【揭秘】打印机痕迹取证

admin 2024年12月4日11:32:13评论7 views字数 822阅读2分44秒阅读模式

来源:平航科技

【揭秘】打印机痕迹取证

打印机作为生产办公必备电子设备之一,现今在各类涉及经济、保密、安全、维稳等案/事件中,也成为了关键检材。

【揭秘】打印机痕迹取证

除了从打印机本身入手挖掘可能被存储的打印历史记录,在连接过目标打印机的终端计算机设备中,也会记录打印任务的痕迹数据。

01

电脑中留存的打印痕迹

以Windows电脑为例,我们在每次提交打印任务的时候,系统都会自动生成包括SPL文件、SHD文件以及TMP文件在内的三类主要数据文件。

这些文件分别存储着有关打印任务、打印目标内容相关的数据信息。

【揭秘】打印机痕迹取证

SPL文件

.spl文件是打印机驱动程序生成的打印任务文件,其中包含要打印的文档内容和打印机指令。当打印任务被发送到打印机时,通常会先被保存为.spl文件。

.spl文件中记录了完整的打印文件内容。

SHD文件

.shd文件是打印作业设置文件,其中包含打印作业的设置信息,例如打印机的名称、纸张大小、打印质量等。当打印任务被发送到打印机时,打印作业设置信息会被保存为.shd文件。

.shd文件中记录了打印提交人、打印提交时间以及打印文件的名称。

TMP文件

.tmp文件作为一个临时文件,主要用于存储打印过程中需要的中间数据。在打印任务被发送到打印机之前,会创建这些文件以确保数据的顺利传输。

通过取证软件的索引功能可以获取其真实格式并查看其中的内容。

02

打印痕迹深度解析

在打印任务结束后,电脑端打印痕迹数据就会被自动清除,但部分因打印失败而被终止的打印任务,其痕迹数据会留存在电脑端

【揭秘】打印机痕迹取证

为此,平航介质取证分析软件CS6100提供了满足针对电脑端留存以及被清除的历史打印痕迹数据的解析需求的全新解析能力。

支持对spl、shd、tmp文件实现自动恢复解析,获取关联打印任务的具体内容(包括文字、图片)、打印时间、文件名、打印机信息、机主信息等,深挖数据线索。

【揭秘】打印机痕迹取证

解析打印痕迹数据文件

【揭秘】打印机痕迹取证

恢复打印痕迹数据文件

【揭秘】打印机痕迹取证

“删不掉”的文件也能恢复数据

写给小白的操作系统入门科普

原文始发于微信公众号(电子物证):【揭秘】打印机痕迹取证

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年12月4日11:32:13
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【揭秘】打印机痕迹取证http://cn-sec.com/archives/3465247.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息