叮铃......“最新消息,从11月1日起,《中华人民共和国个人信息保护法》将正式实施......”。
叮、叮铃.......“据本台记者最新报道,我市公安局近期成功打掉一个非法倒卖公民个人信息的犯罪团伙......”。
桌上手机的屏幕接连蹦出了几条新闻消息,可是简睿丝毫没有将目光从案件卷宗上移开的意思。
他正在灯下若有所思,他的徒弟蔡学飞从外面推门走了进来。
“师父,您怎么还没休息呢?十点都过了!”,蔡学飞风风火火地走到办公桌旁,将一盒点心轻轻放在了简睿的桌上。
蔡学飞一边打开盒子,一边埋怨道,“要不是秦队提醒我,我还以为您早就回家了呢!”
徒弟蔡学飞的到来打断了简睿的思路,他皱了皱眉,看了一眼盒子里的东西,巧了,正是他喜欢吃的桃酥饼。
简睿眼睛一亮,正好肚子有点饿了,他也不客气,头都没抬就抓起一块桃酥饼咬上一口。
蔡学飞在一旁瞅着老师的吃相,不禁扑哧一乐,“味道咋样?这可是我家珍藏了七七四十九天的高档点心,我爸都没舍得给他吃呢!”
简睿正想说什么,却被桃酥噎呛了两口,蔡学飞吓了一跳,立马递上水杯。
“您倒是慢点啊!您要是有个三长两短的,秦队可要拿我开刀了啊!”
“咳咳,你小子是不是又憋着什么坏呢啊?”简睿喝了几口水,喘了口气。
“那我不是得把您的手艺学会学精嘛!我现在就一小菜鸟,啥也不会啊!”
“你还啥都不会啊,你不是正规警官学校毕业的?”简睿白了他一眼,顺手抄起了第二块桃酥。
“嘿嘿,师父见笑啦!我那点本事您还不知道嘛!
就拿最近那个个人信息倒卖案来说,要不是师父,我们也不可能拿到指认“莉姐”的关键证据啊!”
蔡学飞嬉皮笑脸凑近简睿耳边,“师父,嘿嘿,其实是秦队让我来向您请教,您是怎么从“牛二”电脑里把胡某莉的U盘使用时间记录给查出来的?”
简睿吞下最后一口桃酥,拍了拍手、抹了抹嘴,“哦?是秦队让你小子来学的,还是你小子自己真想学?”
“那必须是我自己啊,当然秦队也希望我能帮您分担分担。另外师父本事大,徒弟我学个一两样的也能保我饿不着冻不死。”
蔡学飞瞪着两只大眼睛一脸认真,以恳求的语气说道:“师父,您就教我两招吧!就当现在休息休息,和我聊聊天放松放松哈!”
简睿扶了扶眼镜盯着眼前的这个徒弟,“好吧,我就和你唠唠,说好了啊,我说完你就回家,别妨碍我工作哦!”
“太棒了!没问题,您就给我讲讲那个U盘历史记录是咋给整出来的吧!”
简睿示意蔡学飞搬把椅子坐在旁边,“这就要从头说起了......”
重大案情回顾
就在数天前,当地公安局破获一起倒卖个人信息案。
根据有关线索,犯罪嫌疑人胡某莉(外号“莉姐”)曾与从事快递行业的牛某(外号“牛二”)串通勾结,大量非法获取并倒卖公民个人信息。
大量关键证物已被警方查获,但由于最为关键的电脑U盘使用时间问题,犯罪嫌疑人始终百般抵赖、拒不认罪。
考虑到案情重大,又在《个人信息保护法》出台实施之际,专案组长秦队找到了简睿,希望他能起到关键重要作用,帮忙解决这个棘手的大难题。
秦壮:“简睿,你是信息安全方面的专家,现在这个案子案情重大,市局领导都非常重视,你给看看,帮个忙吧!”
简睿:“这个案子的大致情况我已经了解过了,不过你们不都已经人赃俱获,还需要我怎么帮呢?”
秦壮:“哦,是这样,我们已经查获了“牛二”的个人电脑,他的电脑里存有大量各个小区用于快递联系的个人信息。
而这个“莉姐”,就是倒卖信息的犯罪嫌疑人之一,她在之前某一天下午的一点到三点之间曾经使用过“牛二”的电脑。
而在她自己的住处我们也查获了她的U盘,现在我们需要查证在“牛二”的电脑上是否使用过“莉姐”的U盘,并且最为重要的是在刚才所说的时间段内是否有过这个U盘的使用记录,这样我们就算是掌握了坐实犯罪的证据。”
简睿:“明白了!秦队请放心,我立刻展开调查!”
利用工具软件
简睿:“当我们想要查看U盘的使用记录时,自然而然地会先想到一些第三方的工具软件。
比如,UsbViewer 、USBDeview 之类的,的确很方便易用,但是它们并不完美,也并不完全能给我们带来帮助。”
蔡学飞:“师父,这些工具软件上不是可以查出某项U盘的使用时间吗?”
简睿:“你仔细看看,上面只写着创建日期和最后的插拔日期。而后者并不能有效地反映出使用U盘的具体时间段。
到底什么时候插入,又是什么时候拨出,这些并不明确。”
“你再看这里“,简睿打开了几个程序,“即便是不同版本甚至不同软件,所显示的时间也是各不相同,充其量只有第一次安装时间和最后一次使用时间,概念非常模糊,不够精确!”
(以下软件如有需要,请关注@网管小贾留言获取。)
蔡学飞:“哦,还真是!那要怎么才能查出具体的插拔时间呢?”
简睿:“嗯,单纯依靠手头现有的工具软件已经不能满足我们的调查需求了,所以我们要另辟蹊径,自己去调查获取。
不过在此之前,我们先要搞懂原理。”
蔡学飞:“师父,您快讲讲原理!”
系统记录U盘使用的原理
简睿:“根据我查找的大量参考资料,Windows平台下U盘的使用历史记录均被系统存放在了注册表中。
那么具体这些记录信息被存放到了哪些地方呢?
我们可以通过手工查询注册表的方式来一探究竟。”
“实际上所有的U盘信息都会被分散记录到以下注册表项的子项中。”
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR
“而在 USBSTOR 展开的子项中,我们就可以清楚地看到之前我们使用U盘的记录了。”
“每一行就是一个设备,当我们展开每一行记录项时,还可以看到一串为标识U盘系统所生成的数字编码。
点击选中这个数字编码,在右侧的窗口中有一项名为 FriendlyName 的字符串键即是我们所看到的U盘的友好名称。
比如本例中U盘的名称为 SanDisk Cruzer Blade USB Device 。
通常我们可以按照这个名称来定位指定调查的U盘。”
简睿接着说:“虽然其他的一些有关于使用这个U盘的基本信息都可以很容易地获取到,但是遗憾的是,我们想要的接入时间却并不在这里。”
“啊?那在哪儿?”蔡学飞张大了嘴巴。
简睿笑道:“实际上它们被隐藏在了属性 Properties 子键中。”
蔡学飞:“那我们点击展开 Properties 查看不就行了?”
简睿当场演示:“你太天真了,为啥我要说是被隐藏的,就是因为这个 Properties 是无法直接打开的,你瞧!”
“如果你直接点击 Properties 这一项,就会收到一个打开错误的提示。
上面写得很清楚,无法打开,拒绝访问,即便是管理员权限也会被拒之门外。”
“哎?为啥到这里就打不开了呢?”蔡学飞当场懵了。
简睿停顿了一下,“我不知道原因,可能里面有一些秘密,它并不想让我们普通的用户知道吧。”
“那我就是想看看里面应该怎么办呢?”蔡学飞迫不及待地追问道。
“其实也是有办法的,需要设置权限,而这个权限就是我们普通用户通常情况下用不到的 SYSTEM 权限。”
简睿一边用手比划着一边说,“这也就是我们即便使用管理员权限也无法打开它的缘故。”
蔡学飞似乎想到了什么,“ SYSTEM 权限似乎比 Administrator 更高级一些吧?”
“没错!好了,我们就来看看如何撬开这把需要 SYSTEM 权限的锁!”
未完待续......
声明:本故事纯属虚构,如有雷同,不用多想,就是那么巧!
本文测试均在 Windows 10 系统平台上展开,部分测试内容并不一定适用于其他系统。
扫码关注@网管小贾,阅读更多
网管小贾的博客 / www.sysadm.cc
