中国大学MOOC上的《电子数据取证技术》(组图)

感谢关注 & 转发！一起学习 ^_^

进一步关心电子数据获取

条件容许的情况下

只读方法读取原始检材内的数据

并制做镜像或复制件

不可以在原始检材上进行操作

不可以在惟一一份镜像文件上操作

多复制件，在复制件上进行读取剖析

易失数据在机器重启后可能会遗失

故不能实现"重复性"或"复现"

广而告之

> 先继续宣传一下，应部份电子数据取证爱好者的要求，再次开放了中国大学MOOC上的《电子数据取证技术》，欢迎感兴趣的同学赶赴围观，敬请批评见谅

> 每周三上午8点发布一节内容，可长按以下二维码，识别以后进一步了解

回收站取证——背景

回收站里的文件

> 很多人在遇到不需要的文件时都是选择删掉掉

-- 一是节约磁盘空间

-- 二是便捷查找有用的资料，文件太多太乱不容易查找

-- 三是安全起见，有些不想被他人看的的东西须要及时删掉掉

> 大部分人是使用点击鼠标右键选择删掉的方式

-- 其实这样并没有完全删掉掉，文件还在笔记本里

-- 只是放在了回收站上面，还是可以再找回去继续使用的

> 万一将回收站里的文件也删掉或则是直接清空了回收站后

-- 又发觉删错了或则想再寻回文件，是否有可能呢

关于回收站取证的思索

> 被删除的信息，往往包含着使用者的重要信息

> 对于被删除文件的恢复，一直是电子数据取证的重要部份

> 通过剖析回收站可以晓得被删掉文件的信息，包括

-- 原始路径、删除时间和文件大小，并随时恢复文件

网上提供的一种方式

>在Windows 10下边，挑战失败……

回收站清空前

-- 打开注册表(regedit命令 或者 同时按下"Windows+R"键)

--找到注册表中对应的项："HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{645FF040-5081-101B-9F08-00AA002F954E}"

--双击两侧的"默认"将数值数据更改为"回收站"，确定并重启笔记本

--据称老一点版本的Windows在打开回收站时，可以寻回回收站内的文件，然而，Windows 10环境下，再次打开回收站，并没有才能寻回文件

注册表更改前

注册表修改后

-- 本次内容参考了"鑫荣笔记本技术"的文章"回收站被清空文件删掉的恢复方式"。长按以下二维码，识别以后进一步了解

基本原理

什么是回收站

> 回收站是谷歌Windows操作系统里的一个系统文件夹

> 主要拿来储存用户临时删掉的"文档"资料，存放在回收站的"文件"可以恢复

> 用好和管理好回收站、打造颇具个性功能的回收站可以愈加便捷我们日常的文档维护工作

进一步了解回收站

> 回收站是一个特殊的文件夹，默认在每位硬碟分区根目录下的RECYCLER（不同版本的Windows，会有所区别）文件夹中，而且是隐藏的

> 当你将文件删掉并移到回收站后，实质上就是把它放在了这个文件夹，仍然占用c盘的空间

> 只有在回收站里删掉它或清空回收站能够使文件真正地删掉，为笔记本获得更多的c盘空间

-- 对于回收站，一般都觉得那是垃圾站，没有多少东西可以学习，其实，用好回收站还是须要把握一些方法，有时可能起到意想不到的疗效

-- 本次内容重点参考了"百度百科"的文章"回收站"。长按以下二维码，识别以后了解更多相关的内容

回收站的生成

> 硬盘低格后，并未构建回收站文件

> 当用户第一次删掉文件时，系统就为每位用户生成一个回收站目录（视操作系统版本而定），同时在其中生成一个回收站记录文件

> 回收站记录文件的格式与操作系统的种类有关，与分区格式无关

回收站取证的方式

回收站取证的思路

>Win7下，被删除的文件被更名为$R为起始的文件（目录则被命名为$R前缀的目录）且同时生成一个$I为前缀，且后缀字符完全一样的文件

>$I文件对应$R目录。在X-Ways Forensics中，原文件保存位置和删掉时间可以在预览模式下，在$I文件中找到

>如果是删掉的目录，进入$R目录下，可以看见被删掉的文件原始文件名、扩展名不变

其他可能的方式

> 利用X-Ways Forensics，如，XP下通过文件名过滤INF02

> 使用各类电子数据恢复的相关软件进行数据恢复，参见文章

> 除此之外，可以参看"松鼠爱吃巧克力"的文章"Python远程获取回收站内容"。长按以下二维码，识别以后了解更多相关的内容

部分网路资源

开源项目rifiuti2

>"abelcheung"在Github上给出了一个开源项目"rifiuti2"，该项目给出了一个Windows回收站的剖析工具，两年前的代码。长按以下二维码，识别以后进一步了解

> 除此之外，可以参看"Alpha_h4ck"的文章"Rifiuti2：一款针对Windows回收站的文件剖析工具"。该文章是对上述开源项目的进一步说明，长按以下二维码，识别以后了解更多相关的内容

其他可供阅读的部份文献

>王志铭.Windows系统回收站的电子物证特点剖析比较研究[J].现代信息科技,2019,3(11):87-88+91

> 宋冰.Windows 8回收站取证剖析[J].信息安全与技术,2012,3(12):50-52

> 汤艳君,罗文华,孟庆博.Windows回收站信息的调查取证[J].中国刑警学院学报,2005(04):18-19

后记

本文参考了部份网路资源，在此，一并致谢！

历史回顾（链接）：

个别文字、图片始于网路，一并表示谢谢。如您认为本文文字有不妥或值得商榷的地方、或者甚至有侵害您版权的地方，请与我们联系。全文为微信订阅号【数字取证文摘】原创产生，转发请标明来源。