2024年6月8日发(作者:)
Vista操作系统对计算机取证的影响
麦永浩 。史经伟 隆波
1.湖北警官学院 2.武汉大学计算机学院 3.新疆警官高等专科学校
摘 要:Windows Vista操作系统自2007年上市以来,开始占据市场,该系统在技术上的更新和变化对于计算机取证
有较大影响。本文介绍7Vista系统若干重要技术,且以BitLocker位加密技术为主导,探讨了它们对于计算机
取证的具体影响,以及相应的应对策略,突出传承与改变,旨在为进一步的Vista取证实施与研究打下基础。
关键词:Vista系统计算机取证BitLocker
BitLocker允许使用者采用以上方法的不同组合,通过
一
、
引言
一
种或两种方式进行认证:
微软在2007年正式发布Vista作为Windows XP的继承
1.TPM-Only
者,而后者曾经是世界上最为流行的操作系统。取证鉴定
仅使用TPM的BitLocker ̄13密方式是所有方式里最简单
的方法和技术本身很少变化,但是操作系统是计算机取证 的,因为它不需要用户的介入。这种方式可以抵御任何的
鉴定方法和技术的基础。每一次旧版本系统被新版本系统 软件攻击,但对于某些特定的硬件攻击还有待测试。
取代的时候,新系统都会采用一些新技术,变更某些取证
2.USB—Only
常用文件的位置,使得发现、挖掘和恢复数据的技术都需 在计算机没有TPM的情况下,用户可以选择USB驱动
要相应更新,Vista操作系统的出现也不例外,计算机取证
方式,每次开机的时候都需要}BUSB插入计算机中,使用
鉴定也必须作出相应变化。
之前已经存储到其中的密钥才能开机。这种方式能够抵御
Vista采用的与取证相关的技术有BitLocker, 硬件攻击,但对于预操作系统(pre—os)阶段的攻击、盗窃
EFS(Encrypting File System,加密文件系统),Backup
或丢失USB以及在所有者不知情的情况下复制其USB中密
and Restore(备份与转储),Shadow Copy(影子副本),
钥的行为无法防范。
Instant Search(1 ̄p时搜索),以及全新的日志系统设计等。 3.此外还有TPM+PIN或TPM+USB的组合方式,都是
下面就其中重要的几项技术进行介绍,侧重于它们可能给
取证鉴定带来的影响。
二、Vista系统特性对计算机取证的影响
(一)BitLocker
BitLocker-度被视为计算机取证的“终结者”,在
Vista系统中的出现是该功能首次出现在Windows系列的系
统中,但是仅在Ultimate和Enterprise版Vista上可用。
BitLocker采用AES算法,能为硬盘上的某一个卷或全盘的
数据提供加密以及认证服务。该功能需要手动开启,默认
使用可信平台模块(TPM)——一种安装在许多新型电脑之
上的芯片,能够提供加密/解密以及计算机启动前的完整性
检查;没有TPM的计算机可以通过“密钥”锁住用户数
据,例如在u盘中保存BitLocker生成的以.bek为后缀的文
件,计算机在每次启动时都要读入该文件进行认证。加密
之后的硬盘分区名称以“FVE—FS”开头。
Police Technology 2012年第1期51
醛
文件,才能提取密钥。该公司最新公布的Passware Kit
称、位置等都发生了变化,下表是XP系统与Vista系统常用
文件、文件夹位置的对比表,加“ ’号的项使用了符号链
接,会在下--/J\节解释。另外,用户主目录下还出现了
XP中没有的文件夹,例如Download文件夹用来存放默认
下载的文件,Contacts文件夹存放用户的联系人,Links文
件夹存放lE收藏夹,Searches存放用户保存的搜索记录。
表1 Windows XP与Vista常见文件、文件夹位置对比
Windows XP
 ̄Documents and Settings
Vista
sers
XUsers\<user>
sers\<user> ̄AppData ocal
Forensic为1 1.1版本,声称能在计算机待机的情况下通过
提取“hiberfil sys”(系统休眠时自动产生的文件)中的相
关内容解密,但对于关机的情况则只能暴力破解。
来自德国的研究机构Fraunhofer旗下的安全咨询技术部
门Fraunhofer SIT也指出BitLocker存在安全漏洞,称攻击者
可以透过另一个模拟PIN码要求的其他程序来取代启动
BitLocker时的执行程序,因而可以在第二次重新启动时取得
使用者所输入的PIN码并由此解开加密分区,从而绕过这一
安全机制。但微软方面认为,如果使用者遵循BitLocker的
 ̄Documents and Settings\<user>
q3ocuments and Settings\<user>
 ̄
ocal Settings*
_
最佳实施指南,这种事便不会发生,这种攻击对于在真实世
界中使用BitLocker的用户而言风险相对较低。
另一个在计算机取证中很可能用到的解密Vista
BitLocker的工具是EnCase。该工具的Encase Decryption
\DOcumenfS and Settings\<user>
\Start Menu
 ̄ocuments and Settings\<user>
\Cookies
 ̄Documents and Settings\<user>
ecent
 ̄Documents and Settings\<user>
\Templates*
q3ocuments and Settings\<user>\
Application D
ata
ppDal oamIn州icros0
WVInd0ws\Slan Menu
ppDat oaming lcrOso代
\Windows\Cookies ̄.ow
ppDafa 0amIng }crOs
\Windows ̄ecent
ppDaf oamln Icros0什
\WindowsTemplates
\U
sers\<user> ppDaIa Oaming
Suite(EDS)模块能够通过导入的恢复密钥或键入的恢复
密码解密使用BitLocker ̄l密的设备,仅需要用该工具加载
加密卷,按照自动出现的解密提示进行导入或键入的操作
qDocuments and Settings
 ̄Local Settings ̄History
\Temporary Internet Fiels
sers\<user>\AppDataXl_ocal
icrOs0f ndOw州lslOrv
\Windows\Temporary Intemet Files
XUsers\<user> ocuments
即可。恢复密钥和恢复密码都是在BitLocker初始化之时必
选其一或都选择生成的文件,恢复密钥一般存储于USB
设备中,用于在正常模式下无法启动时,恢复系统数据,
恢复密码一般被打印出来或存储在USB设备中,是需要用
户手动输入的一组加密字符串,与恢复密钥功能类似。
EDS把Visca BitLocker取证成功与否的压力,转嫁到能否顺
 ̄)ocuments and Settings ̄Local Settings \User 、<user ADDDa1 LJ3caN lcr。s
q3ocuments and Settings\<user>\
My Documents
 ̄Documents and Settings\<user>
Wly Pictures
 ̄Documents and Settings\<user>
'4vly Music
q3ocuments and Settings\<user>
kMy Videos
thumbs db
\Users\<user> ictures
\Users\<user> ̄usic
\Users\<user>\Videos
\Users\<user> ̄AppData
kLocaNVlicroso ̄WindowskExplorer
利获得恢复密钥或恢复密码上。
通过对上面若干破解Vista BitLocker工具的分析,可以
 ̄ecycled or ̄ecycler \¥Recycle Bin
发现,目前对于BitLocker的数据解密,仍然建立在密钥可
找回(或拼接找回)的基础上,目前的技术手段,对于处在
(三)符号链接
在Vista ̄u有些特殊的目录,例如“C:'Oocuments and
Settings”或者“C se『、 users”或者“C: ̄ser\<user>
关机状态的计算机,且无法找到恢复密钥或恢复密码的情
况,尚无很好的解决办法。
cal Settings”等目录,这些目录默认状态下是隐藏的,
当您打开隐藏文件查看后,可以看到这些带着一个快捷方
式的图标,它们在Windows XP下都是存在的,但在
硬件解决方案中,有几款支持分布式密码破解或基于
GPU计算技术等的高速密码破解平台,如Ax—Cracker,声
称能够完成对BitLocker ̄密硬盘的解密,结论尚待考证。
Vista下尝试点击时,系统会提示拒绝访问。其实这些目录
在Vista中已经不存在了,之所以还存在一个“快捷方
式”,是为了保持操作、应用程序的向后兼容性,以便于
之前的应用程序在Vista上仍然能够找到原来的目录,而其
实这些快捷方式已经指向到了Vista中新的目录。这种“快
捷方式”就是Vista新型的NTFS符号链接(symbolic links,
简写为symlinks,也称soft links)技术。
Vista中可以给文件或者目录创建符号链接,但
此外,BitLocker技术对于硬件成本有较高的要求,硬
盘上必须至少有两个活动分区,除了系统盘外,额外的活动
分区必须保持未加密状态,且必须是NTFS文件系统,同时
可用空间不能少于1.5GB,要求计算机采用TPM模块等;
BitLocker手动加密的操作较为复杂,不易使用也阻碍了其推
广普及;用户对现有成熟操作系统的认同和习惯、对新技术
不关心等社会因素同样导致了BitLocker ̄'[氏的使用率。
(二)常用文件变更
symlinks ̄直接指向数据,它包含绝对路径或相对路径,路
径是文本字符串,操作系统使用它辨别、指向目标文件系统
Vista系统中,一些取证鉴定中常用文件、文件夹的名
52匿 圜2012年第1期
的对象。Symlinks对用户来说是透明的,当用户或应用程序
为.evt)。文件包括一个较小的文件头和一系列的数据块,
试图打开、访问或者写回一个符号链接的时候,会表现为直
每个数据块又包含整数条的事件记录。
接对目标对象进行操作。默认情况下,Vista的symlinks. ̄ Vista系统使用全新的事件日志系统,是为了减少记录
用户创建文件系统对象的symlinks,symlinks是一个独立文
所占存储空间和读写所用的处理器时间。但XML并不能满
件。其存在并不依赖于目标文件。如果删除一个符号链接,
足这些要求,它需要占用大量的CPU和内存资源来分析文
它指向的目标文件不受影响。如果目标文件被移动、重命名 件格式,并且有许多冗余,会占用较多的硬盘空间。微软
或者删除,任何指向它的符号链接仍然存在,但是它们将会 的做法是采用一种专有的二进制×ML编码方式将事件消息
指向一个不复存在的文件。这种情况有时被称为被遗弃
从文本形式转换成二进制形式,这个转换有效地减少了占
(broken、orphaned、dead或dangling)。表1中标“ ’的
用的存储空间和处理器时间。相对于XP系统下日志文件格
位置。就是使用了symlinks技术的目录。
式和内容较为清晰的分析,Vista下日志文件分析的工作还
(四)EFS
有待突破,而微软的相关文档也并不多,这些都给计算机
它与BitLocker功能相似,但是仅对特定文件夹进行加
取证鉴定工作带来了很大影响。
密,不是整块硬盘。从Windows NT时代开始,这一技术就
(八)元数据与可选数据流
开始出现了,如今Vista的Business、Ultimate和Enterprise
元数据(metadata)是用来描述文件有关信息的数据。
版本上可以实现。在Vista系统中,这一功能可以将密钥保
一
个众所周知的例子是word文档有各种各样很详细的描述
存在外置存储卡上。
信息,例如作者的名字、评论和版本历史信息(事实上,
破解EFS的方法有:通过访问Windows目录,攻击者可
这个特定的例子是很出名的,微软被迫开发帮助用户删除
以尝试字典攻击法快速获取用户的密码;页表中存在清晰的
相关信息的工具)。NTFS文件系统开始出现“文件流”的
明文;加密过程会产生文件的临时副本,虽然在过程完成之
概念,它允许用户在NTFS文件系统上的文件中添加更多额
后会被“删除”,但是使用硬盘分析工具仍能恢复出来。 外的信息。尽管这些可隐藏的信息在资源管理器中不可
(五)影子副本(Shadow Copy)
见,但对于取证鉴定人员来说,文件流是一个丰富的资源
是Vista的另一个特色功能,在Business、Ultimate ̄1] 库,极具调查价值。
Enterprise版本中可用,它可以自动存储并恢复工作过程中
可选数据流(Alternate Data Streams,ADS)是文件流
使用到文件的较早版本,且此功能默认开启。影子副本在
形式的一种,XP系统中没有提供本地的ADS查看工具,观
工作的时候只存储更改过的数据块,并非全部文件。该功
察文件大小时它们的大小也不包含在内,这就为数据隐藏
能给数据恢复增加了困难,但同时也是Vista取证鉴定的重
提供了非常有利的条件;Vista以及Windows7系统下可以
点之一。
使用dlr命令的“/r”选项显示ADS。有些恶意软件会使用
(六)事务型NTFS(Transactional NTFS)
ADS来隐藏程序代码,IE¥1]其它一些浏览器也会在从网络
T—NTFS是Vista采用的新型文件系统,提供数据的原子 上下载的文件中添加一个非常小的ADS,用于指示他们是
写。一个文件被修改并保存之后,该项技术并没有在原文件 从外来网站获得的,运行的时候可能不安全。如果将文件
中重写改动的部分,而是生成了一个改动后文件的拷贝。 从NTFS格式的硬盘复制到FAT格式的磁盘、附加到电子
T—NTFs把对文件的操作看作是一系列事务,只有操作进行
邮件、上传到网站,或者移动到任何其它不支持ADS的位
完之后事务才会写回硬盘,这使得写入过程中在遭遇错误或 置上时,只有主数据流会被保留下来,其它附加的信息将
系统崩溃的情况下能够避免破坏文件,保证其完整性。 被全部丢弃。因此,使用ADS来保存重要数据有局限性。
整体来看,T—NTFs从更高级别上保证了文件的完整 因此Vista系统的开发者选择将元数据附加到文件本身当
性。但同时也产生了大量数据修改的痕迹,这可能会为计
中,因此这也成为调查取证的重要内容之一,当然对
算机取证鉴定带来不少有价值信息。 ADS的分析始终都不能忽略。
(七)事件日志系统 (九)其他
Vista操作系统中的事件日志系统进行了全新的设计, Vista回收站的原理与XP回收站之间差异很大。在
该系统基于XML技术,默认存储目录是%systemroot%\
×P中,存放垃圾的是',Recycled or ̄qecycler文件夹,用来
system3 ̄winevNogs,扩展名.evtx(XP系统下日志扩展名
记录文件进出回收站活动的是INFO2文件,是当前回收站
Police Technology 201 2年第1期53
一-
中所有文件的日志文件,每条记录中包含记录号、驱动器
符、文件移到回收站的时间、文件大小、文件原始名称和
v1 l71中的“Data Carve”功能可以其查看缩略图文件。
另外,默认情况下,Vista系统每周执行一次磁盘碎片
完整路径,同时使用ASCII和Unicode编码。而在Vista中,
存放垃圾的是 ̄¥Recycle.Bin文件夹,INFO2文件也由众多
成对的记录文件取而代之。当一个文件被移动到回收站的
管理,显然,这会给数据恢复带来很大的影响。
三、总结
Vista操作系统增加或更新了很多技术特性,这些特性
迫使计算机取证面临新的挑战,需要计算机取证鉴定人员
时候,它被随机重命名为一个以“SR”开头的名字,扩展
名保持不变。同时产生的还有一个管理文件,其文件名以
“¥l”开头,其余部分与被删除文件的文件名相同,该文
件记载了被删除文件的原名和原路径。
Vista采用了深度防御的方法以限制应用程序对系统中
某些位置的写入,这被称为“安全模式”(Protected
Mode)。IE 7浏览器默认运行于安全模式下,该模式在系
统中设置了多个防御层,使用用户账号控制(User Account
Control,UAC)、强制完整性控制(Mandatory Integrity
Control,MIC) ̄I:I用户权限隔离(User Interface Privilege
Isolation,UIPI)技术保护数据。安全模式下,IE7保持低完
整度(1ow integriyt),任何想要添加到IE7的插件,如
toolbar、ActiveX等都将运行在lE的进程内,因此IE7及其
插件只能写到低完整度的文件夹里,标示为“Low”。安
全模式的出现使得IE7拥有两套存放cookies、history、以
及临时文件的文件夹。这些位置是:
Cache:\Users\<username> ̄ppData\Local\Microsoft\
Windows\Temporary InternetFiles\
\Users\<username> ̄,ppData\Local\Microsoft\
Windows\Temporary InternetFiles ̄ow
Cookies:\Users\<user>\AppData\Roaming\Mic rosoft
\Windows\Cookies
\Use rs\<user>XAppData\Roaming\Microsoft\
Windows\Cookies'Cow
History:\Users\<user> ppData\LJ0caN icrOs Vlndaws i
story\History.IE5\Users\<user>\AppData\Local\
Microsoft\Windows\History'l_ow'44istory.IE5
当用户使用“缩略图”方式浏览图片时,XP系统中会
在当前文件夹中自动生成thumbs.db文件用以备份,浏览
非图片库的文件夹时也会以图片方式显示文件夹中各种文
件的缩略图图标。thumbs.db是系统文件、隐藏文件,默
认情况下由计算机自动生成,使用thumbs.db专业查看工
具即可恢复已经删除的图片。Windows vista ̄u,微软取消
了“thumbs.db”文件,开始使用把缩略图数据库“thumb
cache
xxxx.db”文件集中保存于\Users\<user>AppData\
LocahMicrosoft\WindowsXF__xplorer文件夹中,使用FTK
54匿熏圈2012年第1期
利用新的思路、工具和手段,因此,我们要依据这些特
性,认真检查嫌疑人电脑的应用程序缓存、文件搜索记
录、经常执行的程序及快捷方式和垃圾箱等系统运行痕
迹:认真检查历史访问记录、cookie文件、收藏夹记录、
URL缓存记录等网络行为痕迹;认真检查最近打开/保存的
文档记录、应用程序最近选择的文件夹记录、资源管理器
访问记录等文档处理痕迹;并根据这些用户行为痕迹的每
一
环节,判读其电脑的相关证据,以保证计算机取证在纷
繁善变的技术环境中,不变其还原案件真相之宗。
基金项目:国家社会科学基金项目:计算机取证研究
(07BFX062)、2009年湖北省公安厅软科学项目:湖北网络舆情
管理与引导研究、2009年湖北省十一五教育规划项目
(2009B044)、湖北省教育厅人文社科项目(2fX39B330)、
2010湖北省法学会项目、2010年教育部人文社科青年基金项目
[1O" ̄JC82OI55]、2010湖北省法庭科学重点实验室开放基金项目、
湖北公安中心工作理论研究基金和湖北警官学院特别项目,
【1】Barrie Stewart.Forensic lmp ̄cafions ofWindows Vista.【A1 In:
John H.Riley Jr.a.Recycling in Visat田.Taylor&Francis
BloomsbuW.Joum ̄ofIXgit ̄Forensic Practice.Volume 3,Issue
1.2010:5—10.
【2】Windows Visat Forensic Quick Start[EB/OL]:w .rd1.gov
/downloads/documents/CE
_
FS Vista.doc,2007.
[3]Andrew Woodward.BitLocker-the end of di tal forensics?【A].
Originally published in the proce。dir of the 4th Australian
Digital Forensics Conference,Ediht.Cowan Unive ̄ty,Perth
WesternAustralia,December 4th 2006:3-9.
f4]Harlan Carvey著.王智慧,崔孝晨,陆道宏译.Windows取证分
析 q.北京:科学出版社.2009,01:2-25,86-162.
f5]Byron Hynes,Keys to Protecting Data with BitLocker Drive
Encryption【EB/OL]:http://technet.microsoft.com/en—
us/magazine/2007.06.bitlocker.aspx,2007,06.
Emil Pmtalinski,First commercialtooltO crackBitLocker arrives
(Updated)[EB/OL】.:http://arstechnica.com/microsoft/
news/2009/12/first-commercial-tool-cracks-bitlocker.ars,
2009,12.
f71 Jamie Morris,Notse On Vista Forensisc[EB/OL]:http://www.
Se ̄rityfocus.com/ptint/ifnocus/1889,2007,3.
『81麦永浩,徐云峰计算机取证技术研究初探.警察技术,2006.4
『91周刚,麦永浩,曹强,张鹏.云计算应用对计算机取证技术的
挑战和对策.警察技术,2011.2.
发布评论