【利用Windows“系統(tǒng)還原”功能進行電子數(shù)據(jù)取證】

原創(chuàng)作品，非經(jīng)作者本人同意謝絕轉(zhuǎn)載！

【摘要】作為網(wǎng)絡(luò)犯罪偵查中重要的證據(jù)與線索來源，用戶行為信息在揭示犯罪分子操作細節(jié)方面發(fā)揮著重要作用。本文在說明Windows“系統(tǒng)還原”功能的基礎(chǔ)上，著重分析該功能所涉及的具體文件（夾）的結(jié)構(gòu)格式，說明其在電子數(shù)據(jù)取證工作中的具體應用。電子數(shù)據(jù)取證實踐證明，所述方法準確高效。

【關(guān)鍵詞】系統(tǒng)還原；System Volume Information；_restore文件夾；RP#文件夾；snapshot文件夾

1.引言

微軟公司最早在Windows Me中增加了“系統(tǒng)還原”功能，并且一直沿用到其后版本的Windows系列操作系統(tǒng)中?！跋到y(tǒng)還原”的目的是在不需要重新安裝操作系統(tǒng)，也不會破壞數(shù)據(jù)文件的前提下使系統(tǒng)回到工作狀態(tài)。系統(tǒng)還原程序通常在后臺運行，并在觸發(fā)器事件發(fā)生時自動創(chuàng)建還原點。觸發(fā)器事件主要包括應用程序安裝、AutoUpdate安裝、Microsoft備份應用程序恢復、未經(jīng)簽名的驅(qū)動程序安裝以及手動創(chuàng)建還原點。同時，默認情況下實用程序每天創(chuàng)建一次還原點。依次執(zhí)行“開始”→“程序”→“附件”→“系統(tǒng)工具”→“系統(tǒng)還原”，便會彈出如圖1所示的對話框窗口。通過該對話框，不僅將系統(tǒng)還原到之前所設(shè)置的還原點，還可以手工創(chuàng)建還原點。

圖1 “系統(tǒng)還原”對話框

 “系統(tǒng)還原”可以恢復注冊表、本地配置文件、Windows 文件保護、高速緩存、Windows 管理工具，以及實用程序默認復制到“還原”存檔中的文件，同時監(jiān)視多種文件類型（例如：.cat、.com、.dll、.exe、.inf、.ini、.msi、.ole 和 .sys）。因此，“系統(tǒng)還原”可以被視為一個信息豐富的證據(jù)庫，能夠直接或間接地證明嫌疑人的犯罪行為，從而為網(wǎng)絡(luò)攻擊等方面的取證工作提供極大的幫助。

2.利用“系統(tǒng)還原”功能進行電子數(shù)據(jù)取證

2.1 System Volume Information 文件夾

Windows操作系統(tǒng)主要依靠SystemVolume Information（系統(tǒng)卷標信息）文件夾實現(xiàn)“系統(tǒng)還原”功能，用它存儲相關(guān)信息及還原點。該文件夾是一個隱藏的系統(tǒng)文件夾（圖2），需要在“工具”→“文件夾選項”→“查看”選項卡中勾除“隱藏受保護的操作系統(tǒng)文件”并勾選“顯示所有文件和文件夾”。

圖2 S“查看”選項卡設(shè)置

計算機上的每個分區(qū)上都可以擁有有一個 SystemVolume Information 文件夾。右鍵單擊“我的電腦”（Win XP）或“計算機”（Win 7），在彈出“系統(tǒng)還原”選項卡中即可進行是否啟用“系統(tǒng)還原”及分配空間（即SystemVolume Information文件夾）的大?。▓D3）。如果不手工設(shè)置該文件夾大小，則對于大于4G的分區(qū)，系統(tǒng)會默認將其大小設(shè)置為分區(qū)的12%；對于小于4G的分區(qū)，默認大小為400MB。并且當達到最大大小的75%時，系統(tǒng)就按先進先出原則，更新還原文件。

圖3 SystemVolume Information文件夾大小設(shè)置

2.2 _restore文件夾

System Volume Information文件夾中包含有以字符串“_restore”開頭的后接全局唯一標識符（GUID，Globally Unique Identifier）的文件夾。該文件夾包含有“RP#”字樣的子文件夾（下節(jié)詳述），同時還含有_filelist.cfg、_driver.cfg等文件。其中，_filelist.cfg是一種二進制文件，用來定義監(jiān)視文件的類型（圖3）；_driver.cfg則用來負責說明存儲介質(zhì)信息。

圖4_restore文件夾內(nèi)容

另外，“系統(tǒng)還原”所監(jiān)視的文件類型還可以由\Windows\system32\Restore下的filelist.xml所決定。該文件中指定了需要管理的文件的擴展名，決定何種類型的文件需要系統(tǒng)進行監(jiān)控，同樣也包含被監(jiān)控文件的存儲路徑。監(jiān)控文件主要包括注冊表、.exe,.dll,.ini，元文件等。需要指出的是，還原點并不監(jiān)控各種日志文件（包括系統(tǒng)事件日志）。

圖5 \Windows\system32\Restore下的filelist.xml文件

2.3 RP#文件夾

每個還原點都對應一個RP#（#代表數(shù)字序列號）文件夾。該文件夾下除包含有snapshot文件夾（下節(jié)詳述）外，還包括系統(tǒng)還原操作所涉及的各類文件。從圖6可以看出，當用戶針對還原點監(jiān)視的文件進行修改操作時，該文件即被添加至RP#文件夾下，但名稱被更換為字母和數(shù)字組成的序號字符串，并且當有新文件添加時序號自動加1。

圖6 RP#文件夾下內(nèi)容

若要解析出序號文件與真實文件的對應關(guān)系，需要依靠同樣保存在RP#文件夾下的change.log文件。從圖7可以看出，與序號文件對應的文件原始名稱及存放路徑均保存在change.log文件中。因此，依據(jù)此文件可深入解析出用戶的惡意操作行為。需要指出的是，當被用戶更改的文件添加至RP#文件夾下時，創(chuàng)建時間、修改時間與訪問時間等屬性卻保持不變。RP#文件夾的這種特殊性質(zhì)為取證人員進一步挖掘時間信息提供了有利的線索。

圖7 change.log文件內(nèi)容

2.4 snapshot文件夾

snapshot文件夾主要包括還原點涉及的注冊表巢文件，涉及SAM、SECURITY、SOFTWARE、SYSTEM、DEFAULT、NTUSER和USRCLASS等多重分支（圖8）。依據(jù)注冊表巢文件可以解析出硬件及軟件安裝、應用程序配置、密碼修改、網(wǎng)絡(luò)連接記錄等變化情況。

圖8 snapshot文件夾中的注冊表巢文件

此處的巢文件無法使用Regedit一類的系統(tǒng)工具進行分析，需要利用注冊表離線查看工具才能正常解析。圖9所示即為將SYSTEM分支導入離線查看工具RegistryViewer后得到的結(jié)果，依據(jù)MountedDevices子鍵可分析得出移動存儲設(shè)備的掛載情況。

圖9 利用注冊表離線查看工具解析巢文件

3.結(jié)束語

木馬惡意程序通常喜歡將收集到的用戶名及密碼等私人信息隱藏在用戶不容易注意到的位置。“系統(tǒng)還原”功能所涉及的文件夾由于其隱藏屬性，并且往往占據(jù)較大的磁盤空間，因此成為多數(shù)木馬程序的首選。因此，在檢驗_restore文件夾、RP#文件夾、snapshot文件夾等常規(guī)文件的同時，還應特別注重異常文件的分析。電子數(shù)據(jù)取證實踐中，最重要的就是snapshot文件夾?；谄渲凶员沓参募娜∽C，可以解析出嫌疑人的深層操作行為。Windows7的“系統(tǒng)還原”同樣使用System Volume Information文件夾，但其內(nèi)部結(jié)構(gòu)卻發(fā)生了巨大變化，解析其具體格式，將其應用于電子數(shù)據(jù)取證實踐將是筆者未來重點研究方向。