电⼦数据取证技术应⽤--回收站取证.docVIP

回收站取证

【实验目的】

1)了解回收站取证的原理与方式

【实验原理】

1)被删除的信息往往包含着使用者的重要信息，对于被删除文件的恢复，一直是电子数据取证的重要部分。在Windows操作系统中，用户选择删除一个文件后，文件没有真正的删除，而是进入了回收站。通过分析回收站可以知道被删除文件的信息，包括原始路径、删除时间和文件大小，可以利用它随时恢复文件

2)回收站目录中，每个删除文件都会设立一个回收站记录文件，在本实验中，回收站位置为“C:\$Recycle.Bin\USERSID”。在NTFS文件系统中，回收站以SID（安全标识符）来区别不同用户的回收站信息

【实验环境】

WindowsServer2008

【实验步骤】

一、确定用户是否启用回收站

1.1右击回收站图标，在快捷菜单中选择“属性”，在“选定位置的设置”中，如果选中了“不将文件移到回收站中。移除文件后立即将其删除”则意味着删除文件不会保存在回收站中，若删除文件时使用“shift+delete”组合键同样不会保存删除文件到回收站中。如图1所示

图1

二、回收站文件分析

2.1WindowsServer2008操作系统会为每个被删除文件建立一个删除记录，通过分析每个删除记录，可以了解文件的原始信息。删除文件信息的保存位置为“C:\$Recycle.Bin\USERSID”。查看当前用户SID。如图2