一种usb设备使用记录恢复检查方法
【技术领域】
[0001] 本发明属于信息安全技术领域,主要涉及USB使用记录恢复,具体涉及操作系统 被格式化后如何对USB设备使用记录进行恢复的方法。
【背景技术】
[0002] 信息化的迅猛发展,在给人们带来巨大方便和利益的同时,也给保密工作提出严 峻挑战。在保密工作中,主机的安全管理在信息安全对抗和信息安全保密中越来越占据重 要地位。因而加强主机安全管理监督检查,通过管理手段提升安全防护能力成为安全防护 发展的趋势之一。然而,反保密检查手段和技术的使用给保密安全检查带来了新的挑战,用 户会快速格式化系统硬盘,清除使用记录,逃避检查。
[0003] 本发明将通过文件恢复功能对注册表文件进行恢复,然后解析恢复后的注册表文 件,读取注册表文件中的内容,从而恢复出用户的移动介质使用记录。这种技术现实操作中 可能存在的问题是注册表文件被覆盖而导致的注册表文件不能被完全恢复,从而导致不能 完全甚至不能(注册表文件不能读取、或者移动介质使用记录部分被覆盖)解析移动介质 的使用记录,本发明仅针对快速格式化情况下,注册表文件未被损坏的情况下进行恢复。
【发明内容】
[0004] 针对上述问题,本发明的目的在于提供一种操作系统安装的硬盘被快速格式化 后,对其USB设备使用记录进行恢复的方法。利用该方法,可以对操作系统中,尤其是USB 使用历史记录进行分析,可以避免部分人员通过对操作系统进行快速格式化而躲避保密检 查的行为,更大程度提高监管的粒度,加大检查的强度。
[0005] 根据以上目的,本发明采用的具体方案是:
[0006]一种USB设备使用记录恢复检查方法,其步骤包括:
[0007] 1)对格式化后的硬盘进行扫描,获取硬盘中注册表相关的SYSTEM文件;
[0008] 2)从SYSTEM文件中提取USB使用记录,并对其进行解析;
[0009] 3)对解析的USB使用记录进行验证,将其与系统日志中的USB使用记录进行比对, 若一致则记录,否则进入步骤4);
[0010] 4)分析并查找SYSTEM文件中被破坏或者缺失的部分,对其进行恢复。
[0011] 进一步地,步骤1)所述获取硬盘中注册表相关的SYSTEM文件,包括获取硬盘中的 SYSTEM文件,以及确认所需的SYSTEM文件。
[0012] 进一步地,步骤1)获取SYSTEM文件的方法是:
[0013]a)扫描磁盘头,解析包括磁盘格式、磁盘大小、磁盘分块在内的基本信息;
[0014]b)全面扫描磁盘文件,遇到名为SYSTEM的文件则对其路径进行重构,分析其是否 为所要查找的系统SYSTEM文件;
[0015]c)将找到的SYSTEM文件恢复到临时文件夹中,以备进一步分析。
[0016] 进一步地,步骤2)从SYSTEM文件中提取USB使用记录的方法是:对文件搜索关键 词"#USBSTOR#",直至遇到结束符'\0'为止,取出一条USB存储设备记录。
[0017] 进一步地,步骤2)对USB使用记录进行解析的方法是:通过对USB使用记录中关 键标识'&'或'#'进行分割,解析出该USB使用记录的设备名称、类型、序列号、首次安装日 期,并记录。
[0018] 进一步地,步骤3)所述与系统日志中的USB使用记录进行比对的方法是:通过 对系统日志中的USB使用记录进行解析,获取相关字段信息,之后与步骤2)解析获得的 SYSTEM文件中USB使用记录进行关键字段比对。
[0019] 进一步地,步骤4)使用机器学习的方法对USB使用记录进行恢复,从其他主机获 取的SYSTCM文件库中匹配最相似的其他SYSTCM文件,并用其中的部分数据替换本主机的 SYSTEM文件中的被破坏或者缺失部分的数据。
[0020] 进一步地,所述机器学习方法是:通过对大量样本信息采用K-means方法进行聚 类,之后将待学习的字段与聚类结果进行比较,选择较为接近的结果对被破坏或者缺失的 部分进行替换。
[0021] 本发明的优点在于,使用格式化或删除后的硬盘获取相关SYSTEM文件,对系统相 关信息进行恢复与检测,并从中提取USB使用记录信息;此外,使用系统文件记录信息与 USB日志记录信息相结合的方式,避免了单独使用系统文件进行恢复后获取信息不完全的 情况,提高了查找的粒度和完整性,极大的提高了系统综合性能。
【附图说明】
[0022] 图1为本发明的USB设备使用记录恢复检查方法的流程图;
[0023] 图2为本发明实施例的路径重构示意图;
[0024] 图3为本发明实施例的USB使用记录解析流程图;
[0025] 图4为本发明实施例的SYSTEM文件打开后示意图。
【具体实施方式】
[0026] 下面通过具体实施例和附图,对本发明做进一步说明。
[0027] 如图1所示,本发明为对删除或快速格式化系统硬盘中USB使用记录信息恢复的 方法。将被格式化后的硬盘其插入正常运行的主机中,并通过最大化文件恢复方法对硬盘 中注册表文件SYSTEM进行查找及恢复;通过对SYSTEM文件进行解析,获取USB设备相关使 用记录,并对记录进行验证与恢复。传统方式下如果SYSTEM文件被破坏,则无法进行读取。 本发明采用最大化恢复方法,即使部分SYSTEM文件被破坏,也能够在一定程度上进行数据 的解析。具体的实现步骤如下:
[0028] 1)利用注册表解析模块解析SYSTEM文件
[0029] 主要是获取硬盘中注册表相关的SYSTEM文件,并确认所需的SYSTEM文件。该步 骤通过对格式化后的硬盘进行扫描,遇到名为SYSTEM的文件则对其路径进行重构,若匹配 所需的SYSTEM路径,则存储进行分析。具体过程如下:
[0030]a)扫描磁盘头,解析磁盘格式(FAT32或是NTFS)、磁盘大小、磁盘分块等基本信 息,有效提高在全盘扫描过程中按照相应磁盘分块情况进行扫描的速度;
[0031]b)全面扫描磁盘文件,遇到名为SYSTEM的文件则对其路径进行重构,分析其是否 为所要查找的系统SYSTEM文件。图2所示是以NTFS格式硬盘下的路径重构的过程。其 中,从SYSTEM文件起,通过查找父MFT号逐层重构路径,最终确认路径\WIND0WS\system32\ config\SYSTEM。其中MFT是主文件表,标识这个卷上每一个文件的索引。
[0032]c)将找到的SYSTEM文件恢复到临时文件夹中,以备进一步分析。
[0033] 2)获取USB使用记录
[0034] 主要是对打开SYSTEM文件后通过划分关键字段找到USB使用记录,并对记录进行 解析,如图3所示。具体过程如下:
[0035]a)打开SYSTEM文件,如图4所示;
[0036]b)向下搜索"#USBST0R#"字串,若查找失败则结束退出;
[0037]c)从"#USB