基于winfe的电子数据取证启动盘改进研究与实现

2023年12月1日发(作者：)

ＮｅｔｗｏｒｋａｎｄＩｎｆｏｒｍａｔｉｏｎＳｅｃｕｒｉｔｙ•

网络与信息安全

基于ＷｉｎＦＥ的电子数据取证启动盘改进研究与实现

∗

郑清安ꎬ黄云峰

(福建警察学院计算机与信息安全管理系ꎬ福建福州３５０００７)

摘 要:在某些特定场合无法拆机进行电子数据取证的情况下ꎬ取证启动盘是重要的取证工具ꎮ基于ＷｉｎｄｏｗｓＰＥ系统

的ＷｉｎＦＥ系统启动光盘能够支持运行基于Ｗｉｎｄｏｗｓ系统环境的取证工具软件ꎬ是常用的一种启动盘ꎮ但原生制作的

ＷｉｎＦＥ系统不支持图形用户界面ꎬ没有关键的写保护程序ꎬ光盘在使用上的可靠性、兼容性和可扩展性都不高ꎮ针对这

些问题ꎬ通过分析制作ＷｉｎＦＥ系统的核心原理ꎬ提出对ＷｉｎＦＥ系统进行优化ꎮ根据系统启动的引导机制ꎬ采用对Ｕ盘进

行分区的方法对启动盘进行改良ꎬ制作ＷｉｎＦＥ系统启动Ｕ盘ꎮ实验测试表明ꎬ改进后的ＷｉｎＦＥ系统启动Ｕ盘在保证司

法有效性的同时其可靠性、兼容性和可扩展性方面明显提高ꎬ具有一定的应用价值ꎮ

关键词:ＷｉｎＦＥꎻ电子数据ꎻ取证ꎻ启动盘ꎻＵ盘

中图分类号:ＴＰ３０９ 文献标识码:Ａ ＤＯＩ:１０.１９３５８/ｊ.ｉｓｓｎ.２０９６￣５１３３.２０１９.１１.００８

引用格式:郑清安ꎬ黄云峰.基于ＷｉｎＦＥ的电子数据取证启动盘改进研究与实现[Ｊ].信息技术与网络安全ꎬ２０１９ꎬ３８

(１１):４１￣４６.

Ｒｅｓｅａｒｃｈａｎｄｉｍｐｌｅｍｅｎｔａｔｉｏｎｏｆｅｌｅｃｔｒｏｎｉｃｄａｔａｆｏｒｅｎｓｉｃｓｂｏｏｔ

ｄｉｓｋｉｍｐｒｏｖｅｍｅｎｔｂａｓｅｄｏｎＷｉｎＦＥ

(ＣｏｍｐｕｔｅｒＳｃｉｅｎｃｅａｎｄＩｎｆｏｒｍａｔｉｏｎＳｅｃｕｒｉｔｙＭａｎａｇｅｍｅｎｔＤｅｐａｒｔｍｅｎｔꎬＦｕｊｉａｎＰｏｌｉｃｅＣｏｌｌｅｇｅꎬＦｕｚｈｏｕ３５０００７ꎬＣｈｉｎａ)

Ａｂｓｔｒａｃｔ:Ｉｎｓｏｍｅｃａｓｅｓꎬｉｆｔｈｅｅｌｅｃｔｒｏｎｉｃｄａｔａｆｏｒｅｎｓｉｃｓｃａｎｎｏｔｂｅｄｉｓａｓｓｅｍｂｌｅｄꎬｔｈｅｆｏｒｅｎｓｉｃｂｏｏｔｄｉｓｋｉｓａｎｉｍｐｏｒｔａｎｔｆｏｒｅｎｓｉｃｔｏｏｌ.Ｔｈｅ

ｍｅｎｔ.Ｉｔｉｓａｋｉｎｄｏｆｃｏｍｍｏｎｌｙｕｓｅｄｂｏｏｔｄｉｓｋ.ＨｏｗｅｖｅｒꎬｔｈｅｎａｔｉｖｅｌｙｐｒｏｄｕｃｅｄＷｉｎＦＥｓｙｓｔｅｍｄｏｅｓｎｏｔｓｕｐｐｏｒｔｔｈｅｇｒａｐｈｉｃａｌｕｓｅｒｉｎｔｅｒ￣

ｂｏｏｔｍｅｃｈａｎｉｓｍｏｆｔｈｅｓｙｓｔｅｍｓｔａｒｔｕｐꎬｔｈｅｂｏｏｔｄｉｓｋｉｓｉｍｐｒｏｖｅｄｂｙｐａｒｔｉｔｉｏｎｉｎｇｔｈｅＵｄｉｓｋꎬａｎｄｔｈｅＷｉｎＦＥｓｙｓｔｅｍｂｏｏｔＵｄｉｓｋｉｓｃｒｅａ￣

ｏｂｖｉｏｕｓｌｙｉｍｐｒｏｖｅｄꎬｗｈｉｌｅｅｎｓｕｒｉｎｇｊｕｄｉｃｉａｌｅｆｆｅｃｔｉｖｅｎｅｓｓ.Ｔｈｅｙｈａｖｅｃｅｒｔａｉｎａｐｐｌｉｃａｔｉｏｎｖａｌｕｅ.

Ｋｅｙｗｏｒｄｓ:ＷｉｎＦＥꎻｅｌｅｃｔｒｏｎｉｃｄａｔａꎻｆｏｒｅｎｓｉｃｓꎻｂｏｏｔｄｉｓｋꎻＵｄｉｓｋ

ＷｉｎＦＥｓｙｓｔｅｍｂｏｏｔＣＤｂａｓｅｄｏｎＷｉｎｄｏｗｓＰＥｓｙｓｔｅｍｃａｎｓｕｐｐｏｒｔｔｈｅｆｏｒｅｎｓｉｃｔｏｏｌｓｏｆｔｗａｒｅｒｕｎｎｉｎｇＷｉｎｄｏｗｓ￣ｂａｓｅｄｓｙｓｔｅｍｅｎｖｉｒｏｎ￣

ＺｈｅｎｇＱｉｎｇａｎꎬＨｕａｎｇＹｕｎｆｅｎｇ

ｆａｃｅ.Ｔｈｅｒｅｉｓｎｏｃｒｉｔｉｃａｌｗｒｉｔｅ￣ｐｒｏｔｅｃｔｐｒｏｇｒａｍ.Ｔｈｅｒｅｌｉａｂｉｌｉｔｙꎬｃｏｍｐａｔｉｂｉｌｉｔｙꎬａｎｄｓｃａｌａｂｉｌｉｔｙｏｆｔｈｅｄｉｓｃａｒｅｎｏｔｈｉｇｈ.Ｉｎｖｉｅｗｏｆｔｈｅｓｅ

ｐｒｏｂｌｅｍｓꎬｔｈｉｓｐａｐｅｒａｎａｌｙｚｅｓｔｈｅｃｏｒｅｐｒｉｎｃｉｐｌｅｏｆｍａｋｉｎｇＷｉｎＦＥｓｙｓｔｅｍａｎｄｐｒｏｐｏｓｅｓｔｏｏｐｔｉｍｉｚｅｔｈｅＷｉｎＦＥｓｙｓｔｅｍ.Ａｃｃｏｒｄｉｎｇｔｏｔｈｅ

ｔｅｄ.ＥｘｐｅｒｉｍｅｎｔａｌｔｅｓｔｓｓｈｏｗｔｈａｔｔｈｅｕｓａｂｉｌｉｔｙꎬｒｅｌｉａｂｉｌｉｔｙꎬｃｏｍｐａｔｉｂｉｌｉｔｙａｎｄｓｃａｌａｂｉｌｉｔｙｏｆｔｈｅｉｍｐｒｏｖｅｄＷｉｎＦＥｓｙｓｔｅｍｓｔａｒｔｅｄＵｄｉｓｋａｒｅ

０ 引言

增了一种证据种类“电子数据”ꎬ自此ꎬ电子数据作

为独立的一种证据种类可以在法庭上呈现

[１]

２０１２年３月１４日ꎬ最新修订的刑事诉讼法新

ꎮ为

的取证分析环节及电子证据的司法有效性ꎬ对电子

证据被采纳具有重要影响

[２]

ꎮ因此ꎬ对于前期电子

数据的获取固定研究具有重要意义ꎮ

目前ꎬ对于电子数据的获取固定常见方式有两

种:一种是直接对可拆机取出的物理磁盘使用硬盘

复制机或者只读锁配合磁盘镜像工具、综合取证软

件等专用设备来获取磁盘镜像副本ꎻ另一种是在无

法拆机或者使用硬盘复制机和只读锁无法获取数

据的情况下ꎬ通过取证专用的启动光盘、启动Ｕ盘

等软件来启动目标机器ꎬ获取目标存储介质中的数

４１

了保证取证所获取的电子数据的客观性、完整性、

合法性ꎬ取证人员在提取电子数据的过程中所采取

的方法手段恰当与否非常关键ꎬ它将直接影响后续

∗基金项目:福建省教育厅中青年科技项目课题(ＪＡＴ１６０５６０)ꎻ福建

警察学院院级科研课题(ＹＪ１６０５)

«信息技术与网络安全»２０１９年第３８卷第１１期