| 发明名称 | 基于特征扫描的Windows回收站删除记录取证方法 | ||
| 摘要 | 本发明涉及一种基于特征扫描的Windows回收站删除记录取证方法,其包括如下步骤:(1)获取取证目标磁盘镜像文件;(2)判断该磁盘镜像文件中Windows系统的版本是Windows XP或Windows Vista/Windows 7;(3)根据所述步骤(2)判断的系统版本,通过与该系统版本相应的特征扫描方法扫描磁盘,恢复回收站删除文件记录;(4)通过恢复的回收站删除文件记录,根据其格式提取回收站删除文件信息,为提取删除文件信息中的证据信息或取证线索提供数据基础,完成回收站删除文件记录取证。本发明能有效地恢复用户回收站删除文件记录信息,恢复成功率高,能覆盖所有主流版本Windows的回收站机制。本发明可以广泛应用于计算机取证领域应用中。 | ||
| 申请公布号 | CN102662981A | 申请公布日期 | 2012.09.12 |
| 申请号 | CN201210065430.2 | 申请日期 | 2012.03.13 |
| 申请人 | 中国人民大学 | 发明人 | 梁彬;肖汉;石文昌;刘品新 |
| 分类号 | G06F17/30(2006.01)I | 主分类号 | G06F17/30(2006.01)I |
| 代理机构 | 北京纪凯知识产权代理有限公司 11245 | 代理人 | 徐宁;关畅 |
| 主权项 | 一种基于特征扫描的Windows回收站删除记录取证方法,其包括如下步骤:(1)获取取证目标磁盘镜像文件;(2)判断该磁盘镜像文件中Windows系统的版本是Windows XP或Windows 7;(3)根据所述步骤(2)判断的系统版本,通过与该系统版本相应的特征扫描方法扫描磁盘镜像文件,获得回收站删除文件记录;(4)通过获得的回收站删除文件记录,根据其格式提取回收站删除文件信息,为提取删除文件信息中的证据信息或取证线索提供数据基础,完成回收站删除文件记录取证。 | ||
| 地址 | 100872 北京市海淀区中关村大街59号中国人民大学信息学院 | ||