[发明专利]一种USB设备使用记录恢复检查方法

说明书

本发明涉及一种USB设备使用记录恢复检查方法，在操作系统安装硬盘被快速格式化后，对其USB设备使用记录进行恢复。获取被格式化后的硬盘后，将其插入正常运行的主机中，通过对SYSTEM文件进行恢复，获取其USB使用记录信息；之后，通过与日志进行比对，判定信息的完整性，若一致则进行记录，否则进入恢复阶段；在恢复过程中，通过机器学习方法最大化进行使用记录恢复，恢复后再次进行验证，如果经过有效次恢复仍无法进行判定，则退出。利用该方法可以有效对格式化后操作系统相关USB使用历史记录进行恢复与分析，提高安全监管的力度。

技术领域

本发明属于信息安全技术领域，主要涉及USB使用记录恢复，具体涉及操作系统被格式化后如何对USB设备使用记录进行恢复的方法。

背景技术

信息化的迅猛发展，在给人们带来巨大方便和利益的同时，也给保密工作提出严峻挑战。在保密工作中，主机的安全管理在信息安全对抗和信息安全保密中越来越占据重要地位。因而加强主机安全管理监督检查，通过管理手段提升安全防护能力成为安全防护发展的趋势之一。然而，反保密检查手段和技术的使用给保密安全检查带来了新的挑战，用户会快速格式化系统硬盘，清除使用记录，逃避检查。

本发明将通过文件恢复功能对注册表文件进行恢复，然后解析恢复后的注册表文件，读取注册表文件中的内容，从而恢复出用户的移动介质使用记录。这种技术现实操作中可能存在的问题是注册表文件被覆盖而导致的注册表文件不能被完全恢复，从而导致不能完全甚至不能(注册表文件不能读取、或者移动介质使用记录部分被覆盖)解析移动介质的使用记录，本发明仅针对快速格式化情况下，注册表文件未被损坏的情况下进行恢复。

发明内容

针对上述问题，本发明的目的在于提供一种操作系统安装的硬盘被快速格式化后，对其USB设备使用记录进行恢复的方法。利用该方法，可以对操作系统中，尤其是USB使用历史记录进行分析，可以避免部分人员通过对操作系统进行快速格式化而躲避保密检查的行为，更大程度提高监管的力度，加大检查的强度。

根据以上目的，本发明采用的具体方案是：

一种USB设备使用记录恢复检查方法，其步骤包括：

1)对格式化后的硬盘进行扫描，获取硬盘中注册表相关的SYSTEM文件；

2)从SYSTEM文件中提取USB使用记录，并对其进行解析；

3)对解析的USB使用记录进行验证，将其与系统日志中的USB使用记录进行比对，若一致则记录，否则进入步骤4)；

4)分析并查找SYSTEM文件中被破坏或者缺失的部分，对其进行恢复。

进一步地，步骤1)所述获取硬盘中注册表相关的SYSTEM文件，包括获取硬盘中的SYSTEM文件，以及确认所需的SYSTEM文件。

进一步地，步骤1)获取SYSTEM文件的方法是：

a)扫描磁盘头，解析包括磁盘格式、磁盘大小、磁盘分块在内的基本信息；

b)全面扫描磁盘文件，遇到名为SYSTEM的文件则对其路径进行重构，分析其是否为所要查找的系统SYSTEM文件；

c)将找到的SYSTEM文件恢复到临时文件夹中，以备进一步分析。

进一步地，步骤2)从SYSTEM文件中提取USB使用记录的方法是：对文件搜索关键词“#USBSTOR#”，直至遇到结束符‘\0’为止，取出一条USB存储设备记录。

进一步地，步骤2)对USB使用记录进行解析的方法是：通过对USB使用记录中关键标识‘&’或‘#’进行分割，解析出该USB使用记录的设备名称、类型、序列号、首次安装日期，并记录。