基于Windows系统的开机取证方法研究

摘要：为了方便实现windows系统现场证据的收集。通过根据计算机犯罪现场情况的不同，对在执行开机取证操作时，获取系统数据流程和方法会发生变化情况的研究，给出了基于Windows系统的几种常用的开机取证方法。该方法为有效实施打击计算机犯罪，保障计算机系统信息安全提供有力工具及手段，促进计算机取证技术的实际应用。

关键词：Windows系统；开机取证；计算机犯罪

中图分类号：TP309.2 文献标识码：A 文章编号：1009-3044(2012)29-7115-02

1 概述

对于计算机犯罪，传统的调查取证方法是现场调查人员直接关闭计算机，然后获取系统硬盘镜像。这种方法简单实用，但是在当前的许多实际的计算机犯罪案件的调查过程中却不在适用。由于很多案件中，最佳的证据和信息源存于计算机内存中（例如：网络连接、即时聊天客户端的内容、即时聊天进程的内存数据等），因为一些即时聊天程序客户端并不自动保存聊天记录信息。像另外的一些案件中，调查取证人员往往还需要知道系统中是否有木马或者恶意程序的运行，敏感数据文件是否从系统中被复制，在系统运行的时候，到底发生了哪些行为。技术人员在通过IDS（入侵检测）[1]或者防火墙发现异常/问题流量的时候，经常会直接关闭产生这些流量数据的系统，而不管流量数据产生的原因。类似这些情况，调查人取证人员则需要通过进行开机取证（live response）[2]——即在系统运行的时候收集数据。然而根据计算机犯罪现场情况的不同，在执行开机取证操作时，获取系统数据流程和正确方法往往会发生变化。作为调查和紧急响应人员，最好的方式就是对当前手中的取证工具箱和其它可能的工具能合理理解和运用，以决定在当前情况下利用什么方法进行取证。对于目前最常用的Windows系统开机取证有两种基本的方法：本地和远程开机取证[3]。

2 本地开机取证方法

2.1 批处理文件

本地取证是通过本地计算机系统的控制台，输入命令，信息保存在本地硬盘、移动介质（闪存、USB盘）或映射到本地的网络共享驱动器中。该方式十分普遍，取证人员能够立即到达现场，使用光盘或闪存重中的工具对系统进行直接的物理访问。从多个本地系统中收集据要比通过网络连接或者无线网线要快。使用正确数量的外部存储设备和访问权限，现场响应人员就可以快速高效的收集有用的信息。

2.2 Windows API

利用Windows API可将需要的取证功能集成到一个应用程序中，Agile风险管理公司的Nigilant32[6]就是这样的工具。Nigilant32使用与外部工具相同的Windows API收集系统易变信息，并且加入了文件系统检查和物理内存导出功能。许多批处理风格的工具包使用与

Nigilant32等工具相同的Windows API进行本地取证。

5 结束语

本文首先分析了在计算机犯罪过程中，采用传统的调查取证方法进行犯罪证据的获取存在的不足。然后根据计算机犯罪现场情况的不同，对在执行开机取证操作时，获取系统数据流程和方法会发生变化的情况进行了研究，给出了基于Windows系统的几种常用的开机取证方法。该方法能够对计算机犯罪实施有效打击，保障计算机系统信息安全，从而促进计算机取证技术的实际应用。

参考文献：

[1] 史美林,钱俊,许超.入侵检测系统数据集评测研究[J].计算机科学,2006,33(8):1-8.

[2] 买尔旦·阿不拉,亚森·艾则孜.Windows系统取证研究[J].信息网络安全,2011(12).

[3] Carvey Harlan.Windows取证分析[M].王智慧,崔孝晨,陆道宏,译.北京:科学出版社,2009.

[4] 吴俊丽.计算机在线取证工具的测试和分析[D].济南:山东轻工业学院,2010.

[5] /security/wft/index.html.

[6] 殷联甫.计算机取证中的物理内存取证分析方法研究[J].计算机应用与软件,2010,27(12).

[7] 邹海荣.Windows系统中入侵证据获取方法研究[J].现代电子技术,2011,34(8):23-25.