用戶痕跡是用戶在使用計算機(jī)、手機(jī)、平板計算機(jī)等設(shè)備時產(chǎn)生的電子數(shù)據(jù)記錄，因此它與用戶活動息息相關(guān)。

　　電子數(shù)據(jù)證據(jù)有生成證據(jù)、存儲證據(jù)和混合證據(jù)之分，這是根據(jù)電子數(shù)據(jù)的身世來確定的。電子數(shù)據(jù)可以是人為生成、自動生成或者兩者結(jié)合而生成的，用戶痕跡數(shù)據(jù)也是這樣。

　　人為生成的電子數(shù)據(jù)是以用戶的主觀意志創(chuàng)造、復(fù)制或者衍生出的新數(shù)據(jù)，是用戶主動創(chuàng)造的痕跡，記錄著用戶當(dāng)時的使用情景和狀態(tài)。通常這些電子數(shù)據(jù)痕跡的產(chǎn)生是用戶經(jīng)常使用產(chǎn)生的，而且有查閱歷史信息的需要，一般不會特意清除，如使用郵件客戶端收發(fā)的郵件、通過下載工具下載的文檔資料、選擇自動保存的登錄密碼信息等。

　　自動生成的電子數(shù)據(jù)是操作系統(tǒng)或者應(yīng)用系統(tǒng)自動生成的記錄一定信息的數(shù)據(jù)不被用戶的主觀意志左右。但隨著用戶的計算機(jī)知識和反取證意識的提升，這些數(shù)據(jù)很可能會被清除或篡改。通常這些數(shù)據(jù)是從系統(tǒng)啟動開始，在用戶不經(jīng)意間不斷產(chǎn)生的，而且會在用戶的使用過程中隨時變化，如操作系統(tǒng)的開關(guān)機(jī)時間、USB設(shè)備的插拔記錄、通過瀏覽器上網(wǎng)產(chǎn)生的緩存記錄等。

　　兩者結(jié)合生成的電子數(shù)據(jù)是結(jié)合了上述兩種情形產(chǎn)生的，也是用戶痕跡數(shù)據(jù)產(chǎn)生的主要方式之一。很多嫌疑人自認(rèn)為聰明地修改或者清除一些痕跡數(shù)據(jù)，卻不知道系統(tǒng)還會有其他的信息記錄著他們的這一系列行為。例如，人為篡改系統(tǒng)時間留下的事件日志記錄、Word文檔打開時自動保存的臨時文件等。人為、自動和兩者結(jié)合方式產(chǎn)生的用戶痕跡數(shù)據(jù)貫穿了使用計算機(jī)等設(shè)備的整個過程，也使第三方調(diào)查者能夠通過這些痕跡數(shù)據(jù)對嫌疑人進(jìn)行用戶行為串聯(lián)和分析，從而給還原案件的真相提供了可能。

　　用戶痕跡電子數(shù)據(jù)具備電子數(shù)據(jù)的普遍特點：無形性、多樣性、客觀性、易破壞性、隱蔽性等。

　　由于痕跡產(chǎn)生于用戶使用計算機(jī)等設(shè)備的過程，因此還具備記錄用戶操作歷史行為軌跡、通信記錄、密碼信息等隱私數(shù)據(jù)的特點。

　　用戶使用計算機(jī)、手機(jī)、平板電腦等設(shè)備都會產(chǎn)生用戶痕跡。

　　用戶在常規(guī)的文檔類工作中會產(chǎn)生很多的痕跡數(shù)據(jù)，包括Link文件、Metadata（元數(shù)據(jù)）、Thumbnail（縮略圖）、回收站、網(wǎng)絡(luò)信息等。

　　1. Link文件

　　Link文件是指擴(kuò)展名為。lnk的文件，一般叫作鏈接文件或快捷方式文件。。lnk是Windows系統(tǒng)默認(rèn)的快捷方式的擴(kuò)展名，如果“文件夾選項”下設(shè)置為“隱藏已知文件類型的擴(kuò)展名”，那么正常情況下，。lnk是不顯示的。

　　Link文件由Windows自動創(chuàng)建，通常包含以下內(nèi)容：卷信息、原始位置、系統(tǒng)名稱。Link文件具備以下特點：用于指向其他文件的Link文件，通常稱為快捷方式文件，以方便使用者快速調(diào)用原始文件。Link文件不一定是用戶主動建立的，特別是在作為快捷方式以外的鏈接文件出現(xiàn)時。當(dāng)用戶打開和使用文件時，Windows自動創(chuàng)建鏈接文件并顯示在“RecentDocument/Files Folder”中。如果用戶從USB設(shè)備中打開并編輯一個文件，但從未復(fù)制到系統(tǒng)中，那么該文件的Link文件將被創(chuàng)建在用戶賬戶目錄下的“Recent Items Folder”文件夾中。Link文件會包含原始文件的MAC時間、存儲路徑以及所在磁盤的卷信息或網(wǎng)絡(luò)共享信息。

　　2. Metadata

　　元數(shù)據(jù)（Metadata）又稱中介數(shù)據(jù)、詮釋數(shù)據(jù)，也稱為數(shù)據(jù)的數(shù)據(jù)。

　　Metadata名詞起源于1969年，由Jack E·Myers提出。Metadata的基本定義出自O(shè)CLC與NCSA所主辦的“Metadata Workshop”研討會，它將Metadata定義為描述數(shù)據(jù)的數(shù)據(jù)（Data about Data），此后各種有關(guān)Metadata的定義紛紛出現(xiàn)。現(xiàn)存很多Metadata的定義，主要因使用情境而不同。如有關(guān)數(shù)據(jù)的數(shù)據(jù)、有關(guān)信息對象之結(jié)構(gòu)的信息（Structured Information about an Information Object）、描述資源屬性的數(shù)據(jù)（Data Describes Attributes of Resources）等。

　　一個數(shù)據(jù)存儲在共享卷里時，我們可以直接看到它是一個文檔、圖片、視頻或數(shù)據(jù)庫文件，這些都是數(shù)據(jù)本身。然而在存儲該數(shù)據(jù)時，文件系統(tǒng)還會產(chǎn)生很多無法直接看到的與該數(shù)據(jù)有關(guān)的數(shù)據(jù)，如文件系統(tǒng)中文件檢索表、路徑信息、地址信息等，這些數(shù)據(jù)稱之為文檔、圖片、視頻等在共享卷中的元數(shù)據(jù)。

　　我們可以在很多地方看到元數(shù)據(jù)的存儲，網(wǎng)上下載的電影本身是一個視頻文件數(shù)據(jù)。單擊右鍵查看到的視頻文件屬性，如存儲路徑、碼率、文件大小、導(dǎo)演、演員、制作單位等，就是視頻文件的元數(shù)據(jù)。在地理空間信息中用于描述地理數(shù)據(jù)集的內(nèi)容、質(zhì)量、表示方式、空間參考、管理方式以及數(shù)據(jù)集的其他特征，也都是元數(shù)據(jù)。

　　在案件的調(diào)查取證過程中，一些數(shù)據(jù)（如存儲在計算機(jī)里的電子郵件、附件等所包含的元數(shù)據(jù)往往成為一些案件的破案依據(jù)。Microsoft Office元數(shù)據(jù)常常也是討論的關(guān)鍵，Office元數(shù)據(jù)嵌入文件自身并包含了相當(dāng)有用的信息，在實際運(yùn)用中已在多起訴訟案件的根源分析中發(fā)揮了作用。信息的類型在案件中也許會是關(guān)鍵點比如，被盜來的Office文檔，能夠通過檢查元數(shù)據(jù)顯示內(nèi)部信息證明該文檔的原始來源是另一個公司。圖1反映了一個Word文檔中的元數(shù)據(jù)情況。

　　圖1  Word文檔中的元數(shù)據(jù)

　　圖片是一種特殊的文件形式，包含大量的元數(shù)據(jù)信息，圖片中的元數(shù)據(jù)通常叫作可交換圖形文件（EXIF，Exchangeable Image File），這個格式是專門為數(shù)碼相機(jī)照片設(shè)定的。這個格式可以記錄數(shù)字照片屬性信息。

　　EXIF作為一種圖像文件格式，它的數(shù)據(jù)存儲與JPEG格式完全相同。實際上，EXIF格式就是在JPEG格式頭部插入數(shù)碼照片的信息，包括拍攝時的光圈、快門、白平衡、 ISO、焦距、日期時間等各種和拍攝條件，相機(jī)品牌、型號、色彩編碼、拍攝時錄制的聲音，以及全球定位系統(tǒng)（GPS）、縮略圖等信息。簡單地說，EXIF=JPEG+拍攝參數(shù)。因此，可以利用任何能夠查看JPEG文件的看圖軟件瀏覽EXIF格式的照片，但并不是所有的圖形程序都能處理EXIF信息。通過分析EXIF中包含的GPS信息，更是成為諸多案件偵破的重要線索和摧毀不在場證明的利器。圖2反映了一張圖片EXIF中的GPS信息。

　　圖2  圖片EXIF中的GPS信息

　　元數(shù)據(jù)的存在，在法律界已經(jīng)引起了非常大的爭議，焦點在于：在案件訴訟期間是否應(yīng)該提供元數(shù)據(jù)。在許多情況下，并不要求公訴方提供帶有元數(shù)據(jù)的文件；如果此時辯方要求附加提供元數(shù)據(jù)，則在當(dāng)前情況下，法官應(yīng)要求公訴方補(bǔ)充證據(jù)否則不能要求訴訟開始。

　　3. Thumbnail

　　Thumbs.db是一個用于Microsoft Windows或Mac OS X緩存Windows Explorer縮略圖的文件。Thumbs.db保存在每一個包含圖片或照片的目錄中，可緩存圖像文件的格式包括jpeg、bmp、gif、tif、pdf以及htm。Thumbs.db文件是一個數(shù)據(jù)庫文件，里面保存了這個目錄下所有圖像文件的縮略圖（格式為jpeg）當(dāng)以縮略圖查看時（展示一幅圖片或電影膠片），將會生成一個thumbs.db文件而且其體積隨著文件夾中圖片數(shù)量增加而增大。

　　Windows XP Media Center Edition也生成了一個Ehthumbs.db，保存了視頻文件預(yù)覽。Thumbs.db是Windows XP/2003為了提高文件夾在縮略圖查看方式下的響應(yīng)速度而對當(dāng)前文件夾下的圖像文件建立的緩存，這個文件本身并無大礙，因為本身是“系統(tǒng)文件+隱藏文件”，缺省時，為隱藏文件。

　　Windows為了更快地顯示圖片，會自動將文件夾中的圖片縮略圖保存為索引文件“Thumbs.db”。如果將沒用的圖片刪除，由于“Thumbs.db”不能立即自動更新，當(dāng)出現(xiàn)新文件與原文件名稱相同時，便直接將原縮略圖取了出來，其實圖片本身并沒變，改變的只是圖片的縮略圖。這樣當(dāng)嫌疑人將涉案的圖片刪除后，因為有工具可以查看Thumbs.db的內(nèi)容，甚至導(dǎo)出其中的圖像，調(diào)查人員可以通過Thumbs.db得到此文件夾中的所有文件名及縮略內(nèi)容，然后使用Thumbs.db瀏覽器下載此目錄下的所有圖像文件并瀏覽。圖3是進(jìn)行縮略圖的顯示。

　　圖3  縮略圖的顯示

　　4. 回收站

　　回收站是Windows文件系統(tǒng)中的重要區(qū)域，能夠幫助調(diào)查人員在取證過程中調(diào)查已被刪除的文件信息?；厥照緍ecycle.bin是一個隱藏的目錄。

　　在Window NT/2000/XP/2003系統(tǒng)中，當(dāng)用戶刪除一個文件時，它唯一的安全標(biāo)識符（SID，Security Identifier）將被用于在目錄“RECYCLER”中創(chuàng)建一個子目錄，另外，這個路徑的內(nèi)部還有另一個隱藏的二進(jìn)制文件“INFO2”，它用于映射回收站中的文件名與其實際的原始名稱和路徑?；厥照镜腞ECYCLER目錄結(jié)構(gòu)如圖4所示。

　　圖4  RECYCLER目錄結(jié)構(gòu)

　　5. 網(wǎng)絡(luò)信息

　　隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，通過網(wǎng)絡(luò)傳輸?shù)男畔⒎N類越來越多，大致可以分為瀏覽器記錄、郵件記錄、即時通信記錄、文件傳輸記錄等。

　　瀏覽器類型隨著發(fā)展也是五花八門，其中最具代表性的IE記錄中含有Cookies收藏夾、緩存、搜索歷史、歷史記錄等。

　　Cookies指的是存儲在用戶本地終端上的數(shù)據(jù)，服務(wù)器可以利用Cookies包含信息的任意性來篩選并經(jīng)常性維護(hù)這些信息，以判斷在HTTP傳輸中的狀態(tài)。Cookies的一個重要應(yīng)用是“購物車”之類的處理。用戶可能會在一段時間、在同一家網(wǎng)站的不同頁面中選擇不同的商品，這些信息都會寫入Cookies，以便在最后付款時提取信息。

　　歷史記錄中包含歷史記錄名稱、URL、最后訪問時間、訪問者、映射文件。

　　郵件具有一個相對簡單的文件結(jié)構(gòu)，主要由三部分組成：郵件頭、消息主體（Message Body）以及附件。郵件頭包含主題、發(fā)件人、收件人、發(fā)送時間、接收時間等信息。消息主體是指郵件發(fā)送者鍵入的文本內(nèi)容。附件是可選項，可以包含任意文件。郵件客戶端（如Outlook客戶端）包含主要的郵件頭中的各個項，但是大部分會被隱藏起來，尤其是用戶不關(guān)注的項。