操作系统痕迹(operation system trace),工学-公安技术-网络安全与执法-电子数据取证,反映操作系统运行过程中同步产生的电子数据的记录,存在于日志、注册表、临时文件、配置文件等区域。操作系统痕迹属于电子设备操作痕迹的一种,是用户在使用电子设备时操作系统同步产生的电子数据记录,与用户的操作习惯及具体行为息息相关。通过对操作系统痕迹数据进行提取、分析,可以还原出相应的系统操作行为。操作系统痕迹具备电子数据的普遍特点:无形性、多样性、客观性、易破坏性、隐蔽性等。操作系统痕迹通常从系统启动开始,在运行过程中不断产生,并在用户操作过程中持续变化,如系统安装记录、开机启动项、开关机记录、WiFi和蓝牙连接记录、USB设备连接记录等。操作系统痕迹种类繁多,可以按照其数据类型进行划分。①系统基本信息。系统基本信息主要包括电子设备名称、系统名称、当前系统版本、build版本、内核版本、最新服务包/补丁包、系统路径、安装时间、最后一次正常关机时间等数据。②用户信息。用户信息是操作系统中所有的账户信息,主要包括每个账户的名称、描述、登录次数、最后一次登录时间等数据。③网络信息。