（本课题组的主要执笔人席燕斌：北京市人民检察院第一分院。）
随着科技的高速发展，计算机带给人们极大的效率和便利，已成为人们生活中不可缺少的一部分，人们使用计算机
时难免会留下蛛丝马迹。尤其是计算机已渐渐成为个人私密的一部分，每个人都有专属于自己的计算机。再加上以
计算机为平台的各种信息系统、应用软件和外部设备的不断增加，这些软、硬件的使用痕迹越来越多。所有的计算
机用户的正常行为和恶意行为，都会反映到记录数据中，不论是正常行为还是异常行为，都会留下一条或多条记
录。
一、操作痕迹的定义、特点
计算机生成痕迹是指完全由电子计算机等设备自动生成的痕迹，它是完全基于计算机等设备的内部命令运行的，其
中并没有掺杂人的主观意志；计算机存储痕迹是由计算机储存输入的信息而形成的痕迹，如计算机存储输入的文本
文档；计算机混合痕迹是计算机录入输入者的信息后，再根据计算机内部指令运行而得到的痕迹。
依据计算机本身结构特征和工作原理，在计算机上进行的操作需要软件和系统的共同配合完成，人们在处理信息的
过程中，在用户级自主访问控制机制下，用户只要通过身份验证就能获得相应权限，就能对文件、目录、 IPC 及设
备等客体进行读、写、执行、删除操作，不可避免的要在系统文件、注册表、系统缓冲区、设备内存、软件默认目
录等区域留下与用户操作相关的记录，这些记录虽然无法直接证明使用者的行为，但可以从残留的记录信息中统计
分析得到与敏感信息或者与用户操作行为有关的信息，这些记录对于了解用户的操作历史过程和提取用户的行为特
征模式，对案件的侦查、信息的搜集和保密、数据的清除、恢复都有着重要的意义。
二、 WINDOWS 操作系统使用痕迹
1 、回收站
错误的删除可能给用户带来灾难性的后果，为了给用户一个挽回损失的机会， Windows 在处理被删除的文件时，首
先是将其放入 “ 回收站 ” 文件夹中。取证时可以从回收站中找到被用户删除的文件。 Windows NT/2000/XP/2003 ，会
为系统中的每位用户创建各自的回收站文件夹，如果分区是 FAT 文件系统删除的文件被保存在 Recycled 文件夹里；
如果分区文件系统是 NTFS ，则会保存在 Recycler 这个文件夹里，分别以每个用户的 SID （用户安全标识符，用来代
表用户，任何两个用户的标识符都不一样）做名字。在 Windows7 中，回收站一般在逻辑卷的根目录下，文件名为
$Recycle.bin ，在 “ 文件夹选项中 ” 设置系统文件可见即可查看。使用取证软件打开逻辑卷，展开 $Recycle.bin ，能够
看到以用户 SID 命名的子文件夹，该文件目录下保存了指定用户删除到回收站中的文件。
2 、注册表
Windows 注册表是帮助 Windows 控制硬件、软件、用户环境和 Windows 界面的一套数据文件 , 在物理上，注册表存储
于一些被称为储巢（ hive ）的分散的二进制文件中 , 它包含着大量 windows 使用的信息，是我们获取计算机使用痕迹
的重要途径。
2.1 WINDOWS 注册表文件进化史。
Windows95/98/me 系统中注册表包含在 Windows 目录下的文件 system.dat 和 user.dat 里，此外还有它们的备份文件
system.da0 和 user.da0 。，这些功能是靠 win.ini ， system.ini 和其他和应用程序有关联的配置文件来实现的。此时的
注册表所包含的信息非常有限， user.dat 文件中包含了最近运行软件、桌面设置和自定义设置等信息； system.dat 文
件中包含系统设置、软件安装列表、受保护用户信息等。 system.ini 和 win.ini 这两个文件包含了操作系统所有的控制
功能和应用程序的信息， system.ini 管理计算机硬件而 win.ini 管理桌面和应用程序。所有驱动、字体、设置和参数会
保存在配置文件中，新安装的程序也会被记录在配置文件中。
windows2000/XP 注册表文件按功能来分，也是由系统注册表文件和用户注册表文件两类组成的，系统设置和用户配
置数据存放在系统盘： \ 系统文件夹 \SYSTEM32\CONFIG 文件夹下的 6 个文件， DEFAULT 、 SAM 、 SECURITY 、
SOFTWARE 、 USERDIFF 和 SYSTEM 中，而用户的配置信息存放在系统所在磁盘的 \Documents andSetting\ 文件夹，
包括 ntuser.dat ntuser.ini ntuser.dat.log.
Windows7 的注册表同 windows2000/XP 基本相同，只是存放路径有所变化，用户的配置信息文件 ntuser.dat ntuser.ini
ntuser.dat.log 存放在 \ 用户 \ 用户名 \AppData\Local\Microsoft\Windows\ 文件夹。另外注册表备份文件存放在 \ 系统文件
夹 \system32\config\RegBack 文件夹中。
2.2 注册表文件中的使用痕迹
以 WindowsXP 注册表为例， SAM 文件包含了用户账户名称、密码、用户 SID 编号、登陆次数、最后登陆时间、登陆
失败时间、用户组定义等信息。
SYSTEM 文件包含了系统名称、硬件加载记录、盘符及硬件对照码、启动信息、驱动信息、 Windows 安装设置信
息、系统时间及时区设置等信息。
SECURITY 文件主要包含了用户权限信息。
SOFTWARE 包含了安装软件清单、软件设置、软件的路径、授权、版本、有效期等信息。
NTUSER.DAT 包含了邮箱密码、 IE 注册密码、近期使用的文件及执行程序、手动键入 URL 、 IE 主页、文件存储路
径、 WindowsMedia Player 播放列表等信息。下面将一些重点信息在注册表中的位置列举如下：
用户数量与名称： SAM\SAM\Domains\Account\users\names 这里记录了本计算机的用户名列表。
用户 SID:SID 是安全识别代码（ SecurityIdentify Data ）的缩写，是 Windows 系统中用户唯一的识别代码，即一个用
户对应一个 SID ，用户对系统的更改、文件操作、网页浏览等操作 windows 记录的不是用户名而是相对应的 SID 值。
SID 与用户名的对应列表就在注册表： SAM\SAM\Domains\Account\Users# 。
系统加载硬件列表： System\MountedDevices
USB 加载描述： System\Controlset#\Enum\USBTOR
当前设置号 :System\Select\Current
时区信息： System\Controlset#\Timezoneinformation
最后关机时间： System\Controlset#\Control\Windows\ShutdownTime
最后开机时间：
Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\SCLogon
近期浏览文件： Software\Microsoft\Currentversion\Explorer\RecentDocs
近期存储数据路径：
Software\Microsoft\Currentversion\Explorer\ComDlg32\OpenSaveMRU
Microsoft Outlook 邮箱密码： Software\Microsoft\protected storge systemproviders\sid\identification\INETCOMM
server passwords
网页搜索字段：
Software\Microsoft\protected storge systemproviders\sid\Internet Explorer\ Internet Explorer\q:StringIndex
用户输入网址： Software\Microsoft\ InternetExplorer\TypedURLs
IE 主页： Software\Microsoft\Internet Explorer\main\Start Page
2.3 从系统备份文件中提取注册表
由于注册表中记录了大量个人信息，所以很多软件公司基于保护个人隐私的目的开发了操作痕迹清除软件，如 360
安全卫士，目前，市面上已经出现了实现部分 “ 痕迹 ” 清除的软件，国外比较著名的有 PrivacyEraser 、 AntiTrack ，国
内有白猫清理工、 FileMonster 等，能够清除浏览器、操作系统、注册表生成的痕迹，并提供了文件粉碎机、 IE 保
护、启动管理等，但只是以用户操作计算机过程中在系统文件夹、注册表等留下的痕迹静态清除，又由于运行平
台、开发环境不同，对可能产生的痕迹所存在的位置有所不同，有时会造成部分功能不能正常运行。这给取证工作
带来了很大麻烦，如果嫌疑人使用这些软件清除了使用痕迹，那么在注册表中就无法查出上述的信息了。但是好在
Windows 提供了系统恢复功能，会定期备份系统文件，其中也包含了注册表文件，存储的路径是 c:\system volume
information_restore\RP#\snapshot 。
2.4 日志文件
在 “ 开始 ” 菜单的运行 ” 中输入 “eventvwr.msc” ，或者是按下 ” 开始菜单 “-” 程序 “-” 管理工具 “-” 事件查看器 “, 打开事件查看
器，在左侧窗口分别有 “ 应用程序 ” 、 “ 安全性 ” 、 “ 系统 ” 、 “InternetExplorer” 和 “Microsoft Office Alert” 五个大类，右侧记
录了计算机发生的事件， ID 号为 6005 的事件表示事件日志服务已启动，即开机，事件 ID 号为 6006 表示关机，它们对
应的时间就分别是开机时间和关机时间，如下图所示，该机 2012 年 7 月 3 日开机时间是 13:45:08 ，关机时间是
17:37:52 。如果某次 6005 号事件没有对应的 6006 号事件则表示此次关机是非正常关机。

在这里特别要注意，每一次开机操作都会改写事件日志文件，所以取证时不要随意进行开机操作。正确的方法是进
行硬盘镜像后找到 “C:\WINDOWS\schedlgu.txt” 文件，在打开的 schedlgu.txt 文件中有 “ 任务计划程序服务 ”“ 已启动
于 ” ，和 “ 任务计划程序服务 ”“ 已退出于 ” 的时间，分别对应着开机和关机时间。
3 、 USB 使用痕迹
USB 设备在生产过程中厂商会在其固件中写入一系列的数据，包含设备的厂商、型号和序列号等信息。这些数据会
在 USB 设备被连接计算机之后，写入到计算机系统中注册表和日志文件 setupapi.log 中，设备与计算机断开连接后，
这些数据依然不会被计算机自动删除掉。由于这些信息具有持久性和唯一认定性，因此对计算机上曾使用 USB 存储
设备的痕迹分析，能够在某些方面为办案人员找到新的证据线索，提供新的获取电子证据的方式。
3.1 USB 设备使用痕迹在注册表中位置
3.1.1
在计算机中接入新的 USB 设备后都会在注册表 HEKY_LOCAL_MACHINE\SYSTEM\CurrentCtrolSet\Enum\USB 下创建
一个子键（见图二），

形式为 Vid_0421&Pid_00aa ，其中第一个 4 位十六进制数值代表的是制造商代码、由 USB 协会分配给各 USB 设备
制造商；第二个 4 位十六进制数据是产品代码，由设备厂商分配给其生产的产品，通过查询 Vid 和 Pid 代码就能得
知 USB 设备的厂商和型号信息，如： Vid_0421 表示诺基亚公司， Pid_00aa 表示 E71 手机。 Vid 和 Pid 代码信息可
在 http://www.linux-usb.org/usb.ids 上查询。这个键的子键记录的就是设备的序列号。序列号是设备生产厂商分配给
产品的唯一编码，一般由英文字母、十六进制数和一些特殊字符组成，在侦查和鉴定时可以依据此序列号判断涉
案 USB 设备是否接入了计算机。在序列号子键下还有若干个键值如： Driver 、 ClassGUID 和 Service 。根据 Driver 键的
具体值可以在 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class 下找到对应 GUID 下的子键记录
了 USB 设备的驱动安装信息；键值 ClassGUID 和 Service 也可以用于判断 USB 设备的类型。微软为了使一系列相关的
设备可以共享分层的驱动程序，定义了一系列驱动程序类﹐安装类被 ClassGUID 和 name 唯一标识（见表一）。例
如 ClassGUID 的值是 {36FC9E60-C465-11CF-8056-444553540000} 、 Service 值是 USBSTOR ，说明这是一个 USB 存储
设备；如果 ClassGUID 的值为 {4d36e965-e325-11ce-bfc1-08002be10318}, 则说明是一个 CD-ROM 设备，如
果 ClassGUID 的值为 {4d36e979-e325-11ce-bfc1-08002be10318} 则说明可能是一台打印机。当为非存储设备时，检
查是否存在相同序列号的存储设备，如果存在，说明这是一个通过 USB 接口可以以不同模式与计算机连接的设备，
比较常见的为手机。

3.1.2
注册表中另外一处记录 USB 设备使用信息的位置为：
HEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR 下的子键。这些子键只记录 USB 存储设备的信
息，比 HEKY_LOCAL_MACHINE\SYSTEM\CurrentCtrolSet\Enum\USB 中记录的设备类型要少，但查找起来更加直
观，如图三，其名称形式为 Disk&Ven_aigo_USB&Prod_Storage_Device&Rev_2.00 ，其子键也是设备的序列号，在
序列号子键下同样有： Driver 、 ClassGUID 、 HardwareID 和 Service 等键值。这些信息的意义在于，某些厂商（如爱
国者）没有注册制造商代码，因此通过上节 Vid-Pid 的方法无法确定 USB 设备的厂商及型号，则可以通过本节介绍
的子键名称及键值确定 USB 设备信息。

3.1.3

记录USB设备使用信息的其它位置：HEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceClasses\{53f56307-b6bf-11d0-94f2-00a0c91efb8b}下的子键，形式为##?#USBSTOR#Disk&Ven_SanDisk&Prod_U3_Cruzer_Micro&Rev_8.02#224310191FD16400&0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b}，其中前部的字符串为设备描述，中部的224310191FD16400为设备序列号；

所有的USB设备接入计算机时还会在HEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceClasses\{a5dcbf10-6530-11d2-901f-00c04fb951ed}下创建子键，形式为##?#USB#Vid_0781&Pid_5406#35130211C04083D2#{a5dcbf10-6530-11d2-901f-00c04fb951ed}，（见图四）其中Vid_0781&Pid_5406为厂商和设备编码，35130211C04083D2为设备的序列号。可以通过编程利用windows注册表相关的API函数RegQueryInfoKey()获取此子键的最后修改时间，即为USB设备最后一次使用时间；得到USB设备接入卷标：HKEY_LOCAL_MACHINE\SYSTEM\MountedDevices\该注册表键值表示曾分配给USB 存储设备的卷标。其子键的项值有两种形式：”\??\Volume{GUID}\”和”\DosDevice\dirve letter”，以二进制形式存放数据。在查看项值的35h 偏移处，与USBSTOR中子键的项”ParentIDPrefix”一致时，表示该USB 设备分配的卷标。如果”\DosDevices\I:”中偏移35h 的值为”.7.&.2.f.7.e.d.e.7.&.1″。该值与序列号为”071134004DF2E503″中的项”ParentIDPrefix”的值”7&2f7ede7&1″一致，则表示序列号为”071134004DF2E503″曾分配为盘符I:。

3.2 USB设备使用痕迹在日志文件中的位置

通过日志文件setupapi.log中记录的信息可以获取到USB设备第一次使用时间，该文件存放路径WindowXP系统是：C:\Windows，Window7系统则是：C:\Windows\inf。如图五所示经过查找序列号35130211C04083D2，得知该U盘第一次使用时间为2011年11月7日，13时38分57秒。

3.1.3
记录 USB 设备使用信息的其它位置： HEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceClasses\
{53f56307-b6bf-11d0-94f2-00a0c91efb8b} 下的子键，形式为 ##?

USBSTOR#Disk&Ven_SanDisk&Prod_U3_Cruzer_Micro&Rev_8.02#224310191FD16400&0#{53f56307-b6bf-11d0-

94f2-00a0c91efb8b} ，其中前部的字符串为设备描述，中部的 224310191FD16400 为设备序列号；
所有的 USB 设备接入计算机时还会在 HEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceClasses\
{a5dcbf10-6530-11d2-901f-00c04fb951ed} 下创建子键，形式为 ##?

USB#Vid_0781&Pid_5406#35130211C04083D2#{a5dcbf10-6530-11d2-901f-00c04fb951ed} ，（见图四）其中

Vid_0781&Pid_5406 为厂商和设备编码， 35130211C04083D2 为设备的序列号。可以通过编程利用 windows 注册表相
关的 API 函数 RegQueryInfoKey() 获取此子键的最后修改时间，即为 USB 设备最后一次使用时间；得到 USB 设备接入
卷标： HKEY_LOCAL_MACHINE\SYSTEM\MountedDevices\ 该注册表键值表示曾分配给 USB 存储设备的卷标。其子
键的项值有两种形式： “\??\Volume{GUID}\” 和 “\DosDevice\dirve letter” ，以二进制形式存放数据。在查看项值的 35h
偏移处，与 USBSTOR 中子键的项 “ParentIDPrefix” 一致时，表示该 USB 设备分配的卷标。如果 “\DosDevices\I:” 中偏
移 35h 的值为 “.7.&.2.f.7.e.d.e.7.&.1” 。该值与序列号为 “071134004DF2E503” 中的项 “ParentIDPrefix” 的
值 “7&2f7ede7&1” 一致，则表示序列号为 “071134004DF2E503” 曾分配为盘符 I: 。

3.2 USB 设备使用痕迹在日志文件中的位置
通过日志文件 setupapi.log 中记录的信息可以获取到 USB 设备第一次使用时间，该文件存放路径 WindowXP 系统是：
C:\Windows ， Window7 系统则是： C:\Windows\inf 。如图

图五
USB 设备的使用痕迹跟踪记录了 USB 设备的使用过程。其中最重要的一个数据是设备的序列号，根据序列号查
找到设备 Vid-Pid 及 GUID 等信息判断设备的类型、型号；再通过序列号查找日志文件和注册表键值的最后修改时间
来获取 USB 设备第一次和最后一次使用时间。
三、软件使用痕迹分析
1 、 WINDOWS 文件属性和 OFFICE 文档属性痕迹分析
计算机中存储的文件，每个文件都有自己的属性，这是操作系统在文件创建、修改、访问的时候，所记录的文件属
性。但是某些文件又会有自身特有的文件属性，比如说我们在分析和鉴定中最为常见，也是目前案件中关注相对比
较集中的 OFFICE 文档，以 WORD 文档为例，我们右键属性的时候会有一个 WINDOWS 文件的属性例如图六：

当我们用 WORD2007 打开，查看文档属性的时候，点击左上角的 “ 文档属性 ” 列表框，选择 “ 高级属性 ” ，这样就会弹
出高级属性窗口，切换到 “ 统计 ” 选项卡，用户可以浏览该文档的创建时间、修改时间、存取时间、打印时间、上次
保存者、修改次数、编辑时间总计和字数统计。如图七：

在 OFFICE 文档属性中大家可以看到更多的属性，而且某些属性对于电子证据的分析而言是非常重要的。
下面我们对比两个属性差异，分析这些属性所反映信息：
第一、文件的创建时间不同，在 WINDOWS 文件属性中的创建时间为 “2012 年 6 月 13 日今天， 09:29:40” ，而在
OFFICE 文档属性中的创建时间为 “2012 年 4 月 15 日星期日 05:33:00” ，在 WINDOWS 文件属性中的创建时间是操作系
统创建该文件的时间，而 OFFICE 文档属性中的创建时间才是该文档第一次产生的真实时间；
第二、在 WINDWS 文件属性中的创建时间为 “2012 年 6 月 13 日今天， 09:29:40” ，而修改时间为 “2012 年 6 月 11 日星期
一， 09:28:58” ，创建时间比修改时间要晚两天，说明该文档是从其他路径或者其他计算机拷贝到该处的；
第三、在 OFFICE 文档属性中的 “ 修订次数 39” ，反映了该文档被修改的次数，某些时候，这对于电子证据的分析至
关重要，我们数据恢复的时候能够发现计算机中曾经存储过的文档，但是对于该文档有没有被修改过，修改了那些
内容，分析起来往往比较困难，这时候我们就可以通过分析 “ 修订次数 ” 的连续性，对比 “ 修改次数 ” 与 OFFICE 文档内
容变化情况，来判断该文档被修改了那些内容，以及什么时间修改的。那么，我们如何获得关于一个文件的若干修
改次数的文档呢？通常情况下， WORD 文档在编辑的时候会留下大量的临时文件，通过数据恢复能够找到这些隐藏
文档，例如图八：

当然，我们并不可能找到所有修改次数的文档，不过这并不影响我们判断 “ 修改次数 ” 有跨度文档的修改情况。从而
我们就能够得到更多准确的信息，来指导我们进一步跟随犯罪嫌疑人的思路突破案件。
第四、在 OFFICE 文档属性中的 “ 上次保存者 ” ，这个属性会根据 OFFICE“ 个性化设置 ” 中的用户名变化而变化，一般
来说，安装不同版本的 OFFICE ，该属性将会不同，如果在一个案件中我们得到若干个版本的文档，结合 “ 修订次
数 ” 和 “ 上次保存者 ” 信息，我们就能够确定哪些修改是由哪些计算机完成的，进而确定是由哪个人完成的。
2 、 QQ 聊天记录提取
QQ2008 以前版本的聊天记录存放在 QQ 安装目录下，相应登陆过的 QQ 号码内名为： msgex.db ，该文件可以直接用
软件解密查看，因为 QQ2008 以前版本的聊天记录文件 msgex.db 里面的聊天记录是用 QQ 号码加密的，所以可以直接
解密查看。 QQ 升级到 QQ2009 版本以后， QQ 的聊天记录数据库文件名更改为： msg2.0.db ，这个文件是不能够直接
解密的，既直接查看 QQ2009 ， QQ2010 ， QQ2011 版本的 QQ 的聊天记录。因为 msg2.0.db 文件是加密的，密码放在
腾讯公司的服务器上，最少要登陆一次 QQ 以后才可能解密。登陆一次 QQ ，从 QQ 内存里面读出解密的密码。
在不同的电脑上登陆 QQ 的时候，所生成的 msg.2.0.db 文件的加密密码是不一样。每个 msg.2.0.db 里面有一段加密数
据， QQ 上线的时候把这个加密的数据发到腾讯公司服务器，腾讯公司用自己的算法解密出密码，再传给客户端，
客户端 QQ 用这个密码解密聊天记录，所以解密的关键是这个加密算法，而这个加密算法在腾讯的服务器上，是不
对外开放的。
在具体案件中我们有两种做法：
第一种：能够获得 QQ 密码的情况。
这种情况下可以通过第三方软件，例如：取证大师，这个过程中需要连接网络，经过分析可以得出这种第三方软件
是通过网络环境，获得腾讯的密码验证，然后从本地聊天记录中解出加密的聊天记录。
第二种：无法获得 QQ 密码的情况。
这种情况下， msgex.db 的聊天记录可以通过软件破解获得，但是新版本 QQ 的 msg2.0.db 无法通过软件破解，目前只
能到腾讯公司调取证据，在调取时最好能够现场刻盘，并且计算整盘或者相关文件的哈希值，并且记录在调取证据
清单中，以保证电子文档的真实性。
当然还有其他一些情况，例如：现场取证中如果涉案电脑处于开启状态，并已登陆 QQ ，可以先通过已登录 QQ 直接
保存聊天记录到 U 盘中，然后刻录光盘计算哈希值；也可以通过涉案电脑中提取到其他密码（登陆密码、邮件密
码），试着破解 QQ 聊天记录，根据社会工程学的理论，一个人使用的密码不会太多，破解的可能性从而产生。
目前，检察机关的自侦部门中，有的承办人对电子数据取证有些了解，有的承办人刚刚开始重视，认识水平不一，
往往在扣押涉案电子数据后，提出检验鉴定或者电子协查的要求非常不明确，多为 “ 恢复所有涉案文件 ” 或 “ 恢复所有
WORD 和 EXCEL 文档 ” 。这就要求我们在分析的时候能够发挥主观能动性，从电脑使用的具体情况来找出涉案人员
对电脑的使用细节，从而进一步突破线索，拿到承办人员感兴趣的资料，帮助承办人更快的突破案件。
综上所述，电脑的使用都是通过操作系统和软件实现的，摸清涉案人员电脑操作系统的基本信息和相关软件的使用
情况，这就是该电脑的 “ 大事记 ” 。
“ 大事记 ” 用于我们在分析电子数据中，需求不明确的情况。主要包含的内容如下：
1 、系统信息：①系统基本信息（包括系统安装时间、系统名称、版本、网络连接信息、时区和时间信息）；
② USB 设备使用记录；③应用程序运行痕迹。
2 、用户信息：①最近访问信息；②打印信息；③回收站删除记录。
3 、上网记录；① IE 记录；②谷歌 Chrome 记录；③ FireFox 记录；④遨游 Maxthon 记录；⑤ 360 浏览器记录；⑥腾讯 TT
记录；⑦世界之窗记录。
4 、即时通讯：①腾讯 QQ 记录；②腾讯 TM 记录；③ MSN 记录；④阿里旺旺记录；⑤移动飞信记录；⑥新浪 UC 记
录；⑦ SKYPE 记录。
5 、邮件信息；① Outlook Express 记录；② Foxmail 记录；③ Office OutLook 记录；④电子邮件文件（ *.eml ）。
6 、其他；①加密文件；②文件类型不符文件。
目前，痕迹检验学家已发展出了指纹、足迹、笔迹等平面痕迹和弹道等立体痕迹的识别、检验学科，在计算机使用
痕迹方面虽然未形成系统的学科，但在国外也已经开发了相应的检查和取证工具。而国内仅关注检查或取证的某一
个方面，不但在技术上创新不足，而且在痕迹等证据提取的完备性和高效性，以及证据分析的智能性等方面都存在
明显不足，与真实的计算机检查与取证需求存在很大差距。目前，我国正处于泄密高发期，其中计算机网络泄密发
案数已占泄密案发总数的 75 ％以上，并呈现逐年增长的趋势。随着计算机泄密和网络犯罪活动的不断增多，计算机
使用痕迹研究将在未来网络安全管理、犯罪侦查等方面扮演越来越重要的角色。
参考文献：
[1] Mee, V et al. The Windows Registry as aForensic Artefact: illustratingevidence collection for Internet usage.
DigitalInvestigation 3, (3) 166-173,2006.
[2] N/A. USB Class Codes.
http://www.usb.org/developers/defined_class.2006.
[3] 万雪勇 . 我国计算机取证面临的问题 . 江西公安专科学校学报 .2007 年 11 月第 6 期 .
[4] 孙奕 . Widows7 环境下电子取证特点分析 . 信息网络安全 .2010 年第 10 期 .
[5] 刘煜杰 . 移动存储设备的接入性检验和信息提取方法警察技术 . 2009 年第 6 期 .
[6] 宋冰 . USB 存储设备使用痕迹在计算机犯罪取证的应用 . 福建电脑 . 2009 年第 9 期 .
[7] 王靖亚 . 计算机操作留痕的侦查和反侦查 . 信息网络安全 . 2009 年第 11 期 .
[8] 刘源泉 . 基于数据挖掘的计算机取证分析系统设计 . 大众科技 . 2009 年 11 期 .
[9] 郭传鹏. 计算机操作痕迹清除系统的研究与实现. 中国人民解放军信息工程大学硕士论文