1、第4章 Windows操作系統取證技術4.1 Windows日志取證技術4.2 Windows注冊表取證技術4.3 Windows內存取證技術4.4 Windows其他取證技術4.1 Windows日志取證技術4.1.1 Windows事件日志事件日志為操作系統及關聯的應用程序提供了一種標準化、集中式地記錄重要軟件及硬件信息的方法。微軟將事件定義為：系統或程序中需要向用戶通知的任何重要的事項。事件是統一由Windows事件日志服務來統一收集和存儲的。它存儲了來自各種數據源的事件，常稱為事件日志。事件日志可以為取證人員提供豐富的信息，還可將系統發生的各種事件關聯起來。事件日志通常可以為取證人員提

2、供以下信息：(1) 發生什么：Windows內部的事件日志記錄了豐富的歷史事件信息。(2) 發生時間：事件日志中記錄了豐富的時間信息，也常稱為時間戳，它記錄了各種事件發生的具體時間。(3) 涉及的用戶：在Windows操作系統中，幾乎每一個事件都與相關的系統賬號或用戶賬號有關。(4) 涉及的系統：在聯網環境中，單純記錄主機名對于取證人員來說比較難以進一步追蹤回溯訪問請求的來源信息。(5) 資源訪問：事件日志服務可以記錄細致的事件信息。1. Windows事件日志版本劃分Windows事件日志最早始于Windows NT 3.1版本，自1993年起便開始使用。Windows事件日志文件的存儲位置

3、和文件格式經歷了一些變動，其基本可以分為兩大版本：第一版(V1)以Vista操作系統以前的事件日志為代表，它是一種二進制格式，默認使用.evt文件擴展名；第二版(V2)以Vista操作系統開始直到最新的Windows 10及Windows Server 1803版本，它們均采用新一代事件日志格式，默認使用.evtx文件擴展名。2. Windows事件日志數據存儲及相關特征Windows事件日志第一版 (V1)，即Windows Vista之前的版本(含Windows NT 3.1至Windows XP或Windows 2003之間的各個版本)默認的事件日志存儲位置為%System Root%S

4、ystem32Config。Windows事件日志類別主要包括系統(System)、安全性(Security)、應用程序 (Application)及部分自定義日志。系統內置的3個事件日志文件大小均默認為512 KB，如當系統存儲的事件日志數據大于512KB時，默認系統將覆蓋超過7天的日志記錄。事件日志記錄了錯誤、失敗、成功、信息及警告事件。Windows事件日志第二版(V2)，即Vista及以上版本(含Vista、Windows 7、Windows 8、Windows 8.1、Windows 10、Windows Server 2008/2012/2016等)采用了新的文件格式，文件擴展名為

5、.evtx，如表4-1所示。新版本事件日志的文件結構、日志類型及日志存儲位置均發生了較大的變化，默認的事件日志存儲位置為%System Root%System32 winevtLogs(默認安裝的Windows10操作系統已經約有290個文件)。1) 常見取證和分析方法(1) 事件日志文件內容查看方法。通常采用商業化計算機取證軟件直接分析事件日志文件，如EnCase、FTK、X-Ways Forensics、Safe Analyzer、取證大師、取證神探等，操作簡便快捷。通過在Windows操作系統中運行eventvwr.exe，即可調用系統自帶的事件日志查看器。其具體操作方式如下：在命令行中

6、89輸入eventvwr.exe，也可以同時按Win+R組合鍵，然后在運行輸入框中輸入eventvwr.exe或eventvwr(擴展名可省略)，即可運行系統事件日志查看器。將待分析的.evtx日志文件通過取證軟件導出或用其他方式復制到取證分析機中，即可使用取證分析機系統自帶的事件日志查看器來查看與分析內容。取證分析機的操作系統建議使用最新的Windows 10，以便能最佳兼容.evtx文件格式。Event Log Explorer的亮點在于它支持.evt及.evtx兩種格式，提供了豐富的過濾條件，此外可正確解析出日志中的計算機名、系統賬戶或用戶的SID(Security Identifier

7、s，安全標識符)等信息。(2) 常見的Windows事件日志的分析方法。Windows事件日志中記錄的信息中，關鍵要素包含事件級別、記錄時間、事件來源、事件ID、事件描述、涉及的用戶、計算機、操作代碼及任務類別等。常見Windows賬戶及相關事件對照表如表4-2所示，其中事件ID與操作系統版本有關，同類事件在不同操作系統中的事件ID不完全相同，最大的差異主要體現在第一版和第二版的事件日志中。因此，在取證過程中需特別注意，當使用事件ID進行過濾搜索時，需要考慮操作系統版本的差異。常見電子數據取證相關事件對照表(適用于Vista及以上操作系統)如表4-3所示。(3) 事件日志文件結構。事件日志文件

8、是一種二進制格式的文件，文件頭部簽名為十六進制30 00 00 00 4C 66 4C 65。在默認情況下，全新的事件日志文件的事件日志記錄均按順序進行存儲，每條記錄均有自己的記錄結構特征。然而當日志文件超出最大大小限制時，系統將會刪除較早的日志記錄，因此日志記錄也將出現不連續存儲，同一個記錄分散在不同的扇區位置的情況。2) Windows事件日志取證分析注意要點Windows操作系統默認沒有提供刪除特定日志記錄的功能，僅提供了刪除所有日志的操作功能。在電子數據取證過程中仍存在有人有意偽造事件日志記錄的可能性。如遇到此類情況，建議對日志文件中的日志記錄ID(Event Record ID)進行

9、完整性檢查，如檢查記錄ID的連續性。通過事件日志記錄ID的連續性可以發現操作系統記錄的日志的先后順序。Windows事件日志記錄列表視圖在用戶沒有對任何列進行排序操作前，默認是按其事件日志記錄編號進行排序的。默認情況下，事件日志記錄編號自動連續增加，不會出現個別記錄編號缺失情況。值得注意的是，當Windows操作系統用戶對操作系統進行大版本升級時，操作系統可能會重新初始化事件日志記錄編號。通過對Windows事件日志的取證分析，取證人員可以對操作系統、應用程序、服務、設備等操作行為記錄及時間進行回溯，重現使用者在整個系統使用過程中的行為，對虛擬的電子數據現場進行重構，了解和掌握涉案的關鍵信息。

10、4.1.2 NTFS日志NTFS是Windows操作系統重要的文件系統之一。在Windows操作系統中，32 GB以上的分區都只能格式化為NTFS。在分區格式化為NTFS文件系統后，自動生成一系列的內部文件(元文件)，內部文件均帶有“$”前綴。這些文件通常要用專業的取證軟件才能看到，在Windows操作系統中是無法看到內部文件的。NTFS文件系統內部包含兩個重要的日志文件，分別為$UsnJrnl和$Logfile。這兩個日志文件在取證中可以為取證人員提供分區文件的歷史操作記錄信息。1. $UsnJrnl日志從Windows 7操作系統開始，NTFS文件系統均引入了USN(Update Sequ

11、ence Number，更新序號)日志機制。該日志文件記錄了NTFS分區中文件的創建、重命名、內容變更及刪除等重要操作。因此，NTFS日志對于電子數據取證來說是一個“寶藏”，它可以對系統使用者(用戶)甚至入侵的黑客對磁盤分區的操作行為進行全面的記錄，包括時間戳、文件或文件夾名及操作原因等信息。$UsnJrnl日志在每個NTFS分區根目錄下的$Extend中可以被找到，由$J和$MAX兩個文件組成，如表4-4所示。$MAX文件大小為32 B，記錄固定的信息，其文件結構如表4-5所示。采用這種結構的原因是操作系統要保持日志數據占用的總空間為固定大小。(1) 新日志記錄一般從$J文件尾部開始添加。(

12、2) 如果要添加的記錄總大小超過分配大小，則操作系統就認定整個日志數據大小超過了最大大小。(3) 如果整個日志數據超過了最大大小，則$J文件前半部分將以“0”方式填充。因此，$J文件的邏輯大小將持續增長，但是保存的實際數據占用的空間卻是固定長度。常見的日志數據大小為0 x200000 x23FFFFF。其文件結構如表4-6所示。2. $Logfile日志NTFS是一種基于事務的文件系統，在對任何一個文件系統中的文件進行寫操作時，都會記錄每一次寫操作的日志。記錄NTFS文件系統產生的事務的文件就是$Logfile。事務是一種每一步都必須執行的磁盤操作。在NTFS文件系統中廣泛使用回寫(Write

13、-Through)緩存機制，因此$Logfile特別重要。$Logfile只記錄NTFS元數據事務，并不包括用戶數據(除非這部分是$MFT中的常駐文件)。Microsoft Technet提供了關于事務如何先記錄然后提交至磁盤的信息。要確保事務已完成或回滾，NTFS將會執行每個事務的以下步驟：(1) 將事務的元數據操作記錄于內存中緩存的日志文件。(2) 將實際的元數據操作記錄于內存中。(3) 將緩存日志文件中的事務標記為“已提交”。(4) 刷新(提交)日志文件至磁盤。(5) 刷新(提交)實際元數據操作至磁盤。4.1.3 IIS日志1. IIS日志簡介IIS是Windows平臺一直以來常用的We

14、b站點應用服務。IIS很容易安裝和部署，目前是全球站點中使用較多的Web服務之一。IIS不同的版本存在一定的安全漏洞，此外加上編寫人員缺乏安全意識，網站代碼存在一定漏洞(如SQL注入)，因此IIS也是目前黑客喜歡攻擊的目標。目前有眾多商業門戶網站(如戴爾、中國招商銀行等)就在使用微軟IIS來為廣大用戶提供訪問網站服務。目前最新的IIS 10.0是基于Windows Server 2016系統運行的，微軟IIS網站服務器版本及功能差異對照表如表4-7所示。微軟官方網站提供了關于IIS配置文件更詳細的說明(/en-us/ iis/get-started/planning-your-iis-arch

15、itecture/introduction-to-applicationhostconfig)，具體如下：(1) applicationHost.Config：包含所有站點、應用程序、虛擬目錄及應用程序池等定義。(2) administration.Config：包含IIS管理配置、管理模塊列表及配置等信息。(3) redirection.config：IIS 7及以上版本支持幾個IIS服務器通過一個集中化的配置獨立文件進行管理，該文件保存了集中化配置文件的存儲路徑。2. IIS日志存儲及格式IIS網站服務的默認日志保存路徑為%SystemDrive%inetpublogsLogFiles，服

16、務器管理員可能會自定義修改其存儲位置，將其保存到非系統盤(如D:Logs)中。IIS站點服務默認使用W3C格式對網站的訪問請求、時間戳及請求結果進行記錄。管理員可以根據管理需要對日志格式及記錄的屬性信息進行調整，從而更加靈活、細粒度地提供網站站點服務。IIS日志配置主要包含日志文件格式(默認W3C格式，可根據需要自行選擇要記錄的字段信息)、日志存儲目錄、編碼(默認UTF-8)及日志文件滾動更新機制(默認每天生成一個獨立的日志文件)。日志存儲位置中一般包含多個前綴為W3SVC、FTKSVC的文件夾，其中W3代表World Wide Web(WWW，代表Web站點)，SVC是Service(服務)

17、的縮寫。前綴后面是數字，數字代表站點序號。在IIS的站點日志W3SVC文件中通常可以看到許多以“u_ex+數字”開頭的log文件，該數字為6位的日期(年月日格式)，即每一天的日志文件都以一個獨立文件進行保存。IIS日志共有3種日志格式，分別為W3C擴展日志格式、IIS日志格式和NCSA(National Center for Super Computing Applications，美國國家超算應用中心)日志格式，如表4-8所示。W3C日志格式默認包含14個字段屬性信息，管理員可以自行選擇字段，擴展日志記錄的信息內容，如表4-9所示。3. IIS日志取證分析IIS日志均是文本型半結構化數據，可

18、以全部轉化為結構化數據，使用各種數據分析工具對其進行分析。常見的IIS日志分析工具有Log Parser(微軟免費日志分析命令行工具)、Log Parser GUI Lizard(商業軟件)、Search & Replace等。當日志文件不是特別大時，直接用Microsoft Excel、記事本、UltraEdit等工具就可以進行搜索，如根據IP地址、URL地址關鍵詞(如地址中包含SQL語句的關鍵詞，SELECT、UPDATE、DROP、DELETE、FROM等)等進行搜索與分析。對于日志數量較多的文件，建議采用Log Parser或Log Parser GUI Lizard進行統計分析、SQ

19、L查詢等分析，篩選與涉案相關的關鍵數據。涉及IIS服務器入侵取證的案件中，不少黑客服務器完成任務后，可能還會清除服務器對應的日志文件，導致增加案件的偵查工作。除了通過常見的基于文件系統元數據信息的數據恢復外，還可以通過設置IIS日志不同格式文件中的數據記錄的特征關鍵詞(經過人工總結，寫成正則表達式關鍵字)對未分配空間進行數據搜索，尋找黑客入侵的蛛絲馬跡。IIS日志W3C格式的正則表達式語法：2010-9-0-10-9-0-30-9x200-20-9:0-5 0-9:0-50-9x204.1.4 其他日志除了Windows事件日志、IIS日志外，還有FTP日志、操作系統相關日志、應用程序日志(如

20、殺毒軟件)等。在電子數據取證過程中需要針對性地對上述日志進行數據提取和分析。1. 殺毒軟件360日志360殺毒軟件在Windows操作系統平臺的安裝及使用中普及率高，在系統或程序運行過程中出現的一些異常行為、文件掃描、可疑文件的上傳等均有相關的日志記錄。360殺毒軟件的日志存儲位置為C:Program Files360360sdLog。日志目錄分類存儲，包含多個文件夾，如表4-10所示。2. 可疑文件上傳日志360殺毒軟件會對可疑文件(非白名單列表文件)自動計算哈希值，同時將文件的原始路徑及名稱、MD5哈希值等進行上傳。4.2.1 Windows注冊表簡介注冊表是Windows 9x、Wind

21、ows CE、Windows NT及Windows 2000等操作系統用于存儲系統配置、用戶配置、應用程序及硬件設備所需的信息，是一種集中式分層的數據庫。4.2 Windows注冊表取證技術注冊表包含Windows操作系統操作過程中持續需要的信息，如每個用戶的配置文件夾、安裝到計算機中的應用程序、文件夾及應用程序圖標的屬性配置、系統中的硬件及正在使用的端口等。它代替了早期DOS、Windows 3.x時代的INI配置文件。注冊表文件可分為系統注冊表和用戶注冊表兩種。系統注冊表通常記錄與操作系統相關的硬件、網絡、服務及軟件等配置信息；用戶注冊表通常記錄與用戶配置相關的信息。注冊表存儲位置與名稱如

22、表4-11所示。1. 注冊表的層級結構及數據類型注冊表的頂級目錄一般稱為鍵(Key)、主鍵或項，子目錄稱為子鍵(Subkey)或子項，存儲的數據項一般稱為值(Value)。注冊表中的值可以存儲多種不同類型的數據，如表4-12所示。2. 注冊表配置單元配置單元(Hive)是注冊表中一個由鍵、子鍵及值組成的邏輯組。在電子數據取證過程中，應當熟悉通過正在運行的操作系統中注冊表編輯器看到的信息與磁盤中對應注冊表文件的映射關系。系統注冊表通常包括SAM、SECURITY、SYSTEM和SOFTWARE等文件。3. 注冊表預定義項注冊表中的預定義項是指從注冊表編輯器中看到的最頂層的項目(如HKEY_CLA

23、S SES_ROOT)，每個項都以HKEY前綴開頭，如表4-13所示。5大預定義項是操作系統在運行過程中經常訪問的根節點，其包含的信息實際上都來自系統注冊表(SAM、SECURITY、SYSTEM、SOFTWARE等)、用戶注冊表(NTUSER.dat、USRCLASS.dat)等文件中的數據。4.2.2 Windows注冊表取證分析要對Windows操作系統的注冊表文件進行分析，最簡單的查看工具就是Windows自帶的注冊表編輯器。要對涉案的計算機磁盤或鏡像文件進行注冊表分析，首先將要分析的注冊表文件復制到指定目錄，然后通過注冊表編輯器進行加載，即可查看注冊表文件的內容。該方式無法提取和分析

24、已刪除的注冊表信息。1. Registry Explorer分析注冊表Eric R.Zimmerman開發了許多取證輔助分析工具，其中Registry Explorer v是一個十分優秀的注冊表分析工具，它與大多數商業取證軟件一樣，支持恢復已刪除的注冊表信息。其搜索能力甚至超越了大多數取證分析軟件，內置了取證常用的書簽功能，選擇要查看的注冊表信息即可直接跳轉到具體位置。Registry Explorer支持批量添加多個注冊表配置單元文件。在電子數據取證過程中使用該分析工具非常方便，特別是不清楚鍵值存在于哪個注冊表文件時，取證人員可以直接加載所有系統注冊表文件及多個用戶的注冊表文件(NTUSER

25、.dat)，然后對所有注冊表文件進行全部搜索。2. X-Ways Forensics分析注冊表文件利用X-Ways Forensics取證軟件分析注冊表文件，可以通過過濾器找到注冊表文件，直接雙擊注冊表文件，X-WaysForensics將自動打開一個獨立的注冊表查看窗口。3. 取證神探分析注冊表文件取證神探分析軟件內置注冊表分析功能，除了可以自動提取系統注冊表、用戶注冊表中的操作系統信息、設備信息、軟件安裝信息、USB設備使用痕跡等外，還可以對注冊表文件進行高級手工分析，甚至是數據解碼。取證神探引入了取證結果溯源功能，將自動取證后的結果的數據來源清晰地告訴取證人員，取證人員可以看到取證結果是

26、從哪個文件讀取并解析數據的。取證神探還可以對注冊表文件進行手工查看與分析、數據搜索及數據解碼。可通過關鍵詞對注冊表文件中的內容進行搜索，可設定搜索類型(如鍵、值或數據)、搜索范圍(當前選中的鍵或整個注冊表)，此外還可以使用通配符進行快速搜索。在Windows注冊表中，不少數據經過了編碼或加密。取證神探內置的注冊表分析工具提供了查看注冊表原始數據及高級手工解碼的能力。有經驗的取證人員可以對注冊表值的數據(如十六進制、ROT-13編碼)進行數據解碼，取證工具內置了數值型、時間類型等數據常用的解碼方法。4. 常見的注冊表取證內容1) 時區信息Windows操作系統的時區設置關系到某些特定文件系統(如

27、NTFS)的文件時間戳解碼。不少取證軟件如EnCase、取證大師、取證神探等默認使用的時區直接取自當前運行系統的時區，而FTK、X-Ways Forensics等取證軟件均要求取證人員在創建案件時就要進行選擇或設置。注意：當被調查人員使用的時區與取證人員計算機使用的時區不同時，切記一定要提取注冊表中的時區信息(Time Zone)，然后手工修改取證軟件對磁盤設備的時區設置，只有這樣才能正確解析出文件相關時間戳。假如當前操作系統時間為2018-05-26 18:35，將一個全新的文件henry.jpg寫入一個NTFS分區，Windows操作系統將會讀取時區設置，如當前時區設置是北京時間UTC+8

28、，那么Windows操作系統向$MFT記錄寫入該文件的創建時間的時間戳將會變成2018-05-26 10:35。也就是說，將NTFS文件系統中的文件時間戳寫入元文件($MFT)時默認均采用UTC+0的時間，如表4-14所示。保存Windows操作系統時區信息的注冊表文件一般存儲于%windir%system32config SYSTEM，通過取證軟件進行查看。步驟1：查看SYSTEMSelectCurrent的值，如果值為00000001，那么需要進入Controlset001的子鍵中查看時區信息，如圖4-1所示。圖4-1 查看X-Ways Forensics注冊表內容步驟2：提取信息。選擇S

29、YSTEMControlSet001ControlTimeZoneInformation，提取TimeZoneKeyName信息，如圖4-2所示。圖4-2 提取TimeZoneKeyName信息2) 最近使用的文件Windows操作系統本身及許多應用程序記錄了最近使用的文件(Most Recently Used，MRU)，主要是為了提升用戶體驗，方便用戶再一次打開最近打開的文件。Windows操作系統及應用軟件將MRU的歷史記錄在注冊表中，在注冊表的鍵名稱中通常含有MRU的關鍵詞。國內的多數計算機取證分析軟件可以對常見的MRU信息進行提取和解析。作為電子數據取證人員、司法鑒定人員，不能完全依賴

30、取證工具的解析能力，還需要了解各種MRU信息的存儲位置及解碼方法，如表4-15所示。目前大部分MRU信息是明文存儲的，多數可以直接查看其內容。注：不同應用程序版本在注冊表中記錄的MRU通常會以不同版本號分別存儲，如表4-16所示。通常從操作系統或應用軟件中看到的最近使用的文件列表數量有限，然而實際上通過注冊表可以找到更多MRU記錄。此外，部分軟件存在MRU記錄數最大限制。3) 應用程序訪問痕跡(UserAssist)Windows操作系統在運行過程中對使用頻率高的應用程序進行了記錄，包括應用程序名稱、路徑、運行次數、最后一次執行時間等信息。記錄的信息存在于注冊表中的UserAssist子鍵中。

31、用戶注冊表文件NTUSER.DAT文件記錄了用戶的各種配置信息，通過取證軟件或注冊表工具打開該文件，找到SOFTWAREMICROSOFTWINDOWSCURRENTVERSION EXPLORERUserAssist，分別如表4-17和圖4-3所示。圖4-3 注冊表中的UserAssist子鍵信息UserAssist下的Count中包含的值均通過ROT-13進行加密，因此還需要對信息進行數據解碼，才能還原出原始信息內容。ROT-13加密算法原理：將26個英文字母分為兩組，每組13個，英文字母表中的字母通過置換實現信息加密，大寫字母對應大寫字母，小寫字母對應小寫字母。例如，原文“HELLO”經

32、過ROT-13加密后，密文變成“URYYB”，如圖4-4所示。注意：UserAssist中的信息使用ROT-13只對字母進行轉化，其它非字母(如數字、中文字符、特殊字符等)均保持不變。圖4-4 ROT-13加密算法4) USB設備使用記錄Windows除了記錄大量的MRU文件外，還記錄了一些設備的使用操作記錄。USB設備(如加密狗、U盤、移動硬盤、智能手機等)在與計算機連接時，系統將會識別出USB設備，并在注冊表中生成相關的鍵信息。在%windir%System32ConfigSYSTEM注冊表中記錄了Windows操作系統中插入過的USB設備。通過取證分析軟件或注冊表工具查看SYSTEM注冊

33、表文件，找到ControlSet001EnumUSB(所有USB設備的記錄)及ControlSet001EnumUSBSTOR(所有USB存儲設備的記錄)注冊表項，可分析USB使用痕跡。USBSTOR子鍵中記錄了所有與該計算機連接過的USB存儲設備。同一個設備型號只會生成一個子鍵，如Disk&Ven_Kingston&Prod_DT_Workspace&Rev_KS15。該文件夾還會有一個以系列號命名的子鍵。Disk：說明該設備是一個USB存儲介質設備，而不是不可存儲的設備(如加密狗)。CdRom：說明該設備是一個光盤存儲介質設備。Ven：Vendor廠商縮寫。Prod：Product產品型號

34、縮寫。Rev：Revision修訂版縮寫。5. 注冊表分析工具除了Registry Explorer外，RegRipper(Harlan Carvey開發)、Mitec Windows Registry Recovery(WRR)等均可以對注冊表進行分析。RegRipper是Harlan Carvey編寫的注冊表分析工具，也是一個免費的取證工具。通過運行rr.exe，即可調用RegRipper的圖形界面。RegRipper內置了350多個插件模塊，支持對SAM、SECURITY、SYSTEM、SOFTWARE等系統注冊表，用戶注冊表NTUSER.dat、AmCache等注冊表文件的分析。4.3

35、 Windows內存取證技術4.3.1 Windows內存簡介計算機內存一般指的是隨機存取存儲器(Random Access Memory，RAM)。內存是一種易失性存儲載體，它保存處理器主動訪問和存儲的代碼和數據，是一個臨時的數據交換空間。大多數PC的內存屬于一種動態RAM(DRAM)，是動態變化的，其利用了電容器在充電和放電狀態間的差異來存儲數據的比特位。為了維持電容器的狀態，動態內存必須周期性刷新，這也是內存控制器最典型的任務。1. 地址空間CPU處理器在執行指令并訪問存儲于內存中的數據時，必須為被訪問的數據指定一個唯一性地址。地址空間(Address Space)指的就是一組大量的有效

36、地址，可用于識別存儲于有限內存分配空間中的數據。一個正在運行的程序可以訪問的單個連續的地址空間一般稱為線性地址空間。基于內存模型及采用的分頁模式，有時將其稱為線性地址，又稱為虛擬地址。通常使用物理地址空間來特指處理器請求訪問物理內存的地址。這些地址是通過將線性地址轉化為物理地址來獲得的。2. 內存分頁從抽象意義上來講，頁(Page)是一個具有固定尺寸的窗口；從邏輯意義上來講，頁是具有固定大小的一組連續線性地址的集合。分頁(Paging)可以將線性地址空間虛擬化。它創建了一個執行環境，大量線性地址空間通過適量的物理內存和磁盤存儲進行模擬。每一個32位的線性地址空間被分為固定長度的片段，稱為頁，頁

37、能以任意順序將線性地址空間映射為物理內存。當程序嘗試訪問線性地址時，這樣的映射使用駐留內存的頁目錄(Page Directory，PD)及頁表(Page Table，PT)來實現，如圖4-5所示。圖4.5 內存分頁機制3. 物理地址擴展Intel公司的32位架構的內存分頁機制支持物理地址擴展(Physical Address Extension，PAE)，該擴展允許處理器支持超過4 GB的物理地址空間。程序雖然仍只能擁有最高4 GB的線性地址空間，但是內存管理單元可以將那些地址映射為擴展后的64 GB物理地址空間。對于支持PAE功能的系統，其線性地址分為以下4個索引：(1) 頁目錄指針表(Pa

38、ge Directory Pointer Table，PDPT)。(2) 頁目錄。(3) 頁表。(4) 頁偏移(Page Offset)。計算機終端及移動終端均使用了RAM易失性存儲，主要用于數據交換、臨時存儲等。操作系統及各種應用軟件均經常需要與物理內存進行數據交互，此外由于內存空間有限，因此計算機系統還可能將內存中的數據緩存到磁盤中，如Pagefile.sys(頁交換文件)及Hiberfil.sys(休眠文件)。內存中有大量的結構化數據和非結構化數據。通過對物理內存鏡像，可以提取有價值的數據。常見有價值的數據包含以下內容：(1) 進程列表(包括惡意程序進程、Rootkit隱藏進程等)。(2

39、) 動態鏈接庫(當前系統或程序加載的動態鏈接庫)。(3) 打開文件列表(當前系統打開的文件列表)。(4) 網絡連接(當前活動的網絡連接)。(5) $MFT記錄(常駐文件均可以直接提取恢復)。(6) 注冊表(部分注冊表信息，包括系統注冊表和用戶注冊表文件)。(7) 加密密鑰或密碼(如Windows賬戶密碼Hash、BitLocker、SafeBoot、PGP、TrueCrypt、 VeraCrypt等全盤加密或加密容器的恢復密鑰等)。(8) 聊天記錄(如QQ聊天記錄片段)。(9) 互聯網訪問(上網記錄URL地址、網頁緩存及InPrivate隱私模式訪問數據等)。(10) 電子郵件(如網頁郵件緩存

40、頁面)。(11) 圖片及文檔(尚未保存到磁盤中的圖片、文檔等文件)等。4. 頁交換文件。除了使用物理內存RAM用于數據交換外，Windows為了能正常工作，還使用了各種各樣的文件。從Windows 95開始，Windows開始引入頁交換文件(Pagefile.sys)用于協助內存數據的交換。Pagefile.sys是磁盤中的一個文件，用于臨時存儲操作系統中的活動數據，在必要的情況下，Windows可將Pagefile.sys文件中的數據移動到物理內存中或從內存中將數據移到該文件中，實現數據的臨時交換或緩存。從Pagefile.sys中獲得的數據通常是當前活動的相關信息，也通常與調查相關性較高。

41、5. 休眠文件休眠文件(Hiberfil.sys)是當系統休眠時，Windows將物理內存的數據寫入磁盤生成的一個文件。當系統進入休眠狀態后，網絡連接將會中斷；當系統重新加電時，Hiberfil.sys文件中的數據重新回寫到物理內存中，這也使得系統從休眠狀態恢復到原始狀態變得相當快。休眠文件包含標準的頭部(PO_MEMORY_IMAGE)、內核上下文與寄存器的相關信息及壓縮的數據塊。該文件采用了Xpress算法(帶Huffman及LZ編碼)。文件頭部通常包含“hibr”“HIBR”“wake”或“WAKE”等特征。操作系統從休眠狀態恢復后，頭部即被清零，清零后的文件頭可能會導致一些取證軟件無法

42、分析該文件。要進入休眠模式，首先要讓系統啟用休眠模式支持。Windows 8及以上版本的操作系統默認啟用休眠模式支持。取證人員也可以管理員權限進入命令行模式，并輸入powercfg.exe/hibernate ON 來啟用休眠模式支持。要讓操作系統進入休眠模式，則需要輸入shutdown/h。如果在默認的Windows開始菜單中的“電源”找不到“休眠”，可以通過按Win+X鍵，找到“控制面板”，再找到“電源選項”，然后繼續進行設置。例如，可以通過“選擇電源按鈕的功能”，選擇“更改當前不可用的設置”，在“關機設置”下將“休眠”選項勾選。后續在“開始”菜單中選擇“電源”便可看到“休眠”選項。以上操

43、作的具體步驟在不同Windows中可能略有差異。4.3.2 Windows 內存取證方法和分析技術內存取證通常是指對計算機及相關智能設備運行時的物理內存中存儲的臨時數據進行獲取與分析，提取有價值的數據的過程。內存是操作系統及各種軟件交換數據的區域，內存中的數據易丟失(Volatile)，即通常在關機后數據很快就會消失。常見的物理內存獲取方法有冷啟動攻擊(Cool Boot Attack)、基于火線(1394)或雷電 (ThunderBolt)接口的直接內存訪問(Direct Memory Access，DMA)獲取及內存獲取軟件工具。不同的操作系統需要用到不同的物理內存獲取工具。Windows

44、操作系統平臺支持內存獲取的常見工具有DumpIt(早期版本名為Win32dd)、Belkasoft RAMCapturer、Magnet RAM Capture、WinEn、Winpmem、EnCase Imager、FTK Imager、取證大師 、取證神探。Linux操作系統支持內存獲取的常見工具有dd (適合Linux早期版本)、LiME、linpmem、Draugr、Volatilitux、Memfetch、Memdump。Mac OSX操作系統支持內存獲取的常見工具有MacMemoryReader、OSXPmem、Recon for Mac OSX、Blackbag MacQuisi

45、tion。Windows操作系統平臺下的DumpIt是一個簡單易用的計算機內存鏡像獲取工具。通常直接將該工具存放在大容量移動硬盤或U盤中，可在正在運行的Windows操作系統上直接運行，根據提示操作即可。在獲取物理內存數據時還需盡量減少對原有內存數據的覆蓋，最大限度地提取內存數據。從Windows操作系統獲取的物理內存鏡像需要使用專門的內存分析工具對其進行分析。常見的內存分析工具有Volatility、Rekall、Forensic Toolkit(FTK)、取證大師及取證神探等，利用這些工具可以解析出常見的基本信息，包括進程信息、網絡連接、加載的DLL文件及注冊表加載信息等。1. Volat

46、ility Framework Volatility Framework是一個完全開放的內存分析工具集，其基于GNU GPL2許可，以Python語言編寫而成。由于Volatility是一款開源免費的工具，因此無須花任何費用即可進行內存數據的高級分析。因為代碼具有開源的特點，所以當遇到一些無法解決的問題時，還可以對源代碼進行修改或擴展功能。在Windows操作系統平臺下，有兩種方式可以運行Volatility工具。第一種是先獨立安裝Python運行環境，再下載Volatility源代碼執行命令行；第二種是下載Volatility獨立Windows程序(無須另外安裝和配置Python環境)。最新

47、Volatility版本為V2.6，可以通過官方網站下載。在Windows 64位平臺上，最便捷的方式就是直接使用獨立Windows程序的Volatility版本。進入管理員命令行模式，運行volatility_2.6_win64_standalone.exe 程序即可。2. Volatility常用命令行參數-h：查看相關參數及幫助說明。-info：查看相關模塊名稱及支持的Windows版本。-f：指定要打開的內存鏡像文件及路徑。-d：開啟調試模式。-v：開啟顯示詳細信息模式(verbose)。由于幫助說明內容太多，通常可以將內容輸出為文本文件，方便隨時打開參數及模塊支持列表。查看幫助說明和

48、模塊支持列表可通過以下兩行代碼實現；volatility_2.6_win64_standalone.exe -h help.txtvolatility_2.6_win64_standalone.exe -info modules_list.txtVolatility常用命名參數及功能對照表如表4-18所示。4.4 Windows其他取證技術4.4.1 瀏覽器取證分析網頁瀏覽器(Web Browser)通常簡稱為瀏覽器，是一種在萬維網(World Wide Web)中用于檢索、展現及傳輸信息資源的軟件客戶端。信息資源可以是一種網頁、圖片、音視頻等內容。瀏覽器已經成為Windows、Mac OSX

49、、Linux等各種操作系統中常用的客戶端程序應用。除了IE、Chrome、Firefox、Opera、Safari等國際主流瀏覽器外，國內也有不少廠商開發了基于不同內核的瀏覽器，如騰訊瀏覽器(TT)、百度瀏覽器、搜狗瀏覽器、獵豹瀏覽器、360瀏覽器、UC瀏覽器、傲游(Maxthon)、世界之窗瀏覽器等。常見瀏覽器內核及其對應的瀏覽器軟件版本如表4-19所示。國內不少瀏覽器軟件后續采用了多內核引擎，如Trident+WebKit、Trident+Blink。(1) 360安全瀏覽器(V1.0V5.0為Trident，V6.0為Trident+WebKit，V7.0為Trident+Blink)。

50、(2) 360極速瀏覽器(V7.5以下版本為Trident+WebKit，V7.5為Trident+Blink)。(3) 獵豹安全瀏覽器(V1.0V4.2版本為Trident+WebKit，V4.3版本為Trident+Blink)。(4) 傲游瀏覽器(傲游V1.x、V2.x為Trident內核，V3.x為Trident與Blink)。(5) 世界之窗瀏覽器(最初為Trident內核，2013年采用Trident+Blink)。(6) 搜狗瀏覽器(V1.x為Trident，V2.0及以后版本為Trident+Blink)。(7) 淘寶瀏覽器(V1.x為Trident，V2.0及以后為Tride

51、nt+Blink)。由于IE是Windows操作系統內置的瀏覽器，多數人可能會使用IE瀏覽器來訪問相關網站。不同的IE瀏覽器版本存在一些細微的差異，IE 5IE 9采用了相同的工作機制及數據存儲方式，IE 10及以上版本則采用了全新的存儲機制。為了方便闡述，以下內容中將IE分為兩大類，分別為傳統IE瀏覽器和新一代瀏覽器。傳統瀏覽器指的是IE 5IE 9的各版本，新一代IE瀏覽器特指IE 10IE 11的各版本。1. 傳統IE瀏覽器1) 上網訪問歷史記錄IE瀏覽器會將所有訪問過的站點各個頁面的URL地址記錄到用戶配置文件夾下的History.IE5文件夾中，并以瀏覽時間為序列列出最近瀏覽過的站點

52、。所有URL地址鏈接和各種訪問的詳細信息都存儲在名為Index.dat的索引文件中。(1) Windows 2000/XP：%UserProfile%Local SettingsHistoryHistory.IE5。(2) Vista/Windows7/Windows8：%UserProfile%AppDataLocalMicrosoftWindowsHistory。需要注意的是，通過靜態離線取證的方式看到的文件目錄結構往往與操作系統正在運行的情況下看到的有差異。微軟操作系統正在運行的情況下，對于數據的讀取訪問做了特殊處理，因此看到的信息都是經過處理后的內容，和真正在磁盤上存儲的文件的視圖有差

53、異。通常在History.IE5文件夾下有一個全局索引文件Index.dat，在以時間序列分組的各個文件夾下也都有一個索引文件Index.dat。用戶在IE瀏覽器地址欄輸入URL地址后，系統將會把輸入過的網站URL存儲到用戶注冊表NTUser.dat中，通常可通過注冊表分析工具讀取該文件節點SoftwareMicrosoft Internet ExplorerTypedURLs，找到相應的信息。2) 緩存IE瀏覽器為提高打開網頁的速度，默認會將最近瀏覽過的內容保存到本地緩存中，當用戶下一次打開同一個網站時，就不需要全部重新從遠程的網站服務器上下載文件，而是直接從本地緩存中讀取。當然，IE瀏覽器

54、也有相應的機制，可以設置是否更新過時的內容。IE瀏覽器的緩存數據通常存儲在用戶配置文件夾下的Local SettingsTemporary Internet Files文件夾(如Documents and Settings%username%Local SettingsTemporary Internet FilesContent.IE5)，用戶也可以使用“工具”修改默認存儲緩存的路徑。3) CookiesCookies通常存儲在用戶配置文件夾下的Cookies文件夾中，該文件夾下保存了1個索引文件Index.dat和大量的Cookies文本文件。Index.dat記錄了用戶訪問的所有站點地址

55、信息，Cookies文本文件則單獨記錄了各個站點的相關信息。4) 收藏夾瀏覽器中的收藏夾可以一定程度上體現用戶的傾向性和意圖。其在IE瀏覽器中通常稱為收藏夾，在其他類型瀏覽器(如Firefox、Chrome及Safari)中通常稱為書簽。通常收藏夾默認存儲于用戶配置文件夾下的Favorites文件夾中(%UserProfile%Favorites)。然而越來越多的第三方工具提供了用戶自定義IE收藏夾的存儲位置。收藏夾中每個站點鏈接的文件的擴展名為.url，因此計算機取證分析軟件多數可以通過遍歷整個磁盤搜索發現存在在其他位置下的收藏夾信息。當然，也可以通過分析用戶注冊表(NTUser.dat)解

56、析IE瀏覽器收藏夾的存儲路徑來了解該用戶收藏夾實際的存儲位置。2. 新一代IE瀏覽器2012年10月，微軟發布Windows 8操作系統，其內置了Internet Explorer 10版本。2013年2月，微軟又發布了適合在Windows 7操作系統運行的Internet Explorer 10版本。越來越多的計算機用戶使用IE 10.0瀏覽器或更新版本來訪問互聯網。從計算機取證角度來看，新版本瀏覽器IE 10.0最大的變化就是使用一個全新的WebCacheV01.dat數據庫文件代替傳統的Index.dat。該文件是一個數據庫文件，是一種可擴展存儲引擎(Extensible Storage

57、 Engine，ESE)的數據庫，早期也常被稱為Jet Blue。 ESE是微軟一種靈活度很高的數據庫類型，數據庫大小可以是1MB，也可以是1TB。它使用一種崩潰恢復機制，保障數據庫存儲數據的一致性，ESE的高級緩存系統讓其能高效訪問數據。除了IE 10.0之外，Windows操作系統中還有大量應用程序使用此類數據庫來管理，如Windows Mail、Windows桌面搜索、Exchange Server、活動目錄(Active Directory)和Windows Live Messenger等。ESE數據庫的存儲單元是頁，在Windows 7操作系統中，每個頁大小為32KB。除了部分特殊的

58、長記錄需要跨頁存儲外，數據庫每條記錄都盡可能存儲在一個獨立的頁中。ESE采用B樹(B-Tree)結構存儲數據，如圖4-6所示。圖4-6 ESE使用B樹結構存儲數據重要的一點是，當某條記錄從數據庫中移除后，其占用的空間會被標記為“刪除”，但數據庫不會執行覆蓋操作。正是因為這點，只要被移除的記錄尚未被另外的記錄覆蓋，那么原記錄的數據內容極有可能還在未分配的空間，因此有機會恢復出尚未被覆蓋的數據。新一代IE瀏覽器的數據庫及日志相關文件位置為%systemdrive%Users%user%App DataLocalMicrosoftWindowsWebCache。新一代IE瀏覽器相關數據文件如表4-2

59、0所示。WebCacheV01.dat數據庫文件結構如表4-21所示。1) ESE數據庫中的數據表及關系通過利用Nirsoft網站提供的ESEDatabaseView工具可以查看ESE類型的數據庫內容。通過實驗可以發現，在新一代瀏覽器IE 10.0和IE 11.0中，上網記錄、緩存文件及Cookies的記錄信息都保存在WebCacheV01.dat數據庫中。從Containers表可以看到ContainerId和Name的對應關系，如圖4-7所示。上網記錄(History)的ContainerId為3和24；緩存內容(Content)的ContainerId為16和17；Cookies的Con

60、tainerId為1和2。經過多次測試發現，ContainerId的值并非固定值，因此對WebCacheV01.dat進行分析時，首先要查詢Containers表中的對應關系，再相應地檢索相關信息。圖4-7 WebCacheV01.dat數據庫中的Containers表2) 上網訪問記錄首先在WebCacheV01.dat數據庫查詢Name字段中名為History的類別對應的ContainerId，然后分別查詢其對應的Container_#表，即可獲得上網訪問記錄(通常有兩個對應的Containers數據表)。從圖4-8可以看出，一個名為History的ContainerId為3，Partit