万方数据针对Windows7系统的计算机取证问题分析吴剑Windows7系统简介2注册表分析E—mail：kfyj@cccc．net．on摘要：最新的个人操作系统Windows7给用户提供了更稳定的系统性能和更安全的操作环境．但同时也对计算机取证工作带来新的问题j针对Windows7系统．从注册表分析、数据保护与破解、网络浏览和文档编辑等角度入手，分析了计算机取证涉及的多类问关键词：WindowswuJian∞epartmentsystem，Windowswords：Windows随着计算机和网络越来越多地应用到人们的工作和生活中，以计算机系统为犯罪目标和以计算机为作案]：具的各类新型犯罪活动持续上升而打击此类犯罪的关键是在计算机及其相关设备中找到充分、可靠和有说服力的电子证据，集计算机科学、刑事侦杏学和法学于一体的交叉学科——计算机取证正成为信息安全领域一个不可或缺的研究热点⋯。Windows在个人操作系统已经占有r绝对的优势地位，因此，针对这类操作系统的取证问题也引起了学者们的广泛关注。王中FAT32文件系统的数据恢复算法121；文献『31X,寸Vista系统的日志文件数据恢复技术进行了探讨；文献【4】针对Window2000／XP系统，对注册表信息挖掘、因特网使用分析、临时文件与缓存文件分析进行研究。随着微软最新个人操作系统Windows7的推出，越来越多的用户选择了Windows7无沦是在使用习惯还是安全设置j：均有一定的改进，这也给取证j1：作带来了一定影响．7系统的计算机取汪问题进行分析，着重介绍了注册表分7，共分为家庭基础版、家庭高级版、专业版、企业版和旗7具有系统运行快速、]一具栏简沽、桌面更加个性化、窗口缩放智能化、多媒体使用方便、支持触摸控制技术和安全机制更加完善等诸多优点。上市仅1年．Windows7已经拿下了25％的个人操作系统市场．xP的市场占有率正逐步下降i作为有史以来销售最快的操作系统，Windows7有望在未来l一2年成为个人操作系统主注册表是微软Windows系统巾统一集中管理系统硬件设施、软件配置等信息的庞大数据库。『}1于注册表蕴藏着大量的信息，使其成为获取潜7注册表的结构和存储方式XP)类似。通过“regedit”命令可以打开注册表编辑7注册表的逻辑结构．依然保留5个根键。其名称、缩写表1注册表根键的名称、缩写和描述基金项目：山东省自然科学基金项目(ZR201()FM042)；山东省高等学校科技计划项目(109LG62)；山东省济南市科技发展计划项目作者简介：吴剑(1978-)，男，讲师，博士，主要研究方向为网络信息安全、计算机取证t山东政法学院信息科学技术系，山东济南250014)题及其解决方法，能够更好地指导计算机取证工作、7：计算机取证：操作系统中图分类号：TP309文献标识码：A文章编号：1009—3044(2011)13—3154—03ComputerInfomaationLaw，ji’nan4，China)performance杉等人为解决i{‘算机取证巾删除文件的数据恢复问题，提⋯了一种基于Windows7。相对于用户早期使用的WindowsXP系统，Windows作为计算机取证人员应该熟悉这些变化及应对措施。、本文针对Windows析、数据保护及破解、网络浏览取证和文梢编辑等问题。12009年10月22只，微软公司发布了其最新的个人操作系统Windows舰版5个版本、相对于早期版本的Windows系统，Windows而Windows流产品在证据的重要来源，Windows注册表分析已经成为计算机取证的一个重要组成部分。7注册表的逻辑结构和物理存储方式和先前版本的Wir卜dows系统(如Windows器看到Windows收稿El期：2(】11一()3—283154计算机工程应用技术ISSN1009-3044KnowledgeandTechnology电脯知识‘i技术3．Ma)’20Ihttp：／／www．dnzs．net．enTel：+86—55l一56909635690964AnalysisofForensicsfor7ScienceTechnology，ShandongUniversityPolitical25001Abstract：Asthelatestindividualoperatingprovideswithmorestablesystemenvironment，butalsobringsnewproblemscomputerforensics．According7，thispaperanalysescom—puterforensicstheirsolutionsinvolvingregistryanalysis，dataprotectioncracked，n