【利用Windows“系統(tǒng)還原”功能進(jìn)行電子數(shù)據(jù)取證】

原創(chuàng)作品，非經(jīng)作者本人同意謝絕轉(zhuǎn)載！

【摘要】作為網(wǎng)絡(luò)犯罪偵查中重要的證據(jù)與線索來源，用戶行為信息在揭示犯罪分子操作細(xì)節(jié)方面發(fā)揮著重要作用。本文在說明Windows“系統(tǒng)還原”功能的基礎(chǔ)上，著重分析該功能所涉及的具體文件（夾）的結(jié)構(gòu)格式，說明其在電子數(shù)據(jù)取證工作中的具體應(yīng)用。電子數(shù)據(jù)取證實(shí)踐證明，所述方法準(zhǔn)確高效。

【關(guān)鍵詞】系統(tǒng)還原；System Volume Information；_restore文件夾；RP#文件夾；snapshot文件夾

1.引言

微軟公司最早在Windows Me中增加了“系統(tǒng)還原”功能，并且一直沿用到其后版本的Windows系列操作系統(tǒng)中。“系統(tǒng)還原”的目的是在不需要重新安裝操作系統(tǒng)，也不會(huì)破壞數(shù)據(jù)文件的前提下使系統(tǒng)回到工作狀態(tài)。系統(tǒng)還原程序通常在后臺(tái)運(yùn)行，并在觸發(fā)器事件發(fā)生時(shí)自動(dòng)創(chuàng)建還原點(diǎn)。觸發(fā)器事件主要包括應(yīng)用程序安裝、AutoUpdate安裝、Microsoft備份應(yīng)用程序恢復(fù)、未經(jīng)簽名的驅(qū)動(dòng)程序安裝以及手動(dòng)創(chuàng)建還原點(diǎn)。同時(shí)，默認(rèn)情況下實(shí)用程序每天創(chuàng)建一次還原點(diǎn)。依次執(zhí)行“開始”→“程序”→“附件”→“系統(tǒng)工具”→“系統(tǒng)還原”，便會(huì)彈出如圖1所示的對(duì)話框窗口。通過該對(duì)話框，不僅將系統(tǒng)還原到之前所設(shè)置的還原點(diǎn)，還可以手工創(chuàng)建還原點(diǎn)。

圖1 “系統(tǒng)還原”對(duì)話框

 “系統(tǒng)還原”可以恢復(fù)注冊(cè)表、本地配置文件、Windows 文件保護(hù)、高速緩存、Windows 管理工具，以及實(shí)用程序默認(rèn)復(fù)制到“還原”存檔中的文件，同時(shí)監(jiān)視多種文件類型（例如：.cat、.com、.dll、.exe、.inf、.ini、.msi、.ole 和 .sys）。因此，“系統(tǒng)還原”可以被視為一個(gè)信息豐富的證據(jù)庫(kù)，能夠直接或間接地證明嫌疑人的犯罪行為，從而為網(wǎng)絡(luò)攻擊等方面的取證工作提供極大的幫助。

2.利用“系統(tǒng)還原”功能進(jìn)行電子數(shù)據(jù)取證

2.1 System Volume Information 文件夾

Windows操作系統(tǒng)主要依靠SystemVolume Information（系統(tǒng)卷標(biāo)信息）文件夾實(shí)現(xiàn)“系統(tǒng)還原”功能，用它存儲(chǔ)相關(guān)信息及還原點(diǎn)。該文件夾是一個(gè)隱藏的系統(tǒng)文件夾（圖2），需要在“工具”→“文件夾選項(xiàng)”→“查看”選項(xiàng)卡中勾除“隱藏受保護(hù)的操作系統(tǒng)文件”并勾選“顯示所有文件和文件夾”。

圖2 S“查看”選項(xiàng)卡設(shè)置

計(jì)算機(jī)上的每個(gè)分區(qū)上都可以擁有有一個(gè) SystemVolume Information 文件夾。右鍵單擊“我的電腦”（Win XP）或“計(jì)算機(jī)”（Win 7），在彈出“系統(tǒng)還原”選項(xiàng)卡中即可進(jìn)行是否啟用“系統(tǒng)還原”及分配空間（即SystemVolume Information文件夾）的大小（圖3）。如果不手工設(shè)置該文件夾大小，則對(duì)于大于4G的分區(qū)，系統(tǒng)會(huì)默認(rèn)將其大小設(shè)置為分區(qū)的12%；對(duì)于小于4G的分區(qū)，默認(rèn)大小為400MB。并且當(dāng)達(dá)到最大大小的75%時(shí)，系統(tǒng)就按先進(jìn)先出原則，更新還原文件。

圖3 SystemVolume Information文件夾大小設(shè)置

2.2 _restore文件夾

System Volume Information文件夾中包含有以字符串“_restore”開頭的后接全局唯一標(biāo)識(shí)符（GUID，Globally Unique Identifier）的文件夾。該文件夾包含有“RP#”字樣的子文件夾（下節(jié)詳述），同時(shí)還含有_filelist.cfg、_driver.cfg等文件。其中，_filelist.cfg是一種二進(jìn)制文件，用來定義監(jiān)視文件的類型（圖3）；_driver.cfg則用來負(fù)責(zé)說明存儲(chǔ)介質(zhì)信息。

圖4_restore文件夾內(nèi)容

另外，“系統(tǒng)還原”所監(jiān)視的文件類型還可以由\Windows\system32\Restore下的filelist.xml所決定。該文件中指定了需要管理的文件的擴(kuò)展名，決定何種類型的文件需要系統(tǒng)進(jìn)行監(jiān)控，同樣也包含被監(jiān)控文件的存儲(chǔ)路徑。監(jiān)控文件主要包括注冊(cè)表、.exe,.dll,.ini，元文件等。需要指出的是，還原點(diǎn)并不監(jiān)控各種日志文件（包括系統(tǒng)事件日志）。

圖5 \Windows\system32\Restore下的filelist.xml文件

2.3 RP#文件夾

每個(gè)還原點(diǎn)都對(duì)應(yīng)一個(gè)RP#（#代表數(shù)字序列號(hào)）文件夾。該文件夾下除包含有snapshot文件夾（下節(jié)詳述）外，還包括系統(tǒng)還原操作所涉及的各類文件。從圖6可以看出，當(dāng)用戶針對(duì)還原點(diǎn)監(jiān)視的文件進(jìn)行修改操作時(shí)，該文件即被添加至RP#文件夾下，但名稱被更換為字母和數(shù)字組成的序號(hào)字符串，并且當(dāng)有新文件添加時(shí)序號(hào)自動(dòng)加1。

圖6 RP#文件夾下內(nèi)容

若要解析出序號(hào)文件與真實(shí)文件的對(duì)應(yīng)關(guān)系，需要依靠同樣保存在RP#文件夾下的change.log文件。從圖7可以看出，與序號(hào)文件對(duì)應(yīng)的文件原始名稱及存放路徑均保存在change.log文件中。因此，依據(jù)此文件可深入解析出用戶的惡意操作行為。需要指出的是，當(dāng)被用戶更改的文件添加至RP#文件夾下時(shí)，創(chuàng)建時(shí)間、修改時(shí)間與訪問時(shí)間等屬性卻保持不變。RP#文件夾的這種特殊性質(zhì)為取證人員進(jìn)一步挖掘時(shí)間信息提供了有利的線索。

圖7 change.log文件內(nèi)容

2.4 snapshot文件夾

snapshot文件夾主要包括還原點(diǎn)涉及的注冊(cè)表巢文件，涉及SAM、SECURITY、SOFTWARE、SYSTEM、DEFAULT、NTUSER和USRCLASS等多重分支（圖8）。依據(jù)注冊(cè)表巢文件可以解析出硬件及軟件安裝、應(yīng)用程序配置、密碼修改、網(wǎng)絡(luò)連接記錄等變化情況。

圖8 snapshot文件夾中的注冊(cè)表巢文件

此處的巢文件無法使用Regedit一類的系統(tǒng)工具進(jìn)行分析，需要利用注冊(cè)表離線查看工具才能正常解析。圖9所示即為將SYSTEM分支導(dǎo)入離線查看工具RegistryViewer后得到的結(jié)果，依據(jù)MountedDevices子鍵可分析得出移動(dòng)存儲(chǔ)設(shè)備的掛載情況。

圖9 利用注冊(cè)表離線查看工具解析巢文件

3.結(jié)束語

木馬惡意程序通常喜歡將收集到的用戶名及密碼等私人信息隱藏在用戶不容易注意到的位置。“系統(tǒng)還原”功能所涉及的文件夾由于其隱藏屬性，并且往往占據(jù)較大的磁盤空間，因此成為多數(shù)木馬程序的首選。因此，在檢驗(yàn)_restore文件夾、RP#文件夾、snapshot文件夾等常規(guī)文件的同時(shí)，還應(yīng)特別注重異常文件的分析。電子數(shù)據(jù)取證實(shí)踐中，最重要的就是snapshot文件夾。基于其中注冊(cè)表巢文件的取證，可以解析出嫌疑人的深層操作行為。Windows7的“系統(tǒng)還原”同樣使用System Volume Information文件夾，但其內(nèi)部結(jié)構(gòu)卻發(fā)生了巨大變化，解析其具體格式，將其應(yīng)用于電子數(shù)據(jù)取證實(shí)踐將是筆者未來重點(diǎn)研究方向。