【Windows 7“系统还原”功能】电子数据取证方法

原创作品，非经作者本人同意谢绝转载！

【摘要】传统电子数据取证技术难以还原数据文件中被修改过的内容的本来面目。Windows操作系统中内置的“系统还原”功能则提供了揭示文件背后所隐藏秘密的新途径。相较Windows XP，Windows 7“系统还原”功能更为全面深入，并采用了全新的文件结构。基于电子数据取证视角，说明Windows 7“系统还原”功能，着重分析该功能所涉及的具体文件（夹）的结构格式，结合实例阐述其在电子数据取证实践中的具体应用。

【关键词】Windows 7；电子数据取证；系统还原；SystemVolume Information；还原点

1.引言

Microsoft公司最早在WindowsMe中增加了“系统还原”功能，并且一直沿用到其后版本的Windows系列操作系统中。“系统还原”的目的是在不需要重新安装操作系统，也不会破坏数据文件的前提下使系统回到工作状态。系统还原程序通常在后台运行，并在触发器事件发生时自动创建还原点。触发器事件主要包括应用程序安装、操作系统自动更新、Microsoft备份应用程序恢复、未经签名的驱动程序安装以及手动创建还原点等。同时，默认情况下实用程序每天创建一次还原点。依次执行“开始”→“控制面板”→“系统和安全”→“系统”（或“计算机”→“属性”），便会弹出如图1所示的对话框窗口。通过该对话框，不仅将系统还原到之前所设置的还原点，还可以手工创建还原点。

图1 Windows 7“系统还原”对话框

 “系统还原”可以恢复注册表、本地配置文件、Windows 文件保护、高速缓存、Windows 管理工具，以及实用程序默认复制到“还原”存档中的文件，同时监视多种文件类型（例如：.cat、.com、.dll、.exe、.inf、.ini、.msi、.ole 和 .sys）。因此，“系统还原”可以被视为一个信息丰富的证据库，能够直接或间接地证明嫌疑人的犯罪行为，从而为涉计算机犯罪案件的取证工作提供有利帮助。

2.Windows7“系统还原”功能

2.1“系统还原”配置

点击图1中的“系统保护”，即可弹出如图2所示的选项卡界面。如要开启“系统还原”功能，首先需为系统还原分配所需的磁盘空间，选中C分区后，点击“配置(O)...”按钮，可以进行还原类型、空间大小等方面的设置；点击“创建(C)...”按钮便为启动系统保护的驱动器创建还原点；点击“系统还原(S)...”按钮则可实现还原点选择，并通过还原到特定还原点，达到撤销系统更改的目的。

图2 “系统保护”选项卡界面

在还原类型设置方面，有三种选项供选择：还原系统设置和以前版本的文件、仅还原以前版本的文件、关闭系统保护（图3）。如果用户选定的是前两种，侦查人员就有了针对“系统还原”进行取证挖掘的可能。在空间使用方面，可以通过滑动按钮调整用于系统保护的最大磁盘空间。如果不手工设置空间大小，则对于大于4G的分区，系统会默认将其大小设置为分区的12%；对于小于4G的分区，默认大小为400MB。并且当达到最大大小的75%时，系统就按先进先出原则，更新还原文件。

图3 还原类型与空间大小设置

2.2 System Volume Information 文件夹

与Windows XP相同，Windows 7也用System Volume Information文件夹实现“系统还原”功能，使用其存储还原点相关信息。该文件夹存放于C盘根目录下，是一个隐藏的系统文件夹（图4），需要在“工具”→“文件夹选项”→“查看”选项卡中勾除“隐藏受保护的操作系统文件”并勾选“显示所有文件和文件夹”方可显示。

图4 System Volume Information文件夹属性

若要正常访问System Volume Information文件夹内容，须在“属性”→“安全”→“编辑”选项卡中添加“Everyone”并勾选“完全控制和修改”，以获取打开文件夹的权限（图5）。

图5 设定SystemVolume Information文件夹访问权限

但Windows 7下的System Volume Information文件夹结构却与XP截然不同，摈弃了XP时代的_restore、RP#、snapshot等系统文件，不再单独描述特定文件的变化，而是利用整体文件（文件名称中含有GUID信息）的形式描述特定时间点的卷信息。并且，除了常规的还原点文件之外，该文件夹下还包含一名为“Syscache.hve”的注册表文件及其历史文件备份（图6）。

图6 Windows 7下的System Volume Information文件夹内容

2.3 典型操作对System VolumeInformation的影响

实验发现，执行设置还原点操作后，System VolumeInformation 文件夹会新增使用GUID格式命名的文件。图7所示即为使用Beyond Compare工具对比得出的操作前后文件夹内容异同，多出了名为{99fde749-9403-11e4-9a95-206a8a68d684}{3808876b-c176-4e48-b7ae-04046e6cc752}的文件。此类文件含有每一个还原点的恢复注册表、本地配置文件、COM+数据库、Windows 文件保护 (WFP) 高速缓存 (wfp.dll)、Windows 管理工具 (WMI) 数据库、Microsoft ⅡS 元数据，以及实用程序默认复制到“还原”存档中的文件等信息。

图7 新增还原点后System Volume Information文件夹的变化

应用软件安装则会直接影响Syscache.hve以及Syscache.hve.LOG1文件的修改时间变化（图8）。由此推测Syscache.hve与Syscache.hve.LOG1一类的文件负责保留软件安装类的注册表信息。另外，卸载程序操作同样会影响Syscache.hve、Syscache.hve.LOG1以及对应的还原点文件夹（内含驱动程序信息）的修改时间。

图8 安装应用软件后System Volume Information文件夹的变化

3.电子数据取证实例分析

3.1 还原被修改的数据

2015年4月，在某涉毒案件的电子数据取证过程中，取证人员在嫌疑人电脑主机中发现一可能存放有密码信息的文件夹，并在其内找到一名为“重要文件”的txt文档，其内容信息如图9所示。但使用密码“abcdef”尝试进入与嫌疑人关联的虚拟身份等帐户信息，均告失败。

图9 重要文件.txt文件内容

进一步分析发现嫌疑人电脑设置有系统还原点。由此选中“重要文件.txt”所在的文件夹，右键→“属性”→“还原以前的版本”，实现原有文件夹的还原。之后进入还原后的文件夹，即可获取得到“重要文件.txt”初始内容。利用文件中的密码信息，取证人员成功进入了嫌疑人的多个虚拟身份，获得了极具价值的线索与证据。同时，在还原后的文件夹中还发现了已被嫌疑人彻底删除并覆盖了的图片文件“Lighthouse.jpg”（图10）。

图10 通过还原点还原文件（夹）初始信息

3.2 恢复回收站数据

    在某涉知识产权案件的取证实践中，取证人员未在嫌疑人使用的电脑主机中寻找到与核心机密相关的数据文件，并且“回收站”已被嫌疑人清空，采用数据恢复技术也未发现任何有价值信息。鉴于嫌疑人曾经设置过还原点，取证人员决定利用“系统还原”功能进行深度挖掘。

图11 查询还原点并创建符号链接

首先以管理员身份运行命令“vssadmin list shadowstorage”，查询还原点信息。在如图11所示的结果中，系统存在一个还原点，其卷号为\?Volume{e59ff71d-4b6a-11e4-a5e2-806e6f6e6963}；接下来使用“mklink”命令为该还原点存储卷创建符号链接；之后便可通过新生成的符号链接文件夹访问被保护驱动器的原有信息。进入$RECYCLE.BIN（回收站）文件，发现了回收站被清空之前留存过的“汽车电控机密技术.zip”（图12）等数据文件，从而有力证明了嫌疑人的犯罪行为。

图12 还原点中的回收站数据信息

4.结束语

数据搜索要求对敏感内容有所了解，才能设定出精准高效的关键字；数据恢复则只能针对文件，对于完全或部分被覆盖的数据无法取得理想的取证效果。“系统还原”功能则很好的规避了传统技术的缺陷，为深度取证分析提供了可能。不足之处在于对还原点的设置时机有着较高要求，一旦不吻合就很难挖掘出有价值的线索或证据。另外，“系统还原”取证往往会破坏原始磁盘介质的完整性，因此实际操作时需要针对复制介质进行。文中对System Volume Information文件夹结构格式的分析还停留在较为粗浅的层面，也希望以此激发取证同行们的研究兴趣，携手赞襄电子数据取证事业。

基金项目：网络安全执法与公安技术信息化协同创新中心基金

参考文献

[1]Carvey H.Windows forensic analysis[M]. US:Syngress,2012:134-156.

[2]罗文华.基于Recent文件夹下的快捷方式文件解析用户行为方法研究[J].信息网络安全,2013(5):22-24.

[3]RussinovichMR, Solomon DA. Microsoft windows Internals:Windows Server 2008 and WindowsVista(5th ed)[M]. USA:Microsoft Press, 2009:246-266.

作者简介：罗文华，男，1977年生人，教授。2000年7月毕业于大连理工大学计算机科学与工程专业，获学士学位；2003年7月毕业于大连理工大学研究生院计算机应用专业，获硕士学位。目前任教于中国刑警学院网络犯罪侦查系电子物证教研室，主要研究方向为计算机犯罪侦查与电子数据取证。