网站原创摘 要:为了从注册表中获得计算机犯罪的证据,文中对注册表结构和计算机取证中注册表信息的挖掘进行了分析,并通过移动存储设备实例分析进行了验证,表明注册表在获取计算机犯罪证据过程中具有重要的作用,基于Windows注册表取证分析技术研究能够为计算机犯罪的注册表取证提供指导,提高取证分析的效率,对当前的计算机取证具有一定的应用价值.
| 有关论文范文主题研究: | 关于计算机的文章 | 大学生适用: | 电大论文、专科论文 |
|---|---|---|---|
| 相关参考文献下载数量: | 65 | 写作解决问题: | 本科论文怎么写 |
| 毕业论文开题报告: | 标准论文格式、论文前言 | 职称论文适用: | 刊物发表、中级职称 |
| 所属大学生专业类别: | 本科论文怎么写 | 论文题目推荐度: | 优质选题 |
关 键 词:Windows系统;计算机取证;注册表;电子证据
中图分类号:TP309文献标识码:A文章编号:2095-2163(2013)05-0075-04
0引言
计算机和网络的普及给人们带来了极大的方便,但随之而来的却是计算机犯罪呈现日趋严重的趋势.在打击计算机犯罪中,计算机取证技术研究就显得尤为重要.计算机取证是指运用计算机辨析技术,对计算机犯罪行为进行全面分析以确认罪犯及计算机证据,并据此提起诉讼,这是对存在于计算机及其相关的设备中的电子证据进行获取、保全、鉴别、分析和提交的有效过程,且取得的证据具有不可抵赖性[1,2].计算机取证在打击计算机和网络犯罪中可实现的作用十分关键,其目的是要将犯罪者留在计算机中的痕迹作为有效的诉讼证据提供给法庭[3],因此,计算机证据作为一种新的证据形式,逐渐成为新的诉讼证据之一.
1Windows系统注册表在计算机取证中的作用
Windows操作系统的注册表是一个集中管理计算机各种硬件设施、软件配置以及应用程序、并使其得以正常运行的核心数据库,存储有不同的参数信息,直接控制着开机过程中硬件设备驱动程序的加载、系统的正常启动以及部分应用程序的运行,几乎所有的软件、硬件以及系统设置与注册表均高度相关[4,5].
注册表不仅是Windows操作系统的核心,同时也是Windows操作系统中最脆弱的部分[6].目前,注册表已经成为越来越多的程序攻击的对象,也是因为所有程序运行时都要对注册表进行操作.入侵和攻击事件往往是从修改注册表数据文件开始的,对注册表的分析可以跟踪和定位攻击者,再结合有效的技术手段把注册表文件作为有效证据起诉攻击者[7].所以,对于计算机取证分析而言,注册表提供了大量丰富的信息,记录着犯罪者实施犯罪的大量证据,成为打击计算机犯罪非常重要的线索和证据来源,Windows注册表文件作为电子证据的一种,在计算机取证中有着重要的意义[8].
2计算机证据的特点
计算机证据是指在计算机或计算机系统运行过程中产生或储存的,并以其记录的内容来证明案件事实的记录物,且该记录物具有多种输出表现形式[9].与传统证据一样,计算机证据必须是可信的、准确的、完整的、使法官信服的、符合法律法规的,即可为法庭所接受的.
作为有别于传统证据的电子证据,其典型特征如下[10]:
(1)载体的依赖性.电子数据总是依托于一定的存储介质和电子设备而存在,对电子数据的鉴定也将是立足于对存储媒介和电子设备的分析.
(2)隐蔽性.计算机证据一般是非常规地隐藏存放在各种存储介质和电子设备中.
(3)多样性.表现形式多样,综合了文本、图像、图形、音频、视频等多种媒体信息.
(4)脆弱易逝性.电子证据的内容很容易被破坏、删除,甚至篡改,且对其进行不可恢复的改动后不留下痕迹.
3注册表分析
3.1注册表键值分析从Windows95操作系统伊始,注册表即应用于微软各版本操作系统中.文中以WindowsXP(ServicePack2)系统的注册表为例,对注册表的逻辑结构和物理存储方式进行解析.首先点击“开始”—“运行”—输入regedit,打开注册表编辑器,查看Windows注册表的逻辑视图,如图1所示.
3.2注册表取证分析3.2.1时间的获取
在取证分析过程中需要确定检材的使用时间与嫌疑人所陈述时间是否吻合,是否存在其他时间范围内使用的情况.从注册表中获取最近的关机时间:HKLM\SYSTEM\ControlSet00x\Control\Windows\.在这个子键下,包含着一个名为“ShutdownTime”的键值,隐藏着最近一次开机的时间,如图2所示.
3.2.2临时文件提取
在恢复获取案件硬盘的数据后,首先要搜查的目标就是——临时文件.对临时文件的相关分析可以帮组取证人员获得符合作案时间范围内的嫌疑文件,或者记录作案行径的痕迹.WindowsXP系统“开始”菜单中所包含的临时文件应当首先进入排查:HECU\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs,这里记录了所有对应签名的临时文件.
另外,随着系统启动,很多程序、添加组件会自行运行,而相应记录就会由注册表存储在下列文件中:
3.2.3硬件设备
注册表中LM\SYSTEM\ControlSet00x\Enum\USBSTOR下记录了所有本机加载的USB存储设备.该项可以和项MountedDevices一起作为取证证据.
图7中USBSTOR下包括的移动存储设备使用信息是按照设备品牌分类的,而信息的记录也是有规可循的.一般的记录规则是:设备类型&TheVendorID(供应商)&TheProductID(产品)&Revision(版本).在每个品牌子键下,则包含了在本地计算机所用过的此品牌所有型号的移动存储设备信息.