返回
浅议假脱机打印文件在侦查匿名信案件中应用(定稿)

浅议假脱机打印文件在侦查匿名信案件中应用(定稿)

ID:22037329

大小:699.50 KB

页数:6页

时间:2018-10-26

浅议假脱机打印文件在侦查匿名信案件中应用(定稿)_第1页
浅议假脱机打印文件在侦查匿名信案件中应用(定稿)_第2页
浅议假脱机打印文件在侦查匿名信案件中应用(定稿)_第3页
浅议假脱机打印文件在侦查匿名信案件中应用(定稿)_第4页
浅议假脱机打印文件在侦查匿名信案件中应用(定稿)_第5页
资源描述:

《浅议假脱机打印文件在侦查匿名信案件中应用(定稿)》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、浅议假脱机打印文件在侦查匿名信案件中的应用摘要:针对微机打印的匿名信案件取证难的问题,在分析假脱机打印文件的基础上,提出了利用假脱机打印文件获取打印内容的取证方法,并给出取证过程中应注意的问题。实践证明,该方法在侦破微机打印的匿名信案件中具有较高的实用价值。关键字:匿名信案件;假脱机打印文件;取证方法;注意问题近年来,匿名信案件在许多单位时有发生,作案人为了隐藏自己,逃避打击,多采用微机编辑、打印匿名信,而后将相关的电子文档通过“文档粉碎”工具进行数据销毁处理的方式实施。由于作案人在其作案过程中采用多种方式进行伪装和相关痕迹销毁处理,如果没有直接证据,案件侦查很难有所突破

2、。本文根据匿名信常常采用微机打印的特点,提出了利用假脱机打印文件还原打印内容的方法来侦破匿名信案件,并给出了在实际应用中注意的问题。1假脱机打印文件及其特性1.1假脱机打印文件的形成过程假脱机打印文件是在打印机打印页面时用于在硬盘上存储打印文稿的临时文件。[1]http://baike.baidu.com/view/2641472.htm在Windows操作系统中,为实现低速输入输出设备与高速的主机之间的高效率数据交换,常常用到外部设备联机并行操作(SimultaneousPeripheralOperationOn-LineSpooling)技术,即通常所称的“假脱机技术

3、”。Windows系统的打印过程就是一个典型假脱机打印过程,当应用程序向系统提出打印服务时,假脱机打印系统并不是将打印机直接分配给应用程序(进程),而是将需要打印的数据以特殊的文件格式在系统硬盘打印文件夹中建立假脱机打印文件。所有假脱机打印文件形成了一个输出队列,由“输出管理模块”控制打印机进程,依次将队列中的假脱机打印文件输出到打印机进行打印输出。打印任务完成后,系统自动删除临时存放在打印文件夹中的假脱机打印文件。[2]http://baike.baidu.com/view/106913.htm1.2Windows系统中假脱机打印文件存放的位置目前,决大多数用户使用的操

4、作系统都是Windows操作系统,在Windows操作系统中假脱机打印文件都存放在系统默认目录下,即“%systemroot%Windowsspoolprinters”中,当然默认目录也可以被更改。要想进行此项操作,以WindowsXP系统为例,用户必须以系统管理员身份登录到计算机中,然后执行如下操作:(1)在视窗系统XP桌而单击“开始”按钮,然后单击“打印机和传真”选项,打开“打印机和传真”设置窗口。(2)选择“文件”菜单中的“服务器属性”命令,打开“打印服务器属性”对话框。(3)单击“高级”选项卡,在“假脱机目录”编辑框中更改自己想要设置的目录。(4)单击“确定

5、”按钮,这时系统会弹出消息框,提示用户对假脱机目录的更改将即时生效,并且将不再打印所有当前活动的文件。1.3假脱机打印文件的特性在Windows系统中,每个打印作业都会生成扩展名为“SHD”和“SPL”的两个假脱机打印文件。即在系统打印文件夹中会有*.SHD和*.SPL两个假脱机打印文件。其中,SHD文件包含了有关打印操作的信息,包括计算机名、打印机类型、打印文件的名称和打印方式(EMF或RAW)。SPL文件包含了需要打印的数据(以EMF或RAW图像存储打印数据)。每个SPL文件中打印数据以一个或多个EMF或RAW文件存在。每个打印页都有一个EMF或RAW,因此在打印操作

6、中由多页组成的SPL文件就包含了多个EMF或RAW文件。以WindowsXP操作系统为例,本文做了如下研究:(1)利用WinHex打开EMF类型SHD假脱机打印文件,对该文件包含的相关打印信息进行研究,结果如图1所示。图1EMF类型SHD假脱机打印文件扇区部分内容从图1可见,打印文件编辑系统为MicrosoftWord系统;打印文件名称为Pang.doc;打印机接口为LPT1;打印机型号为CannonLBP1000PS、EMF类型SHD假脱机打印文件的关键词为WinPrintNTEMF、计算机的名称为SPANNER。该EMF类型的SHD假脱机文件相应的SPL假脱机文件包含

7、的相关打印信息如图2所示。图2EMF类型SPL假脱机打印文件扇区部分内容由图2可以看出,从SHD文件中得到的“打印文件名称”在相应的SPL文件中再次出现。(2)利用WinHex打开RAW类型SHD假脱机打印文件,对该文件包含的相关打印信息进行研究,发现RAW类型SHD假脱机打印文件同样包含了打印文件编辑系统、打印文件名称、打印机接口类型、打印机型号类型、假脱机打印文件类型的关键词、计算机名称等打印信息。其结果与图1类似,所不同的是EMF类型SHD假脱机打印文件的关键词为WinPrintNTEMF,而RAW类型SHD假脱机文件关

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。