本發明涉及一種USB設備使用記錄恢復檢查方法，在操作系統安裝硬盤被快速格式化后，對其USB設備使用記錄進行恢復。獲取被格式化后的硬盤后，將其插入正常運行的主機中，通過對SYSTEM文件進行恢復，獲取其USB使用記錄信息；之后，通過與日志進行比對，判定信息的完整性，若一致則進行記錄，否則進入恢復階段；在恢復過程中，通過機器學習方法最大化進行使用記錄恢復，恢復后再次進行驗證，如果經過有效次恢復仍無法進行判定，則退出。利用該方法可以有效對格式化后操作系統相關USB使用歷史記錄進行恢復與分析，提高安全監管的力度。

技術領域

本發明屬于信息安全技術領域，主要涉及USB使用記錄恢復，具體涉及操作系統被格式化后如何對USB設備使用記錄進行恢復的方法。

背景技術

信息化的迅猛發展，在給人們帶來巨大方便和利益的同時，也給保密工作提出嚴峻挑戰。在保密工作中，主機的安全管理在信息安全對抗和信息安全保密中越來越占據重要地位。因而加強主機安全管理監督檢查，通過管理手段提升安全防護能力成為安全防護發展的趨勢之一。然而，反保密檢查手段和技術的使用給保密安全檢查帶來了新的挑戰，用戶會快速格式化系統硬盤，清除使用記錄，逃避檢查。

本發明將通過文件恢復功能對注冊表文件進行恢復，然后解析恢復后的注冊表文件，讀取注冊表文件中的內容，從而恢復出用戶的移動介質使用記錄。這種技術現實操作中可能存在的問題是注冊表文件被覆蓋而導致的注冊表文件不能被完全恢復，從而導致不能完全甚至不能(注冊表文件不能讀取、或者移動介質使用記錄部分被覆蓋)解析移動介質的使用記錄，本發明僅針對快速格式化情況下，注冊表文件未被損壞的情況下進行恢復。

發明內容

針對上述問題，本發明的目的在于提供一種操作系統安裝的硬盤被快速格式化后，對其USB設備使用記錄進行恢復的方法。利用該方法，可以對操作系統中，尤其是USB使用歷史記錄進行分析，可以避免部分人員通過對操作系統進行快速格式化而躲避保密檢查的行為，更大程度提高監管的力度，加大檢查的強度。

根據以上目的，本發明采用的具體方案是：

一種USB設備使用記錄恢復檢查方法，其步驟包括：

1)對格式化后的硬盤進行掃描，獲取硬盤中注冊表相關的SYSTEM文件；

2)從SYSTEM文件中提取USB使用記錄，并對其進行解析；

3)對解析的USB使用記錄進行驗證，將其與系統日志中的USB使用記錄進行比對，若一致則記錄，否則進入步驟4)；

4)分析并查找SYSTEM文件中被破壞或者缺失的部分，對其進行恢復。

進一步地，步驟1)所述獲取硬盤中注冊表相關的SYSTEM文件，包括獲取硬盤中的SYSTEM文件，以及確認所需的SYSTEM文件。

進一步地，步驟1)獲取SYSTEM文件的方法是：

a)掃描磁盤頭，解析包括磁盤格式、磁盤大小、磁盤分塊在內的基本信息；

b)全面掃描磁盤文件，遇到名為SYSTEM的文件則對其路徑進行重構，分析其是否為所要查找的系統SYSTEM文件；

c)將找到的SYSTEM文件恢復到臨時文件夾中，以備進一步分析。

進一步地，步驟2)從SYSTEM文件中提取USB使用記錄的方法是：對文件搜索關鍵詞“#USBSTOR#”，直至遇到結束符‘\0’為止，取出一條USB存儲設備記錄。

進一步地，步驟2)對USB使用記錄進行解析的方法是：通過對USB使用記錄中關鍵標識‘&’或‘#’進行分割，解析出該USB使用記錄的設備名稱、類型、序列號、首次安裝日期，并記錄。