一種恢復并解析Windows操作系統預讀文件的方法技術方案

本發明專利技術公開了一種恢復并解析Windows操作系統預讀文件的方法，所述方法包括以下步驟：S1：獲取所述Windows操作系統預讀文件；S2：解析所述Windows操作系統預讀文件，包括應用程序名稱、應用程序存放路徑、應用程序最后運行時間、應用程序運行次數；S3：根據解析結果，提取所述應用程序名稱、所述應用程序存放路徑、所述應用程序最后運行時間、所述應用程序運行次數，本發明專利技術解決了現有技術中不能恢復預讀文件、未公開解析預讀文件的具體方法和步驟以及未公開預讀文件的底層數據格式的問題。

A method of recovering and reading file parsing Windows operating system

The invention discloses a method for recovering and preread file parsing of the Windows operating system, the method comprises the following steps: S1, acquiring the Windows operating system to read documents; S2: analysis of the Windows operating system to read documents, including the application program stored procedure name, path, the last application run time, application running times; S3: according to the results of analysis, extract the application name, the application store path, the application at run time, the number of applications running, the invention solves the specific methods and steps in the prior art can not be restored, analytical documents read and unpublished documents read the underlying data format file not open the preview.

【技術實現步驟摘要】
一種恢復并解析Windows操作系統預讀文件的方法
本專利技術屬于數據恢復和計算機取證領域，涉及事實取證中的使用痕跡調查，尤其涉及一種恢復并解析Windows操作系統預讀文件的方法。
技術介紹
計算機取證是包括計算機取證技術、計算機鑒識、計算機法醫學等運用計算機辨析技術，對計算機犯罪行為進行分析以確認所需的計算機證據，并將犯罪者留在計算機中的痕跡作為有效的訴訟證據提供給法庭，以便對犯罪嫌疑人提起訴訟并據此將罪犯繩之以法的有效工具。同時，也是針對計算機入侵與犯罪，進行證據獲取、保存、分析和出示的過程。計算機證據指在計算機系統運行過程中產生的以其記錄的內容來證明案件事實的電磁記錄物，可理解為從計算機上提取證據，即：獲取、保存、分析、出示、提供的證據。由于對計算機取證的分類十分復雜，往往難以按一定的標準進行合理分類。通常情況下根據取得的證據的用途不同進行分類，通常可以分為兩類不同性質的取證：一類是來源取證，一類是事實取證。所謂來源取證，指的是取證的目的主要是確定犯罪嫌疑人或者證據的來源。例如在網絡犯罪偵查中，為了確定犯罪嫌疑人，可能需要找到犯罪嫌疑人犯罪時使用的機器的IP地址，則尋找IP地址便是來源取證。事實取證指的是取證不是查明犯罪嫌疑人，而是取得與案件相關事實的證據。在事實取證中常見的取證方法有文件內容調查、使用痕跡調查、軟件功能分析、軟件相似性分析、日志文件分析、網絡狀態分析、網絡數據包分析等。使用痕跡調查包括Windows運行的痕跡，包括運行欄歷史記錄、搜索欄歷史記錄、打開/保存文件記錄、臨時文件夾、最近訪問的文件等使用文件與程序調查、上網記錄的調查、Office、RealPlay和MediaPlay的播放列表及其它應用軟件使用歷史記錄。在Windows運行的痕跡中，最近訪問的程序調查痕跡就存儲于預讀文件中，在預讀文件中存儲有應用程序名稱、應用程序存放路徑、應用程序最后運行時間、應用程序運行次數等信息。在現有技術中，雖然涉及到提取和分析預讀文件的相關文獻和軟件，但未涉及如何恢復被刪除的預讀文件，也未公開解析預讀文件的具體方法和步驟，同時，也未公開預讀文件的底層數據格式。
技術實現思路
本專利技術針對現有技術的不足和上述問題，提出一種恢復并解析Windows操作系統預讀文件的方法，通過解析預讀文件的底層數據，能夠提取預讀文件中保存的應用程序名稱、應用程序存放路徑、應用程序最后運行時間、應用程序運行次數，解決了現有技術中不能恢復預讀文件、未公開解析預讀文件的具體方法和步驟以及未公開預讀文件的底層數據格式的問題，所述方法包括以下步驟：S1：獲取所述Windows操作系統預讀文件；S2：解析所述Windows操作系統預讀文件，包括應用程序名稱、應用程序存放路徑、應用程序最后運行時間、應用程序運行次數；S3：根據解析結果，提取所述應用程序名稱、所述應用程序存放路徑、所述應用程序最后運行時間、所述應用程序運行次數。作為優選，所述Windows操作系統預讀文件后綴為pf且保存在％systemroot％\Prefetch目錄中，所述Windows操作系統預讀文件為二進制文件，用十六進制編輯器軟件打開后顯示為十六進制文件并用于解析。作為優選，所述步驟S1包括以下步驟：S101：判斷所述Windows操作系統預讀文件是否被刪除，如果是，執行步驟S102，否則執行步驟S2；S102：以所述Windows操作系統預讀文件的文件頭為關鍵字，掃描存儲介質空閑區；S103：判斷是否查找到所匹配的所述文件頭，如果是，執行步驟S2，否則執行步驟S102；作為優選，所述步驟S2包括以下步驟：S201：查找并解析所述Windows操作系統預讀文件的文件頭和文件長度：所述Windows操作系統預讀文件前8個字節的內容為所述文件頭，所述文件長度以小端格式存儲在地址0x0000000C開始的連續4個字節中，所述文件長度是相對于文件起始地址0x00000000的偏移量；S202：查找并解析所述應用程序名稱：所述應用程序名稱以Unicode編碼的小端格式存儲在地址0x00000010開始的連續多個字節中，且以不少于連續2個全零字節作為結束符；S203：查找并解析路徑區：所述路徑區的起始地址以小端格式存儲在地址0x00000064開始的連續4個字節中；所述路徑區的偏移量是相對于所述路徑區的起始地址的偏移量，以小端格式存儲在地址0x00000068開始的連續4個字節中；所述路徑區的結束地址以小端格式存儲在地址0x0000006C開始的連續4個字節中，所述路徑區的路徑以Unicode編碼格式存儲；S204：查找并解析所述應用程序存放路徑：以所述路徑區的結束地址作為起始位置，向前查找所述應用程序名稱，再以所述應用程序名稱的起始地址作為起始位置，向前查找第一個路徑隔斷標識，所述路徑隔斷標識后2個字節的內容為路徑標識符，從所述路徑標識符起，向后至所述應用程序名稱截止，為所述應用程序存放路徑；所述應用程序存放路徑以Unicode編碼格式存儲；S205：查找并解析所述應用程序的運行時間：所述應用程序的最后運行時間以FILETIME時間格式存儲在地址0x00000080開始的連續8個字節中；S206：查找并解析所述應用程序的運行次數：所述應用程序的運行次數以小端格式存儲在地址0x00000098開始的連續4個字節中。與現有技術相比，本專利技術的有益效果是：能夠恢復Windows操作系統預讀文件，提供了一種解析預讀文件的具體方法和步驟以及提供了預讀文件的底層數據格式，為計算機取證提供了一種恢復及調查使用痕跡的方法。附圖說明圖1為本專利技術的主流程圖。圖2為本專利技術中獲取Windows操作系統預讀文件的處理流程圖。圖3為本專利技術中解析Windows操作系統預讀文件的處理流程圖。圖4為本專利技術中預讀文件包含的應用程序名稱、路徑區、最后運行時間、運行次數的數據結構圖。圖5為本專利技術中預讀文件包含的路徑區起始位置的數據結構圖。圖6為本專利技術中預讀文件包含的路徑區結束位置的數據結構圖。圖7為本專利技術中預讀文件包含的應用程序存放路徑的數據結構圖。具體實施方式下面結合附圖和實施例對本專利技術作進一步闡述。如圖1所示，一種恢復并解析Windows操作系統預讀文件的方法，包括以下步驟：S1：獲取Windows操作系統預讀文件：Windows操作系統預讀文件后綴為pf且保存在％systemroot％\Prefetch目錄下，即系統根目錄下的Prefetch文件夾；本實施例中，選用WindowsXP操作系統的預讀文件進行解析，而WindowsXP操作系統的系統根目錄是C:\Windows，因此，預讀文件以二進制方式存儲在C:\Windows\Prefetch路徑下；本實施例中，選用的預讀文件是WINWORD.EXE-CEA9B574.pf，用十六進制編輯器軟件打開后顯示為十六進制文件并用于解析；步驟S2包括如圖2所示的以下步驟：S101：判斷Windows操作系統預讀文件是否被刪除，如果是，執行步驟S102，否則執行步驟S2；S102：以Windows操作系統預讀文件的文件頭為關鍵字，掃描存儲介質空閑區；該實施例中，由于預讀文件以二進制方式存儲在C:\Windows\Prefetch路徑下，所以掃描C:\Wi本文檔來自技高網...

【技術保護點】
一種恢復并解析Windows操作系統預讀文件的方法，其特征在于包括以下步驟：S1：獲取所述Windows操作系統預讀文件；S2：解析所述Windows操作系統預讀文件，包括應用程序名稱、應用程序存放路徑、應用程序最后運行時間、應用程序運行次數；S3：根據解析結果，提取所述應用程序名稱、所述應用程序存放路徑、所述應用程序最后運行時間、所述應用程序運行次數。

【技術特征摘要】
1.一種恢復并解析Windows操作系統預讀文件的方法，其特征在于包括以下步驟：S1：獲取所述Windows操作系統預讀文件；S2：解析所述Windows操作系統預讀文件，包括應用程序名稱、應用程序存放路徑、應用程序最后運行時間、應用程序運行次數；S3：根據解析結果，提取所述應用程序名稱、所述應用程序存放路徑、所述應用程序最后運行時間、所述應用程序運行次數。2.根據權利要求1所述的一種恢復并解析Windows操作系統預讀文件的方法，其特征在于，所述Windows操作系統預讀文件后綴為pf且保存在％systemroot％\Prefetch目錄中，所述Windows操作系統預讀文件為二進制文件，用十六進制編輯器軟件打開后顯示為十六進制文件并用于解析。3.根據權利要求2所述的一種恢復并解析Windows操作系統預讀文件的方法，其特征在于，所述步驟S1中，獲取所述Windows操作系統預讀文件包括以下步驟：S101：判斷所述Windows操作系統預讀文件是否被刪除，如果是，執行步驟S102，否則執行步驟S2；S102：以所述Windows操作系統預讀文件的文件頭為關鍵字，掃描存儲介質空閑區；S103：判斷是否查找到所匹配的所述文件頭，如果是，執行步驟S2，否則執行步驟S102。4.根據權利要求3所述的一種恢復并解析Windows操作系統預讀文件的方法，其特征在于，所述步驟S2中，解析所述Windows操作系統預讀文件包括以下步驟：S201：查找并解析所述Windows操作系統預讀文件的文件頭和文件長度：所述Window...

【專利技術屬性】
技術研發人員：梁效寧，許超明，趙飛，李航，
申請(專利權)人：四川艾特贏泰智能科技有限責任公司，
類型：發明
國別省市：四川,51