【利用Windows“系统还原”功能进行电子数据取证】

原创作品，非经作者本人同意谢绝转载！

【摘要】作为网络犯罪侦查中重要的证据与线索来源，用户行为信息在揭示犯罪分子操作细节方面发挥着重要作用。本文在说明Windows“系统还原”功能的基础上，着重分析该功能所涉及的具体文件（夹）的结构格式，说明其在电子数据取证工作中的具体应用。电子数据取证实践证明，所述方法准确高效。

【关键词】系统还原；System Volume Information；_restore文件夹；RP#文件夹；snapshot文件夹

1.引言

微软公司最早在Windows Me中增加了“系统还原”功能，并且一直沿用到其后版本的Windows系列操作系统中?！跋低郴乖钡哪康氖窃诓恍枰匦掳沧安僮飨低常膊换崞苹凳菸募那疤嵯率瓜低郴氐焦ぷ髯刺?。系统还原程序通常在后台运行，并在触发器事件发生时自动创建还原点。触发器事件主要包括应用程序安装、AutoUpdate安装、Microsoft备份应用程序恢复、未经签名的驱动程序安装以及手动创建还原点。同时，默认情况下实用程序每天创建一次还原点。依次执行“开始”→“程序”→“附件”→“系统工具”→“系统还原”，便会弹出如图1所示的对话框窗口。通过该对话框，不仅将系统还原到之前所设置的还原点，还可以手工创建还原点。

图1 “系统还原”对话框

 “系统还原”可以恢复注册表、本地配置文件、Windows 文件保护、高速缓存、Windows 管理工具，以及实用程序默认复制到“还原”存档中的文件，同时监视多种文件类型（例如：.cat、.com、.dll、.exe、.inf、.ini、.msi、.ole 和 .sys）。因此，“系统还原”可以被视为一个信息丰富的证据库，能够直接或间接地证明嫌疑人的犯罪行为，从而为网络攻击等方面的取证工作提供极大的帮助。

2.利用“系统还原”功能进行电子数据取证

2.1 System Volume Information 文件夹

Windows操作系统主要依靠SystemVolume Information（系统卷标信息）文件夹实现“系统还原”功能，用它存储相关信息及还原点。该文件夹是一个隐藏的系统文件夹（图2），需要在“工具”→“文件夹选项”→“查看”选项卡中勾除“隐藏受保护的操作系统文件”并勾选“显示所有文件和文件夹”。

图2 S“查看”选项卡设置

计算机上的每个分区上都可以拥有有一个 SystemVolume Information 文件夹。右键单击“我的电脑”（Win XP）或“计算机”（Win 7），在弹出“系统还原”选项卡中即可进行是否启用“系统还原”及分配空间（即SystemVolume Information文件夹）的大?。ㄍ?）。如果不手工设置该文件夹大小，则对于大于4G的分区，系统会默认将其大小设置为分区的12%；对于小于4G的分区，默认大小为400MB。并且当达到最大大小的75%时，系统就按先进先出原则，更新还原文件。

图3 SystemVolume Information文件夹大小设置

2.2 _restore文件夹

System Volume Information文件夹中包含有以字符串“_restore”开头的后接全局唯一标识符（GUID，Globally Unique Identifier）的文件夹。该文件夹包含有“RP#”字样的子文件夹（下节详述），同时还含有_filelist.cfg、_driver.cfg等文件。其中，_filelist.cfg是一种二进制文件，用来定义监视文件的类型（图3）；_driver.cfg则用来负责说明存储介质信息。

图4_restore文件夹内容

另外，“系统还原”所监视的文件类型还可以由\Windows\system32\Restore下的filelist.xml所决定。该文件中指定了需要管理的文件的扩展名，决定何种类型的文件需要系统进行监控，同样也包含被监控文件的存储路径。监控文件主要包括注册表、.exe,.dll,.ini，元文件等。需要指出的是，还原点并不监控各种日志文件（包括系统事件日志）。

图5 \Windows\system32\Restore下的filelist.xml文件

2.3 RP#文件夹

每个还原点都对应一个RP#（#代表数字序列号）文件夹。该文件夹下除包含有snapshot文件夹（下节详述）外，还包括系统还原操作所涉及的各类文件。从图6可以看出，当用户针对还原点监视的文件进行修改操作时，该文件即被添加至RP#文件夹下，但名称被更换为字母和数字组成的序号字符串，并且当有新文件添加时序号自动加1。

图6 RP#文件夹下内容

若要解析出序号文件与真实文件的对应关系，需要依靠同样保存在RP#文件夹下的change.log文件。从图7可以看出，与序号文件对应的文件原始名称及存放路径均保存在change.log文件中。因此，依据此文件可深入解析出用户的恶意操作行为。需要指出的是，当被用户更改的文件添加至RP#文件夹下时，创建时间、修改时间与访问时间等属性却保持不变。RP#文件夹的这种特殊性质为取证人员进一步挖掘时间信息提供了有利的线索。

图7 change.log文件内容

2.4 snapshot文件夹

snapshot文件夹主要包括还原点涉及的注册表巢文件，涉及SAM、SECURITY、SOFTWARE、SYSTEM、DEFAULT、NTUSER和USRCLASS等多重分支（图8）。依据注册表巢文件可以解析出硬件及软件安装、应用程序配置、密码修改、网络连接记录等变化情况。

图8 snapshot文件夹中的注册表巢文件

此处的巢文件无法使用Regedit一类的系统工具进行分析，需要利用注册表离线查看工具才能正常解析。图9所示即为将SYSTEM分支导入离线查看工具RegistryViewer后得到的结果，依据MountedDevices子键可分析得出移动存储设备的挂载情况。

图9 利用注册表离线查看工具解析巢文件

3.结束语

木马恶意程序通常喜欢将收集到的用户名及密码等私人信息隐藏在用户不容易注意到的位置?！跋低郴乖惫δ芩婕暗奈募杏捎谄湟厥粜?，并且往往占据较大的磁盘空间，因此成为多数木马程序的首选。因此，在检验_restore文件夹、RP#文件夹、snapshot文件夹等常规文件的同时，还应特别注重异常文件的分析。电子数据取证实践中，最重要的就是snapshot文件夹?；谄渲凶⒉岜沓参募娜≈?，可以解析出嫌疑人的深层操作行为。Windows7的“系统还原”同样使用System Volume Information文件夹，但其内部结构却发生了巨大变化，解析其具体格式，将其应用于电子数据取证实践将是笔者未来重点研究方向。