10.3969/j.issn.1009-9875.2016.02.014
基于Windows 7"系统还原"功能的电子数据取证方法
传统电子数据取证技术难以还原数据文件中被修改过内容的本来面目.Windows操作系统中内置的"系统还原"功能则提供了揭示文件背后所隐藏秘密的新途径.相较Windows XP,Windows 7"系统还原"功能更为全面深入,并采用了全新的文件结构.基于电子数据取证视角,说明Windows 7"系统还原"功能,着重分析该功能所涉及的具体文件(夹)的结构格式,结合实例阐述其在电子数据取证实践中的具体应用.
Windows 7、电子数据取证、系统还原、System Volume Information、还原点
TP3;TN9
2016-08-16(万方平台首次上网日期,不代表论文的发表时间)
共3页
50-52
