论文部分内容阅读
摘 要:计算机取证中的数据恢复是当前研究的一个热点问题,本文从硬盘结构分析着手,探讨了两种层次的计算机取证数据恢复方法,旨在为相关研究与实践提供参考。
关键词:计算机取证;数据恢复;恢复方法
在计算机取证过程中,删除的文件往往會成为案件重要线索,这些删除的文件即位数据恢复对象,保证文件是可用的即位恢复效果。恢复文件的范围不仅仅是应用文件,还可能是系统文件,恢复之后文件可能不一定完整或不可用,此时即需要利用分析技术来再现原来的数据形式,获取案件线索。
1 硬盘结构
1)主引导扇区MBR。MBR指的是分区程序产生的主导扇区,其受到不同操作系统的影响,即不同操作系统的主引导扇区可能存在一定差异。主引导扇区包括主引导记录MBR和分区表DPT,前者的作用是分区表的正确性进行检查,并确定引导分区,在程序结束并完成之后,在内存中将启动程序调入并执行。
2)操作系统引导扇区DBR。DBR指的是操作系统引导扇区,其是操作系统能够直接访问的首个扇区,DBR中包括分區参数记录表和引导程序两个部分,其能够对分区根目录第一个文件和第二个文件进行判断,看文件是否为引导文件,在判断完成之后,在内存中读入,并递交控制权给文件。在BPB的参数块中,记录着许多重要的参数,例如起始与结束扇区、文件的存储格式等等。
3)文件分配表FAT。Windows系统中,存在FAT,FAT的大小主要受到分区及分配单元两个因素影响,一般来说,FAT数量为2个,一个是初始形成的FAT,另一个是后形成的FAT,以此来充分保证数据的安全性。对于初始形成的FAT来说,其表示为“未占用”,如果磁盘出现损坏问题,则在格式化程序中标识为“坏簇”,如果在磁盘中存有相关文件,则需要分割文件,文件中的数据往往会被分为若干段,以链式方式存储[ 2 ]。段与段之间的链接信息在FAT中存储,读取文件的过程中,能够实现段的精确定位,并精确的读出各个段。在删除文件的过程中,OS通过对FAT中信息的改变来表示这些簇可被使用,在写入数据前,被删除的文件仍在磁盘中保存,要想实现删除文件的恢复,则需要将文件头的两个代码恢复,或重写,之后重新通过映射来恢复文件。
4)目录区DIR。紧接着第二个FAT表之后即为目录区DIR,FAT与DIR的配合来实现对文件的定位,在DIR中记录着文件相关属性,定位过程中,以起始单元为基础,结合FAT表即可实现文件定位,判断文件大小。
5)数据区DATA。数据区DATA数据可分为可见数据和不可见数据,前者指的是在DIR中有记录的数据,能够被相关程序锁定,后者指的是相关程序难以找到且不能精确定位和锁定的数据[ 3 ]。对于计算机取证来说,如何实现不可见数据的再现对于寻找证据至关重要,例如文件碎片空间及临时文件等都属于不可见数据的范畴。
2 数据恢复原理
文件删除可以分为几种形式,一般意义上的删除即改变FAT的链接指向,“格式化”指的是将FAT表重写,二者均不是真正的删除数据,即DATA区中的数据没有被清楚。而对于硬盘分区来说,其修改了DBR和MBR,但DATA中的大部分数据没有发生改变,在没有覆盖该文件的基础上,只需要找到文件起始存储位置即可恢复该文件,这是硬盘数据的修复原理。在Windows文件系统中,文件删除指的是将文件首字节改为E5H,表标记为未分配,文件本身没有被破坏,因此可以被恢复,只需要采用手动方式或相关软件来恢复即可。
3 数据恢复层次
3.1 依据文件目录的数据恢复
这种数据恢复方法以文件系统存储结构为基础,以文件形式将数据磁盘或存储介质中存放,数据管理主要通过文件管理来实现,文件主要包括目录数据及文件内容数据,以目录数据定位文件,一般来说,可根据目录数据的完整性来全部恢复数据或部分恢复数据,而根本上的文件删除中,FAT表项被清零处理,首簇号可能没有损坏,如果文件较小,或占用连续存储空间,则可以实现文件内容的全部恢复,凑则智能部分恢复或无法恢复[ 4 ]。对于NTFS文件系统来说,文件目录数据决定是否可以恢复文件。
3.2 依据文件内容的数据恢复
重新分配簇之后,以特殊设备可恢复数据,主要依据为磁头偏移形成的阴影数据。目录数据损坏后,无法定位文件,若知道文件一定的字节内容,可搜索关键字,定位文件,并将块号填入到索引中,实现文件恢复,具体关键字搜索算法公式如下:
具体搜索函数如下:
long searchfs(char*fsname,intcomp())
char buf[1024]
long i=0
fp=fopen(fsname,“r”)
while(!Feof(fp))
{fread(bu,f 1024,1,fp);
If(comp())/*
Return;i/*若成功返回块号*/
i++
}
Fclose(fp),Return-1;/*没有找到符合搜索条件的块,返回-1*/
对设备文件名确定,用上述函数进行文件搜索,看是否搜索成功,如果搜索成功则返回*/,如果搜索不成功则返回-1,设备名用fsname来表示。
4 结论
综上所述,在计算机取证中,利用一定的科学技术方法恢复数据有助于获取更多的案件线索和电子证据,从而打击计算机犯罪。本文简要探讨了两种数据恢复技术的具体应用,在未来的发展中,数据恢复技术还有待进一步的研究,例如对于文件碎片查找、特殊文件分析等方面的计算机取证中如何利用数据恢复技术还有待开发。
参考文献:
[1] 程优.数据恢复技术在计算机取证系统中的应用[J]. 电子技术与软件工程,2014,(20):212-213.
[2] 杜江,王石东.计算机取证中的数据恢复技术研究[J].重庆邮电大学学报(自然科学版),2010,(05):683-687.
[3] 尹丹.计算机取证中的数据恢复技术研究[A].中国计算机学会计算机安全专业委员会.全国计算机安全学术交流会论文集·第二十五卷[C].中国计算机学会计算机安全专业委员会,2010:5.
[4] 易凌鹰.基于闪存数据恢复的计算机取证技术的研究与实现[D].北京邮电大学,2010.
作者简介:张婷婷,女,武警辽宁省总队司令部通信网络管理中心工程师,研究方向:计算机数据处理与网站开发。
关键词:计算机取证;数据恢复;恢复方法
在计算机取证过程中,删除的文件往往會成为案件重要线索,这些删除的文件即位数据恢复对象,保证文件是可用的即位恢复效果。恢复文件的范围不仅仅是应用文件,还可能是系统文件,恢复之后文件可能不一定完整或不可用,此时即需要利用分析技术来再现原来的数据形式,获取案件线索。
1 硬盘结构
1)主引导扇区MBR。MBR指的是分区程序产生的主导扇区,其受到不同操作系统的影响,即不同操作系统的主引导扇区可能存在一定差异。主引导扇区包括主引导记录MBR和分区表DPT,前者的作用是分区表的正确性进行检查,并确定引导分区,在程序结束并完成之后,在内存中将启动程序调入并执行。
2)操作系统引导扇区DBR。DBR指的是操作系统引导扇区,其是操作系统能够直接访问的首个扇区,DBR中包括分區参数记录表和引导程序两个部分,其能够对分区根目录第一个文件和第二个文件进行判断,看文件是否为引导文件,在判断完成之后,在内存中读入,并递交控制权给文件。在BPB的参数块中,记录着许多重要的参数,例如起始与结束扇区、文件的存储格式等等。
3)文件分配表FAT。Windows系统中,存在FAT,FAT的大小主要受到分区及分配单元两个因素影响,一般来说,FAT数量为2个,一个是初始形成的FAT,另一个是后形成的FAT,以此来充分保证数据的安全性。对于初始形成的FAT来说,其表示为“未占用”,如果磁盘出现损坏问题,则在格式化程序中标识为“坏簇”,如果在磁盘中存有相关文件,则需要分割文件,文件中的数据往往会被分为若干段,以链式方式存储[ 2 ]。段与段之间的链接信息在FAT中存储,读取文件的过程中,能够实现段的精确定位,并精确的读出各个段。在删除文件的过程中,OS通过对FAT中信息的改变来表示这些簇可被使用,在写入数据前,被删除的文件仍在磁盘中保存,要想实现删除文件的恢复,则需要将文件头的两个代码恢复,或重写,之后重新通过映射来恢复文件。
4)目录区DIR。紧接着第二个FAT表之后即为目录区DIR,FAT与DIR的配合来实现对文件的定位,在DIR中记录着文件相关属性,定位过程中,以起始单元为基础,结合FAT表即可实现文件定位,判断文件大小。
5)数据区DATA。数据区DATA数据可分为可见数据和不可见数据,前者指的是在DIR中有记录的数据,能够被相关程序锁定,后者指的是相关程序难以找到且不能精确定位和锁定的数据[ 3 ]。对于计算机取证来说,如何实现不可见数据的再现对于寻找证据至关重要,例如文件碎片空间及临时文件等都属于不可见数据的范畴。
2 数据恢复原理
文件删除可以分为几种形式,一般意义上的删除即改变FAT的链接指向,“格式化”指的是将FAT表重写,二者均不是真正的删除数据,即DATA区中的数据没有被清楚。而对于硬盘分区来说,其修改了DBR和MBR,但DATA中的大部分数据没有发生改变,在没有覆盖该文件的基础上,只需要找到文件起始存储位置即可恢复该文件,这是硬盘数据的修复原理。在Windows文件系统中,文件删除指的是将文件首字节改为E5H,表标记为未分配,文件本身没有被破坏,因此可以被恢复,只需要采用手动方式或相关软件来恢复即可。
3 数据恢复层次
3.1 依据文件目录的数据恢复
这种数据恢复方法以文件系统存储结构为基础,以文件形式将数据磁盘或存储介质中存放,数据管理主要通过文件管理来实现,文件主要包括目录数据及文件内容数据,以目录数据定位文件,一般来说,可根据目录数据的完整性来全部恢复数据或部分恢复数据,而根本上的文件删除中,FAT表项被清零处理,首簇号可能没有损坏,如果文件较小,或占用连续存储空间,则可以实现文件内容的全部恢复,凑则智能部分恢复或无法恢复[ 4 ]。对于NTFS文件系统来说,文件目录数据决定是否可以恢复文件。
3.2 依据文件内容的数据恢复
重新分配簇之后,以特殊设备可恢复数据,主要依据为磁头偏移形成的阴影数据。目录数据损坏后,无法定位文件,若知道文件一定的字节内容,可搜索关键字,定位文件,并将块号填入到索引中,实现文件恢复,具体关键字搜索算法公式如下:
具体搜索函数如下:
long searchfs(char*fsname,intcomp())
char buf[1024]
long i=0
fp=fopen(fsname,“r”)
while(!Feof(fp))
{fread(bu,f 1024,1,fp);
If(comp())/*
Return;i/*若成功返回块号*/
i++
}
Fclose(fp),Return-1;/*没有找到符合搜索条件的块,返回-1*/
对设备文件名确定,用上述函数进行文件搜索,看是否搜索成功,如果搜索成功则返回*/,如果搜索不成功则返回-1,设备名用fsname来表示。
4 结论
综上所述,在计算机取证中,利用一定的科学技术方法恢复数据有助于获取更多的案件线索和电子证据,从而打击计算机犯罪。本文简要探讨了两种数据恢复技术的具体应用,在未来的发展中,数据恢复技术还有待进一步的研究,例如对于文件碎片查找、特殊文件分析等方面的计算机取证中如何利用数据恢复技术还有待开发。
参考文献:
[1] 程优.数据恢复技术在计算机取证系统中的应用[J]. 电子技术与软件工程,2014,(20):212-213.
[2] 杜江,王石东.计算机取证中的数据恢复技术研究[J].重庆邮电大学学报(自然科学版),2010,(05):683-687.
[3] 尹丹.计算机取证中的数据恢复技术研究[A].中国计算机学会计算机安全专业委员会.全国计算机安全学术交流会论文集·第二十五卷[C].中国计算机学会计算机安全专业委员会,2010:5.
[4] 易凌鹰.基于闪存数据恢复的计算机取证技术的研究与实现[D].北京邮电大学,2010.
作者简介:张婷婷,女,武警辽宁省总队司令部通信网络管理中心工程师,研究方向:计算机数据处理与网站开发。