羅文華 鄭志翔

（1中國刑警學院 遼寧 沈陽 110035；2新疆警察學院 新疆 烏魯木齊 830013）

從電子數(shù)據取證角度看Windws7操作系統(tǒng)新變化

羅文華1鄭志翔2

（1中國刑警學院 遼寧 沈陽 110035；2新疆警察學院 新疆 烏魯木齊 830013）

基于電子數(shù)據取證視角，從系統(tǒng)文件（夾）、注冊表、回收站和事件日志等4個方面解析Windws7操作系統(tǒng)的重要變化，并對實際工作中的具體技術方法予以歸納總結。

Windws7電子數(shù)據取證 系統(tǒng)文件（夾） 注冊表 回收站 事件日志

1 引言

Windws7是由微軟公司開發(fā)的操作系統(tǒng)，核心版本號為WindowsN T6.1，可供家庭及商業(yè)工作環(huán)境、筆記本電腦、平板電腦、多媒體中心等使用。相比于WindowsXP，其在性能指標方面有著良好的表現(xiàn)，取得了一定的口碑。同時由于微軟公司宣稱2014年將取消WindowsXP的所有技術支持，因此目前Windws7在國內市場的占有率越來越大。電子數(shù)據取證工作也會隨之越來越多地面對Windws7操作系統(tǒng)。Windws7在很多方面與WindowsXP都存在較大差異，從而導致了電子數(shù)據取證具體技術與方法的不同，因此從取證角度審視Windws7的系統(tǒng)變化具有積極的實戰(zhàn)意義。

2 從電子數(shù)據取證角度看Windws7操作系統(tǒng)新變化

2.1 系統(tǒng)文件（夾）的變化

Windws7不再使用“Documents and Settings”文件夾存放用戶文件，卻而代之的是“Users”文件夾。并在“Users”文件夾下新增了名為“Public”的子文件夾，以提供所有用戶均可訪問的文件及文件夾。Windws7中還新增了文件虛擬化（File virtualization）技術，以確保不具有管理員權限的用戶無法向“Windows”、“Program Files”、“Program Data”等受保護的文件夾寫入內容，但可以寫入“虛擬”文件夾。所謂“虛擬”文件夾，其在磁盤介質上是確實存在的，只不過Windws7操作系統(tǒng)屏蔽了轉寫過程，使轉寫操作對用戶而言是透明的。圖1所示即為當非管理員用戶F L-800安裝應用程序時，程序信息并未寫入Program Files文件夾，而是寫到了該用戶的AppDataLoca lVirtualStore文件夾中。因此當針對特定用戶操作行為進行分析時，不可忽視“虛擬”文件（夾）。

圖1 用戶F L-800的“虛擬”文件夾

微軟公司最早在WindowsM e中增加了“系統(tǒng)還原”功能，并且一直沿用到其后版本的Windows系列操作系統(tǒng)中?！跋到y(tǒng)還原”的目的是在不需要重新安裝操作系統(tǒng)，也不會破壞數(shù)據文件的前提下使系統(tǒng)回到工作狀態(tài)。系統(tǒng)還原程序通常在后臺運行，并在觸發(fā)器事件發(fā)生時自動創(chuàng)建還原點。Windows操作系統(tǒng)主要依靠System Volume Information（系統(tǒng)卷標信息）文件夾實現(xiàn)“系統(tǒng)還原”功能，用它存儲相關信息及還原點。該文件夾是一個隱藏的系統(tǒng)文件夾，需要在“工具”→“文件夾選項”→“查看”選項卡中勾除“隱藏受保護的操作系統(tǒng)文件”并勾選“顯示所有文件和文件夾”之后才可以查看得到。Windows XP系統(tǒng)中，System Volume Information文件夾中包含有以字符串“_restore”開頭的后接全局唯一標識符（GUID，Globally Unique Identifier）的文件夾。該文件夾包含有“R P#”字樣的子文件夾，同時還含有_filelist.cfg、_driver.cfg等文件。其中，_filelist.cfg是一種二進制文件，用來定義監(jiān)視文件的類型；_driver.cfg則用來負責說明存儲介質信息（圖2）。

圖2 WindowsXP下_restore文件夾內容

每個還原點都對應一個R P#（#代表數(shù)字序列號）文件夾。該文件夾下除包含有snapshot文件夾外，還包括系統(tǒng)還原操作所涉及的各類文件。從圖3可以看出，當用戶針對還原點監(jiān)視的文件進行修改操作時，該文件即被添加至R P#文件夾下，但名稱被更換為字母和數(shù)字組成的序號字符串，并且當有新文件添加時序號自動加1。若要解析出序號文件與真實文件的對應關系，需要依靠同樣保存在R P#文件夾下的change.log文件。與序號文件對應的文件原始名稱及存放路徑均保存在change.log文件中。因此，依據此文件可深入解析出用戶的惡意操作行為。需要指出的是，當被用戶更改的文件添加至R P#文件夾下時，創(chuàng)建時間、修改時間與訪問時間等屬性卻保持不變。R P#文件夾的這種特殊性質為取證人員進一步挖掘時間信息提供了有利的線索。snapshot文件夾主要包括還原點涉及的注冊表巢文件，涉及SAM、SECURITY、SOFTWARE、SYSTEM、DEFAULT、NTUSER和USRCLASS等多重分支。依據注冊表巢文件可以解析出硬件及軟件安裝、應用程序配置、密碼修改、網絡連接記錄等變化情況。

圖3 R P#文件夾下內容

Windws7下的System Volume Information文件夾結構卻與X P截然不同，不再單獨描述特定文件的變化，而是利用整體文件（文件名稱中含有G U I D信息）的形式描述特定時間點的卷信息。并且，除了常規(guī)的還原點文件之外，該文件夾下還包含一名為“Syscache.hve”的注冊表文件及其歷史文件備份（圖4）。此文件夾的具體電子數(shù)據取證特征還有待進一步挖掘。

圖4 Windws7下的System Volume Information文件夾內容

Windws7操作系統(tǒng)為了幫助用戶快速定位自己的常用文件，新增了一種文件選擇功能——跳轉列表。雖然WindowsXP中的“我最近的文檔”也能起到類似的作用，但Windws7下的“跳轉列表”則在功能上做了極大的延伸。首先，跳轉列表可以按程序進行分類顯示，依據任務欄上的特定程序圖標可查看歷史操作記錄并進行選擇。在任務欄上右鍵單擊指定程序圖標，然后單擊該文件便能實現(xiàn)開啟文件的目的；另外，跳轉列表除了顯示最近使用的文件記錄外，還增添了“鎖定”功能，顯示跳轉列表時將鼠標停在選定文件上，右側則出現(xiàn)“鎖定”選項。將其鎖定后，文件便固定于該列表的最上方，當文件操作數(shù)目超過跳轉列表最大顯示項目數(shù)時，新記錄不會覆蓋鎖定的記錄，只會刷新“最近”里的記錄（圖5）。

圖5 跳轉列表中的“已固定”與“最近”項

為實現(xiàn)跳轉列表功能，操作系統(tǒng)在Users\%username%AppDataRoamingMicrosoftWindowsRecent文件夾下設置有名為“AutomaticDestinations”的文件夾。該文件夾下包含擴展名為automaticDestinations-ms的相關文件，文件名稱為16個十六進制數(shù)字組成的字符串。值得注意的是，AutomaticDestinations以數(shù)據流方式進行存放，即使勾選“顯示所有文件和文件夾”選項，Recent文件夾中也無法顯示此文件夾。除非在地址欄中鍵入完整的路徑名稱，才能觀察得到AutomaticDestinations文件夾下的內容（圖6）。不同的程序擁有不同的字符串名稱，如“ExplorerPinnedandRecent”關聯(lián)名稱“1b4dd67f29cb1962”，“Paint6.1”關聯(lián)“12dc1ea8e34b5a6”。

圖6 Recent文件夾下Automatic Destinations文件內容

使用工具JumpLister可實現(xiàn)automaticDestinationsms文件內容的解析。如圖7所示，Word程序的跳轉列表中有一名為1.doc的文件，該文件存放在“C:UsersAdministratorDesktop”文件夾下；其創(chuàng)建時間與訪問時間均為“2013年6月28日7∶01∶04”，修改時間卻為“2012年3月29日4∶15∶06”。需要指出的是，上述時間信息并未考慮時區(qū)因素，實踐中要考慮時區(qū)時間才能做出準確的分析與判斷。

圖7 automaticDestinations-ms敏感信息分析

2.2 注冊表的變化

Windws7在WindowsSystem32config下設置有“TxR”（Transactionsupportfortheregistry）文件夾，以存放注冊表事務處理日志信息。依據“TxR”文件夾下的blf文件，取證人員可以追溯注冊表的歷史狀態(tài)。特別需要指出的是，HKEY_LOCAL_MACHINESYSTEMControlSet001ControlFileSystem下的NtfsDisableLastAccessUpdate鍵值（圖8）默認設置為1（WindowsXP中默認設置為0），會使最近訪問時間無法自動更新。因此在針對時間屬性進行調查時，需首先查看此鍵值，以確定訪問時間是否可靠。

圖8 Windws7下NtfsDisableLastAccessUpdate鍵值默認為1

WindowsXP的注冊表項中包含有ShellNoRoam表鍵，其下含有BagMRU表鍵（圖9）。BagMRU表項對應著用戶使用的“桌面”文件夾，其下子鍵則以數(shù)字進行命名。“0”代表桌面上的“我的文檔”文件夾，“1”代表“我的電腦”，其余數(shù)字則依次與桌面上的其它文件（夾）對應。除子鍵外，BagMRU表項下還有名為“MRUListEX”、“NodeSlots”、“0”、“1”、“2”的鍵值。名稱為數(shù)字序號的鍵值與子鍵對應，其數(shù)據的值用于描述文件夾名稱與時間屬性。MRUListEx鍵值的數(shù)據中以四字節(jié)為一組存放文件夾對應的數(shù)字序號，文件夾的訪問次序可利用此信息進行分析。Windws7注冊表項中雖然不再包含ShellNoRoam表鍵，而只是設置了Shell鍵。但是，Shell鍵用于描述遠程文件夾的操作行為，其分析方法也與ShellNoRoam鍵相同。

圖9 通過ShellNoRoam表項分析文件操作行為

WindowsXP和Windws7均使用HKLMSYSTEMCurrentControlSetEnum表鍵下的USBSTOR子鍵描述USB存儲設備。該表鍵采用Disk&Ven_iManufacturer&Prod_iProduct&Rev_r(4)格式描述設備信息。其中，iManufacturer代表制造商，iProduct代表設備類型，r(4)代表修正碼。從圖10可以看出，該設備制造廠商為Newsmy，設備類型則是FLSAH_DISK，修正碼1100，設備序列號最重要，當前為“AA20091118000001”（類似“&0”字樣的字符串為操作系統(tǒng)附加，不應劃分在序列號范疇）。

圖10 注冊表項中的USB設備使用信息

Windws7最新設置的UMB表鍵為分析USB存儲設備痕跡帶來巨大便利。該表項全面覆蓋USB與USBSTOR表鍵敏感內容，并標記說明該設備曾經擁有的盤符，從而彌補MountedDevices表鍵的不足。序列號為AA20091118000001的USB設備對應盤符為I（圖11）。

圖11 UMB表鍵下的移動存儲設備信息

2.3 回收站的變化

Windws7回收站不再設有WindowsXP時代的Info2文件。當一個文件被刪除時，Windws7會在回收站文件$Recycle.Bin中用戶所對應的SID（SecurityIdentifiers，Windows內部進程引用帳戶的SID而不是帳戶的用戶名或組名）子文件夾下自動生成文件名稱以“$I”和“$R”作為開頭的兩個文件?！?I”和“$R”后接有6位長度的隨機字符串（同一被刪除文件的隨機字符串相同）及“.”和原文件的擴展名（圖12）。

圖12 回收站中以“$I”和“$R”作為文件名稱開頭的文件

$I文件中保存有以Unicode格式存儲的被刪除文件的文件名稱、原始存放路徑以及刪除時間等信息（圖13），$R文件則負責保留文件內容等數(shù)據流信息。無論是Windws7還是WindowsXP，在注冊表項HKEY_USER”UsersID”SOFTWAREMicrosoftWindowsCurrentVersionExplorerBitBucketvolumeGUID下均有一名為NukeOnDelete的鍵值，當被設置為1時，被刪除文件會繞過回收站直接被徹底刪除。

圖13 $IOVQ3ET.txt文件中的文件名稱與存放路徑信息

2.4 事件日志的變化

Windws7環(huán)境下事件日志不再存放于WindowsSystem32config文件夾下，而變更為WindowsSystem32winevtLogs，日志文件的擴展名也由evt變?yōu)閑vtx（圖14）。在日志文件被清空的情況下，WindowsXP/2003下可選擇日志記錄特征標識“LfLe”（4C664C65）作為關鍵字；Windws7下日志文件可通過關鍵字“ElfFile”（456C6646696C65）定位，日志記錄則可利用“ElfChnk”（456C6643686E6B）搜尋。需要指出的是，evtx格式的日志文件采用XML（Extensible Markup Language，可擴展標記語言）進行描述，需深入理解其格式規(guī)范才能正確解析記錄內容。

圖14 Windws7環(huán)境下日志文件

Windows操作系統(tǒng)主要記錄應用程序、系統(tǒng)和安全三種日志，并且被記錄的事件均對應有事件ID。Windws7保留了原有的上述三種日志，同時增加了服務日志（如ACEEEventlog、InternetExplorer、KeyManagement、MicrosoftOfficeAlerts等）。并在安全日志中更換了其所記錄事件的ID（應用程序日志與系統(tǒng)日志則保留其原有事件ID），系統(tǒng)日志也增加了審核項目。例如，WindowsXP原本并不記錄更改移動設備掛載事件，而在Windws7則增加了此類事件的審核，并分配相應的事件ID20001與20003等（圖15）。

圖15 Windws7系統(tǒng)日志記錄的移動設備掛載事件

3 結束語

除上述變化外，Windws7操作系統(tǒng)中還增設一些更為復雜的功能，如RegistryVirtualization（注冊表虛擬化）、BitLocker（位鎖服務）等。這些功能會給電子數(shù)據取證工作造成更為深刻的影響，但需要全面深入的實驗分析才能獲知其取證方法。Windws7在IconCache.db文件、Superfetch文件夾、UserAssist表鍵等方面取證特性與WindowsXP保持一致，具體技術與方法同樣適用。

[1]CarveyH．Windows Forensic Analysis[M]．US:Syngress，2012：134-156．

[2]羅文華．基于Recent文件夾下的快捷方式文件解析用戶行為方法研究[J]．信息網絡安全，2013，(5)：22-24．

[3]Russinovich MR，Solomon DA．Microsoft Windo ws Internals：Windows Server 2008 andWindows Vista(5thed)[M]．USA：Microsoft Press，2009：246-266．

（責任編輯：孟凡騫）

D F 793.5

A

2095-7939(2015)04-0034-04

2015-04-14

網絡安全執(zhí)法與公安技術信息化協(xié)同創(chuàng)新中心項目。

羅文華（1977-），男，遼寧沈陽人，中國刑警學院網絡犯罪偵查系教授，碩士，主要從事電子數(shù)據取證研究。