryReader、OSXPmem、Recon for Mac OSX、Blackbag MacQuisi

45、tion。Windows操作系統(tǒng)平臺(tái)下的DumpIt是一個(gè)簡(jiǎn)單易用的計(jì)算機(jī)內(nèi)存鏡像獲取工具。通常直接將該工具存放在大容量移動(dòng)硬盤或U盤中，可在正在運(yùn)行的Windows操作系統(tǒng)上直接運(yùn)行，根據(jù)提示操作即可。在獲取物理內(nèi)存數(shù)據(jù)時(shí)還需盡量減少對(duì)原有內(nèi)存數(shù)據(jù)的覆蓋，最大限度地提取內(nèi)存數(shù)據(jù)。從Windows操作系統(tǒng)獲取的物理內(nèi)存鏡像需要使用專門的內(nèi)存分析工具對(duì)其進(jìn)行分析。常見(jiàn)的內(nèi)存分析工具有Volatility、Rekall、Forensic Toolkit(FTK)、取證大師及取證神探等，利用這些工具可以解析出常見(jiàn)的基本信息，包括進(jìn)程信息、網(wǎng)絡(luò)連接、加載的DLL文件及注冊(cè)表加載信息等。1. Volat

46、ility Framework Volatility Framework是一個(gè)完全開(kāi)放的內(nèi)存分析工具集，其基于GNU GPL2許可，以Python語(yǔ)言編寫而成。由于Volatility是一款開(kāi)源免費(fèi)的工具，因此無(wú)須花任何費(fèi)用即可進(jìn)行內(nèi)存數(shù)據(jù)的高級(jí)分析。因?yàn)榇a具有開(kāi)源的特點(diǎn)，所以當(dāng)遇到一些無(wú)法解決的問(wèn)題時(shí)，還可以對(duì)源代碼進(jìn)行修改或擴(kuò)展功能。在Windows操作系統(tǒng)平臺(tái)下，有兩種方式可以運(yùn)行Volatility工具。第一種是先獨(dú)立安裝Python運(yùn)行環(huán)境，再下載Volatility源代碼執(zhí)行命令行；第二種是下載Volatility獨(dú)立Windows程序(無(wú)須另外安裝和配置Python環(huán)境)。最新

47、Volatility版本為V2.6，可以通過(guò)官方網(wǎng)站下載。在Windows 64位平臺(tái)上，最便捷的方式就是直接使用獨(dú)立Windows程序的Volatility版本。進(jìn)入管理員命令行模式，運(yùn)行volatility_2.6_win64_standalone.exe 程序即可。2. Volatility常用命令行參數(shù)-h：查看相關(guān)參數(shù)及幫助說(shuō)明。-info：查看相關(guān)模塊名稱及支持的Windows版本。-f：指定要打開(kāi)的內(nèi)存鏡像文件及路徑。-d：開(kāi)啟調(diào)試模式。-v：開(kāi)啟顯示詳細(xì)信息模式(verbose)。由于幫助說(shuō)明內(nèi)容太多，通?？梢詫?nèi)容輸出為文本文件，方便隨時(shí)打開(kāi)參數(shù)及模塊支持列表。查看幫助說(shuō)明和

48、模塊支持列表可通過(guò)以下兩行代碼實(shí)現(xiàn)；volatility_2.6_win64_standalone.exe -h help.txtvolatility_2.6_win64_standalone.exe -info modules_list.txtVolatility常用命名參數(shù)及功能對(duì)照表如表4-18所示。4.4 Windows其他取證技術(shù)4.4.1 瀏覽器取證分析網(wǎng)頁(yè)瀏覽器(Web Browser)通常簡(jiǎn)稱為瀏覽器，是一種在萬(wàn)維網(wǎng)(World Wide Web)中用于檢索、展現(xiàn)及傳輸信息資源的軟件客戶端。信息資源可以是一種網(wǎng)頁(yè)、圖片、音視頻等內(nèi)容。瀏覽器已經(jīng)成為Windows、Mac OSX

49、、Linux等各種操作系統(tǒng)中常用的客戶端程序應(yīng)用。除了IE、Chrome、Firefox、Opera、Safari等國(guó)際主流瀏覽器外，國(guó)內(nèi)也有不少?gòu)S商開(kāi)發(fā)了基于不同內(nèi)核的瀏覽器，如騰訊瀏覽器(TT)、百度瀏覽器、搜狗瀏覽器、獵豹瀏覽器、360瀏覽器、UC瀏覽器、傲游(Maxthon)、世界之窗瀏覽器等。常見(jiàn)瀏覽器內(nèi)核及其對(duì)應(yīng)的瀏覽器軟件版本如表4-19所示。國(guó)內(nèi)不少瀏覽器軟件后續(xù)采用了多內(nèi)核引擎，如Trident+WebKit、Trident+Blink。(1) 360安全瀏覽器(V1.0V5.0為Trident，V6.0為Trident+WebKit，V7.0為Trident+Blink)。

50、(2) 360極速瀏覽器(V7.5以下版本為Trident+WebKit，V7.5為Trident+Blink)。(3) 獵豹安全瀏覽器(V1.0V4.2版本為Trident+WebKit，V4.3版本為Trident+Blink)。(4) 傲游瀏覽器(傲游V1.x、V2.x為Trident內(nèi)核，V3.x為Trident與Blink)。(5) 世界之窗瀏覽器(最初為Trident內(nèi)核，2013年采用Trident+Blink)。(6) 搜狗瀏覽器(V1.x為Trident，V2.0及以后版本為Trident+Blink)。(7) 淘寶瀏覽器(V1.x為Trident，V2.0及以后為Tride

51、nt+Blink)。由于IE是Windows操作系統(tǒng)內(nèi)置的瀏覽器，多數(shù)人可能會(huì)使用IE瀏覽器來(lái)訪問(wèn)相關(guān)網(wǎng)站。不同的IE瀏覽器版本存在一些細(xì)微的差異，IE 5IE 9采用了相同的工作機(jī)制及數(shù)據(jù)存儲(chǔ)方式，IE 10及以上版本則采用了全新的存儲(chǔ)機(jī)制。為了方便闡述，以下內(nèi)容中將IE分為兩大類，分別為傳統(tǒng)IE瀏覽器和新一代瀏覽器。傳統(tǒng)瀏覽器指的是IE 5IE 9的各版本，新一代IE瀏覽器特指IE 10IE 11的各版本。1. 傳統(tǒng)IE瀏覽器1) 上網(wǎng)訪問(wèn)歷史記錄IE瀏覽器會(huì)將所有訪問(wèn)過(guò)的站點(diǎn)各個(gè)頁(yè)面的URL地址記錄到用戶配置文件夾下的History.IE5文件夾中，并以瀏覽時(shí)間為序列列出最近瀏覽過(guò)的站點(diǎn)

52、。所有URL地址鏈接和各種訪問(wèn)的詳細(xì)信息都存儲(chǔ)在名為Index.dat的索引文件中。(1) Windows 2000/XP：%UserProfile%Local SettingsHistoryHistory.IE5。(2) Vista/Windows7/Windows8：%UserProfile%AppDataLocalMicrosoftWindowsHistory。需要注意的是，通過(guò)靜態(tài)離線取證的方式看到的文件目錄結(jié)構(gòu)往往與操作系統(tǒng)正在運(yùn)行的情況下看到的有差異。微軟操作系統(tǒng)正在運(yùn)行的情況下，對(duì)于數(shù)據(jù)的讀取訪問(wèn)做了特殊處理，因此看到的信息都是經(jīng)過(guò)處理后的內(nèi)容，和真正在磁盤上存儲(chǔ)的文件的視圖有差

53、異。通常在History.IE5文件夾下有一個(gè)全局索引文件Index.dat，在以時(shí)間序列分組的各個(gè)文件夾下也都有一個(gè)索引文件Index.dat。用戶在IE瀏覽器地址欄輸入U(xiǎn)RL地址后，系統(tǒng)將會(huì)把輸入過(guò)的網(wǎng)站URL存儲(chǔ)到用戶注冊(cè)表NTUser.dat中，通?？赏ㄟ^(guò)注冊(cè)表分析工具讀取該文件節(jié)點(diǎn)SoftwareMicrosoft Internet ExplorerTypedURLs，找到相應(yīng)的信息。2) 緩存IE瀏覽器為提高打開(kāi)網(wǎng)頁(yè)的速度，默認(rèn)會(huì)將最近瀏覽過(guò)的內(nèi)容保存到本地緩存中，當(dāng)用戶下一次打開(kāi)同一個(gè)網(wǎng)站時(shí)，就不需要全部重新從遠(yuǎn)程的網(wǎng)站服務(wù)器上下載文件，而是直接從本地緩存中讀取。當(dāng)然，IE瀏覽器

54、也有相應(yīng)的機(jī)制，可以設(shè)置是否更新過(guò)時(shí)的內(nèi)容。IE瀏覽器的緩存數(shù)據(jù)通常存儲(chǔ)在用戶配置文件夾下的Local SettingsTemporary Internet Files文件夾(如Documents and Settings%username%Local SettingsTemporary Internet FilesContent.IE5)，用戶也可以使用“工具”修改默認(rèn)存儲(chǔ)緩存的路徑。3) CookiesCookies通常存儲(chǔ)在用戶配置文件夾下的Cookies文件夾中，該文件夾下保存了1個(gè)索引文件Index.dat和大量的Cookies文本文件。Index.dat記錄了用戶訪問(wèn)的所有站點(diǎn)地址

55、信息，Cookies文本文件則單獨(dú)記錄了各個(gè)站點(diǎn)的相關(guān)信息。4) 收藏夾瀏覽器中的收藏夾可以一定程度上體現(xiàn)用戶的傾向性和意圖。其在IE瀏覽器中通常稱為收藏夾，在其他類型瀏覽器(如Firefox、Chrome及Safari)中通常稱為書(shū)簽。通常收藏夾默認(rèn)存儲(chǔ)于用戶配置文件夾下的Favorites文件夾中(%UserProfile%Favorites)。然而越來(lái)越多的第三方工具提供了用戶自定義IE收藏夾的存儲(chǔ)位置。收藏夾中每個(gè)站點(diǎn)鏈接的文件的擴(kuò)展名為.url，因此計(jì)算機(jī)取證分析軟件多數(shù)可以通過(guò)遍歷整個(gè)磁盤搜索發(fā)現(xiàn)存在在其他位置下的收藏夾信息。當(dāng)然，也可以通過(guò)分析用戶注冊(cè)表(NTUser.dat)解

56、析IE瀏覽器收藏夾的存儲(chǔ)路徑來(lái)了解該用戶收藏夾實(shí)際的存儲(chǔ)位置。2. 新一代IE瀏覽器2012年10月，微軟發(fā)布Windows 8操作系統(tǒng)，其內(nèi)置了Internet Explorer 10版本。2013年2月，微軟又發(fā)布了適合在Windows 7操作系統(tǒng)運(yùn)行的Internet Explorer 10版本。越來(lái)越多的計(jì)算機(jī)用戶使用IE 10.0瀏覽器或更新版本來(lái)訪問(wèn)互聯(lián)網(wǎng)。從計(jì)算機(jī)取證角度來(lái)看，新版本瀏覽器IE 10.0最大的變化就是使用一個(gè)全新的WebCacheV01.dat數(shù)據(jù)庫(kù)文件代替?zhèn)鹘y(tǒng)的Index.dat。該文件是一個(gè)數(shù)據(jù)庫(kù)文件，是一種可擴(kuò)展存儲(chǔ)引擎(Extensible Storage

57、 Engine，ESE)的數(shù)據(jù)庫(kù)，早期也常被稱為Jet Blue。 ESE是微軟一種靈活度很高的數(shù)據(jù)庫(kù)類型，數(shù)據(jù)庫(kù)大小可以是1MB，也可以是1TB。它使用一種崩潰恢復(fù)機(jī)制，保障數(shù)據(jù)庫(kù)存儲(chǔ)數(shù)據(jù)的一致性，ESE的高級(jí)緩存系統(tǒng)讓其能高效訪問(wèn)數(shù)據(jù)。除了IE 10.0之外，Windows操作系統(tǒng)中還有大量應(yīng)用程序使用此類數(shù)據(jù)庫(kù)來(lái)管理，如Windows Mail、Windows桌面搜索、Exchange Server、活動(dòng)目錄(Active Directory)和Windows Live Messenger等。ESE數(shù)據(jù)庫(kù)的存儲(chǔ)單元是頁(yè)，在Windows 7操作系統(tǒng)中，每個(gè)頁(yè)大小為32KB。除了部分特殊的

58、長(zhǎng)記錄需要跨頁(yè)存儲(chǔ)外，數(shù)據(jù)庫(kù)每條記錄都盡可能存儲(chǔ)在一個(gè)獨(dú)立的頁(yè)中。ESE采用B樹(shù)(B-Tree)結(jié)構(gòu)存儲(chǔ)數(shù)據(jù)，如圖4-6所示。圖4-6 ESE使用B樹(shù)結(jié)構(gòu)存儲(chǔ)數(shù)據(jù)重要的一點(diǎn)是，當(dāng)某條記錄從數(shù)據(jù)庫(kù)中移除后，其占用的空間會(huì)被標(biāo)記為“刪除”，但數(shù)據(jù)庫(kù)不會(huì)執(zhí)行覆蓋操作。正是因?yàn)檫@點(diǎn)，只要被移除的記錄尚未被另外的記錄覆蓋，那么原記錄的數(shù)據(jù)內(nèi)容極有可能還在未分配的空間，因此有機(jī)會(huì)恢復(fù)出尚未被覆蓋的數(shù)據(jù)。新一代IE瀏覽器的數(shù)據(jù)庫(kù)及日志相關(guān)文件位置為%systemdrive%Users%user%App DataLocalMicrosoftWindowsWebCache。新一代IE瀏覽器相關(guān)數(shù)據(jù)文件如表4-2

59、0所示。WebCacheV01.dat數(shù)據(jù)庫(kù)文件結(jié)構(gòu)如表4-21所示。1) ESE數(shù)據(jù)庫(kù)中的數(shù)據(jù)表及關(guān)系通過(guò)利用Nirsoft網(wǎng)站提供的ESEDatabaseView工具可以查看ESE類型的數(shù)據(jù)庫(kù)內(nèi)容。通過(guò)實(shí)驗(yàn)可以發(fā)現(xiàn)，在新一代瀏覽器IE 10.0和IE 11.0中，上網(wǎng)記錄、緩存文件及Cookies的記錄信息都保存在WebCacheV01.dat數(shù)據(jù)庫(kù)中。從Containers表可以看到ContainerId和Name的對(duì)應(yīng)關(guān)系，如圖4-7所示。上網(wǎng)記錄(History)的ContainerId為3和24；緩存內(nèi)容(Content)的ContainerId為16和17；Cookies的Con

60、tainerId為1和2。經(jīng)過(guò)多次測(cè)試發(fā)現(xiàn)，ContainerId的值并非固定值，因此對(duì)WebCacheV01.dat進(jìn)行分析時(shí)，首先要查詢Containers表中的對(duì)應(yīng)關(guān)系，再相應(yīng)地檢索相關(guān)信息。圖4-7 WebCacheV01.dat數(shù)據(jù)庫(kù)中的Containers表2) 上網(wǎng)訪問(wèn)記錄首先在WebCacheV01.dat數(shù)據(jù)庫(kù)查詢Name字段中名為History的類別對(duì)應(yīng)的ContainerId，然后分別查詢其對(duì)應(yīng)的Container_#表，即可獲得上網(wǎng)訪問(wèn)記錄(通常有兩個(gè)對(duì)應(yīng)的Containers數(shù)據(jù)表)。從圖4-8可以看出，一個(gè)名為History的ContainerId為3，Partit