【Windows 7“系統還原”功能】電子數據取證方法

原創作品，非經作者本人同意謝絕轉載！

【摘要】傳統電子數據取證技術難以還原數據文件中被修改過的內容的本來面目。Windows操作系統中內置的“系統還原”功能則提供了揭示文件背后所隱藏秘密的新途徑。相較Windows XP，Windows 7“系統還原”功能更為全面深入，并采用了全新的文件結構?；陔娮訑祿∽C視角，說明Windows 7“系統還原”功能，著重分析該功能所涉及的具體文件（夾）的結構格式，結合實例闡述其在電子數據取證實踐中的具體應用。

【關鍵詞】Windows 7；電子數據取證；系統還原；SystemVolume Information；還原點

1.引言

Microsoft公司最早在WindowsMe中增加了“系統還原”功能，并且一直沿用到其后版本的Windows系列操作系統中。“系統還原”的目的是在不需要重新安裝操作系統，也不會破壞數據文件的前提下使系統回到工作狀態。系統還原程序通常在后臺運行，并在觸發器事件發生時自動創建還原點。觸發器事件主要包括應用程序安裝、操作系統自動更新、Microsoft備份應用程序恢復、未經簽名的驅動程序安裝以及手動創建還原點等。同時，默認情況下實用程序每天創建一次還原點。依次執行“開始”→“控制面板”→“系統和安全”→“系統”（或“計算機”→“屬性”），便會彈出如圖1所示的對話框窗口。通過該對話框，不僅將系統還原到之前所設置的還原點，還可以手工創建還原點。

圖1 Windows 7“系統還原”對話框

 “系統還原”可以恢復注冊表、本地配置文件、Windows 文件保護、高速緩存、Windows 管理工具，以及實用程序默認復制到“還原”存檔中的文件，同時監視多種文件類型（例如：.cat、.com、.dll、.exe、.inf、.ini、.msi、.ole 和 .sys）。因此，“系統還原”可以被視為一個信息豐富的證據庫，能夠直接或間接地證明嫌疑人的犯罪行為，從而為涉計算機犯罪案件的取證工作提供有利幫助。

2.Windows7“系統還原”功能

2.1“系統還原”配置

點擊圖1中的“系統保護”，即可彈出如圖2所示的選項卡界面。如要開啟“系統還原”功能，首先需為系統還原分配所需的磁盤空間，選中C分區后，點擊“配置(O)...”按鈕，可以進行還原類型、空間大小等方面的設置；點擊“創建(C)...”按鈕便為啟動系統保護的驅動器創建還原點；點擊“系統還原(S)...”按鈕則可實現還原點選擇，并通過還原到特定還原點，達到撤銷系統更改的目的。

圖2 “系統保護”選項卡界面

在還原類型設置方面，有三種選項供選擇：還原系統設置和以前版本的文件、僅還原以前版本的文件、關閉系統保護（圖3）。如果用戶選定的是前兩種，偵查人員就有了針對“系統還原”進行取證挖掘的可能。在空間使用方面，可以通過滑動按鈕調整用于系統保護的最大磁盤空間。如果不手工設置空間大小，則對于大于4G的分區，系統會默認將其大小設置為分區的12%；對于小于4G的分區，默認大小為400MB。并且當達到最大大小的75%時，系統就按先進先出原則，更新還原文件。

圖3 還原類型與空間大小設置

2.2 System Volume Information 文件夾

與Windows XP相同，Windows 7也用System Volume Information文件夾實現“系統還原”功能，使用其存儲還原點相關信息。該文件夾存放于C盤根目錄下，是一個隱藏的系統文件夾（圖4），需要在“工具”→“文件夾選項”→“查看”選項卡中勾除“隱藏受保護的操作系統文件”并勾選“顯示所有文件和文件夾”方可顯示。

圖4 System Volume Information文件夾屬性

若要正常訪問System Volume Information文件夾內容，須在“屬性”→“安全”→“編輯”選項卡中添加“Everyone”并勾選“完全控制和修改”，以獲取打開文件夾的權限（圖5）。
無錫數據恢復

圖5 設定SystemVolume Information文件夾訪問權限

但Windows 7下的System Volume Information文件夾結構卻與XP截然不同，擯棄了XP時代的_restore、RP#、snapshot等系統文件，不再單獨描述特定文件的變化，而是利用整體文件（文件名稱中含有GUID信息）的形式描述特定時間點的卷信息。并且，除了常規的還原點文件之外，該文件夾下還包含一名為“Syscache.hve”的注冊表文件及其歷史文件備份（圖6）。

圖6 Windows 7下的System Volume Information文件夾內容

2.3 典型操作對System VolumeInformation的影響

實驗發現，執行設置還原點操作后，System VolumeInformation 文件夾會新增使用GUID格式命名的文件。圖7所示即為使用Beyond Compare工具對比得出的操作前后文件夾內容異同，多出了名為{99fde749-9403-11e4-9a95-206a8a68d684}{3808876b-c176-4e48-b7ae-04046e6cc752}的文件。此類文件含有每一個還原點的恢復注冊表、本地配置文件、COM+數據庫、Windows 文件保護 (WFP) 高速緩存 (wfp.dll)、Windows 管理工具 (WMI) 數據庫、Microsoft ⅡS 元數據，以及實用程序默認復制到“還原”存檔中的文件等信息。

圖7 新增還原點后System Volume Information文件夾的變化

應用軟件安裝則會直接影響Syscache.hve以及Syscache.hve.LOG1文件的修改時間變化（圖8）。由此推測Syscache.hve與Syscache.hve.LOG1一類的文件負責保留軟件安裝類的注冊表信息。另外，卸載程序操作同樣會影響Syscache.hve、Syscache.hve.LOG1以及對應的還原點文件夾（內含驅動程序信息）的修改時間。

圖8 安裝應用軟件后System Volume Information文件夾的變化

3.電子數據取證實例分析

3.1 還原被修改的數據

2015年4月，在某涉毒案件的電子數據取證過程中，取證人員在嫌疑人電腦主機中發現一可能存放有密碼信息的文件夾，并在其內找到一名為“重要文件”的txt文檔，其內容信息如圖9所示。但使用密碼“abcdef”嘗試進入與嫌疑人關聯的虛擬身份等帳戶信息，均告失敗。

圖9 重要文件.txt文件內容

進一步分析發現嫌疑人電腦設置有系統還原點。由此選中“重要文件.txt”所在的文件夾，右鍵→“屬性”→“還原以前的版本”，實現原有文件夾的還原。之后進入還原后的文件夾，即可獲取得到“重要文件.txt”初始內容。利用文件中的密碼信息，取證人員成功進入了嫌疑人的多個虛擬身份，獲得了極具價值的線索與證據。同時，在還原后的文件夾中還發現了已被嫌疑人徹底刪除并覆蓋了的圖片文件“Lighthouse.jpg”（圖10）。

圖10 通過還原點還原文件（夾）初始信息

3.2 恢復回收站數據

    在某涉知識產權案件的取證實踐中，取證人員未在嫌疑人使用的電腦主機中尋找到與核心機密相關的數據文件，并且“回收站”已被嫌疑人清空，采用數據恢復技術也未發現任何有價值信息。鑒于嫌疑人曾經設置過還原點，取證人員決定利用“系統還原”功能進行深度挖掘。

圖11 查詢還原點并創建符號鏈接

首先以管理員身份運行命令“vssadmin list shadowstorage”，查詢還原點信息。在如圖11所示的結果中，系統存在一個還原點，其卷號為\\?\Volume{e59ff71d-4b6a-11e4-a5e2-806e6f6e6963}\；接下來使用“mklink”命令為該還原點存儲卷創建符號鏈接；之后便可通過新生成的符號鏈接文件夾訪問被保護驅動器的原有信息。進入$RECYCLE.BIN（回收站）文件，發現了回收站被清空之前留存過的“汽車電控機密技術.zip”（圖12）等數據文件，從而有力證明了嫌疑人的犯罪行為。

圖12 還原點中的回收站數據信息

4.結束語

數據搜索要求對敏感內容有所了解，才能設定出精準高效的關鍵字；數據恢復則只能針對文件，對于完全或部分被覆蓋的數據無法取得理想的取證效果?！跋到y還原”功能則很好的規避了傳統技術的缺陷，為深度取證分析提供了可能。不足之處在于對還原點的設置時機有著較高要求，一旦不吻合就很難挖掘出有價值的線索或證據。另外，“系統還原”取證往往會破壞原始磁盤介質的完整性，因此實際操作時需要針對復制介質進行。文中對System Volume Information文件夾結構格式的分析還停留在較為粗淺的層面，也希望以此激發取證同行們的研究興趣，攜手贊襄電子數據取證事業。

基金項目：網絡安全執法與公安技術信息化協同創新中心基金

參考文獻

[1]Carvey H.Windows forensic analysis[M]. US:Syngress,2012:134-156.

[2]羅文華.基于Recent文件夾下的快捷方式文件解析用戶行為方法研究[J].信息網絡安全,2013(5):22-24.

[3]RussinovichMR, Solomon DA. Microsoft windows Internals:Windows Server 2008 and WindowsVista(5th ed)[M]. USA:Microsoft Press, 2009:246-266.

作者簡介：羅文華，男，1977年生人，教授。2000年7月畢業于大連理工大學計算機科學與工程專業，獲學士學位；2003年7月畢業于大連理工大學研究生院計算機應用專業，獲碩士學位。目前任教于中國刑警學院網絡犯罪偵查系電子物證教研室，主要研究方向為計算機犯罪偵查與電子數據取證。