【W(wǎng)indows 7“系統(tǒng)還原”功能】電子數(shù)據(jù)取證方法

原創(chuàng)作品，非經(jīng)作者本人同意謝絕轉(zhuǎn)載！

【摘要】傳統(tǒng)電子數(shù)據(jù)取證技術(shù)難以還原數(shù)據(jù)文件中被修改過的內(nèi)容的本來(lái)面目。Windows操作系統(tǒng)中內(nèi)置的“系統(tǒng)還原”功能則提供了揭示文件背后所隱藏秘密的新途徑。相較Windows XP，Windows 7“系統(tǒng)還原”功能更為全面深入，并采用了全新的文件結(jié)構(gòu)?；陔娮訑?shù)據(jù)取證視角，說(shuō)明Windows 7“系統(tǒng)還原”功能，著重分析該功能所涉及的具體文件（夾）的結(jié)構(gòu)格式，結(jié)合實(shí)例闡述其在電子數(shù)據(jù)取證實(shí)踐中的具體應(yīng)用。

【關(guān)鍵詞】Windows 7；電子數(shù)據(jù)取證；系統(tǒng)還原；SystemVolume Information；還原點(diǎn)

1.引言

Microsoft公司最早在WindowsMe中增加了“系統(tǒng)還原”功能，并且一直沿用到其后版本的Windows系列操作系統(tǒng)中?！跋到y(tǒng)還原”的目的是在不需要重新安裝操作系統(tǒng)，也不會(huì)破壞數(shù)據(jù)文件的前提下使系統(tǒng)回到工作狀態(tài)。系統(tǒng)還原程序通常在后臺(tái)運(yùn)行，并在觸發(fā)器事件發(fā)生時(shí)自動(dòng)創(chuàng)建還原點(diǎn)。觸發(fā)器事件主要包括應(yīng)用程序安裝、操作系統(tǒng)自動(dòng)更新、Microsoft備份應(yīng)用程序恢復(fù)、未經(jīng)簽名的驅(qū)動(dòng)程序安裝以及手動(dòng)創(chuàng)建還原點(diǎn)等。同時(shí)，默認(rèn)情況下實(shí)用程序每天創(chuàng)建一次還原點(diǎn)。依次執(zhí)行“開始”→“控制面板”→“系統(tǒng)和安全”→“系統(tǒng)”（或“計(jì)算機(jī)”→“屬性”），便會(huì)彈出如圖1所示的對(duì)話框窗口。通過該對(duì)話框，不僅將系統(tǒng)還原到之前所設(shè)置的還原點(diǎn)，還可以手工創(chuàng)建還原點(diǎn)。

圖1 Windows 7“系統(tǒng)還原”對(duì)話框

 “系統(tǒng)還原”可以恢復(fù)注冊(cè)表、本地配置文件、Windows 文件保護(hù)、高速緩存、Windows 管理工具，以及實(shí)用程序默認(rèn)復(fù)制到“還原”存檔中的文件，同時(shí)監(jiān)視多種文件類型（例如：.cat、.com、.dll、.exe、.inf、.ini、.msi、.ole 和 .sys）。因此，“系統(tǒng)還原”可以被視為一個(gè)信息豐富的證據(jù)庫(kù)，能夠直接或間接地證明嫌疑人的犯罪行為，從而為涉計(jì)算機(jī)犯罪案件的取證工作提供有利幫助。

2.Windows7“系統(tǒng)還原”功能

2.1“系統(tǒng)還原”配置

點(diǎn)擊圖1中的“系統(tǒng)保護(hù)”，即可彈出如圖2所示的選項(xiàng)卡界面。如要開啟“系統(tǒng)還原”功能，首先需為系統(tǒng)還原分配所需的磁盤空間，選中C分區(qū)后，點(diǎn)擊“配置(O)...”按鈕，可以進(jìn)行還原類型、空間大小等方面的設(shè)置；點(diǎn)擊“創(chuàng)建(C)...”按鈕便為啟動(dòng)系統(tǒng)保護(hù)的驅(qū)動(dòng)器創(chuàng)建還原點(diǎn)；點(diǎn)擊“系統(tǒng)還原(S)...”按鈕則可實(shí)現(xiàn)還原點(diǎn)選擇，并通過還原到特定還原點(diǎn)，達(dá)到撤銷系統(tǒng)更改的目的。

圖2 “系統(tǒng)保護(hù)”選項(xiàng)卡界面

在還原類型設(shè)置方面，有三種選項(xiàng)供選擇：還原系統(tǒng)設(shè)置和以前版本的文件、僅還原以前版本的文件、關(guān)閉系統(tǒng)保護(hù)（圖3）。如果用戶選定的是前兩種，偵查人員就有了針對(duì)“系統(tǒng)還原”進(jìn)行取證挖掘的可能。在空間使用方面，可以通過滑動(dòng)按鈕調(diào)整用于系統(tǒng)保護(hù)的最大磁盤空間。如果不手工設(shè)置空間大小，則對(duì)于大于4G的分區(qū)，系統(tǒng)會(huì)默認(rèn)將其大小設(shè)置為分區(qū)的12%；對(duì)于小于4G的分區(qū)，默認(rèn)大小為400MB。并且當(dāng)達(dá)到最大大小的75%時(shí)，系統(tǒng)就按先進(jìn)先出原則，更新還原文件。

圖3 還原類型與空間大小設(shè)置

2.2 System Volume Information 文件夾

與Windows XP相同，Windows 7也用System Volume Information文件夾實(shí)現(xiàn)“系統(tǒng)還原”功能，使用其存儲(chǔ)還原點(diǎn)相關(guān)信息。該文件夾存放于C盤根目錄下，是一個(gè)隱藏的系統(tǒng)文件夾（圖4），需要在“工具”→“文件夾選項(xiàng)”→“查看”選項(xiàng)卡中勾除“隱藏受保護(hù)的操作系統(tǒng)文件”并勾選“顯示所有文件和文件夾”方可顯示。

圖4 System Volume Information文件夾屬性

若要正常訪問System Volume Information文件夾內(nèi)容，須在“屬性”→“安全”→“編輯”選項(xiàng)卡中添加“Everyone”并勾選“完全控制和修改”，以獲取打開文件夾的權(quán)限（圖5）。
無(wú)錫數(shù)據(jù)恢復(fù)

圖5 設(shè)定SystemVolume Information文件夾訪問權(quán)限

但Windows 7下的System Volume Information文件夾結(jié)構(gòu)卻與XP截然不同，擯棄了XP時(shí)代的_restore、RP#、snapshot等系統(tǒng)文件，不再單獨(dú)描述特定文件的變化，而是利用整體文件（文件名稱中含有GUID信息）的形式描述特定時(shí)間點(diǎn)的卷信息。并且，除了常規(guī)的還原點(diǎn)文件之外，該文件夾下還包含一名為“Syscache.hve”的注冊(cè)表文件及其歷史文件備份（圖6）。

圖6 Windows 7下的System Volume Information文件夾內(nèi)容

2.3 典型操作對(duì)System VolumeInformation的影響

實(shí)驗(yàn)發(fā)現(xiàn)，執(zhí)行設(shè)置還原點(diǎn)操作后，System VolumeInformation 文件夾會(huì)新增使用GUID格式命名的文件。圖7所示即為使用Beyond Compare工具對(duì)比得出的操作前后文件夾內(nèi)容異同，多出了名為{99fde749-9403-11e4-9a95-206a8a68d684}{3808876b-c176-4e48-b7ae-04046e6cc752}的文件。此類文件含有每一個(gè)還原點(diǎn)的恢復(fù)注冊(cè)表、本地配置文件、COM+數(shù)據(jù)庫(kù)、Windows 文件保護(hù) (WFP) 高速緩存 (wfp.dll)、Windows 管理工具 (WMI) 數(shù)據(jù)庫(kù)、Microsoft ⅡS 元數(shù)據(jù)，以及實(shí)用程序默認(rèn)復(fù)制到“還原”存檔中的文件等信息。

圖7 新增還原點(diǎn)后System Volume Information文件夾的變化

應(yīng)用軟件安裝則會(huì)直接影響Syscache.hve以及Syscache.hve.LOG1文件的修改時(shí)間變化（圖8）。由此推測(cè)Syscache.hve與Syscache.hve.LOG1一類的文件負(fù)責(zé)保留軟件安裝類的注冊(cè)表信息。另外，卸載程序操作同樣會(huì)影響Syscache.hve、Syscache.hve.LOG1以及對(duì)應(yīng)的還原點(diǎn)文件夾（內(nèi)含驅(qū)動(dòng)程序信息）的修改時(shí)間。

圖8 安裝應(yīng)用軟件后System Volume Information文件夾的變化

3.電子數(shù)據(jù)取證實(shí)例分析

3.1 還原被修改的數(shù)據(jù)

2015年4月，在某涉毒案件的電子數(shù)據(jù)取證過程中，取證人員在嫌疑人電腦主機(jī)中發(fā)現(xiàn)一可能存放有密碼信息的文件夾，并在其內(nèi)找到一名為“重要文件”的txt文檔，其內(nèi)容信息如圖9所示。但使用密碼“abcdef”嘗試進(jìn)入與嫌疑人關(guān)聯(lián)的虛擬身份等帳戶信息，均告失敗。

圖9 重要文件.txt文件內(nèi)容

進(jìn)一步分析發(fā)現(xiàn)嫌疑人電腦設(shè)置有系統(tǒng)還原點(diǎn)。由此選中“重要文件.txt”所在的文件夾，右鍵→“屬性”→“還原以前的版本”，實(shí)現(xiàn)原有文件夾的還原。之后進(jìn)入還原后的文件夾，即可獲取得到“重要文件.txt”初始內(nèi)容。利用文件中的密碼信息，取證人員成功進(jìn)入了嫌疑人的多個(gè)虛擬身份，獲得了極具價(jià)值的線索與證據(jù)。同時(shí)，在還原后的文件夾中還發(fā)現(xiàn)了已被嫌疑人徹底刪除并覆蓋了的圖片文件“Lighthouse.jpg”（圖10）。

圖10 通過還原點(diǎn)還原文件（夾）初始信息

3.2 恢復(fù)回收站數(shù)據(jù)

    在某涉知識(shí)產(chǎn)權(quán)案件的取證實(shí)踐中，取證人員未在嫌疑人使用的電腦主機(jī)中尋找到與核心機(jī)密相關(guān)的數(shù)據(jù)文件，并且“回收站”已被嫌疑人清空，采用數(shù)據(jù)恢復(fù)技術(shù)也未發(fā)現(xiàn)任何有價(jià)值信息。鑒于嫌疑人曾經(jīng)設(shè)置過還原點(diǎn)，取證人員決定利用“系統(tǒng)還原”功能進(jìn)行深度挖掘。

圖11 查詢還原點(diǎn)并創(chuàng)建符號(hào)鏈接

首先以管理員身份運(yùn)行命令“vssadmin list shadowstorage”，查詢還原點(diǎn)信息。在如圖11所示的結(jié)果中，系統(tǒng)存在一個(gè)還原點(diǎn)，其卷號(hào)為\\?\Volume{e59ff71d-4b6a-11e4-a5e2-806e6f6e6963}\；接下來(lái)使用“mklink”命令為該還原點(diǎn)存儲(chǔ)卷創(chuàng)建符號(hào)鏈接；之后便可通過新生成的符號(hào)鏈接文件夾訪問被保護(hù)驅(qū)動(dòng)器的原有信息。進(jìn)入$RECYCLE.BIN（回收站）文件，發(fā)現(xiàn)了回收站被清空之前留存過的“汽車電控機(jī)密技術(shù).zip”（圖12）等數(shù)據(jù)文件，從而有力證明了嫌疑人的犯罪行為。

圖12 還原點(diǎn)中的回收站數(shù)據(jù)信息

4.結(jié)束語(yǔ)

數(shù)據(jù)搜索要求對(duì)敏感內(nèi)容有所了解，才能設(shè)定出精準(zhǔn)高效的關(guān)鍵字；數(shù)據(jù)恢復(fù)則只能針對(duì)文件，對(duì)于完全或部分被覆蓋的數(shù)據(jù)無(wú)法取得理想的取證效果?！跋到y(tǒng)還原”功能則很好的規(guī)避了傳統(tǒng)技術(shù)的缺陷，為深度取證分析提供了可能。不足之處在于對(duì)還原點(diǎn)的設(shè)置時(shí)機(jī)有著較高要求，一旦不吻合就很難挖掘出有價(jià)值的線索或證據(jù)。另外，“系統(tǒng)還原”取證往往會(huì)破壞原始磁盤介質(zhì)的完整性，因此實(shí)際操作時(shí)需要針對(duì)復(fù)制介質(zhì)進(jìn)行。文中對(duì)System Volume Information文件夾結(jié)構(gòu)格式的分析還停留在較為粗淺的層面，也希望以此激發(fā)取證同行們的研究興趣，攜手贊襄電子數(shù)據(jù)取證事業(yè)。

基金項(xiàng)目：網(wǎng)絡(luò)安全執(zhí)法與公安技術(shù)信息化協(xié)同創(chuàng)新中心基金

參考文獻(xiàn)

[1]Carvey H.Windows forensic analysis[M]. US:Syngress,2012:134-156.

[2]羅文華.基于Recent文件夾下的快捷方式文件解析用戶行為方法研究[J].信息網(wǎng)絡(luò)安全,2013(5):22-24.

[3]RussinovichMR, Solomon DA. Microsoft windows Internals:Windows Server 2008 and WindowsVista(5th ed)[M]. USA:Microsoft Press, 2009:246-266.

作者簡(jiǎn)介：羅文華，男，1977年生人，教授。2000年7月畢業(yè)于大連理工大學(xué)計(jì)算機(jī)科學(xué)與工程專業(yè)，獲學(xué)士學(xué)位；2003年7月畢業(yè)于大連理工大學(xué)研究生院計(jì)算機(jī)應(yīng)用專業(yè)，獲碩士學(xué)位。目前任教于中國(guó)刑警學(xué)院網(wǎng)絡(luò)犯罪偵查系電子物證教研室，主要研究方向?yàn)橛?jì)算機(jī)犯罪偵查與電子數(shù)據(jù)取證。