【揭秘】打印机痕迹取证
2024-12-4 00:0:0 Author: mp.weixin.qq.com(查看原文) 阅读量:4 收藏

来源:平航科技

打印机作为生产办公必备电子设备之一,现今在各类涉及经济、保密、安全、维稳等案/事件中,也成为了关键检材。

除了从打印机本身入手挖掘可能被存储的打印历史记录,在连接过目标打印机的终端计算机设备中,也会记录打印任务的痕迹数据。

01

电脑中留存的打印痕迹

以Windows电脑为例,我们在每次提交打印任务的时候,系统都会自动生成包括SPL文件、SHD文件以及TMP文件在内的三类主要数据文件。

这些文件分别存储着有关打印任务、打印目标内容相关的数据信息。

SPL文件

.spl文件是打印机驱动程序生成的打印任务文件,其中包含要打印的文档内容和打印机指令。当打印任务被发送到打印机时,通常会先被保存为.spl文件。

.spl文件中记录了完整的打印文件内容。

SHD文件

.shd文件是打印作业设置文件,其中包含打印作业的设置信息,例如打印机的名称、纸张大小、打印质量等。当打印任务被发送到打印机时,打印作业设置信息会被保存为.shd文件。

.shd文件中记录了打印提交人、打印提交时间以及打印文件的名称。

TMP文件

.tmp文件作为一个临时文件,主要用于存储打印过程中需要的中间数据。在打印任务被发送到打印机之前,会创建这些文件以确保数据的顺利传输。

通过取证软件的索引功能可以获取其真实格式并查看其中的内容。

02

打印痕迹深度解析

在打印任务结束后,电脑端打印痕迹数据就会被自动清除,但部分因打印失败而被终止的打印任务,其痕迹数据会留存在电脑端

为此,平航介质取证分析软件CS6100提供了满足针对电脑端留存以及被清除的历史打印痕迹数据的解析需求的全新解析能力。

支持对spl、shd、tmp文件实现自动恢复解析,获取关联打印任务的具体内容(包括文字、图片)、打印时间、文件名、打印机信息、机主信息等,深挖数据线索。

解析打印痕迹数据文件

恢复打印痕迹数据文件

“删不掉”的文件也能恢复数据

写给小白的操作系统入门科普


文章来源: https://mp.weixin.qq.com/s?__biz=MzAwNDcwMDgzMA==&mid=2651048065&idx=2&sn=c2b79081f1e540ebe55d37898c8f3900&chksm=80d08770b7a70e66dc5dbe090ddc55ae946b2a83e82b5cdac51742eaef7ef2064459ec96b10f&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh