计算机使用痕迹在计算机犯罪案中的应用解说.docx

南京森林警察学院侦查学论文题目：计算机使用痕迹在计算机犯罪案中的应用姓名：程涵专业：网络安全与执法班级：1301学号：201304080126计算机使用痕迹在计算机犯罪案中的应用引言随着计算机和网络技术的不断发展，计算机已经深入到我们的生活的每一个角落。作为一种先进的生产力工具，计算机对于人类社会的冲击，无论从广度还是从深度来说都是极其巨大的。但是，他在扩展我们社会生活领域的同时也产生了一种新形态的反正——计算机犯罪，其中包括网络黑客入侵，未经他人允许非法操作他人计算机等，计算机犯罪也是一种查证率极地的高技术犯罪，如何保证计算机安全和对非法操作计算机的取证保存和分析成立我们要迫切解决的问题，而通过计算机分析与取证系统提取有用信息是一种有效的手段，我这个研究方向正式为了解决这种需求而研究的。1整体研究方向利用C/C++技术实现计算机使用痕迹分析与取证，通过对操作系统提供的编程接口、注册表、系统日志等进行分析，基于静态的试点实现取证。我主要是通过查询注册表来实现的。注册表被称为Windows操作系统的核心，他实质上是一个庞大的数据库，存放了关于计算机硬件的全部配置信息、系统和应用软件的初始化信息，应用软件和文档文件的关联关系，硬件设备的说明以及各种状态信息和数据，包括Windows操作是不断应用的信息，例如：系统只的硬件、资源、硬件信息、分配正在使用的端口、每个用户的配置文件、计算机上安装的应用程序以及每个应用程序可以创建的文件类型等。由此可见注册表将在本论文观点的实现上发挥重要的作用。在本论点的实现上，主要使用到注册表下的“HKEY_CURRENT_USER”和“HKEY_LOCAL_MACHINE”两大项，通过查询注册表实现的功能有，Windows搜索记录以及U盘使用记录。另一小部分方向是通过查找特殊文件夹和操作系统编程接口来实现，例如最近研究的是查找特殊文件夹来实现，IE浏览器使用记录是通过Windows操作系统提供的编程接口实现的，本论文研究方向主要有上网浏览记录：Windows使用记录，常用软件记录，USB设备使用记录、办公软件使用记录五大方向。2系统的实现2.1上网浏览记录本操作方法可实现对上网记录的检测和取证，又分为IE浏览器使用记录和浏览器地址栏记录两个小方面。IE浏览器使用记录主要用到了取证大师的上网记录功能以及浏览器历史（Ctrl+H）浏览器地址记录模块主要是从Windows注册表中读取使用记录，该记录在注册表的“HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedUrls”键中。2.2 Windows使用记录本操作方法实现了对Windows使用记录的检测和取证，可分为系统痕迹、用户痕迹、上网记录、即时通讯、邮件分析、反取证软件、文件分析、下载工具和系统日志等。2.3常用软件使用记录本方法主要查找应用程序的使用痕迹，在控制面板——管理工具——事件查看器此方法可以明确的看到每个应用程序运行时的信息，这对于电子证据的查找和保存非常有用。2.4USB设备使用记录USB加载列表的注册表地址是：System\ControlSet#\Enum\USBSTOR，如下图：选择相应的子键即可查看设备具体属性信息，如卷标，ID等，通常情况下，这些信息都是唯一的，除非人为的更改USB介质的属性。网络上也有一些免费小程序，可以快速读取注册表中连接过的USB设备，以及连接时间信息，如USB Viewer等，如果有兴趣也可以下载试用。优盘的识别符查看方法是右键点击“磁盘管理”然后在查看对应优盘的属性。在属性中可以查看到该设备的硬件ID等所有相关信息：2.5系统最后关机时间：System\ControlSet#\Control\Windows\ShutdownTime2.6时区设置信息（中国大陆统一为北京时间UTC+0800）所以不是经常用到。2.7网络连接信息：SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\在右边键值窗口中显示该网络连接的详细属性，如ip，连接时间等。2.8在SOFTWARE中分析无线网络连接属性，时间SSID等分析路径：\SOFTWARE\ Microsoft\WZCSVC\Parameters\Interfaces虽然键值看起来也和之前介绍的UserAssit一样类似GUID并进行加密，但我们可以通过RV（RegistryViewer以下简称RV）来预览其内容。当然，这个注册表地址分析仅限WindowsXP系统，但在Win7系统中，无线网络的相关信息在注册表中的位置发生了变化，其中的内容在以往的参考资料中并未提及。Win7分析路径：SOFTWARE\Microsoft\Windows