[发明专利]一种恢复并解析Windows操作系统预读文件的方法

说明书

本发明公开了一种恢复并解析Windows操作系统预读文件的方法，所述方法包括以下步骤：S1：获取所述Windows操作系统预读文件；S2：解析所述Windows操作系统预读文件，包括应用程序名称、应用程序存放路径、应用程序最后运行时间、应用程序运行次数；S3：根据解析结果，提取所述应用程序名称、所述应用程序存放路径、所述应用程序最后运行时间、所述应用程序运行次数，本发明解决了现有技术中不能恢复预读文件、未公开解析预读文件的具体方法和步骤以及未公开预读文件的底层数据格式的问题。

技术领域

本发明属于数据恢复和计算机取证领域，涉及事实取证中的使用痕迹调查，尤其涉及一种恢复并解析Windows操作系统预读文件的方法。

背景技术

计算机取证是包括计算机取证技术、计算机鉴识、计算机法医学等运用计算机辨析技术，对计算机犯罪行为进行分析以确认所需的计算机证据，并将犯罪者留在计算机中的痕迹作为有效的诉讼证据提供给法庭，以便对犯罪嫌疑人提起诉讼并据此将罪犯绳之以法的有效工具。同时，也是针对计算机入侵与犯罪，进行证据获取、保存、分析和出示的过程。计算机证据指在计算机系统运行过程中产生的以其记录的内容来证明案件事实的电磁记录物，可理解为从计算机上提取证据，即：获取、保存、分析、出示、提供的证据。

由于对计算机取证的分类十分复杂，往往难以按一定的标准进行合理分类。通常情况下根据取得的证据的用途不同进行分类，通常可以分为两类不同性质的取证：一类是来源取证，一类是事实取证。

所谓来源取证，指的是取证的目的主要是确定犯罪嫌疑人或者证据的来源。例如在网络犯罪侦查中，为了确定犯罪嫌疑人，可能需要找到犯罪嫌疑人犯罪时使用的机器的IP地址，则寻找IP地址便是来源取证。

事实取证指的是取证不是查明犯罪嫌疑人，而是取得与案件相关事实的证据。在事实取证中常见的取证方法有文件内容调查、使用痕迹调查、软件功能分析、软件相似性分析、日志文件分析、网络状态分析、网络数据包分析等。

使用痕迹调查包括Windows运行的痕迹，包括运行栏历史记录、搜索栏历史记录、打开/保存文件记录、临时文件夹、最近访问的文件等使用文件与程序调查、上网记录的调查、Office、RealPlay和MediaPlay的播放列表及其它应用软件使用历史记录。

在Windows运行的痕迹中，最近访问的程序调查痕迹就存储于预读文件中，在预读文件中存储有应用程序名称、应用程序存放路径、应用程序最后运行时间、应用程序运行次数等信息。在现有技术中，虽然涉及到提取和分析预读文件的相关文献和软件，但未涉及如何恢复被删除的预读文件，也未公开解析预读文件的具体方法和步骤，同时，也未公开预读文件的底层数据格式。

发明内容

本发明针对现有技术的不足和上述问题，提出一种恢复并解析Windows操作系统预读文件的方法，通过解析预读文件的底层数据，能够提取预读文件中保存的应用程序名称、应用程序存放路径、应用程序最后运行时间、应用程序运行次数，解决了现有技术中不能恢复预读文件、未公开解析预读文件的具体方法和步骤以及未公开预读文件的底层数据格式的问题，所述方法包括以下步骤：

S1：获取所述Windows操作系统预读文件；

S2：解析所述Windows操作系统预读文件，包括应用程序名称、应用程序存放路径、应用程序最后运行时间、应用程序运行次数；

S3：根据解析结果，提取所述应用程序名称、所述应用程序存放路径、所述应用程序最后运行时间、所述应用程序运行次数。

作为优选，所述Windows操作系统预读文件后缀为pf且保存在％systemroot％\Prefetch目录中，所述Windows操作系统预读文件为二进制文件，用十六进制编辑器软件打开后显示为十六进制文件并用于解析。

作为优选，所述步骤S1包括以下步骤：