注美国苹果id下载app册美国苹果id账号地址电子取证的主体一般为执法部门和内部安全审计人员,应急响应的主体一般为负责网络安全的政府组织、安全厂商、系统维护人员。
电子数据取证是案件发生后采取措施的过程,应急响应贯穿到事先预防、集中处理和事后弥补整个过程。
电子数据取证是为了获得违法犯罪的证据,目的是形成证据链,应急响应的目标是为了恢复整个系统的正常。
存储容量是存储介质中可以容纳二进制信息的总量,即存储容量=存储单元数✖️存储字长。存储容量越大存储的信息就越多。存储容量通常用位(bit)或字节(Byte)来表示,一般一个字节定义为8个二进制位,因此计算机中一个字的字长通常是8的整数倍。
数据传输率是指单位时间内存储器所存取的信息量注册美国苹果id账号地址,度量单位通常为位(bit)/秒或字节(Byte)/秒,是衡量电子数据取证效率的重要技术指标。速率越高,意味着单位时间镜像或分析的数据越多。
高级格式化仅更新文件分配表,数据区并未被擦除,只有数据擦除或低级格式化,才能破坏系统区域和数据区域的数据。数据区域的数据通常通过两种方式恢复:一种是按照文件系统的存储原理,重建MBR、DBR、FAT、FDT,根据存储介质内的数据信息来确定记录文件或目录存储位置的FAT或MFT中的值,从而找回丢失的数据;另一种是根据文件签名特征中文件头和文件尾特征值进行检索,通过文件签名特征恢复技术直接从数据区域的数据中找回丢失的特定格式的文件。
在Windows系统中,删除文件或文件夹一般分为普通删除和彻底删除。普通删除:将文件或文件夹移入回收站(RECYCLER),回收站是Windows系统自动建立在每个硬盘分区根目录下的隐藏文件夹。FAT文件系统删除一个文件或文件夹需要经过以下过程:
通过这一过程,DATA区中该文件或文件夹的实际数据并未发生改变,仍然保留在原来的簇中。
“fat-test.txt”文件被删除后,文件目录项头字节被修改为删除标记“E5”,表示该文件已被删除,FAT表中该文件占用的簇被标记为“0”,表示该簇未分配使用,但是文件的数据区域并没有发生任何变化。带有删除标记的文件,操作系统会认为已被删除,在操作系统下不借助专门程序或软件无法看到,直到这些簇被新的文件或文件夹占用,当再次往硬盘中写入数据文件时,系统才会覆盖这些被标为已删除的文件所占用的簇,写入新的数据从而覆盖原文件内容。
删除文件或文件夹时,主文件表MFT中会更新对象对应的记录,将其状态标记为可重新使用,然后在位图文件($Bitmap)中将对象所占用的簇标记为未分配状态,即可被重新使用。与FAT文件系统相同,只要原文件数据所在的簇未被分配给新的文件,对象实际数据就仍可被恢复,知道这些簇被新的文件或文件夹占用。偏移量00H~37H为$MFT属性头,38H~4FH为MFT的10属性头,98H~AFH为MFT的30属性头,188H~19FH为MFT的40属性头,1B0H~1C7H为MFT的80属性头。
“delete-test.txt”文件被删除后,$MFT属性头的4处数据发生了变化,偏移08H~0FH处由“6F 0D E0 00 00 00 00 00”修改为“A8 08 00 01 00 00 00 00”,这8个字节是日志文件的序列号,每当文件被修改时,都会在$LogFile日志文件中生成相应记录,从而引起日志文件序列号发生变化。
偏移10H~11H处由“01 00”被修改为“02 00”,这2个字节是序列号,记录主文件记录表被重复使用的次数,由于文件被删除,主文件记录表被修改,因此序列号增加1。
偏移16H~17H处由“01 00”被修改为“00 00”,这2个字节是主文件记录表使用标志,“00 00”表示文件被删除。
偏移30H~31H处由“08 00”被修改为“09 00”,这2个字节是主文件记录表的更新序列号,这2个字节同时会出现在该文件记录第一个扇区和第二个扇区最后2个字节处,但$MTF项的10H、30H、40H、80H属性数据均未发生改变美国苹果id下载app。其中80H属性即$DATA属性,容纳着文件的内容,从图中可以看出,该80H属性为常驻属性,属性头后面紧跟的是文件的内容,文件数据内容部分也没有发生该改变,常驻80H属性以“00H”结束,由于文件属性长度是8的整数倍,如果文件内容结束不能达到8的整数倍时,就用“00H”来填充。
exFAT文件删除文件或目录时,文件的每个目录项的首字节被更改,该文件在簇位图文件中对应的位和FAT表中的簇链均被清零,用以表示原文件占用的簇已被释放,但是文件目录项中文件的起始簇号、大小、文件名等信息以及文件所占用的数据区不会被修改和删除。
HFS+文件系统删除文件时,其文件记录完全丢失,文件记录中存放的该文件的文件名、CNID、父目录 ID、时间信息和盘区地址等指向数据存放地址的指针信息全都丢失,但是数据内容并不好被清除,因此对于HFS+文件系统进行恢复时,主要通过文件类型签名进行恢复,HFS+文件系统采用盘区存放数据,数据的连续性比较好,为数据的成功恢复带来了机会。
Ext3文件系统删除文件后,被删除文件的目录项的长度值会被添加到上一个目录项的报告长度中,从而回收被删除文件目录项所占用的空间,使系统忽略对被删除文件目录项的读取,但是,被删除目录项中的i-节点号、文件名等信息都没有被改变。被删除的上级目录的i-节点变化时间和修改时间(Modified Time)都会发生相应改变。被删除文件的i-节点的“链接数”将减1,如果链接数成为0,那么就要回收这个i-节点,i-节点中的文件大小和文件的块指针也全部清零,并将文件删除的时间记录下来。被删除文件的i-节点位图中的相应位设置为0以回收该i-节点,然后更新块组描述符和超级块中的空闲i-节点数。同时,被删除文件所占用的块也会通过将块位图中的相应位设置为0来进行回收,并更新块组描述符和超级块中的空闲块数。
从Ext3文件系统删除文件的过程可以看出,被删除文件的目录项中的文件名和i-节点号还存在,通过这些信息可以找到文件的i-节点,但是i-节点中的文件大小和块指针都被清零,虽然数据块没有被清零,但要找到文件的存储位置很难,因此,Ext3文件系统下删除文件的恢复可以考虑按照文件类型签名进行恢复,但是如果文件占用的块比较多,文件不连续存储的可能性较大,文件恢复难度也会增加。
文件签名特征恢复是数据恢复中较为常用的文件恢复方法。基于文件签名特征的数据恢复中,采用文件签名特征与全盘深度扫描结合的方法,根据不同类型文件签名以扇区为单位在硬盘中检索,首先在每个扇区中搜索去陪文件的头部特征,发现与头部匹配的扇区,确定文件的开始位置,然后再以扇区为单位扫描并根据文件的尾部特征来确定文件在硬盘中的结束位置,并将文件头和文件尾之间的数据保存成文件。
word文档在硬盘中的实际构成总是以“D0CF11E0A1B11AE00”为文件头部特征的,如下图。扫描到文件头之后,继续按扇区查找其文件脚,发现它的二进制表示的文件脚。
这样恢复的文件由于没有先前的目录信息,因此不能恢复出文件名,但是只要数据没被覆盖,就可以对文件进行完全恢复。影响基于文件特征数据恢复方法的效果主要有两个方面:
固件修复属于底层的数据恢复技术,是电子数据取证领域的重要一环,在电子数据存储介质出现大量物理或逻辑坏道、固件损坏(无法识别硬盘或出现全盘坏道)、因物理损坏导致固件受损等情况中,需先对固件进行修复,然后才能进行逻辑层面的数据恢复。
固件是固化在硬件中的软件,存储着计算机系统中硬件设备最基本的参数,为系统提供最底层、最直接的硬件控制。
固件存放位置一般有两种形式:一种是一部分固件数据保存在硬盘电路板的芯片中,另一部分保存在硬盘盘片的副磁道上,即0磁道前面的磁道
大部分硬盘固件有两个工作区,即主固件和次固件区,有些硬盘则有三个,多一个备份固件区。
固件管理模块:由初始诊断模块、伺服电机旋转控制模块、磁头定位模块、硬盘控制器和缓冲存储器的信息交换模块等构成。管理模块出现损坏,一般会造成硬盘不能准备就绪或者硬盘的型号、容量等相关参数不能被正确识别等故障。
配置和设置表:包含关于硬盘空间的逻辑和物理信息。如果配置和设置表出现故障,硬盘的型号、最大LBA值、物理磁头的定位、Zone分配表等相关参数将不能被正确识别。
缺陷列表:厂家会通过缺陷列表的方式将缺陷扇区进行记录,从而使用户不能发现和使用到缺陷扇区。一般缺陷列表包括P-list、G-list、U表和道表四种。P-list又称为永久缺陷列表,厂家在硬盘出场前会对其进行全面校准,将校准过程中找到的缺陷磁道和扇区记录在P-list中,并且对所有磁道和扇区编号过程中,跳过这些缺陷扇区。G-list又称为增长缺陷列表,硬盘在使用中如果出现了新的缺陷扇区,硬盘会通过自动修复机制,使用保留扇区中的一个备用扇区来替换该缺憾扇区,并将新发现的缺陷扇区记录到G-list中。保留扇区在硬盘内磁道,缺陷扇区加入G-list后会影响读写速度。U表即固件区缺陷列表,用于记录硬盘固件区产生的缺陷,该表主要存在于迈拓和西部数据两个品牌的硬盘。道表就是压缩后的P表美国的苹果手机可以用国内id吗,由于固件区存储空间有限,当向其中加入的缺陷信息达到一定程度时,无法继续写入,这是就可将P-list进行压缩,以增加P-list容量。
固件区还有硬盘工作记录表,包括硬盘生产和运行过程中的辅助信息,如检测结果、检测程序动作记录等。
硬盘是机、电、磁一体化的复杂系统,硬盘物理故障主要包括电路板故障、磁头组件故障、主轴电机故障、盘片故障等方面。
对于硬盘电路板供电、接口、缓存、BIOS、电机驱动芯片等出现故障时,既可以通过维修或更换受损电阻、电容、场效应管等元器件修复故障硬盘的电路板,也可以使用相同型号硬盘的电路板替换故障硬盘的电路板,从而使硬盘恢复正常工作。
对于硬盘磁头芯片、前置信号处理器、音圈电机、磁头等磁头组件出现故障时,由于磁头组件精密度高、维修成本高,因此一般是使用相同型号的硬盘的磁头组件替换故障硬盘的磁头组件,从而将故障硬盘上的数据读取出来。
对于硬盘主轴电机故障,由于多数硬盘的主轴电机是铆在硬盘盘体上,不能拆解,因此一般是通过把故障硬盘盘片取下放到相同型号的备件盘盘体内的方法,使用备件盘将故障盘盘片上的数据读取出来。
对于硬盘盘片出现坏扇区时,一般通过替换G-list或者隐藏P-list等方法进行修复,而如果硬盘盘片出现划伤,盘片上的数据基本就无法恢复了。
芯片存储设备(U盘、存储卡、固态硬盘等)出现物理故障一般表现为没有任何反应、无法识别的设备、无容量、无媒体、无法格式化等情况,故障原因一般为接口故障、供电故障、晶振故障、主控芯片故障、闪存芯片故障或其他元器件烧毁。
对于U盘的故障,一般可以通过焊脚补焊、替换相同频率晶振、替换相同型号主控芯片等方法进行修复。如果U盘电路板上的元器件损坏比较严重,较难修复,可以将其闪存芯片吹焊下来,再吹焊到相同型号的备件U盘电路板上,使U盘能够正常工作。
除此之外,还可以利用由软件和硬件相结合来实现一个U盘控制器的仿真器,通过译码器运算将闪存芯片的内容解码,即可实现正确读取闪存芯片内数据的目的。
计算机中,确认时间时,通常包含两部分:日期和时间,而且这两者始终是保存在一起的。
GMT(格林威治平均时)时间:平太阳时就是指经修订后的视太阳时。在本初子午线(英国格林威治子午线)上的平太阳时被确定为格林威治平时(GMT)
UTC是协调世界时英文缩写,由于地球每天的自转是有些不规则的,而且正在缓慢减速。UTC相当于本初子午线度)上的平均太阳时,UTC的本质强调的是比GMT更为精确的世界时间标准,不过对于大部分应用来说,GMT与UTC的功能与精确度是没有区别的。
国际原子时(TAI):国际计量局(BIPM)根据世界20多个国家的实验室的100多台原子钟提供的数据进行处理,得出“国际时间标准”称为国际原子时(TAI)。国际原子时(TAI)的准确度为每日数纳秒,而协调世界时(UTC)的准确度为每日数毫秒。计算机中,一般不用国际原子时(TAI)表示时间,多采用GMT和UTC时间基准。国际原子时(TAI)仅在网络校时中起到一定作用。
夏时制(简称D.S.T):是指夏天太阳升起的比较早时,将时钟拨快一小时,以提早日光的使用,在英国则称为夏令时间。
本地时间:本地时间就是所在地的时间,本地时间基于GMT/UTC,计算了本地所在时区偏差和夏时制所得出的时间。
系统时间定义:系统时间以CMOS时间作为基准,CMOS(互补金属氧化物)是板载的半导体芯片。从某种意义上来讲,CMOS时间是所有时间的来源,操作系统读取CMOS时间作为系统时间,文件在创建、修改、访问的时候,创建、修改、访问时间是根据系统时间进行修正和存储的。
系统时间在Windwos中以128bit长度存储。分为8部分,每部分为16bit。
属性时间的格式和存储方式根据系统而异。在某些文件中,文件中还会有内嵌时间美国苹果id下载app。从证据力上,由于内嵌时间不为人知,内嵌时间的证据力要大于属性时间。属性时间和内嵌时间统一被称为文件时间。
32位Windows/Dos时间格式被存储于32bit(4字节)二进制数据格式内。适用于大部分FAT文件系统的DOS函数调用,FAT文件系统目录项中的文件创建,修改,访问的时间就是这种数据结构。
创建时间除了32位的时间表示外,还有1个字节(8bit)保存有1/100秒的数值;
64位的Windows/FILETIME文件时间还保存在日志文件、缩略图文件和快捷方式文件等多种文件中。
C/Unix时间,或称POSIX时间,是Unix或类Unix系统使用的时间表示方式。是从协调世界时(UTC)1970年1月1日0时0分0秒起至现在的总秒数(不包括闰秒)
C/Unix时间在Unix系统中和网络传输中很常见。Java和Win32可执行程序也使用这个时间。Windows存储在注册表中国呢的开机时间也是使用C/Unix时间格式。C/Unix时间用于UFS1、UFS2、Ext2、Ext3、Ext4文件系统。
C/Unix时间可以使用dcode,也可以在线解析,但是要注意字节顺序。
早期的苹果计算机采用MFS文件系统,又称分层文件系统。苹果Mac文件系统(HFS和HFS+)的时间存储于32bit(4字节)二进制中,基于1904年1月1日00:00:00,以秒递增(不包括闰秒)。能表示的最大值是格林威治时间2040年2月6日06:28:15 GMT。HFS和HFS+的时间格式不包括闰秒,但包括闰年。
HSF和HSF+文件系统的卷头和目录中包含有时间,其中HFS均以本地时间标准来存储,而HFS+卷头的创建时间以本地时间标准、其他时间以GMT/UTC时间标准存储,这是因为HFS+文件系统中以创建时间作为软件的统一标识,如果以GMT/UTC时间格式存储,会被时区干扰。目录中的时间都以GMT/UTC时间标准来存储。
HFS+的目录是保存文件夹和文件的属性的区域,因此也包含了相应的时间。这些时间是以HFS+文件时间格式保存的。
GSM/UMTS的短信使用PDU编码来传输数据。短信中包含有时间戳,时间戳长度为7个字节。
时间戳的前1-6个字节使用BCD编码,每个字节分为两部分,为0x00-0x03(最高有效位)和0x04-0x07(最低有效位)。第7个字节的0x00-0x02(最高有效位)和0x04-0x07(最低有效位)补位组成时区偏移,以UTC为基准,15分钟为递增计数,0x03代表偏移方向(0为正;1为负)
当文件被建立、修改和访问的时候,Windows系统就会在文件系统中记录时间。FAT时间格式则是基于当地时间以32位Windows/Dos文件时间格式存储。NTFS文件系统基于GMT/UTC时间,以64位Windows/FILETIME文件时间格式存储。
应用软件对文件内容作最后修改的时间(打开文件,任何方式编辑,然后写回硬盘)。
某种操作最后施加于文件上的时间,包括查看属性、复制、用查看器查看、应用程序打开或打印,几乎所有的操作都会重置这个时间(包括资源管理器,但DIR命令不会)。
NTFS使用数据流来存储数据,在文件任何属性和内容变化时,相应的数据流就被改变。
在文件系统中,数据流相应的也有一个修改时间,称为节点修改时间(E时间)。NTFS的时间也被称为M-A-C-E时间。
文件的最后访问时间的更新间隔被设置成最近的一天(FAT)或最近的一小时(NTFS),最后访问时间不是精确时间,不能作为证据使用。
Unix/Linux下文件的时间包括最后修改时间、最近访问时间、i节点变化时间。
超过25000种文件内部都有时间戳。很多文件都具有标准格式,可以跨平台使用。
office文件除了属性时间外,在Word、Powerpoint、Excel中还内嵌了时间戳。分别为创建时间、修改时间、存取时间和打印时间。
这些信息是以二进制形式保存在文件内部。在Office中,保存在SummaryInformation数据流中。通过属性ID表示和属性偏移量来定义保存空间。
一般通过手动方式对其进行解析,也可以通过恢复Office文件的方式,通过查看属性来获取时间值。
凡事使用数码设备拍摄的照片都要遵循JFIF格式,即JPEG文件交换格式。
JFIF中的内嵌的拍摄时间是以ASCII形式保存的,可以直接查看拍摄时间。
文件挖掘又称为文件雕刻,是从未知的二进制数据中获取有效的、可理解的数据过程。
通过定位文件头和尾的位置,来提取文件。又称为“文件签名挖掘”技术。如html文件、jpeg文件恢复。
只能定位或者有文件头,同时文件长度固定或不影响文件内容,可以规定一个范围来提取文件。
通过解析文件内部结构和编码,来直接解析其中重要信息和恢复文件。又被称为“Semantic Carving”和“Deep Carving”。文件结构挖掘是针对文件数据结构来进行分析的,电子数据取证使用最为广泛的技术。例如对于Office文件、Index.dat、回收站文件等文件的取证都是基于文件结构挖掘的。
超过两个以上碎片,通过重组形成为原始文件。又被称为“Split Carving”。
通过给碎片文件添加重要结构,例如文件头、文件尾和关键结构信息。文件挖掘工具已经成为取证工具开发的基础,如Foremost、Scalpel、WinHex等。
用集线器(hub)组件的广播网络是基于共享的原理的,广播网中所有的网卡都会收到所有数据包,直接就可以进行嗅探。
ARP欺骗嗅探是将本身伪造成网关,向目标PC发送广播数据,欺骗目标PC,让它认为嗅探PC是网关,由嗅探PC承担数据转发,以此截获目标PC的网络数据。
端口镜像称为巡回分析端口,它从网络交换机的一个端口转发每个进出分组数据的拷贝到另一个端口,可以此端口进行分析,端口镜像是监视网络通行量和通讯内容的一种方法。
基于端口镜像的嗅探受限于交换机能够支持的镜像功能,能够镜像多少端口、镜像出来的协议如何都取决于交换机的型号和配置。低端交换机不能活着只能单端口到单端口的镜像,高端交换机都支持多对一的端口镜像。基于端口镜像的嗅探必须拥有交换机的管理权限。
嗅探器分为通用嗅探器和专用嗅探器。前者支持多种协议,如tcpdump、Wireshark、Sniffit等,后者是针对特定协议进行嗅探的。
1、取证流程符合国家和地方的法律法规,从事取证的执法人员得到法律的授权;
2、必须采取完全可靠的取证方法来保证电子数据的完整性、连续性。即在作为证据使用的电子数据被正式提交给法庭时,必须能够说明在数据从最初的获取状态到在法庭上出现状态之间的任何变化;
4、任何针对数据的获取、存储、运输、分析检查的活动都必须在案,存档待查;
电子数据取证主要是通过对存储介质进行获取、分析,从中发现与案件相关的线索和情报信息。
电子数据必须保存于原始状态中,防止被不正确的处理方式所影响、损坏或者被删除。
提取出有用的证据,分析判断其中的关联性。将数据转换为可读可写的形式。所有分析最好在原始数据的备份中进行。原始证据应该被安全的获取以保持证据的完整性;
基本信息包括系统类型、账户信息、安装时间、关机时间等;基本信息的获取,可以利用取证工具的脚本或者自动提取功能来实现。基本信息可以为电子数据取证人员提供目标的一个基本概况,为下一步的取证工作打好基础。
关键词搜索不依赖文件系统,设置的关键词以二进制的形式,在介质中进行遍历,直到命中结果。
需要查看CMOS时间与标准时间的差异。如果系统时间不准确,文件时间也会相应不准确,需要注意偏移,防止因为偏移造成误判。
时区和夏时制往往被忽略,检查时不但要通过系统时间查看,还要查看注册表中当前时区。
恶意用户为了掩盖行为,往往修改系统时间后进行非法操作,然后再将系统时间改为正常来逃避打击。联网时是否进行过校正系统的时区。
2. 某些防病毒软件对文件进行扫描时,最后访问时间会发生改变。而某些防病毒软件在完成病毒扫描后会恢复最后访问时间。
4. 在不同格式分区移动或者拷贝文件,其中的M-A-C时间可能会发生多种变化。
1、如果修改时间等于建立时间,那么文件是原始文件,既没有被修改也没有被剪切。
3、如果硬盘上批量文件具有相近访问时间,则有可能被同一工具软件扫描过,如杀软。如果相同文件夹中图像和视频文件有相近访问时间,并且没有其他的图像和视频文件具有相似的访问时间,则这极有可能被一个图像和视频预览工具访问或者打开过。
4、同文件夹中,如果一些文件的修改时间等于创建时间,并且有很近的创建时间或修改时间,则可能是从网上批量下载。
6、文件下载时,文件创建时间为开始下载的时间,文件修改时间为下载结束的时间。注意:使用IE下载时是先下载到临时目录在拷贝。
7、压缩文件解压时,通常情况(WinRAR、WinZip)下文件的创建时间为解压时间,文件修改时间与压缩前的文件一致。
相对于这个记录的偏移量0x16是32位Windows/DOS文件时间格式表示的最后写入时间,也就是卷更新(格式化)的本地时间。其中“016E3B3E” = “2011年1月27日13:48:02”
在格式化NTFS文件系统时,就建立了主文件表(MFT),主文件表(MFT)由MFT项组成。MFT项由头和属性列表组成。MFT属性中的标准属性内嵌了64位Windows/FILETIME时间表示的M-A-C-E时间。因为NTFS将分区信息以文件形式保存,$MFT是MFT表的系统元文件,0号MFT就是对自身进行描述。在$MFT中偏移量0x50处开始的32个字节组(4组)存储的是M-A-C-E时间,时间格式是64位Windows/FILETIME时间格式。
由于Ext3的块大小可能是1024字节、2048字节或4096字节,因此存放文件系统元数据的超级块的地址也是变化的。
可以从0x108-0x10B获得文件系统创建时间,也就是卷创建时间。此处卷创建时间=95 84 79 4D = 2011年3月11日 10:10:29 GMT+8。Ext4文件系统与Ext3文件系统只是增加日志功能,其他无变化。
格式化HFS+文件系统时,生成文件系统卷头。HFS+文件系统卷头位于2号扇区,占用1个扇区,类似于FAT和NTFS的DBR。Mac OS系统使用大端字节顺序存储数据。
SAM文件中保存了用户的账户信息,在进入系统之前,需要对账户进行验证,此时就保存了SAM的更新时间。
SAM文件头为512字节大小。在偏移量0x0C-0x13的8个字节中保存的是更新SAM文件的时间,也可以认为是开机时间。这个时间以64位Windows/FILETIME时间格式保存。
在Windows系统注销或者关闭时,需要停止事件日志服务,相应的事件ID=6006。可以认为是关机时间。
在Mac OS中,关机时间会在HFS+文件系统卷头(2号扇区)中体现。一般认为,修改时间就是系统关机时间。
临时目录存在于“Documents and Settings用户名Local Setting”中。用于文件临时存放。部分程序在安装时,会在临时目录中暂存相关文件,但在安装后不一定删除该文件。
Cookies目录存在于用户目录下,为隐藏属性。在访问一个网站后,会在此目录中保存网站的Cookie文件。
Cookie目录中通常有两类文件,一类是以“用户名@网站名.txt”命名的TXT文件,一类是index.dat文件。二者都保存了访问网站的信息。但是TXT文件是真正起作用的Cookies文件。其中包括了创建时间和过期时间。
历史记录目录存在于用户的“Local Setting”目录下。默认保持历史记录为20天。
Internet历史文件位于用户目录的“Local Setting”目录中,用于保存IE访问Internet的缓存信息和文件。功能是当用户再次访问同一网站时,如果网站没有较大变动,就不用重复下载网站图片和页面信息,以提高浏览速度。这个目录下也有index.dat文件,它保存在子目录“Content.IE5”中。
Internet历史文件目录不但保存着IE的历史记录,而且还是Outlook的附件缓存目录,在Outlook打开附件时,会在Internet历史文件目录中生成一个以“OLK”开头,附加一系列随机字母的目录,其中保存着附件。在这个目录下,还有Outlook Express和Hotmail的附件信息。
当内存少于系统应用的需求时,系统会生成一个交换文件来暂存内存数据,以释放部分内存来进行应用。这个交换文件又叫做页文件(Pagefile.sys),它存在于根目录中,交换文件会很大,通常会超过内存容量。
交换文件可以解决动态内存数据因为断电而不复存在的问题。通过检查交换文件,可以获取文件碎片以便进行分析。
因为是将内存数据完全镜像于休眠文件中,因此休眠文件的大小等同于系统内存。即使系统并未进入休眠状态,休眠文件也将存在,只不过数据都为0x00。
Windows中打印文件时,会生成假脱机打印文件。假脱机打印文件在后台以队列方式自动运行,以便用户不必等待打印结束就可以打印下一个文件。使用网络打印机时,假脱机打印文件将被发送给连接打印机的服务器上。打印完成回会被系统逻辑删除。
打印机以RAW和EMF两种模式来进行打印。RAW模式指的是原始图像格式。EMF模式,图像将被转换为EMF格式,EMF不是单独的文件,而是内嵌在其他文件中。EMF时默认打印模式。
每个打印任务会生成两个文件。一个是假脱机文件,扩展名为SPL;另一个是影子文件,扩展名为SHD。
命名方式:“5个数字”或“字母+5个数字”,根据打印任务递增。如00002.SPL、00002.SHD。
假脱机文件(SPL)和影子文件(SHD)包括了用户名、打印机名、文件名、打印模式(RAW或EMF)等打印信息。
假脱机文件(SPL)还包括了打印内容,如果是RAW模式,假脱机文件(SPL就包含了原始打印内容)。Windows系统默认使用EMF模式,每个打印页面都被转换为EMF格式保存在假脱机文件(SPL)中。
由于系统会在打印结束后删除假脱机文件,因此假脱机文件大都保存在未分配空间、文件松驰区、交换文件、休眠文件中。但只要对EMF文件头进行文件签名分析,就会提取到打印过的图像信息。
Prefetch目录的作用是加快系统启动的进程。Windows XP之后新的系统会自动记录下启动时运行的每一个程序,并根据这些信息加快下一次启动的时间。这些文件以pf文件为后缀。预读取文件的目录位于“Windows/Prefetch”
系统启动时,Windows Cache manager监测两分钟内的启动程序,1分钟内的Windows服务以及10秒内运行的应用程序。
某些文件是系统启动时需要用的文件,将这些文件形成预读取文件会提高系统启动速度。
启动加速文件的命名是固定的,例如NTOSBOOT-BOODFAAD.pf。此类文件的文件名后面总是BAADFOOD,里面保存的是未初始化的数据,是预读取文件中占用空间最大的一类文件。
程序的内存页形成的预读取文件会提高程序的启动速度。命名以文件名后跟4个字节运算值,这个值以PI(3.14159)为种子随机运算+37而得出的。例如:CMD.EXE-4A81B364.pf
预读取文件中包含了程序名称、时间戳和运行次数等信息。其中时间戳以GMT格式存储。
每一个预读取文件的文件头都有特殊标记,Windows XP/2003以“11 00 00 00 53 43 43 41”开头,而Windows Vista/7以“17 00 00 00 53 43 43 41”开头。因此即使预读取文件被删除,也能通过GREP语法来找到文件起始,由于预读取文件没有文件尾,可以将超过源文件大小的数据提取出来进行分析。
IE浏览器会将所有访问过的站点各个页面的URL地址记录到用户配置文件夹下的History.IE5文件夹中,并以浏览时间为序列列出最近浏览过的站点。所有地址链接和各种访问的详细信息都存储在名为Index.dat的索引文件中。
Windows操作系统正在运行的情况下,对于数据读取访问做了特殊处理,与真正在硬盘上存储的文件视图有差异。
通常History.IE5下有一个全局索引文件Index.dat,在各个以时间序列分组的各个文件夹下也都有一个索引文件Index.dat
Content.IE5中的索引文件Index.dat,包含了通过IE浏览器访问网页后在该计算机中缓存的文件的相关记录,用于加速浏览器的速度。缓存的文件存储在本地计算机时被重新命名。
Cookies通常存储在用户配置文件夹下的Cookies文件夹,该文件夹下保存了1个索引文件Index.dat和大量的Cookies文本文件。Index.dat记录了用户访问的所有站点地址信息,Cookies文本文件则单独记录了各个站点的相关信息。
通常Windows下的Cookies文件的命名规则:“用户名@站点相关的名称[序号].txt”
收藏夹中每个站点链接的文件的扩展名为url。可以通过分析用户注册表(NTUser.dat)解析IE浏览器收藏夹的存储路径来查看。
从电子数据取证角度来看,IE10.0最大的变化就是使用了一个全新的WebCacheV01.dat代替传统的index.dat,该文件是一个数据库文件,是一种可扩展存储引擎(简称ESE)的数据库。
ESE可扩展存储引擎是一种灵活度很高的数据库类型,大小可以是1MB,也可以是1TB,使用一种崩溃恢复机制,保证数据库所存储的数据的一致性,ESE的高级缓存系统让其能高效访问数据。
ESE可扩展引擎数据库的存储单元是页(Page),在Windows7系统中,每个页大小为32KB,除了部分特殊的“长”记录需要跨页存储外,数据库每条记录都尽可能存储在一个独立的页中。ESE采用B树(B-Tree)结构存储数据。
重要的一点,当某条记录从数据库被移除后,其占用的空间会被标记为删除,但数据库不会执行覆盖操作。正是因为如此,只要被移除的记录尚未被另外的记录覆盖,那么原记录的数据内容及其可能还在未分配的空间,因此有机会恢复出尚未被覆盖的数据。
