浅议假脱机打印文件在侦查匿名信案件中的应用(定稿).doc

浅议假脱机打印文件在侦查匿名信案件中的应用摘 要：针对微机打印的匿名信案件取证难的问题，在分析假脱机打印文件的基础上，提出了利用假脱机打印文件获取打印内容的取证方法，并给出取证过程中应注意的问题。实践证明，该方法在侦破微机打印的匿名信案件中具有较高的实用价值。关键字：匿名信案件；假脱机打印文件；取证方法；注意问题近年来，匿名信案件在许多单位时有发生，作案人为了隐藏自己，逃避打击，多采用微机编辑、打印匿名信，而后将相关的电子文档通过“文档粉碎”工具进行数据销毁处理的方式实施。由于作案人在其作案过程中采用多种方式进行伪装和相关痕迹销毁处理，如果没有直接证据，案件侦查很难有所突破。本文根据匿名信常常采用微机打印的特点，提出了利用假脱机打印文件还原打印内容的方法来侦破匿名信案件，并给出了在实际应用中注意的问题。1 假脱机打印文件及其特性1.1 假脱机打印文件的形成过程假脱机打印文件是在打印机打印页面时用于在硬盘上存储打印文稿的临时文件。1 /view/2641472.htm在Windows操作系统中，为实现低速输入输出设备与高速的主机之间的高效率数据交换，常常用到外部设备联机并行操作（Simultaneous Peripheral Operation On-Line Spooling）技术，即通常所称的“假脱机技术”。Windows系统的打印过程就是一个典型假脱机打印过程，当应用程序向系统提出打印服务时，假脱机打印系统并不是将打印机直接分配给应用程序（进程），而是将需要打印的数据以特殊的文件格式在系统硬盘打印文件夹中建立假脱机打印文件。所有假脱机打印文件形成了一个输出队列，由“输出管理模块”控制打印机进程，依次将队列中的假脱机打印文件输出到打印机进行打印输出。打印任务完成后，系统自动删除临时存放在打印文件夹中的假脱机打印文件。2 /view/106913.htm1.2 Windows系统中假脱机打印文件存放的位置目前，决大多数用户使用的操作系统都是Windows操作系统，在Windows操作系统中假脱机打印文件都存放在系统默认目录下，即“%system root%Windowsspoolprinters”中，当然默认目录也可以被更改。要想进行此项操作，以Windows XP系统为例，用户必须以系统管理员身份登录到计算机中，然后执行如下操作：（1）在视窗系统XP桌而单击“开始”按钮，然后单击“打印机和传真”选项，打开“打印机和传真”设置窗口。（2）选择“文件”菜单中的“服务器属性”命令，打开“打印服务器属性”对话框。（3）单击“高级”选项卡，在“假脱机目录”编辑框中更改自己想要设置的目录。（4）单击“确定”按钮，这时系统会弹出消息框，提示用户对假脱机目录的更改将即时生效，并且将不再打印所有当前活动的文件。1.3 假脱机打印文件的特性在Windows系统中，每个打印作业都会生成扩展名为“SHD”和“SPL”的两个假脱机打印文件。即在系统打印文件夹中会有*.SHD和*.SPL两个假脱机打印文件。其中，SHD文件包含了有关打印操作的信息，包括计算机名、打印机类型、打印文件的名称和打印方式（EMF或RAW）。SPL文件包含了需要打印的数据（以EMF或RAW图像存储打印数据）。每个SPL文件中打印数据以一个或多个EMF或RAW文件存在。每个打印页都有一个EMF或RAW，因此在打印操作中由多页组成的SPL文件就包含了多个EMF或RAW文件。以Windows XP操作系统为例，本文做了如下研究：（1）利用WinHex打开EMF类型SHD假脱机打印文件，对该文件包含的相关打印信息进行研究，结果如图1所示。图1 EMF类型SHD假脱机打印文件扇区部分内容从图1可见，打印文件编辑系统为Microsoft Word系统；打印文件名称为Pang.doc；打印机接口为LPT1；打印机型号为Cannon LBP1000PS、EMF类型SHD假脱机打印文件的关键词为WinPrint NT EMF、计算机的名称为SPANNER。该EMF类型的SHD假脱机文件相应的SPL假脱机文件包含的相关打印信息如图2所示。图2 EMF类型SPL假脱机打印文件扇区部分内容由图2可以看出，从SHD文件中得到的“打印文件名称”在相应的SPL文件中再次出现。（2）利用WinHex打开RAW类型SHD假脱机打印文件，对该文件包含的相关打印信息进行研究，发现RAW类型SHD假脱机打印文件同样包含了打印文件编辑系统、打印文件名称、打印机接口类型、打印机型号类型、假脱机打印文件类型的关键词、计算机名称等打印信息。其结果与图1类似，所不同的是EMF类型SHD假脱机打印文件的关键词为WinPrint NT EMF，而RAW类型SHD假脱机文件关键词为IMFPrint RAW。该RAW类型的SHD假脱机文件相应的SPL假脱机文件包含的相关打印信息与图2类似，从SHD文件中得到的“打印文件名称”在相应的SPL文件中也再次出现。（3）根据对Windows 98、 Windows 2000、 Windows XP各版本操作系统下EMF、 RAW两种类型假脱机文件信息和打印系统的研究，可得到以下6种假脱机打印文件类型的关键词：WinPrint NT EMF，WinPrint RAW， IMFPrint NT EMF，IMFPrint RAW，ModiPrint NT EMF，ModiPrint RAW。2 取证的方法2.1 假脱机打印文件的恢复根据Windows操作系统打印任务的工作流程和对假脱机打印文件的特性分析，我们可采用基于关键词查找的恢复方法，得到硬盘上曾经打印过的文件名称，再根据该文件名信息的字符串定位相应的SPL假脱机打印文件在硬盘中的物理位置，通过簇链（FAT32）或簇生成文件（NTFS）即可得到假脱机打印文件。3 马林.数据重现文件系统原理精解与数据恢复最佳实践M.清华大学出版社，2009.4.481-486.具体的步骤如下：（1）对送检的微机硬盘进行编号、拍照、保全备份（磁盘克隆）后，将克隆好的磁盘通过只读接口接到电子物证检验工作站。4 电子物证数据恢复检验技术规范GA/T826-2009M.中国标准出版社，2009.2.（2）采用文件恢复工具软件对硬盘实行第1次遍历，将关键词（最好使用16进制）与硬盘所有扇区的内容进行匹配，在命中扇区中解析出用户名称、打印机型号、端口号、文件名等信息，并认真记录解析出来的信息。（3）根据文件名信息的字符串在硬盘上搜索对应SHD假脱机文件的SPL假脱机文件，并尽可能完整地恢复搜索到的SHD和SPL假脱机文件。其操作流程如下：假脱机打印文件恢复操作流程图以打印关键字查找SHD文件从SHD文件得到打印文件名由打印文件名找到SPL文件起始的扇区号FAT32分区下找到簇链并生成文件NTFS分区下通过EMF（EMF）文件头或读相应的簇生成文件（RAW）2.2 还原打印内容假脱机打印文件是一种特殊格式的文件，即使完全恢复了原始文件，也必须使用相应的工具软件或通过SHD文件中的打印机型号信息建立一个相似的软硬件仿真环境（操作系统和打印机型号等）来提取假脱机打印文件的数据，还原打印内容。1、通过工具软件提取打印文件内容将上述方法得到的若干假脱机打印文件按照SHD和SPL对应的关系分别导入X-Ways Forensics、AccessData Forensic Toolkit等取证工具软件，通过直接查看方式对SHD、SPL假脱机打印文件进行解析，不论导入的假脱机打印文件是否完整，都能得到用户名、打印文件名称、打印机型号、文件大小、打印页数、提交时间（打印时间）等打印操作信息和相应的打印内容。该方法只适应EMF类假脱机打印文件。2、建立仿真环境还原打印内容首先，通过恢复的SHD假脱机打印文件得到打印机类型、Windows操作系统类型和版本号，根据得到的信息建立相应的仿真打印环境。其次，将恢复的相互对应的*.SHD和*.SPL两个假脱机打印文件拷贝到原打印机默认的系统打印文件夹中，如，%system root%WINDOWSsystem32spoolPRINTER目录，或者根据前面讲述的改变系统默认设置目录的方法改变系统的打印文件目录，将对应的*.SHD和*.SPL假脱机打印文件拷贝到修改后的打印文件目录，重新启动计算机后打印机就可以把假脱机文件的内容打印出来。3 取证中注意的问题计算机取证是指取证人员针对入侵、攻击、破坏计算机信息系统、计算机欺诈等计算机违法犯罪行为，对遗留在计算机系统内和相关外设中的数字数据和信息，运用计算机软硬件技术并借助计算机取证工具，按照法定程序进行证据识别、证据搜集、证据保全、证据的检查分析，以及证据呈堂的数字证据挖掘和数字事件重建的过程。5 申世涛，王俊.“运行计算机”的取证问题研究J.成都大学学报（教育科学版），2008，（7）.侦破微机打印的匿名信案件的关键是在嫌疑计算机中提取到编辑、打印匿名信的“痕迹”，也就是找到曾经编辑过的文档或打印过的文档内容。但在实际运用时，由于发现、提取的对象是电子证据，这不仅要求侦查人员具备清晰的思路、丰富的经验和高超的计算机取证知识，同时在侦查此类案件时还应注意以下问题：3.1认真做好取证前的准备工作首先，抓好保密工作，严格控制知情面。保密工作是成功破案的前提，对这类案件尤为重要，保密工作做的不好，就很可能会打草惊蛇，作案人随时都可能会销毁证据，从而终成悬案。其次，吃透吃准信件内容，尽可能准确地确定重点嫌疑人。匿名信的写信人具有攻击目标明确、连续多次作案的特点，因此要对近几年来类似的信件并案侦查，围绕投邮时间、地点，打印纸、信封来源，打印匿名信使用的微机系统、字库、打印机种类，作案人语言特征，指控对象等进行全面系统的研究，对作案人年龄、职务、性格、阅历进行刻画，对作案的时间、环境、手段、动机等进行分析，准确确定侦查方向和查证范围，直至最后缩小到重点嫌疑人。第三，使用技术手段，开展秘密调查。假脱机打印文件使用结束后随即被操作系统删除，如果没有及时恢复、提取，时间长了，正常的存贮文件、后续的打印操作、磁盘整理及计算机病毒等，都将导致其存贮空间被覆盖，无法进行恢复，给侦破工作带来难以挽回的损失。因此，在确定摸排对象后，应立即展开秘密调查，检验嫌疑人使用过的电脑，及时发现和提取有价值的数据。第四，综合调查分析，制定取证方案。“发现难、取证难”是这类案件的一个显著特点，这要求取证人员除具有较强的计算机专业技术知识外，还应在调查分析的基础上，充分考虑嫌疑人所掌握的计算机知识水平、使用的计算机操作系统类型、网络联接状况、接入打印机的方式和取证过程中可能用到的法律文书等诸多方面的因素，制定取证方案。3.2严格按照取证流程和操作规范提取电子证据电子证据可以通过技术手段获得，也可以通过技术手段加以改变。整个取证过程中，要严格遵守依法、无损、全面、及时的取证原则，确保取证主体、对象、使用的工具和取证过程的合法，维持电子证据的完整、真实和原始性。首先，取证工作必须获得法律授权并准备好相应的文书，取证过程中必须将取证人员的所有行为通过照相或录像记录下来。其次，取证时必须保证有二名以上取证人员在场，必要时应聘请计算机专家在场配合进行，以防止破坏或丢失证据。第三，通过技侦手段得到的电子证据，待条件成熟时，必须转化为公开证据。第四，取