電子數(shù)據(jù)取證技術(shù)--課件--第4章-Windows操作系統(tǒng)取證技術(shù)

1、第4章 Windows操作系統(tǒng)取證技術(shù)4.1 Windows日志取證技術(shù)4.2 Windows注冊表取證技術(shù)4.3 Windows內(nèi)存取證技術(shù)4.4 Windows其他取證技術(shù)4.1 Windows日志取證技術(shù)4.1.1 Windows事件日志事件日志為操作系統(tǒng)及關(guān)聯(lián)的應(yīng)用程序提供了一種標準化、集中式地記錄重要軟件及硬件信息的方法。微軟將事件定義為：系統(tǒng)或程序中需要向用戶通知的任何重要的事項。事件是統(tǒng)一由Windows事件日志服務(wù)來統(tǒng)一收集和存儲的。它存儲了來自各種數(shù)據(jù)源的事件，常稱為事件日志。事件日志可以為取證人員提供豐富的信息，還可將系統(tǒng)發(fā)生的各種事件關(guān)聯(lián)起來。事件日志通常可以為取證人員提

2、供以下信息：(1) 發(fā)生什么：Windows內(nèi)部的事件日志記錄了豐富的歷史事件信息。(2) 發(fā)生時間：事件日志中記錄了豐富的時間信息，也常稱為時間戳，它記錄了各種事件發(fā)生的具體時間。(3) 涉及的用戶：在Windows操作系統(tǒng)中，幾乎每一個事件都與相關(guān)的系統(tǒng)賬號或用戶賬號有關(guān)。(4) 涉及的系統(tǒng)：在聯(lián)網(wǎng)環(huán)境中，單純記錄主機名對于取證人員來說比較難以進一步追蹤回溯訪問請求的來源信息。(5) 資源訪問：事件日志服務(wù)可以記錄細致的事件信息。1. Windows事件日志版本劃分Windows事件日志最早始于Windows NT 3.1版本，自1993年起便開始使用。Windows事件日志文件的存儲位置

3、和文件格式經(jīng)歷了一些變動，其基本可以分為兩大版本：第一版(V1)以Vista操作系統(tǒng)以前的事件日志為代表，它是一種二進制格式，默認使用.evt文件擴展名；第二版(V2)以Vista操作系統(tǒng)開始直到最新的Windows 10及Windows Server 1803版本，它們均采用新一代事件日志格式，默認使用.evtx文件擴展名。2. Windows事件日志數(shù)據(jù)存儲及相關(guān)特征Windows事件日志第一版 (V1)，即Windows Vista之前的版本(含Windows NT 3.1至Windows XP或Windows 2003之間的各個版本)默認的事件日志存儲位置為%System Root%S

4、ystem32Config。Windows事件日志類別主要包括系統(tǒng)(System)、安全性(Security)、應(yīng)用程序 (Application)及部分自定義日志。系統(tǒng)內(nèi)置的3個事件日志文件大小均默認為512 KB，如當(dāng)系統(tǒng)存儲的事件日志數(shù)據(jù)大于512KB時，默認系統(tǒng)將覆蓋超過7天的日志記錄。事件日志記錄了錯誤、失敗、成功、信息及警告事件。Windows事件日志第二版(V2)，即Vista及以上版本(含Vista、Windows 7、Windows 8、Windows 8.1、Windows 10、Windows Server 2008/2012/2016等)采用了新的文件格式，文件擴展名為

5、.evtx，如表4-1所示。新版本事件日志的文件結(jié)構(gòu)、日志類型及日志存儲位置均發(fā)生了較大的變化，默認的事件日志存儲位置為%System Root%System32 winevtLogs(默認安裝的Windows10操作系統(tǒng)已經(jīng)約有290個文件)。1) 常見取證和分析方法(1) 事件日志文件內(nèi)容查看方法。通常采用商業(yè)化計算機取證軟件直接分析事件日志文件，如EnCase、FTK、X-Ways Forensics、Safe Analyzer、取證大師、取證神探等，操作簡便快捷。通過在Windows操作系統(tǒng)中運行eventvwr.exe，即可調(diào)用系統(tǒng)自帶的事件日志查看器。其具體操作方式如下：在命令行中

6、89輸入eventvwr.exe，也可以同時按Win+R組合鍵，然后在運行輸入框中輸入eventvwr.exe或eventvwr(擴展名可省略)，即可運行系統(tǒng)事件日志查看器。將待分析的.evtx日志文件通過取證軟件導(dǎo)出或用其他方式復(fù)制到取證分析機中，即可使用取證分析機系統(tǒng)自帶的事件日志查看器來查看與分析內(nèi)容。取證分析機的操作系統(tǒng)建議使用最新的Windows 10，以便能最佳兼容.evtx文件格式。Event Log Explorer的亮點在于它支持.evt及.evtx兩種格式，提供了豐富的過濾條件，此外可正確解析出日志中的計算機名、系統(tǒng)賬戶或用戶的SID(Security Identifier

7、s，安全標識符)等信息。(2) 常見的Windows事件日志的分析方法。Windows事件日志中記錄的信息中，關(guān)鍵要素包含事件級別、記錄時間、事件來源、事件ID、事件描述、涉及的用戶、計算機、操作代碼及任務(wù)類別等。常見Windows賬戶及相關(guān)事件對照表如表4-2所示，其中事件ID與操作系統(tǒng)版本有關(guān)，同類事件在不同操作系統(tǒng)中的事件ID不完全相同，最大的差異主要體現(xiàn)在第一版和第二版的事件日志中。因此，在取證過程中需特別注意，當(dāng)使用事件ID進行過濾搜索時，需要考慮操作系統(tǒng)版本的差異。常見電子數(shù)據(jù)取證相關(guān)事件對照表(適用于Vista及以上操作系統(tǒng))如表4-3所示。(3) 事件日志文件結(jié)構(gòu)。事件日志文件

8、是一種二進制格式的文件，文件頭部簽名為十六進制30 00 00 00 4C 66 4C 65。在默認情況下，全新的事件日志文件的事件日志記錄均按順序進行存儲，每條記錄均有自己的記錄結(jié)構(gòu)特征。然而當(dāng)日志文件超出最大大小限制時，系統(tǒng)將會刪除較早的日志記錄，因此日志記錄也將出現(xiàn)不連續(xù)存儲，同一個記錄分散在不同的扇區(qū)位置的情況。2) Windows事件日志取證分析注意要點Windows操作系統(tǒng)默認沒有提供刪除特定日志記錄的功能，僅提供了刪除所有日志的操作功能。在電子數(shù)據(jù)取證過程中仍存在有人有意偽造事件日志記錄的可能性。如遇到此類情況，建議對日志文件中的日志記錄ID(Event Record ID)進行

9、完整性檢查，如檢查記錄ID的連續(xù)性。通過事件日志記錄ID的連續(xù)性可以發(fā)現(xiàn)操作系統(tǒng)記錄的日志的先后順序。Windows事件日志記錄列表視圖在用戶沒有對任何列進行排序操作前，默認是按其事件日志記錄編號進行排序的。默認情況下，事件日志記錄編號自動連續(xù)增加，不會出現(xiàn)個別記錄編號缺失情況。值得注意的是，當(dāng)Windows操作系統(tǒng)用戶對操作系統(tǒng)進行大版本升級時，操作系統(tǒng)可能會重新初始化事件日志記錄編號。通過對Windows事件日志的取證分析，取證人員可以對操作系統(tǒng)、應(yīng)用程序、服務(wù)、設(shè)備等操作行為記錄及時間進行回溯，重現(xiàn)使用者在整個系統(tǒng)使用過程中的行為，對虛擬的電子數(shù)據(jù)現(xiàn)場進行重構(gòu)，了解和掌握涉案的關(guān)鍵信息。

10、4.1.2 NTFS日志NTFS是Windows操作系統(tǒng)重要的文件系統(tǒng)之一。在Windows操作系統(tǒng)中，32 GB以上的分區(qū)都只能格式化為NTFS。在分區(qū)格式化為NTFS文件系統(tǒng)后，自動生成一系列的內(nèi)部文件(元文件)，內(nèi)部文件均帶有“$”前綴。這些文件通常要用專業(yè)的取證軟件才能看到，在Windows操作系統(tǒng)中是無法看到內(nèi)部文件的。NTFS文件系統(tǒng)內(nèi)部包含兩個重要的日志文件，分別為$UsnJrnl和$Logfile。這兩個日志文件在取證中可以為取證人員提供分區(qū)文件的歷史操作記錄信息。1. $UsnJrnl日志從Windows 7操作系統(tǒng)開始，NTFS文件系統(tǒng)均引入了USN(Update Sequ

11、ence Number，更新序號)日志機制。該日志文件記錄了NTFS分區(qū)中文件的創(chuàng)建、重命名、內(nèi)容變更及刪除等重要操作。因此，NTFS日志對于電子數(shù)據(jù)取證來說是一個“寶藏”，它可以對系統(tǒng)使用者(用戶)甚至入侵的黑客對磁盤分區(qū)的操作行為進行全面的記錄，包括時間戳、文件或文件夾名及操作原因等信息。$UsnJrnl日志在每個NTFS分區(qū)根目錄下的$Extend中可以被找到，由$J和$MAX兩個文件組成，如表4-4所示。$MAX文件大小為32 B，記錄固定的信息，其文件結(jié)構(gòu)如表4-5所示。采用這種結(jié)構(gòu)的原因是操作系統(tǒng)要保持日志數(shù)據(jù)占用的總空間為固定大小。(1) 新日志記錄一般從$J文件尾部開始添加。(

12、2) 如果要添加的記錄總大小超過分配大小，則操作系統(tǒng)就認定整個日志數(shù)據(jù)大小超過了最大大小。(3) 如果整個日志數(shù)據(jù)超過了最大大小，則$J文件前半部分將以“0”方式填充。因此，$J文件的邏輯大小將持續(xù)增長，但是保存的實際數(shù)據(jù)占用的空間卻是固定長度。常見的日志數(shù)據(jù)大小為0 x200000 x23FFFFF。其文件結(jié)構(gòu)如表4-6所示。2. $Logfile日志NTFS是一種基于事務(wù)的文件系統(tǒng)，在對任何一個文件系統(tǒng)中的文件進行寫操作時，都會記錄每一次寫操作的日志。記錄NTFS文件系統(tǒng)產(chǎn)生的事務(wù)的文件就是$Logfile。事務(wù)是一種每一步都必須執(zhí)行的磁盤操作。在NTFS文件系統(tǒng)中廣泛使用回寫(Write

13、-Through)緩存機制，因此$Logfile特別重要。$Logfile只記錄NTFS元數(shù)據(jù)事務(wù)，并不包括用戶數(shù)據(jù)(除非這部分是$MFT中的常駐文件)。Microsoft Technet提供了關(guān)于事務(wù)如何先記錄然后提交至磁盤的信息。要確保事務(wù)已完成或回滾，NTFS將會執(zhí)行每個事務(wù)的以下步驟：(1) 將事務(wù)的元數(shù)據(jù)操作記錄于內(nèi)存中緩存的日志文件。(2) 將實際的元數(shù)據(jù)操作記錄于內(nèi)存中。(3) 將緩存日志文件中的事務(wù)標記為“已提交”。(4) 刷新(提交)日志文件至磁盤。(5) 刷新(提交)實際元數(shù)據(jù)操作至磁盤。4.1.3 IIS日志1. IIS日志簡介IIS是Windows平臺一直以來常用的We

14、b站點應(yīng)用服務(wù)。IIS很容易安裝和部署，目前是全球站點中使用較多的Web服務(wù)之一。IIS不同的版本存在一定的安全漏洞，此外加上編寫人員缺乏安全意識，網(wǎng)站代碼存在一定漏洞(如SQL注入)，因此IIS也是目前黑客喜歡攻擊的目標。目前有眾多商業(yè)門戶網(wǎng)站(如戴爾、中國招商銀行等)就在使用微軟IIS來為廣大用戶提供訪問網(wǎng)站服務(wù)。目前最新的IIS 10.0是基于Windows Server 2016系統(tǒng)運行的，微軟IIS網(wǎng)站服務(wù)器版本及功能差異對照表如表4-7所示。微軟官方網(wǎng)站提供了關(guān)于IIS配置文件更詳細的說明(/en-us/ iis/get-started/planning-your-iis-arch

15、itecture/introduction-to-applicationhostconfig)，具體如下：(1) applicationHost.Config：包含所有站點、應(yīng)用程序、虛擬目錄及應(yīng)用程序池等定義。(2) administration.Config：包含IIS管理配置、管理模塊列表及配置等信息。(3) redirection.config：IIS 7及以上版本支持幾個IIS服務(wù)器通過一個集中化的配置獨立文件進行管理，該文件保存了集中化配置文件的存儲路徑。2. IIS日志存儲及格式IIS網(wǎng)站服務(wù)的默認日志保存路徑為%SystemDrive%inetpublogsLogFiles，服

16、務(wù)器管理員可能會自定義修改其存儲位置，將其保存到非系統(tǒng)盤(如D:Logs)中。IIS站點服務(wù)默認使用W3C格式對網(wǎng)站的訪問請求、時間戳及請求結(jié)果進行記錄。管理員可以根據(jù)管理需要對日志格式及記錄的屬性信息進行調(diào)整，從而更加靈活、細粒度地提供網(wǎng)站站點服務(wù)。IIS日志配置主要包含日志文件格式(默認W3C格式，可根據(jù)需要自行選擇要記錄的字段信息)、日志存儲目錄、編碼(默認UTF-8)及日志文件滾動更新機制(默認每天生成一個獨立的日志文件)。日志存儲位置中一般包含多個前綴為W3SVC、FTKSVC的文件夾，其中W3代表World Wide Web(WWW，代表Web站點)，SVC是Service(服務(wù))

17、的縮寫。前綴后面是數(shù)字，數(shù)字代表站點序號。在IIS的站點日志W(wǎng)3SVC文件中通?？梢钥吹皆S多以“u_ex+數(shù)字”開頭的log文件，該數(shù)字為6位的日期(年月日格式)，即每一天的日志文件都以一個獨立文件進行保存。IIS日志共有3種日志格式，分別為W3C擴展日志格式、IIS日志格式和NCSA(National Center for Super Computing Applications，美國國家超算應(yīng)用中心)日志格式，如表4-8所示。W3C日志格式默認包含14個字段屬性信息，管理員可以自行選擇字段，擴展日志記錄的信息內(nèi)容，如表4-9所示。3. IIS日志取證分析IIS日志均是文本型半結(jié)構(gòu)化數(shù)據(jù)，可

18、以全部轉(zhuǎn)化為結(jié)構(gòu)化數(shù)據(jù)，使用各種數(shù)據(jù)分析工具對其進行分析。常見的IIS日志分析工具有Log Parser(微軟免費日志分析命令行工具)、Log Parser GUI Lizard(商業(yè)軟件)、Search & Replace等。當(dāng)日志文件不是特別大時，直接用Microsoft Excel、記事本、UltraEdit等工具就可以進行搜索，如根據(jù)IP地址、URL地址關(guān)鍵詞(如地址中包含SQL語句的關(guān)鍵詞，SELECT、UPDATE、DROP、DELETE、FROM等)等進行搜索與分析。對于日志數(shù)量較多的文件，建議采用Log Parser或Log Parser GUI Lizard進行統(tǒng)計分析、SQ

19、L查詢等分析，篩選與涉案相關(guān)的關(guān)鍵數(shù)據(jù)。涉及IIS服務(wù)器入侵取證的案件中，不少黑客服務(wù)器完成任務(wù)后，可能還會清除服務(wù)器對應(yīng)的日志文件，導(dǎo)致增加案件的偵查工作。除了通過常見的基于文件系統(tǒng)元數(shù)據(jù)信息的數(shù)據(jù)恢復(fù)外，還可以通過設(shè)置IIS日志不同格式文件中的數(shù)據(jù)記錄的特征關(guān)鍵詞(經(jīng)過人工總結(jié)，寫成正則表達式關(guān)鍵字)對未分配空間進行數(shù)據(jù)搜索，尋找黑客入侵的蛛絲馬跡。IIS日志W(wǎng)3C格式的正則表達式語法：2010-9-0-10-9-0-30-9x200-20-9:0-5 0-9:0-50-9x204.1.4 其他日志除了Windows事件日志、IIS日志外，還有FTP日志、操作系統(tǒng)相關(guān)日志、應(yīng)用程序日志(如

20、殺毒軟件)等。在電子數(shù)據(jù)取證過程中需要針對性地對上述日志進行數(shù)據(jù)提取和分析。1. 殺毒軟件360日志360殺毒軟件在Windows操作系統(tǒng)平臺的安裝及使用中普及率高，在系統(tǒng)或程序運行過程中出現(xiàn)的一些異常行為、文件掃描、可疑文件的上傳等均有相關(guān)的日志記錄。360殺毒軟件的日志存儲位置為C:Program Files360360sdLog。日志目錄分類存儲，包含多個文件夾，如表4-10所示。2. 可疑文件上傳日志360殺毒軟件會對可疑文件(非白名單列表文件)自動計算哈希值，同時將文件的原始路徑及名稱、MD5哈希值等進行上傳。4.2.1 Windows注冊表簡介注冊表是Windows 9x、Wind

21、ows CE、Windows NT及Windows 2000等操作系統(tǒng)用于存儲系統(tǒng)配置、用戶配置、應(yīng)用程序及硬件設(shè)備所需的信息，是一種集中式分層的數(shù)據(jù)庫。4.2 Windows注冊表取證技術(shù)注冊表包含Windows操作系統(tǒng)操作過程中持續(xù)需要的信息，如每個用戶的配置文件夾、安裝到計算機中的應(yīng)用程序、文件夾及應(yīng)用程序圖標的屬性配置、系統(tǒng)中的硬件及正在使用的端口等。它代替了早期DOS、Windows 3.x時代的INI配置文件。注冊表文件可分為系統(tǒng)注冊表和用戶注冊表兩種。系統(tǒng)注冊表通常記錄與操作系統(tǒng)相關(guān)的硬件、網(wǎng)絡(luò)、服務(wù)及軟件等配置信息；用戶注冊表通常記錄與用戶配置相關(guān)的信息。注冊表存儲位置與名稱如

22、表4-11所示。1. 注冊表的層級結(jié)構(gòu)及數(shù)據(jù)類型注冊表的頂級目錄一般稱為鍵(Key)、主鍵或項，子目錄稱為子鍵(Subkey)或子項，存儲的數(shù)據(jù)項一般稱為值(Value)。注冊表中的值可以存儲多種不同類型的數(shù)據(jù)，如表4-12所示。2. 注冊表配置單元配置單元(Hive)是注冊表中一個由鍵、子鍵及值組成的邏輯組。在電子數(shù)據(jù)取證過程中，應(yīng)當(dāng)熟悉通過正在運行的操作系統(tǒng)中注冊表編輯器看到的信息與磁盤中對應(yīng)注冊表文件的映射關(guān)系。系統(tǒng)注冊表通常包括SAM、SECURITY、SYSTEM和SOFTWARE等文件。3. 注冊表預(yù)定義項注冊表中的預(yù)定義項是指從注冊表編輯器中看到的最頂層的項目(如HKEY_CLA

23、S SES_ROOT)，每個項都以HKEY前綴開頭，如表4-13所示。5大預(yù)定義項是操作系統(tǒng)在運行過程中經(jīng)常訪問的根節(jié)點，其包含的信息實際上都來自系統(tǒng)注冊表(SAM、SECURITY、SYSTEM、SOFTWARE等)、用戶注冊表(NTUSER.dat、USRCLASS.dat)等文件中的數(shù)據(jù)。4.2.2 Windows注冊表取證分析要對Windows操作系統(tǒng)的注冊表文件進行分析，最簡單的查看工具就是Windows自帶的注冊表編輯器。要對涉案的計算機磁盤或鏡像文件進行注冊表分析，首先將要分析的注冊表文件復(fù)制到指定目錄，然后通過注冊表編輯器進行加載，即可查看注冊表文件的內(nèi)容。該方式無法提取和分析

24、已刪除的注冊表信息。1. Registry Explorer分析注冊表Eric R.Zimmerman開發(fā)了許多取證輔助分析工具，其中Registry Explorer v是一個十分優(yōu)秀的注冊表分析工具，它與大多數(shù)商業(yè)取證軟件一樣，支持恢復(fù)已刪除的注冊表信息。其搜索能力甚至超越了大多數(shù)取證分析軟件，內(nèi)置了取證常用的書簽功能，選擇要查看的注冊表信息即可直接跳轉(zhuǎn)到具體位置。Registry Explorer支持批量添加多個注冊表配置單元文件。在電子數(shù)據(jù)取證過程中使用該分析工具非常方便，特別是不清楚鍵值存在于哪個注冊表文件時，取證人員可以直接加載所有系統(tǒng)注冊表文件及多個用戶的注冊表文件(NTUSER

25、.dat)，然后對所有注冊表文件進行全部搜索。2. X-Ways Forensics分析注冊表文件利用X-Ways Forensics取證軟件分析注冊表文件，可以通過過濾器找到注冊表文件，直接雙擊注冊表文件，X-WaysForensics將自動打開一個獨立的注冊表查看窗口。3. 取證神探分析注冊表文件取證神探分析軟件內(nèi)置注冊表分析功能，除了可以自動提取系統(tǒng)注冊表、用戶注冊表中的操作系統(tǒng)信息、設(shè)備信息、軟件安裝信息、USB設(shè)備使用痕跡等外，還可以對注冊表文件進行高級手工分析，甚至是數(shù)據(jù)解碼。取證神探引入了取證結(jié)果溯源功能，將自動取證后的結(jié)果的數(shù)據(jù)來源清晰地告訴取證人員，取證人員可以看到取證結(jié)果是

26、從哪個文件讀取并解析數(shù)據(jù)的。取證神探還可以對注冊表文件進行手工查看與分析、數(shù)據(jù)搜索及數(shù)據(jù)解碼?？赏ㄟ^關(guān)鍵詞對注冊表文件中的內(nèi)容進行搜索，可設(shè)定搜索類型(如鍵、值或數(shù)據(jù))、搜索范圍(當(dāng)前選中的鍵或整個注冊表)，此外還可以使用通配符進行快速搜索。在Windows注冊表中，不少數(shù)據(jù)經(jīng)過了編碼或加密。取證神探內(nèi)置的注冊表分析工具提供了查看注冊表原始數(shù)據(jù)及高級手工解碼的能力。有經(jīng)驗的取證人員可以對注冊表值的數(shù)據(jù)(如十六進制、ROT-13編碼)進行數(shù)據(jù)解碼，取證工具內(nèi)置了數(shù)值型、時間類型等數(shù)據(jù)常用的解碼方法。4. 常見的注冊表取證內(nèi)容1) 時區(qū)信息Windows操作系統(tǒng)的時區(qū)設(shè)置關(guān)系到某些特定文件系統(tǒng)(如

27、NTFS)的文件時間戳解碼。不少取證軟件如EnCase、取證大師、取證神探等默認使用的時區(qū)直接取自當(dāng)前運行系統(tǒng)的時區(qū)，而FTK、X-Ways Forensics等取證軟件均要求取證人員在創(chuàng)建案件時就要進行選擇或設(shè)置。注意：當(dāng)被調(diào)查人員使用的時區(qū)與取證人員計算機使用的時區(qū)不同時，切記一定要提取注冊表中的時區(qū)信息(Time Zone)，然后手工修改取證軟件對磁盤設(shè)備的時區(qū)設(shè)置，只有這樣才能正確解析出文件相關(guān)時間戳。假如當(dāng)前操作系統(tǒng)時間為2018-05-26 18:35，將一個全新的文件henry.jpg寫入一個NTFS分區(qū)，Windows操作系統(tǒng)將會讀取時區(qū)設(shè)置，如當(dāng)前時區(qū)設(shè)置是北京時間UTC+8

28、，那么Windows操作系統(tǒng)向$MFT記錄寫入該文件的創(chuàng)建時間的時間戳將會變成2018-05-26 10:35。也就是說，將NTFS文件系統(tǒng)中的文件時間戳寫入元文件($MFT)時默認均采用UTC+0的時間，如表4-14所示。保存Windows操作系統(tǒng)時區(qū)信息的注冊表文件一般存儲于%windir%system32config SYSTEM，通過取證軟件進行查看。步驟1：查看SYSTEMSelectCurrent的值，如果值為00000001，那么需要進入Controlset001的子鍵中查看時區(qū)信息，如圖4-1所示。圖4-1 查看X-Ways Forensics注冊表內(nèi)容步驟2：提取信息。選擇S

29、YSTEMControlSet001ControlTimeZoneInformation，提取TimeZoneKeyName信息，如圖4-2所示。圖4-2 提取TimeZoneKeyName信息2) 最近使用的文件Windows操作系統(tǒng)本身及許多應(yīng)用程序記錄了最近使用的文件(Most Recently Used，MRU)，主要是為了提升用戶體驗，方便用戶再一次打開最近打開的文件。Windows操作系統(tǒng)及應(yīng)用軟件將MRU的歷史記錄在注冊表中，在注冊表的鍵名稱中通常含有MRU的關(guān)鍵詞。國內(nèi)的多數(shù)計算機取證分析軟件可以對常見的MRU信息進行提取和解析。作為電子數(shù)據(jù)取證人員、司法鑒定人員，不能完全依賴

30、取證工具的解析能力，還需要了解各種MRU信息的存儲位置及解碼方法，如表4-15所示。目前大部分MRU信息是明文存儲的，多數(shù)可以直接查看其內(nèi)容。注：不同應(yīng)用程序版本在注冊表中記錄的MRU通常會以不同版本號分別存儲，如表4-16所示。通常從操作系統(tǒng)或應(yīng)用軟件中看到的最近使用的文件列表數(shù)量有限，然而實際上通過注冊表可以找到更多MRU記錄。此外，部分軟件存在MRU記錄數(shù)最大限制。3) 應(yīng)用程序訪問痕跡(UserAssist)Windows操作系統(tǒng)在運行過程中對使用頻率高的應(yīng)用程序進行了記錄，包括應(yīng)用程序名稱、路徑、運行次數(shù)、最后一次執(zhí)行時間等信息。記錄的信息存在于注冊表中的UserAssist子鍵中。

31、用戶注冊表文件NTUSER.DAT文件記錄了用戶的各種配置信息，通過取證軟件或注冊表工具打開該文件，找到SOFTWAREMICROSOFTWINDOWSCURRENTVERSION EXPLORERUserAssist，分別如表4-17和圖4-3所示。圖4-3 注冊表中的UserAssist子鍵信息UserAssist下的Count中包含的值均通過ROT-13進行加密，因此還需要對信息進行數(shù)據(jù)解碼，才能還原出原始信息內(nèi)容。ROT-13加密算法原理：將26個英文字母分為兩組，每組13個，英文字母表中的字母通過置換實現(xiàn)信息加密，大寫字母對應(yīng)大寫字母，小寫字母對應(yīng)小寫字母。例如，原文“HELLO”經(jīng)

32、過ROT-13加密后，密文變成“URYYB”，如圖4-4所示。注意：UserAssist中的信息使用ROT-13只對字母進行轉(zhuǎn)化，其它非字母(如數(shù)字、中文字符、特殊字符等)均保持不變。圖4-4 ROT-13加密算法4) USB設(shè)備使用記錄Windows除了記錄大量的MRU文件外，還記錄了一些設(shè)備的使用操作記錄。USB設(shè)備(如加密狗、U盤、移動硬盤、智能手機等)在與計算機連接時，系統(tǒng)將會識別出USB設(shè)備，并在注冊表中生成相關(guān)的鍵信息。在%windir%System32ConfigSYSTEM注冊表中記錄了Windows操作系統(tǒng)中插入過的USB設(shè)備。通過取證分析軟件或注冊表工具查看SYSTEM注冊

33、表文件，找到ControlSet001EnumUSB(所有USB設(shè)備的記錄)及ControlSet001EnumUSBSTOR(所有USB存儲設(shè)備的記錄)注冊表項，可分析USB使用痕跡。USBSTOR子鍵中記錄了所有與該計算機連接過的USB存儲設(shè)備。同一個設(shè)備型號只會生成一個子鍵，如Disk&Ven_Kingston&Prod_DT_Workspace&Rev_KS15。該文件夾還會有一個以系列號命名的子鍵。Disk：說明該設(shè)備是一個USB存儲介質(zhì)設(shè)備，而不是不可存儲的設(shè)備(如加密狗)。CdRom：說明該設(shè)備是一個光盤存儲介質(zhì)設(shè)備。Ven：Vendor廠商縮寫。Prod：Product產(chǎn)品型號

34、縮寫。Rev：Revision修訂版縮寫。5. 注冊表分析工具除了Registry Explorer外，RegRipper(Harlan Carvey開發(fā))、Mitec Windows Registry Recovery(WRR)等均可以對注冊表進行分析。RegRipper是Harlan Carvey編寫的注冊表分析工具，也是一個免費的取證工具。通過運行rr.exe，即可調(diào)用RegRipper的圖形界面。RegRipper內(nèi)置了350多個插件模塊，支持對SAM、SECURITY、SYSTEM、SOFTWARE等系統(tǒng)注冊表，用戶注冊表NTUSER.dat、AmCache等注冊表文件的分析。4.3

35、 Windows內(nèi)存取證技術(shù)4.3.1 Windows內(nèi)存簡介計算機內(nèi)存一般指的是隨機存取存儲器(Random Access Memory，RAM)。內(nèi)存是一種易失性存儲載體，它保存處理器主動訪問和存儲的代碼和數(shù)據(jù)，是一個臨時的數(shù)據(jù)交換空間。大多數(shù)PC的內(nèi)存屬于一種動態(tài)RAM(DRAM)，是動態(tài)變化的，其利用了電容器在充電和放電狀態(tài)間的差異來存儲數(shù)據(jù)的比特位。為了維持電容器的狀態(tài)，動態(tài)內(nèi)存必須周期性刷新，這也是內(nèi)存控制器最典型的任務(wù)。1. 地址空間CPU處理器在執(zhí)行指令并訪問存儲于內(nèi)存中的數(shù)據(jù)時，必須為被訪問的數(shù)據(jù)指定一個唯一性地址。地址空間(Address Space)指的就是一組大量的有效

36、地址，可用于識別存儲于有限內(nèi)存分配空間中的數(shù)據(jù)。一個正在運行的程序可以訪問的單個連續(xù)的地址空間一般稱為線性地址空間。基于內(nèi)存模型及采用的分頁模式，有時將其稱為線性地址，又稱為虛擬地址。通常使用物理地址空間來特指處理器請求訪問物理內(nèi)存的地址。這些地址是通過將線性地址轉(zhuǎn)化為物理地址來獲得的。2. 內(nèi)存分頁從抽象意義上來講，頁(Page)是一個具有固定尺寸的窗口；從邏輯意義上來講，頁是具有固定大小的一組連續(xù)線性地址的集合。分頁(Paging)可以將線性地址空間虛擬化。它創(chuàng)建了一個執(zhí)行環(huán)境，大量線性地址空間通過適量的物理內(nèi)存和磁盤存儲進行模擬。每一個32位的線性地址空間被分為固定長度的片段，稱為頁，頁

37、能以任意順序?qū)⒕€性地址空間映射為物理內(nèi)存。當(dāng)程序嘗試訪問線性地址時，這樣的映射使用駐留內(nèi)存的頁目錄(Page Directory，PD)及頁表(Page Table，PT)來實現(xiàn)，如圖4-5所示。圖4.5 內(nèi)存分頁機制3. 物理地址擴展Intel公司的32位架構(gòu)的內(nèi)存分頁機制支持物理地址擴展(Physical Address Extension，PAE)，該擴展允許處理器支持超過4 GB的物理地址空間。程序雖然仍只能擁有最高4 GB的線性地址空間，但是內(nèi)存管理單元可以將那些地址映射為擴展后的64 GB物理地址空間。對于支持PAE功能的系統(tǒng)，其線性地址分為以下4個索引：(1) 頁目錄指針表(Pa

38、ge Directory Pointer Table，PDPT)。(2) 頁目錄。(3) 頁表。(4) 頁偏移(Page Offset)。計算機終端及移動終端均使用了RAM易失性存儲，主要用于數(shù)據(jù)交換、臨時存儲等。操作系統(tǒng)及各種應(yīng)用軟件均經(jīng)常需要與物理內(nèi)存進行數(shù)據(jù)交互，此外由于內(nèi)存空間有限，因此計算機系統(tǒng)還可能將內(nèi)存中的數(shù)據(jù)緩存到磁盤中，如Pagefile.sys(頁交換文件)及Hiberfil.sys(休眠文件)。內(nèi)存中有大量的結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)。通過對物理內(nèi)存鏡像，可以提取有價值的數(shù)據(jù)。常見有價值的數(shù)據(jù)包含以下內(nèi)容：(1) 進程列表(包括惡意程序進程、Rootkit隱藏進程等)。(2

39、) 動態(tài)鏈接庫(當(dāng)前系統(tǒng)或程序加載的動態(tài)鏈接庫)。(3) 打開文件列表(當(dāng)前系統(tǒng)打開的文件列表)。(4) 網(wǎng)絡(luò)連接(當(dāng)前活動的網(wǎng)絡(luò)連接)。(5) $MFT記錄(常駐文件均可以直接提取恢復(fù))。(6) 注冊表(部分注冊表信息，包括系統(tǒng)注冊表和用戶注冊表文件)。(7) 加密密鑰或密碼(如Windows賬戶密碼Hash、BitLocker、SafeBoot、PGP、TrueCrypt、 VeraCrypt等全盤加密或加密容器的恢復(fù)密鑰等)。(8) 聊天記錄(如QQ聊天記錄片段)。(9) 互聯(lián)網(wǎng)訪問(上網(wǎng)記錄URL地址、網(wǎng)頁緩存及InPrivate隱私模式訪問數(shù)據(jù)等)。(10) 電子郵件(如網(wǎng)頁郵件緩存

40、頁面)。(11) 圖片及文檔(尚未保存到磁盤中的圖片、文檔等文件)等。4. 頁交換文件。除了使用物理內(nèi)存RAM用于數(shù)據(jù)交換外，Windows為了能正常工作，還使用了各種各樣的文件。從Windows 95開始，Windows開始引入頁交換文件(Pagefile.sys)用于協(xié)助內(nèi)存數(shù)據(jù)的交換。Pagefile.sys是磁盤中的一個文件，用于臨時存儲操作系統(tǒng)中的活動數(shù)據(jù)，在必要的情況下，Windows可將Pagefile.sys文件中的數(shù)據(jù)移動到物理內(nèi)存中或從內(nèi)存中將數(shù)據(jù)移到該文件中，實現(xiàn)數(shù)據(jù)的臨時交換或緩存。從Pagefile.sys中獲得的數(shù)據(jù)通常是當(dāng)前活動的相關(guān)信息，也通常與調(diào)查相關(guān)性較高。

41、5. 休眠文件休眠文件(Hiberfil.sys)是當(dāng)系統(tǒng)休眠時，Windows將物理內(nèi)存的數(shù)據(jù)寫入磁盤生成的一個文件。當(dāng)系統(tǒng)進入休眠狀態(tài)后，網(wǎng)絡(luò)連接將會中斷；當(dāng)系統(tǒng)重新加電時，Hiberfil.sys文件中的數(shù)據(jù)重新回寫到物理內(nèi)存中，這也使得系統(tǒng)從休眠狀態(tài)恢復(fù)到原始狀態(tài)變得相當(dāng)快。休眠文件包含標準的頭部(PO_MEMORY_IMAGE)、內(nèi)核上下文與寄存器的相關(guān)信息及壓縮的數(shù)據(jù)塊。該文件采用了Xpress算法(帶Huffman及LZ編碼)。文件頭部通常包含“hibr”“HIBR”“wake”或“WAKE”等特征。操作系統(tǒng)從休眠狀態(tài)恢復(fù)后，頭部即被清零，清零后的文件頭可能會導(dǎo)致一些取證軟件無法

42、分析該文件。要進入休眠模式，首先要讓系統(tǒng)啟用休眠模式支持。Windows 8及以上版本的操作系統(tǒng)默認啟用休眠模式支持。取證人員也可以管理員權(quán)限進入命令行模式，并輸入powercfg.exe/hibernate ON 來啟用休眠模式支持。要讓操作系統(tǒng)進入休眠模式，則需要輸入shutdown/h。如果在默認的Windows開始菜單中的“電源”找不到“休眠”，可以通過按Win+X鍵，找到“控制面板”，再找到“電源選項”，然后繼續(xù)進行設(shè)置。例如，可以通過“選擇電源按鈕的功能”，選擇“更改當(dāng)前不可用的設(shè)置”，在“關(guān)機設(shè)置”下將“休眠”選項勾選。后續(xù)在“開始”菜單中選擇“電源”便可看到“休眠”選項。以上操

43、作的具體步驟在不同Windows中可能略有差異。4.3.2 Windows 內(nèi)存取證方法和分析技術(shù)內(nèi)存取證通常是指對計算機及相關(guān)智能設(shè)備運行時的物理內(nèi)存中存儲的臨時數(shù)據(jù)進行獲取與分析，提取有價值的數(shù)據(jù)的過程。內(nèi)存是操作系統(tǒng)及各種軟件交換數(shù)據(jù)的區(qū)域，內(nèi)存中的數(shù)據(jù)易丟失(Volatile)，即通常在關(guān)機后數(shù)據(jù)很快就會消失。常見的物理內(nèi)存獲取方法有冷啟動攻擊(Cool Boot Attack)、基于火線(1394)或雷電 (ThunderBolt)接口的直接內(nèi)存訪問(Direct Memory Access，DMA)獲取及內(nèi)存獲取軟件工具。不同的操作系統(tǒng)需要用到不同的物理內(nèi)存獲取工具。Windows

44、操作系統(tǒng)平臺支持內(nèi)存獲取的常見工具有DumpIt(早期版本名為Win32dd)、Belkasoft RAMCapturer、Magnet RAM Capture、WinEn、Winpmem、EnCase Imager、FTK Imager、取證大師 、取證神探。Linux操作系統(tǒng)支持內(nèi)存獲取的常見工具有dd (適合Linux早期版本)、LiME、linpmem、Draugr、Volatilitux、Memfetch、Memdump。Mac OSX操作系統(tǒng)支持內(nèi)存獲取的常見工具有MacMemoryReader、OSXPmem、Recon for Mac OSX、Blackbag MacQuisi

45、tion。Windows操作系統(tǒng)平臺下的DumpIt是一個簡單易用的計算機內(nèi)存鏡像獲取工具。通常直接將該工具存放在大容量移動硬盤或U盤中，可在正在運行的Windows操作系統(tǒng)上直接運行，根據(jù)提示操作即可。在獲取物理內(nèi)存數(shù)據(jù)時還需盡量減少對原有內(nèi)存數(shù)據(jù)的覆蓋，最大限度地提取內(nèi)存數(shù)據(jù)。從Windows操作系統(tǒng)獲取的物理內(nèi)存鏡像需要使用專門的內(nèi)存分析工具對其進行分析。常見的內(nèi)存分析工具有Volatility、Rekall、Forensic Toolkit(FTK)、取證大師及取證神探等，利用這些工具可以解析出常見的基本信息，包括進程信息、網(wǎng)絡(luò)連接、加載的DLL文件及注冊表加載信息等。1. Volat

46、ility Framework Volatility Framework是一個完全開放的內(nèi)存分析工具集，其基于GNU GPL2許可，以Python語言編寫而成。由于Volatility是一款開源免費的工具，因此無須花任何費用即可進行內(nèi)存數(shù)據(jù)的高級分析。因為代碼具有開源的特點，所以當(dāng)遇到一些無法解決的問題時，還可以對源代碼進行修改或擴展功能。在Windows操作系統(tǒng)平臺下，有兩種方式可以運行Volatility工具。第一種是先獨立安裝Python運行環(huán)境，再下載Volatility源代碼執(zhí)行命令行；第二種是下載Volatility獨立Windows程序(無須另外安裝和配置Python環(huán)境)。最新

47、Volatility版本為V2.6，可以通過官方網(wǎng)站下載。在Windows 64位平臺上，最便捷的方式就是直接使用獨立Windows程序的Volatility版本。進入管理員命令行模式，運行volatility_2.6_win64_standalone.exe 程序即可。2. Volatility常用命令行參數(shù)-h：查看相關(guān)參數(shù)及幫助說明。-info：查看相關(guān)模塊名稱及支持的Windows版本。-f：指定要打開的內(nèi)存鏡像文件及路徑。-d：開啟調(diào)試模式。-v：開啟顯示詳細信息模式(verbose)。由于幫助說明內(nèi)容太多，通常可以將內(nèi)容輸出為文本文件，方便隨時打開參數(shù)及模塊支持列表。查看幫助說明和

48、模塊支持列表可通過以下兩行代碼實現(xiàn)；volatility_2.6_win64_standalone.exe -h help.txtvolatility_2.6_win64_standalone.exe -info modules_list.txtVolatility常用命名參數(shù)及功能對照表如表4-18所示。4.4 Windows其他取證技術(shù)4.4.1 瀏覽器取證分析網(wǎng)頁瀏覽器(Web Browser)通常簡稱為瀏覽器，是一種在萬維網(wǎng)(World Wide Web)中用于檢索、展現(xiàn)及傳輸信息資源的軟件客戶端。信息資源可以是一種網(wǎng)頁、圖片、音視頻等內(nèi)容。瀏覽器已經(jīng)成為Windows、Mac OSX

49、、Linux等各種操作系統(tǒng)中常用的客戶端程序應(yīng)用。除了IE、Chrome、Firefox、Opera、Safari等國際主流瀏覽器外，國內(nèi)也有不少廠商開發(fā)了基于不同內(nèi)核的瀏覽器，如騰訊瀏覽器(TT)、百度瀏覽器、搜狗瀏覽器、獵豹瀏覽器、360瀏覽器、UC瀏覽器、傲游(Maxthon)、世界之窗瀏覽器等。常見瀏覽器內(nèi)核及其對應(yīng)的瀏覽器軟件版本如表4-19所示。國內(nèi)不少瀏覽器軟件后續(xù)采用了多內(nèi)核引擎，如Trident+WebKit、Trident+Blink。(1) 360安全瀏覽器(V1.0V5.0為Trident，V6.0為Trident+WebKit，V7.0為Trident+Blink)。

50、(2) 360極速瀏覽器(V7.5以下版本為Trident+WebKit，V7.5為Trident+Blink)。(3) 獵豹安全瀏覽器(V1.0V4.2版本為Trident+WebKit，V4.3版本為Trident+Blink)。(4) 傲游瀏覽器(傲游V1.x、V2.x為Trident內(nèi)核，V3.x為Trident與Blink)。(5) 世界之窗瀏覽器(最初為Trident內(nèi)核，2013年采用Trident+Blink)。(6) 搜狗瀏覽器(V1.x為Trident，V2.0及以后版本為Trident+Blink)。(7) 淘寶瀏覽器(V1.x為Trident，V2.0及以后為Tride

51、nt+Blink)。由于IE是Windows操作系統(tǒng)內(nèi)置的瀏覽器，多數(shù)人可能會使用IE瀏覽器來訪問相關(guān)網(wǎng)站。不同的IE瀏覽器版本存在一些細微的差異，IE 5IE 9采用了相同的工作機制及數(shù)據(jù)存儲方式，IE 10及以上版本則采用了全新的存儲機制。為了方便闡述，以下內(nèi)容中將IE分為兩大類，分別為傳統(tǒng)IE瀏覽器和新一代瀏覽器。傳統(tǒng)瀏覽器指的是IE 5IE 9的各版本，新一代IE瀏覽器特指IE 10IE 11的各版本。1. 傳統(tǒng)IE瀏覽器1) 上網(wǎng)訪問歷史記錄IE瀏覽器會將所有訪問過的站點各個頁面的URL地址記錄到用戶配置文件夾下的History.IE5文件夾中，并以瀏覽時間為序列列出最近瀏覽過的站點

52、。所有URL地址鏈接和各種訪問的詳細信息都存儲在名為Index.dat的索引文件中。(1) Windows 2000/XP：%UserProfile%Local SettingsHistoryHistory.IE5。(2) Vista/Windows7/Windows8：%UserProfile%AppDataLocalMicrosoftWindowsHistory。需要注意的是，通過靜態(tài)離線取證的方式看到的文件目錄結(jié)構(gòu)往往與操作系統(tǒng)正在運行的情況下看到的有差異。微軟操作系統(tǒng)正在運行的情況下，對于數(shù)據(jù)的讀取訪問做了特殊處理，因此看到的信息都是經(jīng)過處理后的內(nèi)容，和真正在磁盤上存儲的文件的視圖有差

53、異。通常在History.IE5文件夾下有一個全局索引文件Index.dat，在以時間序列分組的各個文件夾下也都有一個索引文件Index.dat。用戶在IE瀏覽器地址欄輸入URL地址后，系統(tǒng)將會把輸入過的網(wǎng)站URL存儲到用戶注冊表NTUser.dat中，通?？赏ㄟ^注冊表分析工具讀取該文件節(jié)點SoftwareMicrosoft Internet ExplorerTypedURLs，找到相應(yīng)的信息。2) 緩存IE瀏覽器為提高打開網(wǎng)頁的速度，默認會將最近瀏覽過的內(nèi)容保存到本地緩存中，當(dāng)用戶下一次打開同一個網(wǎng)站時，就不需要全部重新從遠程的網(wǎng)站服務(wù)器上下載文件，而是直接從本地緩存中讀取。當(dāng)然，IE瀏覽器

54、也有相應(yīng)的機制，可以設(shè)置是否更新過時的內(nèi)容。IE瀏覽器的緩存數(shù)據(jù)通常存儲在用戶配置文件夾下的Local SettingsTemporary Internet Files文件夾(如Documents and Settings%username%Local SettingsTemporary Internet FilesContent.IE5)，用戶也可以使用“工具”修改默認存儲緩存的路徑。3) CookiesCookies通常存儲在用戶配置文件夾下的Cookies文件夾中，該文件夾下保存了1個索引文件Index.dat和大量的Cookies文本文件。Index.dat記錄了用戶訪問的所有站點地址

55、信息，Cookies文本文件則單獨記錄了各個站點的相關(guān)信息。4) 收藏夾瀏覽器中的收藏夾可以一定程度上體現(xiàn)用戶的傾向性和意圖。其在IE瀏覽器中通常稱為收藏夾，在其他類型瀏覽器(如Firefox、Chrome及Safari)中通常稱為書簽。通常收藏夾默認存儲于用戶配置文件夾下的Favorites文件夾中(%UserProfile%Favorites)。然而越來越多的第三方工具提供了用戶自定義IE收藏夾的存儲位置。收藏夾中每個站點鏈接的文件的擴展名為.url，因此計算機取證分析軟件多數(shù)可以通過遍歷整個磁盤搜索發(fā)現(xiàn)存在在其他位置下的收藏夾信息。當(dāng)然，也可以通過分析用戶注冊表(NTUser.dat)解

56、析IE瀏覽器收藏夾的存儲路徑來了解該用戶收藏夾實際的存儲位置。2. 新一代IE瀏覽器2012年10月，微軟發(fā)布Windows 8操作系統(tǒng)，其內(nèi)置了Internet Explorer 10版本。2013年2月，微軟又發(fā)布了適合在Windows 7操作系統(tǒng)運行的Internet Explorer 10版本。越來越多的計算機用戶使用IE 10.0瀏覽器或更新版本來訪問互聯(lián)網(wǎng)。從計算機取證角度來看，新版本瀏覽器IE 10.0最大的變化就是使用一個全新的WebCacheV01.dat數(shù)據(jù)庫文件代替?zhèn)鹘y(tǒng)的Index.dat。該文件是一個數(shù)據(jù)庫文件，是一種可擴展存儲引擎(Extensible Storage

57、 Engine，ESE)的數(shù)據(jù)庫，早期也常被稱為Jet Blue。 ESE是微軟一種靈活度很高的數(shù)據(jù)庫類型，數(shù)據(jù)庫大小可以是1MB，也可以是1TB。它使用一種崩潰恢復(fù)機制，保障數(shù)據(jù)庫存儲數(shù)據(jù)的一致性，ESE的高級緩存系統(tǒng)讓其能高效訪問數(shù)據(jù)。除了IE 10.0之外，Windows操作系統(tǒng)中還有大量應(yīng)用程序使用此類數(shù)據(jù)庫來管理，如Windows Mail、Windows桌面搜索、Exchange Server、活動目錄(Active Directory)和Windows Live Messenger等。ESE數(shù)據(jù)庫的存儲單元是頁，在Windows 7操作系統(tǒng)中，每個頁大小為32KB。除了部分特殊的

58、長記錄需要跨頁存儲外，數(shù)據(jù)庫每條記錄都盡可能存儲在一個獨立的頁中。ESE采用B樹(B-Tree)結(jié)構(gòu)存儲數(shù)據(jù)，如圖4-6所示。圖4-6 ESE使用B樹結(jié)構(gòu)存儲數(shù)據(jù)重要的一點是，當(dāng)某條記錄從數(shù)據(jù)庫中移除后，其占用的空間會被標記為“刪除”，但數(shù)據(jù)庫不會執(zhí)行覆蓋操作。正是因為這點，只要被移除的記錄尚未被另外的記錄覆蓋，那么原記錄的數(shù)據(jù)內(nèi)容極有可能還在未分配的空間，因此有機會恢復(fù)出尚未被覆蓋的數(shù)據(jù)。新一代IE瀏覽器的數(shù)據(jù)庫及日志相關(guān)文件位置為%systemdrive%Users%user%App DataLocalMicrosoftWindowsWebCache。新一代IE瀏覽器相關(guān)數(shù)據(jù)文件如表4-2

59、0所示。WebCacheV01.dat數(shù)據(jù)庫文件結(jié)構(gòu)如表4-21所示。1) ESE數(shù)據(jù)庫中的數(shù)據(jù)表及關(guān)系通過利用Nirsoft網(wǎng)站提供的ESEDatabaseView工具可以查看ESE類型的數(shù)據(jù)庫內(nèi)容。通過實驗可以發(fā)現(xiàn)，在新一代瀏覽器IE 10.0和IE 11.0中，上網(wǎng)記錄、緩存文件及Cookies的記錄信息都保存在WebCacheV01.dat數(shù)據(jù)庫中。從Containers表可以看到ContainerId和Name的對應(yīng)關(guān)系，如圖4-7所示。上網(wǎng)記錄(History)的ContainerId為3和24；緩存內(nèi)容(Content)的ContainerId為16和17；Cookies的Con

60、tainerId為1和2。經(jīng)過多次測試發(fā)現(xiàn)，ContainerId的值并非固定值，因此對WebCacheV01.dat進行分析時，首先要查詢Containers表中的對應(yīng)關(guān)系，再相應(yīng)地檢索相關(guān)信息。圖4-7 WebCacheV01.dat數(shù)據(jù)庫中的Containers表2) 上網(wǎng)訪問記錄首先在WebCacheV01.dat數(shù)據(jù)庫查詢Name字段中名為History的類別對應(yīng)的ContainerId，然后分別查詢其對應(yīng)的Container_#表，即可獲得上網(wǎng)訪問記錄(通常有兩個對應(yīng)的Containers數(shù)據(jù)表)。從圖4-8可以看出，一個名為History的ContainerId為3，Partit