用户痕迹是用户在使用计算机、手机、平板计算机等设备时产生的电子数据记录，因此它与用户活动息息相关。

　　电子数据证据有生成证据、存储证据和混合证据之分，这是根据电子数据的身世来确定的。电子数据可以是人为生成、自动生成或者两者结合而生成的，用户痕迹数据也是这样。

　　人为生成的电子数据是以用户的主观意志创造、复制或者衍生出的新数据，是用户主动创造的痕迹，记录着用户当时的使用情景和状态。通常这些电子数据痕迹的产生是用户经常使用产生的，而且有查阅历史信息的需要，一般不会特意清除，如使用邮件客户端收发的邮件、通过下载工具下载的文档资料、选择自动保存的登录密码信息等。

　　自动生成的电子数据是操作系统或者应用系统自动生成的记录一定信息的数据不被用户的主观意志左右。但随着用户的计算机知识和反取证意识的提升，这些数据很可能会被清除或篡改。通常这些数据是从系统启动开始，在用户不经意间不断产生的，而且会在用户的使用过程中随时变化，如操作系统的开关机时间、USB设备的插拔记录、通过浏览器上网产生的缓存记录等。

　　两者结合生成的电子数据是结合了上述两种情形产生的，也是用户痕迹数据产生的主要方式之一。很多嫌疑人自认为聪明地修改或者清除一些痕迹数据，却不知道系统还会有其他的信息记录着他们的这一系列行为。例如，人为篡改系统时间留下的事件日志记录、Word文档打开时自动保存的临时文件等。人为、自动和两者结合方式产生的用户痕迹数据贯穿了使用计算机等设备的整个过程，也使第三方调查者能够通过这些痕迹数据对嫌疑人进行用户行为串联和分析，从而给还原案件的真相提供了可能。

　　用户痕迹电子数据具备电子数据的普遍特点：无形性、多样性、客观性、易破坏性、隐蔽性等。

　　由于痕迹产生于用户使用计算机等设备的过程，因此还具备记录用户操作历史行为轨迹、通信记录、密码信息等隐私数据的特点。

　　用户使用计算机、手机、平板电脑等设备都会产生用户痕迹。

　　用户在常规的文档类工作中会产生很多的痕迹数据，包括Link文件、Metadata（元数据）、Thumbnail（缩略图）、回收站、网络信息等。

　　1. Link文件

　　Link文件是指扩展名为。lnk的文件，一般叫作链接文件或快捷方式文件。。lnk是Windows系统默认的快捷方式的扩展名，如果“文件夹选项”下设置为“隐藏已知文件类型的扩展名”，那么正常情况下，。lnk是不显示的。

　　Link文件由Windows自动创建，通常包含以下内容：卷信息、原始位置、系统名称。Link文件具备以下特点：用于指向其他文件的Link文件，通常称为快捷方式文件，以方便使用者快速调用原始文件。Link文件不一定是用户主动建立的，特别是在作为快捷方式以外的链接文件出现时。当用户打开和使用文件时，Windows自动创建链接文件并显示在“RecentDocument/Files Folder”中。如果用户从USB设备中打开并编辑一个文件，但从未复制到系统中，那么该文件的Link文件将被创建在用户账户目录下的“Recent Items Folder”文件夹中。Link文件会包含原始文件的MAC时间、存储路径以及所在磁盘的卷信息或网络共享信息。

　　2. Metadata

　　元数据（Metadata）又称中介数据、诠释数据，也称为数据的数据。

　　Metadata名词起源于1969年，由Jack E·Myers提出。Metadata的基本定义出自OCLC与NCSA所主办的“Metadata Workshop”研讨会，它将Metadata定义为描述数据的数据（Data about Data），此后各种有关Metadata的定义纷纷出现。现存很多Metadata的定义，主要因使用情境而不同。如有关数据的数据、有关信息对象之结构的信息（Structured Information about an Information Object）、描述资源属性的数据（Data Describes Attributes of Resources）等。

　　一个数据存储在共享卷里时，我们可以直接看到它是一个文档、图片、视频或数据库文件，这些都是数据本身。然而在存储该数据时，文件系统还会产生很多无法直接看到的与该数据有关的数据，如文件系统中文件检索表、路径信息、地址信息等，这些数据称之为文档、图片、视频等在共享卷中的元数据。

　　我们可以在很多地方看到元数据的存储，网上下载的电影本身是一个视频文件数据。单击右键查看到的视频文件属性，如存储路径、码率、文件大小、导演、演员、制作单位等，就是视频文件的元数据。在地理空间信息中用于描述地理数据集的内容、质量、表示方式、空间参考、管理方式以及数据集的其他特征，也都是元数据。

　　在案件的调查取证过程中，一些数据（如存储在计算机里的电子邮件、附件等所包含的元数据往往成为一些案件的破案依据。Microsoft Office元数据常常也是讨论的关键，Office元数据嵌入文件自身并包含了相当有用的信息，在实际运用中已在多起诉讼案件的根源分析中发挥了作用。信息的类型在案件中也许会是关键点比如，被盗来的Office文档，能够通过检查元数据显示内部信息证明该文档的原始来源是另一个公司。图1反映了一个Word文档中的元数据情况。

　　图1  Word文档中的元数据

　　图片是一种特殊的文件形式，包含大量的元数据信息，图片中的元数据通常叫作可交换图形文件（EXIF，Exchangeable Image File），这个格式是专门为数码相机照片设定的。这个格式可以记录数字照片属性信息。

　　EXIF作为一种图像文件格式，它的数据存储与JPEG格式完全相同。实际上，EXIF格式就是在JPEG格式头部插入数码照片的信息，包括拍摄时的光圈、快门、白平衡、 ISO、焦距、日期时间等各种和拍摄条件，相机品牌、型号、色彩编码、拍摄时录制的声音，以及全球定位系统（GPS）、缩略图等信息。简单地说，EXIF=JPEG+拍摄参数。因此，可以利用任何能够查看JPEG文件的看图软件浏览EXIF格式的照片，但并不是所有的图形程序都能处理EXIF信息。通过分析EXIF中包含的GPS信息，更是成为诸多案件侦破的重要线索和摧毁不在场证明的利器。图2反映了一张图片EXIF中的GPS信息。

　　图2  图片EXIF中的GPS信息

　　元数据的存在，在法律界已经引起了非常大的争议，焦点在于：在案件诉讼期间是否应该提供元数据。在许多情况下，并不要求公诉方提供带有元数据的文件；如果此时辩方要求附加提供元数据，则在当前情况下，法官应要求公诉方补充证据否则不能要求诉讼开始。

　　3. Thumbnail

　　Thumbs.db是一个用于Microsoft Windows或Mac OS X缓存Windows Explorer缩略图的文件。Thumbs.db保存在每一个包含图片或照片的目录中，可缓存图像文件的格式包括jpeg、bmp、gif、tif、pdf以及htm。Thumbs.db文件是一个数据库文件，里面保存了这个目录下所有图像文件的缩略图（格式为jpeg）当以缩略图查看时（展示一幅图片或电影胶片），将会生成一个thumbs.db文件而且其体积随着文件夹中图片数量增加而增大。

　　Windows XP Media Center Edition也生成了一个Ehthumbs.db，保存了视频文件预览。Thumbs.db是Windows XP/2003为了提高文件夹在缩略图查看方式下的响应速度而对当前文件夹下的图像文件建立的缓存，这个文件本身并无大碍，因为本身是“系统文件+隐藏文件”，缺省时，为隐藏文件。

　　Windows为了更快地显示图片，会自动将文件夹中的图片缩略图保存为索引文件“Thumbs.db”。如果将没用的图片删除，由于“Thumbs.db”不能立即自动更新，当出现新文件与原文件名称相同时，便直接将原缩略图取了出来，其实图片本身并没变，改变的只是图片的缩略图。这样当嫌疑人将涉案的图片删除后，因为有工具可以查看Thumbs.db的内容，甚至导出其中的图像，调查人员可以通过Thumbs.db得到此文件夹中的所有文件名及缩略内容，然后使用Thumbs.db浏览器下载此目录下的所有图像文件并浏览。图3是进行缩略图的显示。

　　图3  缩略图的显示

　　4. 回收站

　　回收站是Windows文件系统中的重要区域，能够帮助调查人员在取证过程中调查已被删除的文件信息。回收站recycle.bin是一个隐藏的目录。

　　在Window NT/2000/XP/2003系统中，当用户删除一个文件时，它唯一的安全标识符（SID，Security Identifier）将被用于在目录“RECYCLER”中创建一个子目录，另外，这个路径的内部还有另一个隐藏的二进制文件“INFO2”，它用于映射回收站中的文件名与其实际的原始名称和路径。回收站的RECYCLER目录结构如图4所示。

　　图4  RECYCLER目录结构

　　5. 网络信息

　　随着互联网技术的发展，通过网络传输的信息种类越来越多，大致可以分为浏览器记录、邮件记录、即时通信记录、文件传输记录等。

　　浏览器类型随着发展也是五花八门，其中最具代表性的IE记录中含有Cookies收藏夹、缓存、搜索历史、历史记录等。

　　Cookies指的是存储在用户本地终端上的数据，服务器可以利用Cookies包含信息的任意性来筛选并经常性维护这些信息，以判断在HTTP传输中的状态。Cookies的一个重要应用是“购物车”之类的处理。用户可能会在一段时间、在同一家网站的不同页面中选择不同的商品，这些信息都会写入Cookies，以便在最后付款时提取信息。

　　历史记录中包含历史记录名称、URL、最后访问时间、访问者、映射文件。

　　邮件具有一个相对简单的文件结构，主要由三部分组成：邮件头、消息主体（Message Body）以及附件。邮件头包含主题、发件人、收件人、发送时间、接收时间等信息。消息主体是指邮件发送者键入的文本内容。附件是可选项，可以包含任意文件。邮件客户端（如Outlook客户端）包含主要的邮件头中的各个项，但是大部分会被隐藏起来，尤其是用户不关注的项。