Windows系統回收站的電子物證特性分析比較研究

摘? 要：本文著重對各個Windows版本的回收站進行分析研究。分析了Windows回收站的原理和功能、Windows XP回收站文件格式、Windows 7及Windows 10的回收站文件格式。實現了針對Windows系統的回收站文件夾深層次的電子數據取證研究，同時在研究過程中主要利用Winhex軟件對回收站所存儲的文件進行分析，成功獲取用戶刪除文件的文件內容、刪除時間及刪除路徑等信息，旨在為電子數據取證完整證據鏈的構建提供可靠依據。

關鍵詞：Windows;回收站;電子數據取證

Abstract：This article focuses on the analysis of the various Windows versions of the recycle bin. Analyzed the principle and function of Windows recycle bin，Windows XP recycle bin file format，recycle bin file format for Windows 7 and Windows 10. The deep-level electronic data forensics research of the recycle bin folder for Windows system is realized. At the same time，Winhex software is mainly used to analyze the files stored in the recycle bin，and the file contents，deletion time and deletion of the deleted files are successfully obtained. Path information is intended to provide a reliable basis for the construction of a complete evidence chain for electronic data forensics.

Keywords：Windows;recycle bin;electronic data forensics

0? 引? 言

隨著人民生活水平的不斷提高和科技的不斷進步，目前計算機幾乎已遍布世界任何一個角落，但是計算機在方便人們的生活的同時，也成為犯罪的滋生地，計算機技術的快速發展也成為計算機犯罪的催化劑。面對數量及種類激增的計算機犯罪，電子數據取證應運而生。作為打擊計算機犯罪的關鍵手段，及時、有效地提取相關電子物證成為電子數據取證的必要條件[1]。目前國內在電子數據取證方面的研究正如火如荼地發展中，但Windows系統尤其是最新的微軟操作系統Windows 10的回收站方面的研究的相關文獻較少。

在電子數據取證過程中，回收站的取證至關重要。Windows系統95版本及其后各版本文件被刪除后會存放于回收站中，為用戶整理文件提供便利，但同時對于取證人員來說，這正是發現證據的突破口。因大多數計算機犯罪都是將計算機作為犯罪的工具，且并不具備較好的專業技術，因此將相關涉案數據文件進行刪除是最常見的反偵查手段，這也正是回收站數據取證的意義所在。

2? Windows回收站的概念

回收站是Windows操作系統中的一個隱藏的系統文件夾，其文件名根據Windows系統的不同而不同，當然對于每一個固定的磁盤分區來說，回收站都會在其根目錄下創建系統對應的隱藏文件夾，當文件被刪除后，被刪除的文件就被移動到隱藏文件夾中。根據Windows系統版本的不同，被刪除文件的存放位置也不同。如表1所示[2]。

當用戶需要恢復刪除至回收站的文件時，系統就會從記錄的文件位置中提取所需信息，以供恢復。回收站相關操作可以分為刪除、還原及徹底刪除三種類型[3]，刪除的文件可以在回收站內通過還原操作進行還原，但是徹底刪除的文件則無法使用還原操作。

3? Windows XP回收站特性及取證分析

3.1? Windows XP回收站特性

Windows XP是微軟公司2001年推出的操作系統，雖然早已停止更新，但至今仍有部分用戶使用，因此在電子數據取證過程中仍是取證人員必須熟悉的操作系統之一[4]。在Windows XP系統中，每一個磁盤根目錄都有一個隱藏文件夾用于存放已刪除的文件，此文件夾的名稱在文件系統NTFS中為Recycle，圖標為文件夾，此文件夾創建于分區第一次刪除文件時，屬性默認隱藏。在文件系統FAT32中稱為Recycled，圖標為回收站，屬性默認隱藏。

3.2? Windows XP回收站取證分析

在文件系統FAT32刪除的文件在Recycled文件夾中的命名格式為：D[文件原始隸屬盤符][索引號][原始擴展名]。同時在文件夾中會存在一個名為INFO2的二進制文件，用來記錄所有刪除文件的時間及路徑信息，需使用二進制查看器Winhex來進行分析。圖1中是INFO2中記錄刪除文件“111”的相關內容。

同時發現從0x120到0x127的八個字節存儲著被刪除文件的時間信息，通過Winhex的數據解釋器得到被刪除時間為“2018/03/2802：30：35”，換算為北京時間“2018/03/28 10：30：35”，與刪除文件的時間相匹配。

4? Windows 7及Windows 10回收站特性及取證分析

4.1? Windows 7回收站特性

Windows 7是微軟公司在2009年發布的操作系統，較Windows XP在界面及性能上都有極大的提升。與此同時，電子數據取證領域也面臨著重大變革，在回收站方面Windows 7與Windows XP相比也有較大的變化。在Windows 7系統中，在NFTS文件系統下的回收站是名為“$Recycle.Bin”屬性默認隱藏的文件夾。而在文件系統FAT32下，回收站文件夾是直接顯示為回收站圖標、屬性默認隱藏且名稱為“回收站”的文件夾。

4.2? Windows 7回收站取證分析

在$Recycle.Bin文件夾下刪除的文件不會以Windows XP的方式存儲[5]，而是在此目錄下所對應的SID子文件夾下自動生成了兩個開頭為“$R”和“$I”的文件，通過對比發現，“$R”和“$I”開頭的兩個文件后面的6個字符串是一樣的，并且在“.”后面是原文件的文件后綴。在Windows 7中，記錄回收站原文件信息的文件的命名應該是由三個部分組成：“$R”或者“$I”加上一個由數字和字母組成的6個隨機字符和原文件的文件后綴。具體如圖2所示。

開頭“$R”文件即所刪除文件，在實驗中使用Winhex打開“$I”開頭文件，在文件中偏移從0x08到0x0F的八個字節存放原文件的大小，分別是“0500000000000000”，按照“大端序和小端序”的讀法，應該讀為“0000000000 000005”，換算為十進制數為5字節，跟原文件大小一致。同時，在文件偏移0x10到0x17的八個字節存放原文件的刪除時間，分別是“F0 29 D4 64 6D 04 D5 01”，同上應該讀為“01 D5 04 6D 64 D4 29 F0”，通過Winhex的數據解釋器，可以讀取到時間為“2019/05/07 00：39：56”，由于得到的是格林尼治時間，所以需在原時間上加8個小時，得到時間為“2018/05/07 08：39：56”，跟刪除時間保持一致。得到了被刪除文件的原路徑、文件類型和文件名，如圖3，可以得知“$I”開頭的文件記錄著被刪除文件的原路徑、文件類型、刪除時間和文件名等信息。

對比Windows XP系統發現之前使用INFO2記錄多個被刪除文件的方式已經被徹底替代，取而代之的是通過重命名的兩個文件來存儲被刪除文件的內容及信息，因此在Windows 7系統下回收站可提取的數據量較Windows XP更多。

4.3? Windows 10回收站取證分析

經與Windows 7回收站取證進行對比分析，Windows 10在回收站設置方面并沒有進行更新，還是套用之前系統，即將刪除文件存儲為“$R”和“$I”開頭的兩種文件，其中前者負責存儲數據，后者負責存儲文件相關信息。因此針對Windows 10系統回收站的電子數據取證方面的操作完全可以套用Windows 7系統的方法進行。圖4為使用Winhex查看Windows 10回收站中以“$R”開頭文件的內容。

5? 結? 論

目前微軟系統已在家用機操作系統方面占據市場多年，對于微軟系統的電子數據取證意義極為重大，而回收站作為其中一個重要環節，了解常見微軟操作系統回收站的取證方法極為重要。本文的研究對象選取的是常見的微軟操作系統Windows XP、Windows 7和Windows 10，介紹了Windows回收站研究的原理和功能，分別對三個操作系統進行回收站特性方面的分析比較和電子數據取證方面的探索，尤其是在兩類完全不同的回收站存儲原理方面進行了分析和比對，并在二進制下分析回收站存儲文件的方式，旨在為電子數據取證工作提供可行的思路。

參考文獻：

[1] 鄧宇瓊.網絡犯罪證據的提取和固定 [J].中國人民公安大學學報，2003（3）：120-122.

[2] 劉景云.回收站使用技巧談 [J].電腦知識與技術（經驗技巧），2017（12）：39-41.

[3] SINDHU KK，KOMBADE R，GADGE R，et al. Forensic Investigation Processes for Cyber Crime and Cyber Space [M].New Delhi： Springer India，2014：193-206.

[4] VREEMAN D J，TAGGARD S L，RHINE M D，et al. Evidence for electronic health record systems in physical therapy.[J].Physical Therapy，2006，86（3）：434-46+9.

[5] 孫奕.Windows 7環境下電子取證特點分析 [J].信息網絡安全，2010（11）：43-45.

作者簡介：王志銘（1993-），男，漢族，山東濟南人，研究生在讀，研究方向：網絡安全執法技術。