事件“6006”记录事件日志停止时间,也可以认为是系统关闭时间。事件“6008”记录异常关闭。事件“6009”记录在启动过程中的操作系统版本和其他系统信息。如图所示(三)点击某项事件便可在下方查看到其内容。用户注销时,会相应的卸载用户的配置信息。交换文件可以部分的解决这个问题,通过检查交换文件,可以获取文件碎片以便进行分析。打印完成后,假脱机打印文件会被系
(一)时间是进行其他取证的基础,确定时间是电子数据取证重要的不可或缺的环节;时间本身也是重要的数据,保存在硬盘或文件中的时间可以作为证据来确定行为和后果。
(二)计算机的开关机都是一个过程,这是一个时间段而不是一个时间点。单纯的一个开关机时间戳会受到多种因素的影响,因此需要利用不同的时间戳来验证开关机的状态是否正常,开关机的时间是否合理,这些能否作为证据使用。
二、时间取证的基本判断规则(一) 如果修改时间等于建立时间,那么文件是原始文件,既没有被修改也没有被剪切。
(二)如果修改时间早于建立时间,则文件被复制或移动过。
(三)如果在硬盘上批量的文件具有很近的访问时间,这些文件极有可能被同一个工具软件扫描过,如杀毒软件。如果在一个文件夹中的一些图像和视频文件有很近的访问时间,并且没有其他的图像和视频文件具有相似的访问时间,则这些图像和视频文件极有可能被一个图像和视频预览工具访问或者打开过,例如用Windows资源管理器以缩略图的方式查看。
(四)在一个文件夹中,如果一些文件的修改时间等于创建时间,并且有很近的创建时间或者修改时间,那么这些文件有可能是从网上批量下载的。
(五)文件拷贝的时候,文件创建时间为拷贝的时间,文件修改时间与源文件一致。
(六)文件下载的时候,文件创建时间为开始下载的时间,文件修改时间为下载结束的时间。注意:使用IE下载时是先下载到临时目录再拷贝。
(七)压缩文件解压时,通常情况下文件的创建时间为解压时间,文件修改时间与压缩前的文件一致。
三、操作练习(一)依次点击“开始”->“运行”,输入“regedit”打开“注册表编辑器”,依次展开“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion”,双击查看“InstallDate”键内容,选择“十进制”单选按钮。如图所示
(二)使用线上“Unix时间戳转换工具”转换时间得到操作系统安装时间(实验环境不联网,请自行上网转换)。如图所示
四、开机和关机时间
(一)依次点击“开始”->“管理工具”->“事件查看器”,依次展开“Windows日志”->“系统”,点击右侧“操作”栏中的“筛选当前日志”链接,在“筛选当前日志”对话框中输入事件ID“6005,6006,6008,6009”。如图所示
(二) 事件“6005”记录事件日志启动时间,也可以认为是系统的启动时间。事件“6006”记录事件日志停止时间,也可以认为是系统关闭时间。事件“6008”记录异常关闭。事件“6009”记录在启动过程中的操作系统版本和其他系统信息。点击“确定”按钮得到筛选结果。如图所示
(三)点击某项事件便可在下方查看到其内容。打开注册表,依次展开“HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names\Administrator”(若无法展开SAM表则需要右键单击,在快捷菜单中选择“权限”,赋予Administrator完全控制权限,重新打开注册表)查看管理员用户“Administrator”的RID(相对标识符)。如图所示
(四)选择“Users”表项中的“000001F4”键查看内容,“F”记录用户登录信息,“V”记录用户权限信息,双击打开“F”值。如图所示
(五)“0008”一行为用户最后登录时间,“0018”一行为用户设置密码时间,“0020”一行为账户过期时间(所有时间格式为:64位Windows/FileTIME)。
(六)Windows正常关机时间保存在注册表“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Windows”的ShutdownTime键值中,以64位Windows/FILETIME时间格式保存。如图所示
(七)以上为正常的开关机时间,若系统断电或死机,系统不一定会记录时间更新信息。例如断电或硬重启时系统日志和注册表中就不会记录正常的关机时间。
四、Windows中的重点取证目录(一)Windows的系统目录,不同的版本默认存放在不同位置。一旦安装完成之后就无法更改。Windows用注册表文件来存储用户的环境信息,以用户目录来存储用户的文件信息。
(二) 用户目录用于存储用户文件和配置,以此来区分不同用户的使用环境和权限。无论是本地用户还是网络用户,第一次登陆系统,就会为用户生成一个用户目录,以后每当用户登录时,都会加载用户的配置信息。用户注销时,会相应的卸载用户的配置信息。
(三)当内存少于系统应用的需求时,系统会生成一个交换文件来暂存内存数据,以释放部分内存来进行应用。
(四)休眠文件是另外一个获得内存数据的来源。
(五)Windows中打印文件时,会生成假脱机打印文件。
(六) Prefetch目录的作用是加快系统启动的进程。
五、操作练习1、用户目录
1.1 最近访问的文档包括用户最近访问的文件。当用户打开一个目录或文件,系统自动就在这个最近访问的文档目录中生成一个这个文档的快捷方式。在开始菜单中,可以通过“最近访问的文档”来查看最近15个打开的文档。在“%SYSTEM%\Users\<用户名>\AppData\Roaming\Microsoft\Windows\Recent”中,可以看到更多最近打开的文档的快捷方式。即使最近访问的文档已经被删除或者移走,但是通过快捷方式,仍然可以获取大量信息。
1.2 桌面目录中保存了Windows桌面上的所有文件,不仅有快捷方式,还有存储在桌面上的各种文件。
1.3 我的文档是用户目录下的重要目录,它存储着用户的个人文件。其中包括“图片收藏”、“我的视频”、“我的音乐”等子目录。
1.4 发送到目录是集成在右键中的快捷指向。用户可以自定义发送到目录中的指向。通过研究这些指向,可以知道用户经常使用的文件存储位置。除此之外,还包括临时目录、IE收藏夹、Cookies和历史记录等内置应用程序的目录和文件。
2、交换文件(Swap file)
2.1 当内存少于系统应用的需求时,系统会生成一个交换文件来暂存内存数据,以释放部分内存来进行应用。这个交换文件又叫做页文件(Pagefile.sys),它存在于根目录中。
2.2 一般来说,取证人员面对的都是断电之后获取的介质,也就是检查对象都是静态的存储。动态的内存数据因为断电而不复存在。交换文件可以部分的解决这个问题,通过检查交换文件,可以获取文件碎片以便进行分析。
3、休眠文件(Hibernation File)
3.1 休眠文件是另外一个获得内存数据的来源。计算机进入休眠状态后,内存被转储到硬盘上的休眠文件中,以便于系统被唤醒时迅速进入系统而不必重新加载系统。休眠文件保存在系统根目录中的hiberfil.sys中。
3.2 休眠文件的大小等同于系统内存。即使系统从未进入休眠状态,休眠文件也将存在,数据内容都为0x00。
4、假脱机打印文件(Print Spooling)
4.1 Windows中打印文件时,会生成假脱机打印文件。假脱机打印文件在后台以队列方式自动运行,以便用户不必等待打印结束就可以继续打印下一个文件。当使用网络打印机时,假脱机打印文件将被发送给连接打印机的服务器上。打印完成后,假脱机打印文件会被系统逻辑删除。
4.2 打印机以RAW和EMF两种模式来进行打印。RAW模式指的是原始图像格式。EMF模式下图像将被转换为EMF格式,EMF不是单独的文件,而是内嵌在其他文件中。EMF是默认的打印模式。
4.3 由于系统会在打印结束后删除假脱机文件,因此假脱机文件大都保存在未分配空间、文件松弛区、交换文件、休眠文件中。但是只要对EMF文件头进行文件签名分析,就会提取到打印过的图像信息。
5、预读取文件(Windows Prefetch)
5.1 Prefetch目录的作用是加快系统启动的进程,系统会自动记录下启动时运行的每一个程序,并根据这些信息加快下一次的启动时间,这些文件以pf为后缀,预读取文件的目录位于“Windows/Prefetch”。
