用事实说话 浅析网络犯罪如何取证

黑客通常在访问完肉鸡(傀儡机)后，首先要做的工作，是清除系统访问日志，国内的都喜欢用小榕的那个工具清除系统日志，一般我们浏览一些信息的时候，从“开始”菜单的“文档”菜单可查看到Windows 系统自动记录的最后使用的十五个文档，实际上，这个信息存放在C:Documents and SettingsDefault UserRecent中(Default User是Windows操作系统登陆的用户帐号，下同)，它还包括有文件链接和访问时间，检查此文件夹，可以了解最近计算机的使用情况。

不仅如此，从开始菜单，运行regedit ，从注册表中搜索recent ，将得到许多recent 记录。例如：

在HKCU Software Microsof t DevStdio 6. 0 Recent File List 有开发工具Visual Studio 的最近使用的程序文件和工程文件;

在HKCU Software Adobe Acrobat Reader 8. 0 AdobeViewer 有该软件最近阅读过的文件;

在HKCU Sof tware Microsof t Office 9. 0 Excel Recent Files 有Excel 最近打开的文档;

前述开始菜单的十五个文档也存放在HKCU Sof tware Microf t Windows CurrentVersion Explorer RecentDocs ，只不过文件名使用的是Unicode 编码;

在C:Documents and SettingsDefault User Local Settings History 中存有最近访问所留下的所有文件;

IE 访问历史在C:Documents and SettingsDefault User LocalSettings Temporary Internet Files ，记录了Internet 地址、标题和上次访问时间等;

在HKCU sof tware Microsof t Internet Explorer Type2dURLS 路径下可以看到上网的网址。

C:Documents and SettingsDefault User Favorites 是收藏夹，在作系统信息检查时，应当在资源管理器中设置“显示所有文件”，因为在默认情况下，系统文件夹设置成“隐藏”属性。通过这些操作就可以看到我们访问过的一些痕迹。