(一)時間是進行其他取證的基礎,确定時間是電子數據取證重要的不可或缺的環節;時間本身也是重要的數據,保存在硬盤或文件中的時間可以作為證據來确定行為和後果。
(二)計算機的開關機都是一個過程,這是一個時間段而不是一個時間點。單純的一個開關機時間戳會受到多種因素的影響,因此需要利用不同的時間戳來驗證開關機的狀态是否正常,開關機的時間是否合理,這些能否作為證據使用。
二、時間取證的基本判斷規則(一) 如果修改時間等于建立時間,那麼文件是原始文件,既沒有被修改也沒有被剪切。
(二)如果修改時間早于建立時間,則文件被複制或移動過。
(三)如果在硬盤上批量的文件具有很近的訪問時間,這些文件極有可能被同一個工具軟件掃描過,如殺毒軟件。如果在一個文件夾中的一些圖像和視頻文件有很近的訪問時間,并且沒有其他的圖像和視頻文件具有相似的訪問時間,則這些圖像和視頻文件極有可能被一個圖像和視頻預覽工具訪問或者打開過,例如用Windows資源管理器以縮略圖的方式查看。
(四)在一個文件夾中,如果一些文件的修改時間等于創建時間,并且有很近的創建時間或者修改時間,那麼這些文件有可能是從網上批量下載的。
(五)文件拷貝的時候,文件創建時間為拷貝的時間,文件修改時間與源文件一緻。
(六)文件下載的時候,文件創建時間為開始下載的時間,文件修改時間為下載結束的時間。注意:使用IE下載時是先下載到臨時目錄再拷貝。
(七)壓縮文件解壓時,通常情況下文件的創建時間為解壓時間,文件修改時間與壓縮前的文件一緻。
三、操作練習(一)依次點擊“開始”->“運行”,輸入“regedit”打開“注冊表編輯器”,依次展開“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion”,雙擊查看“InstallDate”鍵内容,選擇“十進制”單選按鈕。如圖所示
(二)使用線上“Unix時間戳轉換工具”轉換時間得到操作系統安裝時間(實驗環境不聯網,請自行上網轉換)。如圖所示
四、開機和關機時間
(一)依次點擊“開始”->“管理工具”->“事件查看器”,依次展開“Windows日志”->“系統”,點擊右側“操作”欄中的“篩選當前日志”鍊接,在“篩選當前日志”對話框中輸入事件ID“6005,6006,6008,6009”。如圖所示
(二) 事件“6005”記錄事件日志啟動時間,也可以認為是系統的啟動時間。事件“6006”記錄事件日志停止時間,也可以認為是系統關閉時間。事件“6008”記錄異常關閉。事件“6009”記錄在啟動過程中的操作系統版本和其他系統信息。點擊“确定”按鈕得到篩選結果。如圖所示
(三)點擊某項事件便可在下方查看到其内容。打開注冊表,依次展開“HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names\Administrator”(若無法展開SAM表則需要右鍵單擊,在快捷菜單中選擇“權限”,賦予Administrator完全控制權限,重新打開注冊表)查看管理員用戶“Administrator”的RID(相對标識符)。如圖所示
(四)選擇“Users”表項中的“000001F4”鍵查看内容,“F”記錄用戶登錄信息,“V”記錄用戶權限信息,雙擊打開“F”值。如圖所示
(五)“0008”一行為用戶最後登錄時間,“0018”一行為用戶設置密碼時間,“0020”一行為賬戶過期時間(所有時間格式為:64位Windows/FileTIME)。
(六)Windows正常關機時間保存在注冊表“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Windows”的ShutdownTime鍵值中,以64位Windows/FILETIME時間格式保存。如圖所示
(七)以上為正常的開關機時間,若系統斷電或死機,系統不一定會記錄時間更新信息。例如斷電或硬重啟時系統日志和注冊表中就不會記錄正常的關機時間。
四、Windows中的重點取證目錄(一)Windows的系統目錄,不同的版本默認存放在不同位置。一旦安裝完成之後就無法更改。Windows用注冊表文件來存儲用戶的環境信息,以用戶目錄來存儲用戶的文件信息。
(二) 用戶目錄用于存儲用戶文件和配置,以此來區分不同用戶的使用環境和權限。無論是本地用戶還是網絡用戶,第一次登陸系統,就會為用戶生成一個用戶目錄,以後每當用戶登錄時,都會加載用戶的配置信息。用戶注銷時,會相應的卸載用戶的配置信息。
(三)當内存少于系統應用的需求時,系統會生成一個交換文件來暫存内存數據,以釋放部分内存來進行應用。
(四)休眠文件是另外一個獲得内存數據的來源。
(五)Windows中打印文件時,會生成假脫機打印文件。
(六) Prefetch目錄的作用是加快系統啟動的進程。
五、操作練習1、用戶目錄
1.1 最近訪問的文檔包括用戶最近訪問的文件。當用戶打開一個目錄或文件,系統自動就在這個最近訪問的文檔目錄中生成一個這個文檔的快捷方式。在開始菜單中,可以通過“最近訪問的文檔”來查看最近15個打開的文檔。在“%SYSTEM%\Users\<用戶名>\AppData\Roaming\Microsoft\Windows\Recent”中,可以看到更多最近打開的文檔的快捷方式。即使最近訪問的文檔已經被删除或者移走,但是通過快捷方式,仍然可以獲取大量信息。
1.2 桌面目錄中保存了Windows桌面上的所有文件,不僅有快捷方式,還有存儲在桌面上的各種文件。
1.3 我的文檔是用戶目錄下的重要目錄,它存儲着用戶的個人文件。其中包括“圖片收藏”、“我的視頻”、“我的音樂”等子目錄。
1.4 發送到目錄是集成在右鍵中的快捷指向。用戶可以自定義發送到目錄中的指向。通過研究這些指向,可以知道用戶經常使用的文件存儲位置。除此之外,還包括臨時目錄、IE收藏夾、Cookies和曆史記錄等内置應用程序的目錄和文件。
2、交換文件(Swap file)
2.1 當内存少于系統應用的需求時,系統會生成一個交換文件來暫存内存數據,以釋放部分内存來進行應用。這個交換文件又叫做頁文件(Pagefile.sys),它存在于根目錄中。
2.2 一般來說,取證人員面對的都是斷電之後獲取的介質,也就是檢查對象都是靜态的存儲。動态的内存數據因為斷電而不複存在。交換文件可以部分的解決這個問題,通過檢查交換文件,可以獲取文件碎片以便進行分析。
3、休眠文件(Hibernation File)
3.1 休眠文件是另外一個獲得内存數據的來源。計算機進入休眠狀态後,内存被轉儲到硬盤上的休眠文件中,以便于系統被喚醒時迅速進入系統而不必重新加載系統。休眠文件保存在系統根目錄中的hiberfil.sys中。
3.2 休眠文件的大小等同于系統内存。即使系統從未進入休眠狀态,休眠文件也将存在,數據内容都為0x00。
4、假脫機打印文件(Print Spooling)
4.1 Windows中打印文件時,會生成假脫機打印文件。假脫機打印文件在後台以隊列方式自動運行,以便用戶不必等待打印結束就可以繼續打印下一個文件。當使用網絡打印機時,假脫機打印文件将被發送給連接打印機的服務器上。打印完成後,假脫機打印文件會被系統邏輯删除。
4.2 打印機以RAW和EMF兩種模式來進行打印。RAW模式指的是原始圖像格式。EMF模式下圖像将被轉換為EMF格式,EMF不是單獨的文件,而是内嵌在其他文件中。EMF是默認的打印模式。
4.3 由于系統會在打印結束後删除假脫機文件,因此假脫機文件大都保存在未分配空間、文件松弛區、交換文件、休眠文件中。但是隻要對EMF文件頭進行文件簽名分析,就會提取到打印過的圖像信息。
5、預讀取文件(Windows Prefetch)
5.1 Prefetch目錄的作用是加快系統啟動的進程,系統會自動記錄下啟動時運行的每一個程序,并根據這些信息加快下一次的啟動時間,這些文件以pf為後綴,預讀取文件的目錄位于“Windows/Prefetch”。
,