王 宇，吳玉強(qiáng)，楊 揚(yáng)

（1.吉林警察學(xué)院，吉林 長春 130117；2.南京森林警察學(xué)院，江蘇 南京 210023；3.天津市公安局，天津 130033）

Windows 8系統(tǒng)的計(jì)算機(jī)取證問題分析

王 宇1，吳玉強(qiáng)2，楊 揚(yáng)3

（1.吉林警察學(xué)院，吉林 長春 130117；2.南京森林警察學(xué)院，江蘇 南京 210023；3.天津市公安局，天津 130033）

隨著微軟最新一代操作系統(tǒng)Windows 8的逐漸推廣，計(jì)算機(jī)取證人員也將在工作中與之越來越多地相遇。在此背景下，針對(duì)Windows8系統(tǒng)，從其新增功能、注冊(cè)表分析、Bitlocker加密和網(wǎng)絡(luò)瀏覽記錄取證等角度出發(fā)，分析取證過程中可能涉及的問題及其解決方法，以期能夠?yàn)橛?jì)算機(jī)取證工作提供幫助。

Windows8；計(jì)算機(jī)取證；注冊(cè)表；Bitlocker；分析

一、引言

從最新的Net Applications的調(diào)查結(jié)果來看，Windows XP系統(tǒng)與Windows 7系統(tǒng)目前在個(gè)人電腦操作系統(tǒng)市場(chǎng)仍然占據(jù)著不可動(dòng)搖的領(lǐng)先地位，兩者的市場(chǎng)占有率仍超過將70%，但微軟公司宣布將于2014年4月8日全面停止對(duì)于Windows XP系統(tǒng)的支持，這也就意味著從那時(shí)起市場(chǎng)占有率達(dá)33%的Windows XP系統(tǒng)用戶將再也不會(huì)收到微軟的官方更新。沒有官方更新支持的Windows XP系統(tǒng)無疑會(huì)變得不安全，會(huì)更輕易地遭受病毒和黑客的入侵。在此條件下，越來越多的個(gè)人用戶和企業(yè)用戶將升級(jí)至Windows 7系統(tǒng)和Windows 8系統(tǒng)。雖然截至目前Windows 8系統(tǒng)與Windows 8.1系統(tǒng)的市場(chǎng)占有率才將近10%，但考慮到在開機(jī)后的啟動(dòng)速度以及電池續(xù)航等方面都有十分顯著的提高，同時(shí)滿足了用戶對(duì)于便攜性的要求，未來使用Windows 8系統(tǒng)的人也會(huì)越來越多。因此，針對(duì)Windows 8系統(tǒng)的取證分析也顯得越來越重要。

Windows 8系統(tǒng)與之前的Windows 7系統(tǒng)相比較，在安全設(shè)置上和操作習(xí)慣上相比有進(jìn)步和差別，因此，伴隨而來的是對(duì)司法取證人員工作的影響。作為一名計(jì)算機(jī)取證人員，熟悉Windows 8系統(tǒng)及其功能的最新變化，對(duì)實(shí)際工作有很重要的價(jià)值。本文針對(duì)Windows 8系統(tǒng)的計(jì)算機(jī)取證問題進(jìn)行分析，主要從其新增的一些網(wǎng)絡(luò)功能、注冊(cè)表分析、Bitlocker加密和網(wǎng)絡(luò)瀏覽取證等方面進(jìn)行介紹，并簡(jiǎn)單地分析取證過程中可能涉及的問題及其解決方法，以期能夠更好為計(jì)算機(jī)取證工作提供幫助。

二、Windows 8系統(tǒng)簡(jiǎn)介

Windows 8操作系統(tǒng)是微軟在北京時(shí)間2012年10月25日23點(diǎn)15分推出的最新版的Windows系列操作系統(tǒng)，也是繼Windows 7之后發(fā)布的最新操作系統(tǒng)，它延續(xù)了Windows 7系統(tǒng)的各種優(yōu)點(diǎn)，并且將用戶體驗(yàn)作為一個(gè)重要的組成部分。除了新增大量的實(shí)用功能外，Windows 8系統(tǒng)對(duì)硬件的要求也適合絕大部分用戶的計(jì)算機(jī)配置，它可以采用多種安裝方法來進(jìn)行安裝體驗(yàn)。

三、Windows 8系統(tǒng)新增功能分析

Windows 8系統(tǒng)為了方便用戶在日常能夠即時(shí)使用郵件進(jìn)行聯(lián)系，提供了人脈、日歷、消息以及郵件應(yīng)用功能，特別是人脈應(yīng)用可以集合社交網(wǎng)絡(luò)和即時(shí)聊天服務(wù)的聯(lián)系人。

當(dāng)用戶使用Microsoft賬戶登錄Windows 8系統(tǒng)的電腦之后，即可與自己所關(guān)注的文件、人脈和相關(guān)設(shè)置相連接。用戶可以將喜愛的服務(wù)，比如微軟Hotmail、微軟MSN和sina微博等連接至Microsoft賬戶。與此同時(shí)，聯(lián)網(wǎng)情況下用戶還可以隨時(shí)訪問在Microsoft SkyDrive、Flickr或其他服務(wù)項(xiàng)目上的所有文檔、照片和其他文件。

以連接到新浪微博為例，進(jìn)入Windows 8系統(tǒng)人脈應(yīng)用界面后，依次選擇“設(shè)置”——“賬戶”——“添加賬戶”，就會(huì)出現(xiàn)“新浪微博”的選項(xiàng)。點(diǎn)擊選擇，輸入賬戶名和密碼，授權(quán)之后完成鏈接，在鏈接到的微軟賬戶中，會(huì)同時(shí)接收到一封郵件，通知已成功鏈接，然后對(duì)鏈接后的權(quán)限可以在郵件中進(jìn)行簡(jiǎn)單的設(shè)置。之后用戶就可以在人脈應(yīng)用面板中看到新浪微博中關(guān)注的好友動(dòng)態(tài)，同時(shí)在右上角的圖標(biāo)中會(huì)加入新浪微博的標(biāo)志。按照類似的方法，用戶還可以繼續(xù)添加其他的賬戶，例如Hotmail、Google等。此外，全新的Windows 8系統(tǒng)的開始屏幕將聯(lián)系人、照片、天氣和日歷上的下一次約會(huì)等電腦機(jī)主所關(guān)注的信息集于一處，這對(duì)分析機(jī)主的個(gè)人行為也起到了一定的作用。

在對(duì)Windows 8系統(tǒng)的取證中，這些新增功能要引起取證人員的足夠注意。取證人員不但在脫機(jī)環(huán)境下對(duì)系統(tǒng)有關(guān)數(shù)據(jù)進(jìn)行分析取證，還要注意在聯(lián)網(wǎng)情況下通過Windows 8系統(tǒng)的這些新增網(wǎng)絡(luò)功能獲得相關(guān)的有用信息，為案件的偵查取得線索。

四、注冊(cè)表分析

注冊(cè)表是Windows系統(tǒng)存儲(chǔ)關(guān)于計(jì)算機(jī)配置信息的數(shù)據(jù)庫，是Windows操作系統(tǒng)的核心。注冊(cè)表中所有的數(shù)據(jù)都是以二進(jìn)制的形式存儲(chǔ)的，它存儲(chǔ)系統(tǒng)硬件的全部配置信息、文檔文件和應(yīng)用軟件的關(guān)聯(lián)信息、系統(tǒng)和應(yīng)用軟件的初始化信息、硬件設(shè)備說明以及各種網(wǎng)絡(luò)狀數(shù)據(jù)和狀態(tài)信息。可以說計(jì)算機(jī)上所有針對(duì)軟硬件以及網(wǎng)絡(luò)上的操作都是源于注冊(cè)表。因此，正確提取注冊(cè)表中的有效數(shù)據(jù)將對(duì)偵查破案工作大有幫助。

Windows 8系統(tǒng)注冊(cè)表與之前的Windows 7系統(tǒng)差別不大，仍然保留了5個(gè)根鍵，其名稱、縮寫及功能描述如表1所示。關(guān)于Windows 8系統(tǒng)注冊(cè)表的結(jié)構(gòu)和存儲(chǔ)方式，本文不做過多交代，讀者可以參閱相關(guān)資料。下面分類列舉取證工作中關(guān)注較多的一些注冊(cè)表信息，弄清楚它們對(duì)于勾畫嫌疑人在計(jì)算機(jī)上的活動(dòng)是很有幫助的。

表1 注冊(cè)表根鍵的名稱、縮寫和描述

（一）系統(tǒng)信息分析方面

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlComputerNameComputerName：查看本地計(jì)算機(jī)名稱。

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersion：查看系統(tǒng)的用戶名、公司名、安裝日期、系統(tǒng)版本等信息。

HKEY_LOCAL_MACHINESYSTEMControl001ControlWindows：查看系統(tǒng)最后關(guān)機(jī)的時(shí)間（這里需要注意的是系統(tǒng)時(shí)間與當(dāng)?shù)貥?biāo)準(zhǔn)時(shí)間是否一致）。

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTimeZoneInformation：查看系統(tǒng)的時(shí)區(qū)。

（二）應(yīng)用程序信息分析方面

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun：由控制面板設(shè)定的計(jì)算機(jī)啟動(dòng)時(shí)運(yùn)行程序的列表。

HKEY_LOCAL_MACHINESOFTWARERegisteredApplications：記載了所有應(yīng)用程序的信息。

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionuninstall：保存已安裝的Windows應(yīng)用程序的卸載信息。

（三）網(wǎng)絡(luò)信息分析方面

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionNetwork：網(wǎng)卡列表信息，通過這個(gè)鍵值可以看出上網(wǎng)的網(wǎng)卡是以太網(wǎng)還是Wi-Fi網(wǎng)卡，是外接網(wǎng)卡還是嵌入式網(wǎng)卡。

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionNetworkListNla CacheIntranet：操作系統(tǒng)連接Intranet網(wǎng)的信息。

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionNetworkList Profiles{Wireless-Identifier}：系統(tǒng)連接的無線網(wǎng)絡(luò)的相關(guān)信息，包括無線網(wǎng)絡(luò)名稱、無線網(wǎng)絡(luò)的創(chuàng)建時(shí)間、最后連接時(shí)間等信息。

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesTcpipParametersInterfaces：電腦每個(gè)網(wǎng)卡最后設(shè)置的IP地址和默認(rèn)網(wǎng)關(guān)等信息。

（四）最近使用文件分析方面

HKEY_USERSS-1-5-21-〔UserIdentifier〕SoftwareMicrosoftOffice14.0WordFile MRU：用戶最近使用過哪些Word文檔（14.0表示系統(tǒng)安裝的是OFFICE 2010版本）。

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerRecentDocs：最近通過文件資源管理器打開或運(yùn)行的文件。

（五）設(shè)備接入分析方面

HKEY_LOCAL_MACHINESYSTEMControlSet001ControlPrintPrinters：系統(tǒng)中保存的打印機(jī)驅(qū)動(dòng)程序信息。

HKEY_LOCAL_MACHINESYSTEMControlSet001EnumUSBSTOR：Windows系統(tǒng)中曾經(jīng)插入的USB設(shè)備、手機(jī)設(shè)備、平板電腦設(shè)備，包括產(chǎn)品ID、制造商ID、產(chǎn)品名稱、型號(hào)等信息。

五、BitLocker驅(qū)動(dòng)器加密

Bitlocker驅(qū)動(dòng)器加密是微軟公司繼Windows Vista版本之后新增的一種對(duì)系統(tǒng)數(shù)據(jù)進(jìn)行保護(hù)的功能，它可以對(duì)本地磁盤分區(qū)進(jìn)行加密保護(hù)，同時(shí)在Windows 7系統(tǒng)和Windows8系統(tǒng)中新增加了對(duì)移動(dòng)存儲(chǔ)設(shè)備進(jìn)行全盤加密的功能（Bitlocker To Go）。

這項(xiàng)功能通過加密整個(gè)Windows系統(tǒng)，有效地防止未經(jīng)授權(quán)的用戶破壞系統(tǒng)文件以及保護(hù)系統(tǒng)對(duì)已丟失或被盜計(jì)算機(jī)數(shù)據(jù)的破壞。利用Bitlocker驅(qū)動(dòng)器可以加密所有用戶和系統(tǒng)文件，包括休眠文件和交換文件。

關(guān)于Bitlocker的破解工具，目前主要有COFEE（Computer Online Forensic EvidenceExtractor）和PKF（Passware Kit Forensic version 9.5），其中，COFEE是微軟向國際刑警組織免費(fèi)提供的證據(jù)提取工具，它是一種形狀類似優(yōu)盤的提取工具，包含了信息搜集、密碼破解、網(wǎng)絡(luò)嗅探等各種工具軟件。它的工作原理是繞過所有Windows系統(tǒng)安全措施的方式來實(shí)現(xiàn)對(duì)系統(tǒng)密碼的破解、搜索計(jì)算機(jī)系統(tǒng)數(shù)據(jù)、顯示網(wǎng)絡(luò)瀏覽歷史等諸多功能。PKF的破解方法是通過掃描目標(biāo)計(jì)算機(jī)物理內(nèi)存中的映像文件，進(jìn)而得到Bitlocker加密磁盤時(shí)使用的加密密鑰來實(shí)現(xiàn)破解。

六、網(wǎng)頁瀏覽記錄取證方面

個(gè)人的網(wǎng)頁瀏覽記錄是調(diào)查取證中的重點(diǎn)分析對(duì)象。用戶在系統(tǒng)上留下的訪問記錄，不僅可以證明其是否曾經(jīng)訪問過某些特定網(wǎng)絡(luò)資源，甚至可以作為相關(guān)案件破獲的重要證據(jù)線索。針對(duì)Windows 8系統(tǒng)的網(wǎng)頁瀏覽取證的內(nèi)容與Windows 7系統(tǒng)基本相同，主要包括系統(tǒng)賬戶保留的瀏覽器歷史記錄、緩存記錄、cookies信息和收藏夾信息等。

默認(rèn)情況下，這類信息在Windows 8系統(tǒng)中位于%SYSTEMROOT%用戶＜用戶名＞AppData文件夾下?？梢酝ㄟ^查看注冊(cè)表項(xiàng)HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrent VesionExplorerUser Shell Folders中相應(yīng)鍵值來確定文件存儲(chǔ)路徑修改后的位置。

特別要注意的是，在Windows 8操作系統(tǒng)中，index.dat是一個(gè)由IE瀏覽器和系統(tǒng)資源管理器所創(chuàng)建的具有隱藏屬性的文件。事實(shí)上，index.dat是一個(gè)保存了cookie、歷史記錄和IE臨時(shí)文件中所記錄內(nèi)容的副本。index.dat和各個(gè)獨(dú)立的Cookies文件在一起可以為取證人員提供一些非常重要的信息，如犯罪嫌疑人曾經(jīng)訪問過的網(wǎng)站地址、訪問某網(wǎng)站地址的頻率、訪問某網(wǎng)站的時(shí)間信息等。當(dāng)用戶刪除cookies記錄或者瀏覽器歷史記錄時(shí)，在index.dat中還是保存了一些相關(guān)記錄。對(duì)于index.dat取證人員除了可以使用IECookiesView和Encase進(jìn)行手動(dòng)查看外，還可以通過Index. dat Analyzer專業(yè)工具進(jìn)行檢驗(yàn)和查看。

七、結(jié)語

隨著技術(shù)的發(fā)展和操作系統(tǒng)的快速更新?lián)Q代，必然會(huì)給計(jì)算機(jī)取證工作帶來一定的影響，取證人員及時(shí)熟悉和掌握新操作系統(tǒng)的應(yīng)用特點(diǎn)及針對(duì)新特點(diǎn)、新功能的取證方法是非常重要的。本文主要分析了與之相關(guān)的一些問題，包括Windows 8系統(tǒng)新增功能取證分析、注冊(cè)表內(nèi)容分析、基于BitLocker驅(qū)動(dòng)器加密的數(shù)據(jù)保護(hù)與破解、網(wǎng)絡(luò)瀏覽等方面，希望能對(duì)有關(guān)人員在對(duì)Windows 8系統(tǒng)進(jìn)行取證工作時(shí)起到一定的參考作用。

［1］湯艷君，高洪濤，羅文華等.電子物證檢驗(yàn)與分析［M］.北京：清華大學(xué)出版社，2014.

［2］王寧，劉志軍等.Windows 7系統(tǒng)注冊(cè)表的取證分析［J］.警察技術(shù)，2013.

［3］孫奕.Windows 7環(huán)境下電子取證特點(diǎn)分析［J］.信息網(wǎng)絡(luò)安全，2010.

［4］吳劍.針對(duì)Windows 7系統(tǒng)的計(jì)算機(jī)取證問題分析［J］.電腦知識(shí)與技術(shù)，2011.

［5］邢桂東.Windows操作系統(tǒng)注冊(cè)表檢驗(yàn)［J］.刑事技術(shù)，2011.

［6］吳清，吳順祥.index.dat文件結(jié)構(gòu)解析［J］.現(xiàn)代計(jì)算機(jī)（專業(yè)版），2008.

［7］Bitlocker使用手冊(cè).百度文庫［DB/OL］.http：//wenku.baidu.com/link?url=O-gq-A_Y3EzEfepvZVA-6_N2mtoC5lpfT_CpOcGYiWXG2vCVraQsoMT77jxOaeH5I5PNcnorPsVSyM1gvC9Edhpo Kay uun QKktf6Z85CFcu.

［8］bitlocker.百度百科［DB/OL］.http：//baike.baidu.com/link?url=KLcZ8cE7PeYCMZR5YRBE-mAs DnmuTz-xxi8CdkrToozVhBiHHqlGGMB-VQvUCIPZjulSWadAw KPxEY-kxSXOj.

（責(zé)任編輯：陳尚坤）

D918.2

A

1671-0541（2015）01-0071-04

2014-04-22

王宇（1987-），女，吉林松原人，吉林警察學(xué)院偵查系助教，主要研究方向：電子物證、網(wǎng)絡(luò)犯罪偵查；吳玉強(qiáng)（1988-），男，河南人，南京森林警察學(xué)院信息技術(shù)系助教，主要研究方向：電子物證、網(wǎng)絡(luò)犯罪偵查；楊揚(yáng)（1988-），女，內(nèi)蒙古牙克石人，天津市公安局民警。