王 宇，吳玉強，楊 揚

（1.吉林警察學(xué)院，吉林 長春 130117；2.南京森林警察學(xué)院，江蘇 南京 210023；3.天津市公安局，天津 130033）

Windows 8系統(tǒng)的計算機取證問題分析

王 宇1，吳玉強2，楊 揚3

（1.吉林警察學(xué)院，吉林 長春 130117；2.南京森林警察學(xué)院，江蘇 南京 210023；3.天津市公安局，天津 130033）

隨著微軟最新一代操作系統(tǒng)Windows 8的逐漸推廣，計算機取證人員也將在工作中與之越來越多地相遇。在此背景下，針對Windows8系統(tǒng)，從其新增功能、注冊表分析、Bitlocker加密和網(wǎng)絡(luò)瀏覽記錄取證等角度出發(fā)，分析取證過程中可能涉及的問題及其解決方法，以期能夠為計算機取證工作提供幫助。

Windows8；計算機取證；注冊表；Bitlocker；分析

一、引言

從最新的Net Applications的調(diào)查結(jié)果來看，Windows XP系統(tǒng)與Windows 7系統(tǒng)目前在個人電腦操作系統(tǒng)市場仍然占據(jù)著不可動搖的領(lǐng)先地位，兩者的市場占有率仍超過將70%，但微軟公司宣布將于2014年4月8日全面停止對于Windows XP系統(tǒng)的支持，這也就意味著從那時起市場占有率達33%的Windows XP系統(tǒng)用戶將再也不會收到微軟的官方更新。沒有官方更新支持的Windows XP系統(tǒng)無疑會變得不安全，會更輕易地遭受病毒和黑客的入侵。在此條件下，越來越多的個人用戶和企業(yè)用戶將升級至Windows 7系統(tǒng)和Windows 8系統(tǒng)。雖然截至目前Windows 8系統(tǒng)與Windows 8.1系統(tǒng)的市場占有率才將近10%，但考慮到在開機后的啟動速度以及電池續(xù)航等方面都有十分顯著的提高，同時滿足了用戶對于便攜性的要求，未來使用Windows 8系統(tǒng)的人也會越來越多。因此，針對Windows 8系統(tǒng)的取證分析也顯得越來越重要。

Windows 8系統(tǒng)與之前的Windows 7系統(tǒng)相比較，在安全設(shè)置上和操作習(xí)慣上相比有進步和差別，因此，伴隨而來的是對司法取證人員工作的影響。作為一名計算機取證人員，熟悉Windows 8系統(tǒng)及其功能的最新變化，對實際工作有很重要的價值。本文針對Windows 8系統(tǒng)的計算機取證問題進行分析，主要從其新增的一些網(wǎng)絡(luò)功能、注冊表分析、Bitlocker加密和網(wǎng)絡(luò)瀏覽取證等方面進行介紹，并簡單地分析取證過程中可能涉及的問題及其解決方法，以期能夠更好為計算機取證工作提供幫助。

二、Windows 8系統(tǒng)簡介

Windows 8操作系統(tǒng)是微軟在北京時間2012年10月25日23點15分推出的最新版的Windows系列操作系統(tǒng)，也是繼Windows 7之后發(fā)布的最新操作系統(tǒng)，它延續(xù)了Windows 7系統(tǒng)的各種優(yōu)點，并且將用戶體驗作為一個重要的組成部分。除了新增大量的實用功能外，Windows 8系統(tǒng)對硬件的要求也適合絕大部分用戶的計算機配置，它可以采用多種安裝方法來進行安裝體驗。

三、Windows 8系統(tǒng)新增功能分析

Windows 8系統(tǒng)為了方便用戶在日常能夠即時使用郵件進行聯(lián)系，提供了人脈、日歷、消息以及郵件應(yīng)用功能，特別是人脈應(yīng)用可以集合社交網(wǎng)絡(luò)和即時聊天服務(wù)的聯(lián)系人。

當用戶使用Microsoft賬戶登錄Windows 8系統(tǒng)的電腦之后，即可與自己所關(guān)注的文件、人脈和相關(guān)設(shè)置相連接。用戶可以將喜愛的服務(wù)，比如微軟Hotmail、微軟MSN和sina微博等連接至Microsoft賬戶。與此同時，聯(lián)網(wǎng)情況下用戶還可以隨時訪問在Microsoft SkyDrive、Flickr或其他服務(wù)項目上的所有文檔、照片和其他文件。

以連接到新浪微博為例，進入Windows 8系統(tǒng)人脈應(yīng)用界面后，依次選擇“設(shè)置”——“賬戶”——“添加賬戶”，就會出現(xiàn)“新浪微博”的選項。點擊選擇，輸入賬戶名和密碼，授權(quán)之后完成鏈接，在鏈接到的微軟賬戶中，會同時接收到一封郵件，通知已成功鏈接，然后對鏈接后的權(quán)限可以在郵件中進行簡單的設(shè)置。之后用戶就可以在人脈應(yīng)用面板中看到新浪微博中關(guān)注的好友動態(tài)，同時在右上角的圖標中會加入新浪微博的標志。按照類似的方法，用戶還可以繼續(xù)添加其他的賬戶，例如Hotmail、Google等。此外，全新的Windows 8系統(tǒng)的開始屏幕將聯(lián)系人、照片、天氣和日歷上的下一次約會等電腦機主所關(guān)注的信息集于一處，這對分析機主的個人行為也起到了一定的作用。

在對Windows 8系統(tǒng)的取證中，這些新增功能要引起取證人員的足夠注意。取證人員不但在脫機環(huán)境下對系統(tǒng)有關(guān)數(shù)據(jù)進行分析取證，還要注意在聯(lián)網(wǎng)情況下通過Windows 8系統(tǒng)的這些新增網(wǎng)絡(luò)功能獲得相關(guān)的有用信息，為案件的偵查取得線索。

四、注冊表分析

注冊表是Windows系統(tǒng)存儲關(guān)于計算機配置信息的數(shù)據(jù)庫，是Windows操作系統(tǒng)的核心。注冊表中所有的數(shù)據(jù)都是以二進制的形式存儲的，它存儲系統(tǒng)硬件的全部配置信息、文檔文件和應(yīng)用軟件的關(guān)聯(lián)信息、系統(tǒng)和應(yīng)用軟件的初始化信息、硬件設(shè)備說明以及各種網(wǎng)絡(luò)狀數(shù)據(jù)和狀態(tài)信息?？梢哉f計算機上所有針對軟硬件以及網(wǎng)絡(luò)上的操作都是源于注冊表。因此，正確提取注冊表中的有效數(shù)據(jù)將對偵查破案工作大有幫助。

Windows 8系統(tǒng)注冊表與之前的Windows 7系統(tǒng)差別不大，仍然保留了5個根鍵，其名稱、縮寫及功能描述如表1所示。關(guān)于Windows 8系統(tǒng)注冊表的結(jié)構(gòu)和存儲方式，本文不做過多交代，讀者可以參閱相關(guān)資料。下面分類列舉取證工作中關(guān)注較多的一些注冊表信息，弄清楚它們對于勾畫嫌疑人在計算機上的活動是很有幫助的。

表1 注冊表根鍵的名稱、縮寫和描述

（一）系統(tǒng)信息分析方面

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlComputerNameComputerName：查看本地計算機名稱。

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersion：查看系統(tǒng)的用戶名、公司名、安裝日期、系統(tǒng)版本等信息。

HKEY_LOCAL_MACHINESYSTEMControl001ControlWindows：查看系統(tǒng)最后關(guān)機的時間（這里需要注意的是系統(tǒng)時間與當?shù)貥藴蕰r間是否一致）。

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTimeZoneInformation：查看系統(tǒng)的時區(qū)。

（二）應(yīng)用程序信息分析方面

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun：由控制面板設(shè)定的計算機啟動時運行程序的列表。

HKEY_LOCAL_MACHINESOFTWARERegisteredApplications：記載了所有應(yīng)用程序的信息。

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionuninstall：保存已安裝的Windows應(yīng)用程序的卸載信息。

（三）網(wǎng)絡(luò)信息分析方面

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionNetwork：網(wǎng)卡列表信息，通過這個鍵值可以看出上網(wǎng)的網(wǎng)卡是以太網(wǎng)還是Wi-Fi網(wǎng)卡，是外接網(wǎng)卡還是嵌入式網(wǎng)卡。

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionNetworkListNla CacheIntranet：操作系統(tǒng)連接Intranet網(wǎng)的信息。

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionNetworkList Profiles{Wireless-Identifier}：系統(tǒng)連接的無線網(wǎng)絡(luò)的相關(guān)信息，包括無線網(wǎng)絡(luò)名稱、無線網(wǎng)絡(luò)的創(chuàng)建時間、最后連接時間等信息。

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesTcpipParametersInterfaces：電腦每個網(wǎng)卡最后設(shè)置的IP地址和默認網(wǎng)關(guān)等信息。

（四）最近使用文件分析方面

HKEY_USERSS-1-5-21-〔UserIdentifier〕SoftwareMicrosoftOffice14.0WordFile MRU：用戶最近使用過哪些Word文檔（14.0表示系統(tǒng)安裝的是OFFICE 2010版本）。

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerRecentDocs：最近通過文件資源管理器打開或運行的文件。

（五）設(shè)備接入分析方面

HKEY_LOCAL_MACHINESYSTEMControlSet001ControlPrintPrinters：系統(tǒng)中保存的打印機驅(qū)動程序信息。

HKEY_LOCAL_MACHINESYSTEMControlSet001EnumUSBSTOR：Windows系統(tǒng)中曾經(jīng)插入的USB設(shè)備、手機設(shè)備、平板電腦設(shè)備，包括產(chǎn)品ID、制造商ID、產(chǎn)品名稱、型號等信息。

五、BitLocker驅(qū)動器加密

Bitlocker驅(qū)動器加密是微軟公司繼Windows Vista版本之后新增的一種對系統(tǒng)數(shù)據(jù)進行保護的功能，它可以對本地磁盤分區(qū)進行加密保護，同時在Windows 7系統(tǒng)和Windows8系統(tǒng)中新增加了對移動存儲設(shè)備進行全盤加密的功能（Bitlocker To Go）。

這項功能通過加密整個Windows系統(tǒng)，有效地防止未經(jīng)授權(quán)的用戶破壞系統(tǒng)文件以及保護系統(tǒng)對已丟失或被盜計算機數(shù)據(jù)的破壞。利用Bitlocker驅(qū)動器可以加密所有用戶和系統(tǒng)文件，包括休眠文件和交換文件。

關(guān)于Bitlocker的破解工具，目前主要有COFEE（Computer Online Forensic EvidenceExtractor）和PKF（Passware Kit Forensic version 9.5），其中，COFEE是微軟向國際刑警組織免費提供的證據(jù)提取工具，它是一種形狀類似優(yōu)盤的提取工具，包含了信息搜集、密碼破解、網(wǎng)絡(luò)嗅探等各種工具軟件。它的工作原理是繞過所有Windows系統(tǒng)安全措施的方式來實現(xiàn)對系統(tǒng)密碼的破解、搜索計算機系統(tǒng)數(shù)據(jù)、顯示網(wǎng)絡(luò)瀏覽歷史等諸多功能。PKF的破解方法是通過掃描目標計算機物理內(nèi)存中的映像文件，進而得到Bitlocker加密磁盤時使用的加密密鑰來實現(xiàn)破解。

六、網(wǎng)頁瀏覽記錄取證方面

個人的網(wǎng)頁瀏覽記錄是調(diào)查取證中的重點分析對象。用戶在系統(tǒng)上留下的訪問記錄，不僅可以證明其是否曾經(jīng)訪問過某些特定網(wǎng)絡(luò)資源，甚至可以作為相關(guān)案件破獲的重要證據(jù)線索。針對Windows 8系統(tǒng)的網(wǎng)頁瀏覽取證的內(nèi)容與Windows 7系統(tǒng)基本相同，主要包括系統(tǒng)賬戶保留的瀏覽器歷史記錄、緩存記錄、cookies信息和收藏夾信息等。

默認情況下，這類信息在Windows 8系統(tǒng)中位于%SYSTEMROOT%用戶＜用戶名＞AppData文件夾下?？梢酝ㄟ^查看注冊表項HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrent VesionExplorerUser Shell Folders中相應(yīng)鍵值來確定文件存儲路徑修改后的位置。

特別要注意的是，在Windows 8操作系統(tǒng)中，index.dat是一個由IE瀏覽器和系統(tǒng)資源管理器所創(chuàng)建的具有隱藏屬性的文件。事實上，index.dat是一個保存了cookie、歷史記錄和IE臨時文件中所記錄內(nèi)容的副本。index.dat和各個獨立的Cookies文件在一起可以為取證人員提供一些非常重要的信息，如犯罪嫌疑人曾經(jīng)訪問過的網(wǎng)站地址、訪問某網(wǎng)站地址的頻率、訪問某網(wǎng)站的時間信息等。當用戶刪除cookies記錄或者瀏覽器歷史記錄時，在index.dat中還是保存了一些相關(guān)記錄。對于index.dat取證人員除了可以使用IECookiesView和Encase進行手動查看外，還可以通過Index. dat Analyzer專業(yè)工具進行檢驗和查看。

七、結(jié)語

隨著技術(shù)的發(fā)展和操作系統(tǒng)的快速更新?lián)Q代，必然會給計算機取證工作帶來一定的影響，取證人員及時熟悉和掌握新操作系統(tǒng)的應(yīng)用特點及針對新特點、新功能的取證方法是非常重要的。本文主要分析了與之相關(guān)的一些問題，包括Windows 8系統(tǒng)新增功能取證分析、注冊表內(nèi)容分析、基于BitLocker驅(qū)動器加密的數(shù)據(jù)保護與破解、網(wǎng)絡(luò)瀏覽等方面，希望能對有關(guān)人員在對Windows 8系統(tǒng)進行取證工作時起到一定的參考作用。

［1］湯艷君，高洪濤，羅文華等.電子物證檢驗與分析［M］.北京：清華大學(xué)出版社，2014.

［2］王寧，劉志軍等.Windows 7系統(tǒng)注冊表的取證分析［J］.警察技術(shù)，2013.

［3］孫奕.Windows 7環(huán)境下電子取證特點分析［J］.信息網(wǎng)絡(luò)安全，2010.

［4］吳劍.針對Windows 7系統(tǒng)的計算機取證問題分析［J］.電腦知識與技術(shù)，2011.

［5］邢桂東.Windows操作系統(tǒng)注冊表檢驗［J］.刑事技術(shù)，2011.

［6］吳清，吳順祥.index.dat文件結(jié)構(gòu)解析［J］.現(xiàn)代計算機（專業(yè)版），2008.

［7］Bitlocker使用手冊.百度文庫［DB/OL］.http：//wenku.baidu.com/link?url=O-gq-A_Y3EzEfepvZVA-6_N2mtoC5lpfT_CpOcGYiWXG2vCVraQsoMT77jxOaeH5I5PNcnorPsVSyM1gvC9Edhpo Kay uun QKktf6Z85CFcu.

［8］bitlocker.百度百科［DB/OL］.http：//baike.baidu.com/link?url=KLcZ8cE7PeYCMZR5YRBE-mAs DnmuTz-xxi8CdkrToozVhBiHHqlGGMB-VQvUCIPZjulSWadAw KPxEY-kxSXOj.

（責任編輯：陳尚坤）

D918.2

A

1671-0541（2015）01-0071-04

2014-04-22

王宇（1987-），女，吉林松原人，吉林警察學(xué)院偵查系助教，主要研究方向：電子物證、網(wǎng)絡(luò)犯罪偵查；吳玉強（1988-），男，河南人，南京森林警察學(xué)院信息技術(shù)系助教，主要研究方向：電子物證、網(wǎng)絡(luò)犯罪偵查；楊揚（1988-），女，內(nèi)蒙古牙克石人，天津市公安局民警。