基于特征扫描的Windows回收站删除记录取证方法

摘要

本发明涉及一种基于特征扫描的Windows回收站删除记录取证方法，其包括如下步骤：(1)获取取证目标磁盘镜像文件；(2)判断该磁盘镜像文件中Windows系统的版本是Windows XP或Windows Vista/Windows 7；(3)根据所述步骤(2)判断的系统版本，通过与该系统版本相应的特征扫描方法扫描磁盘，恢复回收站删除文件记录；(4)通过恢复的回收站删除文件记录，根据其格式提取回收站删除文件信息，为提取删除文件信息中的证据信息或取证线索提供数据基础，完成回收站删除文件记录取证。本发明能有效地恢复用户回收站删除文件记录信息，恢复成功率高，能覆盖所有主流版本Windows的回收站机制。本发明可以广泛应用于计算机取证领域应用中。

主权项

一种基于特征扫描的Windows回收站删除记录取证方法，其包括如下步骤：（1）获取取证目标磁盘镜像文件；（2）判断该磁盘镜像文件中Windows系统的版本是Windows XP或Windows7；（3）根据所述步骤（2）判断的系统版本，通过与该系统版本相应的特征扫描方法扫描磁盘镜像文件，获得回收站删除文件记录；通过删除文件记录的特征以及删除文件在磁盘中的分布情况，对各所述Windows版本的磁盘按照以下特征扫描方法进行扫描，其步骤如下：①打开给定的磁盘镜像文件；②读取一段镜像文件的字节流，并根据回收站删除文件记录分布，从该段字节流的第一个字节为起始位置，按预先设定的扫描步长逐个对当前位置起的数据按删除文件记录特征进行一一匹配；所述Windows版本为Windows XP时，则删除文件记录特征包括以下四种，需满足以下所有特征才能匹配成功：（Ⅰ）记录第1字节起至第264字节的264个字节为ASCII编码的文件路径，以“X:/”起始，其中“X”为盘符，应为ASCII编码的“A”～“Z”；（Ⅱ）记录第283字节起至第800字节的518个字节为UNICODE编码的文件路径，也以“X:/”起始，其中“X”应与记录开始的盘符一致，编码应为UNICODE编码；（Ⅲ）记录第265字节为记录文件原分区位置标识，与记录路径中的“X”一致，因为是以序号表示，所以为“X”的ASCII码减65；（Ⅳ）记录第273字节起至第280字节的8个字节表示被删除时间，应符合Windows合法时间格式并小于当前时间；所述Windows版本为Windows7时，则删除文件记录特征包括以下三种，需满足以下所有特征才能匹配成功：（Ⅰ）记录第1字节起至第8字节的8个字节为固定的文件头“10000000”；（Ⅱ）记录第25字节起至第544字节的520个字节为UNICODE编码的文件路径，以“X:/”开头，其中“X”为盘符，应为UNICODE编码的“A”～“Z”；（Ⅲ）记录第17字节起至第24字节的8个字节表示被删除时间，应符合Windows合法时间格式并小于当前时间；③所述步骤②中，若匹配成功，则保存匹配到的文件删除记录；若匹配失败，则按扫描步长对下一字节起的数据按删除文件记录特征进行匹配；④扫描完这段镜像文件的字节流后，返回所述步骤②，直到磁盘镜像全部扫描完毕；（4）通过获得的回收站删除文件记录，根据其格式提取回收站删除文件信息，为提取删除文件信息中的证据信息或取证线索提供数据基础，完成回收站删除文件记录取证。