Windows 8 回收站取证分析

【 摘 要 】 在计算机取证过程中，对于删除文件的分析常常提供有价值的信息。知道在哪里找到被删除文件并且能够理解文件被删除过程中产生的元数据，这是一个合格的计算机取证人员必备的素质。本文对Window 8 系统的回收站与传统的Windows XP系统的回收站的相似点和不同点进行了对比分析，并详细说明了Windows 8 系统回收站的工作细节，以期为计算机取证人员提供帮助。

【 关键词 】 计算机取证；Windows 8；回收站；SID

Recycle Bin Forensic for Windows 8

Song Bing

（Henan Police College HenanZhengzhou 450046）

【 Abstract 】 Analysis of deleted files often provides useful information for the forensic computer examiner. Knowing where to find the deleted files， and how to interpret the metadata associated with the file’s deletion， make up the cornerstone of a successful forensic computer examination. In this paper， the author compares and contrasts the similarities and differences of the Recycle Bin of the Windows 8 between the Recycle Bin of the Windows XP Operating System. In this investigation， the author points-out the details of each implementation that are of interest for the forensic computer examiner.

【 Keywords 】 computer forensics； Windows 8； recycle bin； SID

0 引言

计算机取证是指对依靠计算机实施的犯罪行为利用计算机软硬件技术，按照符合法律规范的方式进行证据获取、保存、分析和出示的过程，是将存于计算机及相关设备中的电子数据转换固定为实质的证据，以及鉴定这些电子证据属性的过程。

所有计算机取证人员都知道这样一个事实：当一个文件被删除时，它没有真正消失。Windows系统桌面上的回收站图标更好地说明了这点。回收站如同现实的垃圾桶：将纸张揉成一团然后扔进垃圾桶，纸张仍可被展开查看上面的内容。回收站同样允许恢复“不小心”删除的文件。用户可以打开回收站，选择先前丢弃的文件，然后将其恢复到之前的位置。

因此，当一些文件通过系统命令器解释器（Shell）删除时，也就是用户在资源管理器中选中并删除文件时，它并不是真正地消失。文件仅仅被移动到回收站中。在回收站中，文件被重新命名和保存，放置在一个隐藏的系统文件夹下。为了实现被删除文件能够被用户恢复，系统需要存储被删除文件的原始状态信息。在很多案件中，回收站中保存了嫌疑人最近被丢弃的文件，对于计算机取证人员来说，这发现证据的最好方式。

在不同的Windows系统中，采取不同的方法管理回收站中的文件。早期的Windows如Windows95 或XP采用在回收站中创建一个数据文件Info2（或Info），用于存放所有的被删除文件的信息。Windows 8 系统则放弃了Info2文件，采取为每个被删除文件创建一个单独的记录文件。这些文件记录着被删除文件的原始的位置和结构。对于该文件的深入理解和分析，是每个计算机取证人员不可缺少技能。

1 相关背景

要了解记录文件的结构和它们的命名规则，首先必须了解回收站是如何工作的。当用户删除一个文件时，该文件其实并没有被删除，而是被复制到系统文件夹回收站中。删除文件所在位置随着Windows的版本不同而不同，参见表1。下面以Windows XP为例，对比说明Windows 8的回收站工作的不同点。

在Windows XP 中，每个驱动器都包含一个名为 Recycled 的隐藏文件夹。此文件夹包含 Windows 资源管理器、“我的电脑”或基于 Windows 的程序中删除的文件。 删除文件时，文件的完整路径和文件名存储在 Recycled 文件夹中名为 Info2（Info）的隐藏文件中。Windows系统使用下面的语法对已删除的文件进行了重命名：

D.

例如Dc1.txt =（C 驱动器，第二个删除的文件，.txt 文件） ，INFO2中原文件路径： C：＼Windows＼Desktop＼Books.txt。

双击回收站图标将显示一个以用户SID（Security IDentifier）命名的文件夹，其中列出了可还原的已删除文件。根据微软公司的文档，SID是由字母数字构成的字符串，用于唯一标识一个用户或组。其含义如下：{S-1-5-21-861567501-562591055-1417001333-500}，“S”是Security Identifier的第一个字母，“1”表示版本号，对于XP或2000来说，一直是1，“5”表示颁发机构是NT，然后表示一系列的子颁发机构，前面几项是标志域的，最后一个标志着域内的帐户和组，“500”表示系统管理员。对于计算机取证人员，更关心SID与哪个账户名相对应。可以打开注册表中HKEY_LOCAL_MACHINE＼ SOFTWARE＼Microsoft＼Windows NT＼CurrentVersion＼

ProfileList，选择相应的SID后，查看右侧ProfileImagePath的键值中对应的文件夹路径即可看到真实的账户名称。例如该SID的ProfileImagePath键值是%SystemDrive%＼Documents and Settings＼Administrator，表示该SID对应的是系统管理员Administrator。

单击SID文件夹中的文件并选择“还原”可从Info2文件中读取原始路径、重命名该文件并还原到其原始路径。

在Windows 8中，回收站目录中的工作原理及查找方法与Window XP相同，不同的是被删除文件的命名规则：$R.，该文件被称为$R文件。其中的是由数字和字母组成的6位随机字符，文件扩展名.与文件被删除前的扩展名一致。同时，以$I和上述相同的随机字符构成的第二个文件也被创建，如：$I.txt，该文件被称为$I文件。这两个文件名中除了起始字符$R和$I是不同的外，其余的部分.相同。当回收站被清空时，这两个文件也同时被删除。

2 $I文件和Info2文件的比较

Windows 8 系统的回收站中，以$I开头的文件包含有用于还原文件的必要信息。回收站中的Info文件包含有被删除文件的信息：原文件名、原文件大小、原文件被删除日时间、文件在回收站的唯一标识数字、原文件所在盘符。

但在Windows 8 系统中，Info2文件不再被采用。以$I开始的文件包含以下信息：原文件名、原文件大小、原文件被删除时间。由于每个$I文件只对应一个原始文件记录，也就没有必要像以前的Info2文件那样存在唯一的标识符。$I文件大小一律为544字节。

$R文件则记录原始文件内容，该文件随着被删除文件的不同而有不同的文件结构和内容，在这里就不再列举分析。

下面将通过十六进制编辑器WinHex展示$I文件的结构。

3 $I文件的结构

在$I文件中的前8个字节是均是一个字节的01跟上7个字节的00，用于表明该文件的类型。

在$I文件中偏移从0x08到0x0F的8个字节用于表示原文件大小。由于Intel硬件使用Little Endian格式保存数据，低字节存放在内存的高端，故该8个字节需要从后向前读取。例如该例子中显示的是36 E9 07 00 00 00 00 00，实际应为00 00 00 00 00 07 E9 36，换算成十进制为518454，与图1中$R6P556X.bmp的大小518454字节相匹配。

在计算机犯罪调查取证过程中，调查人员最关心的是文件被删除的时间。这个信息保存在$I文件偏移从0x10到0x17的8个字节中。同样由于是Little Endian格式，所以图2中的10 C6 8A 18 C4 A2 CD 01 实际应为01 CD A2 C4 18 8A C6 10。为了计算文件被删除的准确时间，我们利用WinHex中的工具将其转换成UTC时间：2012年10月5日06：38：57。由于中国所在时区是东8区，真实时间应加上8小时，故文件被删除的准确时间是：2012年10月5日14：38：57，与图1中$R6P556X.bmp和$I6P556X.bmp两个文件建立的时间相匹配。

在计算机犯罪案件的调查取证过程中，时间属性是十分重要。实验表明，通过修改系统时钟，文件被删除时间可以轻易的被伪造。如果Windows 系统的时间不准确，那么文件删除的时间标签也会不准确。计算机取证人员需注意这种情况。

接下来，在$I文件中偏移从0x18开始表示原文件的完整路径和文件名。该字段使用Unicode字符编码，每个字符占2个字节。例如字符’A’的ASCII码是41H，对应的Unicode编码是0041，注意在内存中存放为4100。如果原文件名较短，在$I文件中的其余部分用空字节填充。本例图2中表示文件的完整路径是C：＼Users＼Administrator＼，文件名是wallpaper.bmp。

4 总结

Windows 8中回收站的工作原理与传统的Windows XP不同。在Windows 8 的回收站放弃了传统的Windows XP采用Info2文件，而是采取为每个被删除文件创建一个单独的记录文件：$I文件。由$R文件则记录原始文件内容，$I文件记录着被删除文件恢复的必要信息（文件大小、被删除时间、原始的路径及文件名称）。当恢复被删除文件而原始目录不存在时，利用$I文件的信息可以重建目录。在计算机调查取证的过程中，需时刻记得回收站的重要作用。在回收站中出现的只字片语，很可能对于案件的侦破起决定作用。

参考文献

[1] Microsoft Help and Support （2009）. “How the Recycle Bin Stores Files”. http：///kb/136517.

[2] Machor， Mitchell. The Forensic Analysis of the Microsoft Windows Vista Recycle Bin. http：///downloads/forensic-analysis-vista- recycle-bin.pdf.

[3] 孙亦.Windows 7 环境下电子取证特点分析.信息网络安全，2010年第11期.

作者简介：

宋冰（1981-），男，河南郑州人，信息安全系计算机犯罪取证教研室讲师；主要从事信息安全与计算机犯罪研究。