技術(shù)領(lǐng)域

本發(fā)明涉及信息安全技術(shù)領(lǐng)域，特別涉及一種快速提取Windows中跳轉(zhuǎn)列表文件數(shù)據(jù)的方法。

背景技術(shù)

計(jì)算機(jī)犯罪使公眾蒙受重大的損失，而打擊計(jì)算機(jī)犯罪的關(guān)鍵是必須找到充分、可靠、有說服力的電子證據(jù)，因此，計(jì)算機(jī)和法學(xué)的交叉學(xué)科——計(jì)算機(jī)取證(computer forensics)受到越來越多的關(guān)注，甚至幾年成為FIRST(Forum of Incident Response Security Teams)安全年會(huì)的熱點(diǎn)。

計(jì)算機(jī)取證(Computer Forensics)也稱計(jì)算機(jī)法醫(yī)學(xué)，它是指運(yùn)用計(jì)算機(jī)辨析技術(shù)，對計(jì)算機(jī)犯罪行為進(jìn)行分析以確認(rèn)罪犯及計(jì)算機(jī)證據(jù)，并據(jù)此提起訴訟。也就是針對計(jì)算機(jī)入侵與犯罪，進(jìn)行證據(jù)獲取、保存、分析和出示。計(jì)算機(jī)證據(jù)指在計(jì)算機(jī)系統(tǒng)運(yùn)行過程中產(chǎn)生的以其記錄的內(nèi)容來證明案件事實(shí)的電磁記錄物。從技術(shù)上計(jì)算機(jī)取證是一個(gè)對受侵計(jì)算機(jī)系統(tǒng)進(jìn)行掃描和破解，以對入侵事件進(jìn)行重建的過程。

為調(diào)查計(jì)算機(jī)犯罪提供徹底、有效和安全的技術(shù)，關(guān)鍵是確保證據(jù)的真實(shí)性、完整性、可靠性和合乎法律規(guī)定。

在windows操作系統(tǒng)中，為了方便用戶快速打開最近打開過的文檔，系統(tǒng)會(huì)記錄下用戶打開過的文件以及這些文件的基本信息，在Windows7中引入了跳轉(zhuǎn)列表(以下簡稱jumplist)文件類型來記錄最近打開的文件，文件可能是文字處理器最近訪問的文檔、圖像編輯器或其他最近使用的項(xiàng)目的圖像文件。這些記錄Windows系統(tǒng)中文件被打開信息的jumplist文件，在電子數(shù)據(jù)取證中有著極為重要的作用。

發(fā)明內(nèi)容

本發(fā)明針對現(xiàn)有技術(shù)的缺陷，提供了一種快速提取Windows中跳轉(zhuǎn)列表文件數(shù)據(jù)的方法，能有效的解決上述現(xiàn)有技術(shù)存在的問題。

一種快速提取Windows中跳轉(zhuǎn)列表文件數(shù)據(jù)的方法，包括以下步驟：

S1：加載并讀取jumplist文件內(nèi)容，判斷是否符合jumplist文件的數(shù)據(jù)結(jié)構(gòu)，若符合數(shù)據(jù)結(jié)構(gòu)，則表示文件符合jumplist文件的結(jié)構(gòu)，跳轉(zhuǎn)至S3，否則結(jié)束；

S2：使用解析復(fù)合文檔結(jié)構(gòu)的方法，提取jumplist文件包含的子對象文件內(nèi)容，并生成對應(yīng)的子文件；

S3：解析DestList文件的結(jié)構(gòu)；

S4：根據(jù)S3中解析的數(shù)據(jù)內(nèi)容的結(jié)果提取jumplist文件中記錄的最近打開文件的信息；

其中S3包含以下詳細(xì)步驟：

S31：根據(jù)S1中解壓的數(shù)據(jù)，遍歷查詢DestList子對象文件，并讀取DestList子對象文件數(shù)據(jù)內(nèi)容；

S32：根據(jù)DestList子對象文件結(jié)構(gòu)以及下列標(biāo)準(zhǔn)判斷是否據(jù)是否符合DestList子對象文件的結(jié)構(gòu)：

標(biāo)準(zhǔn)1：DestList子對象文件的相對文件起始偏移0x0～0x03的值固定為0x01000000；

標(biāo)準(zhǔn)2：DestList子對象文件相對文件起始偏移0x04～0x07記錄的值等于S2步驟的標(biāo)準(zhǔn)2中的n值；

同時(shí)滿足上述描述的數(shù)據(jù)結(jié)構(gòu)才符合DestList子對象文件結(jié)構(gòu)；執(zhí)行S33，若不滿足則結(jié)束；

S33：根據(jù)S3中描述的DestList子對象文件結(jié)構(gòu)解析該文件中記錄的最近打開文件的計(jì)算機(jī)名、最近打開文件的絕對路徑信息；再依據(jù)S3中描述的結(jié)構(gòu)，讀取每一項(xiàng)記錄數(shù)據(jù)中對應(yīng)的映射文件；

S34：記錄S33中解析到記錄最近打開文件的計(jì)算機(jī)名、最近打開文件的絕對路徑、最近打開文件的創(chuàng)建時(shí)間、最近打開文件的修改時(shí)間、最近打開文件的最后一次訪問時(shí)間等信息。

作為優(yōu)選，S1中判斷是否符合jumplist文件的數(shù)據(jù)結(jié)構(gòu)需要兩個(gè)標(biāo)準(zhǔn)：標(biāo)準(zhǔn)1文件起始地址寫有特征標(biāo)記，且標(biāo)記字節(jié)為0xD0CF11E0A1B11AE1；

標(biāo)準(zhǔn)2：數(shù)據(jù)內(nèi)容符合復(fù)合文檔的結(jié)構(gòu)，并完整的包含所有子對象中必有DestList。

與現(xiàn)有技術(shù)相比本發(fā)明的優(yōu)點(diǎn)在于：完整解析jumplist文件數(shù)據(jù)中包含的全部內(nèi)容；快速提取jumplist文件中有效數(shù)據(jù)，幫助個(gè)人、企業(yè)、公安機(jī)關(guān)恢復(fù)出有效數(shù)據(jù)。

附圖說明

圖1為本發(fā)明實(shí)施例的主流程圖；

圖2為本發(fā)明實(shí)施例中步驟S3的流程圖；

圖3為本發(fā)明實(shí)施例中DestList文件的結(jié)構(gòu)示意圖；

圖4為本發(fā)明實(shí)施例中記錄數(shù)據(jù)結(jié)構(gòu)示意圖。

具體實(shí)施方式

為使本發(fā)明的目的：技術(shù)方案及優(yōu)點(diǎn)更加清楚明白，以下舉實(shí)施例，對本發(fā)明做進(jìn)一步詳細(xì)說明。