技术分享|脱机打印分析
打印脱机后台处理文件是一种为完成打印任务而生成的临时文件,包含了要打印的数据以及完成打印任务所需的详细信息。打印脱机池由多个动态链接库组成,接收、处理、计划和分发打印请求或任务等等,脱机实际上被定义为将打印任务的内容写入一个磁盘文件中的过程。脱机文件是一种避免意外断电或系统崩溃时导致数据丢失的数据保护机制。
打印设备生成打印脱机文件可能会采用多种数据格式,而较常见的两种格式是RAW格式、EMF格式。RAW格式的数据类型通知打印服务不要修改打印任务,直接打印其提交的原始数据内容即可,RAW格式数据通常与设备无关,表示打印脱机数据是针对特定设备、打印机而生成的。
打印脱机文件默认的存储位置为Windows\System32\spool\Printers,每个打印任务均有对应的两个文件,其中一个为SHD文件,另一个为SPL文件。SHD文件包含打印任务的相关信息,如打印机设备名称、打印文件名、打印用户等信息:SPL文件包含要打印的原始数据内容RAW或经过 EMF转化后的数据内容。
如果打印用户选择打印使用的方式是EMF 数据格式,那么SPL文件就是打印文档转化为EMF后的内容。假设使用者要打印一个Word文档,采用的是EMF格式,那么打印服务先将Word文档内容的每一页转化为EMF,并生成一个SPL打印脱机文件。这也可以简单地理解为SPL就是一个内嵌多个EMF图片文件的打印内容脱机文件。
值得注意的是,大多数情况下,当打印机生成打印脱机文件 SHD和SPL后,一旦打印任务正常完成,Windows操作系统将会自动删除这两个文件。因此,在实际的电子数据案件中,取证人员往往需要对未分配空间进行数据恢复,恢复出SHD打印任务信息及SPL打印内容信息。采用EMF数据格式的SPL文件,取证人员可以直接通过EMF头部特征进行数据挖掘。通常定位到EMF位置,向前选择41字节即可找到打印的页面内容。
关于我们
北京天宇宁达科技有限公司创建于 2016 年,前身为 2009 年的北京天宇宁科技有限公司。历经十余年的发展与积累,天宇宁达已成为国内电子数据取证行业卓越领先的产品与解决方案供应商,同时也是国内知名的电子数据专业取证服务与培训机构。