▼
用户痕迹是用户在使用计算机、手机、平板计算机等设备时产生的电子数据记录,因此它与用户活动息息相关。
电子数据证据有生成证据、存储证据和混合证据之分,这是根据电子数据的身世来确定的。电子数据可以是人为生成、自动生成或者两者结合而生成的,用户痕迹数据也是这样。
人为生成的电子数据是以用户的主观意志创造、复制或者衍生出的新数据,是用户主动创造的痕迹,记录着用户当时的使用情景和状态。通常这些电子数据痕迹的产生是用户经常使用产生的,而且有查阅历史信息的需要,一般不会特意清除,如使用邮件客户端收发的邮件、通过下载工具下载的文档资料、选择自动保存的登录密码信息等。
自动生成的电子数据是操作系统或者应用系统自动生成的记录一定信息的数据不被用户的主观意志左右。但随着用户的计算机知识和反取证意识的提升,这些数据很可能会被清除或篡改。通常这些数据是从系统启动开始,在用户不经意间不断产生的,而且会在用户的使用过程中随时变化,如操作系统的开关机时间、USB设备的插拔记录、通过浏览器上网产生的缓存记录等。
两者结合生成的电子数据是结合了上述两种情形产生的,也是用户痕迹数据产生的主要方式之一。很多嫌疑人自认为聪明地修改或者清除一些痕迹数据,却不知道系统还会有其他的信息记录着他们的这一系列行为。例如,人为篡改系统时间留下的事件日志记录、Word文档打开时自动保存的临时文件等。人为、自动和两者结合方式产生的用户痕迹数据贯穿了使用计算机等设备的整个过程,也使第三方调查者能够通过这些痕迹数据对嫌疑人进行用户行为串联和分析,从而给还原案件的真相提供了可能。
用户痕迹电子数据具备电子数据的普遍特点:无形性、多样性、客观性、易破坏性、隐蔽性等。
由于痕迹产生于用户使用计算机等设备的过程,因此还具备记录用户操作历史行为轨迹、通信记录、密码信息等隐私数据的特点。
用户使用计算机、手机、平板电脑等设备都会产生用户痕迹。
用户在常规的文档类工作中会产生很多的痕迹数据,包括Link文件、Metadata(元数据)、Thumbnail(缩略图)、回收站、网络信息等。
1. Link文件
Link文件是指扩展名为.lnk的文件,一般叫作链接文件或快捷方式文件。.lnk是Windows系统默认的快捷方式的扩展名,如果“文件夹选项”下设置为“隐藏已知文件类型的扩展名”,那么正常情况下,.lnk是不显示的。
2. Metadata
元数据(Metadata)又称中介数据、诠释数据,也称为数据的数据。
Metadata名词起源于1969年,由Jack E·Myers提出。Metadata的基本定义出自OCLC与NCSA所主办的“Metadata Workshop”研讨会,它将Metadata定义为描述数据的数据(Data about Data),此后各种有关Metadata的定义纷纷出现。现存很多Metadata的定义,主要因使用情境而不同。如有关数据的数据、有关信息对象之结构的信息(Structured Information about an Information Object)、描述资源属性的数据(Data Describes Attributes of Resources)等。
我们可以在很多地方看到元数据的存储,网上下载的电影本身是一个视频文件数据。单击右键查看到的视频文件属性,如存储路径、码率、文件大小、导演、演员、制作单位等,就是视频文件的元数据。在地理空间信息中用于描述地理数据集的内容、质量、表示方式、空间参考、管理方式以及数据集的其他特征,也都是元数据。
图1 Word文档中的元数据
图片是一种特殊的文件形式,包含大量的元数据信息,图片中的元数据通常叫作可交换图形文件(EXIF,Exchangeable Image File),这个格式是专门为数码相机照片设定的。这个格式可以记录数字照片属性信息。
EXIF作为一种图像文件格式,它的数据存储与JPEG格式完全相同。实际上,EXIF格式就是在JPEG格式头部插入数码照片的信息,包括拍摄时的光圈、快门、白平衡、
ISO、焦距、日期时间等各种和拍摄条件,相机品牌、型号、色彩编码、拍摄时录制的声音,以及全球定位系统(GPS)、缩略图等信息。简单地说,EXIF=JPEG 拍摄参数。因此,可以利用任何能够查看JPEG文件的看图软件浏览EXIF格式的照片,但并不是所有的图形程序都能处理EXIF信息。通过分析EXIF中包含的GPS信息,更是成为诸多案件侦破的重要线索和摧毁不在场证明的利器。图2反映了一张图片EXIF中的GPS信息。
图2 图片EXIF中的GPS信息
元数据的存在,在法律界已经引起了非常大的争议,焦点在于:在案件诉讼期间是否应该提供元数据。在许多情况下,并不要求公诉方提供带有元数据的文件;如果此时辩方要求附加提供元数据,则在当前情况下,法官应要求公诉方补充证据否则不能要求诉讼开始。
3. Thumbnail
Thumbs.db是一个用于Microsoft Windows或Mac OS X缓存Windows Explorer缩略图的文件。Thumbs.db保存在每一个包含图片或照片的目录中,可缓存图像文件的格式包括jpeg、bmp、gif、tif、pdf以及htm。Thumbs.db文件是一个数据库文件,里面保存了这个目录下所有图像文件的缩略图(格式为jpeg)当以缩略图查看时(展示一幅图片或电影胶片),将会生成一个thumbs.db文件而且其体积随着文件夹中图片数量增加而增大。
Windows XP Media Center Edition也生成了一个Ehthumbs.db,保存了视频文件预览。Thumbs.db是Windows XP/2003为了提高文件夹在缩略图查看方式下的响应速度而对当前文件夹下的图像文件建立的缓存,这个文件本身并无大碍,因为本身是“系统文件 隐藏文件”,缺省时,为隐藏文件。
图3 缩略图的显示
4. 回收站
回收站是Windows文件系统中的重要区域,能够帮助调查人员在取证过程中调查已被删除的文件信息。回收站recycle.bin是一个隐藏的目录。
在Window NT/2000/XP/2003系统中,当用户删除一个文件时,它唯一的安全标识符(SID,Security Identifier)将被用于在目录“RECYCLER”中创建一个子目录,另外,这个路径的内部还有另一个隐藏的二进制文件“INFO2”,它用于映射回收站中的文件名与其实际的原始名称和路径。回收站的RECYCLER目录结构如图4所示。
图4 RECYCLER目录结构
5. 网络信息
随着互联网技术的发展,通过网络传输的信息种类越来越多,大致可以分为浏览器记录、邮件记录、即时通信记录、文件传输记录等。
浏览器类型随着发展也是五花八门,其中最具代表性的IE记录中含有Cookies收藏夹、缓存、搜索历史、历史记录等。
Cookies指的是存储在用户本地终端上的数据,服务器可以利用Cookies包含信息的任意性来筛选并经常性维护这些信息,以判断在HTTP传输中的状态。Cookies的一个重要应用是“购物车”之类的处理。用户可能会在一段时间、在同一家网站的不同页面中选择不同的商品,这些信息都会写入Cookies,以便在最后付款时提取信息。
历史记录中包含历史记录名称、URL、最后访问时间、访问者、映射文件。
▲- The end –
