数据恢复技术在数据恢复取证中的应用研究
安防监控系统的视频数据恢复技术
安防监控系统的视频数据恢复技术随着社会的不断发展和科技的进步,安防监控系统的重要性日益凸显。
安防监控系统通过视频录像记录了各种场景下的图像和声音,为了保护重要的证据和数据,视频数据恢复技术应运而生。
本文将介绍安防监控系统的视频数据恢复技术及其应用。
一、视频数据恢复技术概述视频数据恢复技术是指通过一系列的方法和工具恢复安防监控系统中受损或丢失的视频数据。
主要包括以下几个方面:1. 文件恢复:对于被意外删除、格式化、病毒侵袭等原因导致的视频文件损坏或丢失,视频数据恢复技术可以通过对存储介质的扫描和分析,寻找文件的碎片,并将其恢复,使其重新可用。
2. 分段恢复:安防监控系统中的视频数据通常较大,并且经常进行分段存储,视频数据恢复技术可以根据文件存储结构和索引信息,将不连续的视频数据段重新组合,还原成完整的视频文件。
3. 数据修复:在视频数据传输或存储过程中,由于不稳定的网络连接或存储介质硬件故障等原因,视频数据可能出现错误或损坏。
视频数据恢复技术可以通过纠错码、差错检测等技术手段,对损坏的数据进行修复,使其重新恢复到原始状态。
二、视频数据恢复技术的应用1. 安防监控系统数据备份与恢复安防监控系统中的视频数据非常重要,在运行期间,不可避免地会遇到各种意外情况,例如存储介质损坏、主机故障等。
通过视频数据恢复技术,可以定期对安防监控系统的视频数据进行备份,并在需要时快速恢复,确保监控数据的完整性和可靠性。
2. 取证数据恢复安防监控系统记录了很多犯罪现场的证据,这些证据对于破案和司法审判非常重要。
然而,有时候人为因素或技术故障可能导致取证数据的删除或损坏。
视频数据恢复技术可以帮助恢复这些受损或删除的取证数据,为司法工作提供有力支持。
3. 事故分析与预防安防监控系统通常用于监测交通、工地、公共场所等,事故分析与预防是其重要的功能之一。
通过视频数据恢复技术,可以对事故现场的视频数据进行分析和还原,从中获取有关事故原因和过程的信息,为制定安全策略和预防措施提供依据。
基于MTP下的智能手机数据恢复及其取证技术
基于MTP下的智能手机数据恢复及其取证技术作者:叶志刚来源:《现代信息科技》2018年第12期摘要:本文对基于MTP模式下智能收集数据恢复及取证技术进行了分析,针对支持MTP 连接模式的安卓智能手机,提出了完整的数据恢复取证方法与流程,对仅支持MTP模式不支持外插SD卡的手机恢复提取方法进行了验证。
关键词:MTP模式;智能手机;数据恢复取证中图分类号:TP309.3;TP399-C2 文献标识码:A 文章编号:2096-4706(2018)12-0027-02Data Recovery and Forensics Technology of Smart Phone Based on MTPYE Zhigang(Jinhua Public Security Bureau,Jinhua 321000,China)Abstract:This paper analyzes the data recovery and forensics technology of intelligent collection based on MTP mode,proposes a complete method and process of data recovery and forensics for Android smart phones supporting MTP connection mode and validates the method of mobile recovery and extraction which only supports MTP mode and does not support plug-in SD card.Keywords:MTP mode;smart phone;data recovery forensics0 引言智能手机是现代社会的重要通讯工具,移动互联网的崛起与智能移动终端的广泛使用,使智能手机应用程序进行隐私窃取及恶意攻击等犯罪活动不断增多。
基于Winhex的数据恢复技术在计算机取证中的应用
中更是发挥 了巨大 的作用 。
收 稿 日期 :2 0 1 4 - 0 5 -2 4
‘
作者 简介 :吴琪 ( 1 9 7 6 一) , 女, 吉林 警察 学院信 息 工程 系讲 师 , 主研 研 究 方 向 : 信 息安 全 。 基金 项 目:本 文 系吉林 省教 育厅 “ 十 一五 ” 科研 项 目阶段 性 成 果 。
分 区后 . 格 式 化 程 序 则 建 立 相 应 的 文件 系 统 。根据 分 区 大 小 一 般 将 分 区合 理 划 分 为 四个 主
要部分 : D B R扇 区 、 文件分 配表F A T、 根 目录DI R和 数 据 区 D A T A。D B R 扇 区 记 录 整 个 文 件 系 统 的 重要 参数信 息 。 包 括 保 留 扇 区数 、 F A T表 个 数 、 每个F A T 表大小 、 文 件 系统 大 小 和 根 目录 位 置 等 。
有 所 了解 。
个新 硬盘只有经过分 区 、 格式化后 , 才 能安装操 作系统进行正常使用 。 分区后主引导记录 ( M B R) 就位于硬盘 的0 磁道0 柱面l 扇 区。 硬 盘的主引导记 录共有5 l 2 个字节 , 前4 4 6 个 字节为引导 程序 , 随后6 4 个 字节为D P T ( 硬盘分 区表 ) , 最后 两个字节 为分 区的结 束标志 “ 5 5 A A ” 。通过 分析
一
MB R区 的信 息 可 初 步 判 断 出硬 盘 的分 区数 量 、 每个分 区的大小 、 起始位 置 、 系统 的 文件 类 型 等 信 息 。 当主 引 导 记 录遭 到病 毒 、 人为操作等破 坏后 , 部 分 或 全 部 分 区则 会 丢 失 , 掌握 了 主 引 导 记 录 MB R扇 区 的 结 构 。 根 据数 据信息 特征 。 重新 推算计算 分 区大小及 位置 , 按 照 这 个 结 构 重 建 一 个 MB R扇 区 , 即可 恢 复 。
数据恢复技术在计算机取证系统中的应用
计算机取证技术将向以下几个方 向发展 : () 1取证 工具 向智 能化 、 业 化 和 自动化 方 向 专
发展 .
() 2 取证工具 ( 软件 ) 本身 的可靠性、 安全性和 可用性进一步地提高 . () 3 在工具软件 的开发 上应该结合计算 机领 域内的其他理论和技术 , 以代替大部分人工操作 . 此外 , 利用无线局域网和手机、D 、 P A 便携式计
维普资讯
・
12 ・ 3
成 都 大 学学报 ( 自然科 学版 , b 览 器数 据缓 冲 , We 浏 书 签、 历史记录或会话 日志、 实时聊天记录等等 . 电子取证 的方法包括数字 鉴定法 , 数据 检查 法, 数据对 比法 , 数据保护法 , 数据分析法 , 证据抽
中图分类 号 :P 0 T 39 文献标识码 : A
0 引 言
随着信息 技术 的不断发展 , 计算 机越来 越多 地 参 与 到人 们 的 工 作 与 生 活 中 , 计 算 机 相 关 的 与
计 算 机犯 罪案 例 ( 电子 商 务 纠纷 , 业 机 密信 息 如 商
12 计算机取证的特点 . 计算 机 取证 主要 是 围绕 电子 证 据来 展 开 工 作 的 , 目的就 是将储存 在计算机及相关设备 中反 其 映犯 罪者 犯 罪 的信息 变 成 为有 效 的诉讼 证 据 提 供
注 的焦 点 .
机或计算机系统运行过程 中产生 的, 以其记 录的 内容来证 明案件 事实的电磁记录物 . 与传统 证据 样, 电子证据必须是可信的、 准确 的、 完整的、 使 法官信服的、 符合法律法规 的, 即可为法庭所接受
刑侦电子取证技术研究与应用
刑侦电子取证技术研究与应用随着科技的发展和互联网的普及,电子取证逐渐成为刑侦工作中不可或缺的重要手段。
电子取证技术的研究和应用对于破案、打击犯罪具有重要意义。
本文将着重探讨刑侦电子取证技术的研究现状、应用场景以及面临的挑战。
一、研究现状1. 数据恢复技术数据恢复技术是电子取证的基础。
随着存储技术的不断更新迭代,对于已删除或格式化的文件的恢复变得越来越困难。
科学家们通过研究文件系统原理和数据重建算法,开发出了多种数据恢复工具和方法,以提高取证的效率和准确性。
2. 数据采集和分析技术在刑侦工作中,数据采集和分析是关键的环节。
电子取证专家使用各种先进的数据采集工具和技术,可以从嫌疑人的电脑、手机、云存储等设备中收集到关键的证据信息。
同时,数据分析技术的发展使得电子取证人员能够从庞大的数据集中提炼出有价值的信息,为案件的侦破提供指导。
二、应用场景1. 网络犯罪取证随着网络犯罪的不断增加,刑侦部门在网络空间中开展取证工作变得越来越重要。
刑侦电子取证技术可以对黑客攻击、网络诈骗、网络盗窃等各类网络犯罪行为进行追踪和嫌疑人的身份溯源,从而有效打击网络犯罪。
2. 数字取证数字取证是涉及计算机或其他数字化媒体的犯罪案件的一种取证方式。
刑侦电子取证技术在数字取证方面扮演着重要角色,可以通过分析计算机硬件、操作系统、网络通信记录等,获取犯罪嫌疑人的关键证据,如通信记录、文件修改记录等。
3. 移动设备取证移动设备取证是对手机、平板电脑等移动设备进行取证分析。
移动设备储存了大量的个人信息,如通话记录、短信、社交媒体聊天记录等,这些信息对于破案至关重要。
电子取证技术可以帮助刑侦部门从移动设备中提取出关键的证据,加速案件的侦破过程。
三、面临的挑战1. 隐私保护与合法性在电子取证过程中,保护信息安全和个人隐私至关重要。
但是,对于一些敏感的案件,可能需要对嫌疑人的手机或电脑进行深度取证,这会涉及到隐私权和合法性的问题。
因此,电子取证技术需要在合法合规的框架下进行研究与应用,确保公平和正义的实现。
数据恢复技术的应用与原理
数据恢复技术的应用与原理近年来,随着计算机和移动设备的广泛应用,数据的重要性愈发凸显。
然而,由于各种原因,我们常常会遇到数据丢失或损坏的情况,这不仅给我们的工作和生活带来了困扰,更对个人和企业的利益造成了不可估量的损失。
为了解决这一问题,数据恢复技术应运而生。
本文将介绍数据恢复技术的应用领域以及其原理。
一、数据恢复技术的应用领域1. 个人用户个人用户是数据恢复技术的重要应用对象。
个人用户的数据丢失或损坏可能是由于误操作、病毒攻击、硬件故障等原因引起的。
数据恢复技术可以帮助个人用户从磁盘、U盘、移动设备等存储介质中恢复误删除、被格式化或损坏的数据。
例如,当我们误删了重要的文件时,可以借助数据恢复技术将其找回,极大地方便了个人用户的日常使用。
2. 企业和组织对于企业和组织而言,数据的安全性和重要性更加突出。
数据丢失对企业造成的经济损失和声誉损害都是不可小觑的。
数据恢复技术可以帮助企业和组织从各种存储介质中恢复数据,以应对硬件故障、系统错误、黑客攻击等造成的数据丢失。
同时,数据恢复技术还可以用于恢复服务器、数据库等关键系统的数据,保障企业和组织的正常运转。
3. 科学研究科学研究过程中产生的数据是研究者辛辛苦苦收集和整理的宝贵财富,因此数据恢复技术在科学研究中也具有重要应用价值。
无论是实验数据的丢失还是实验设备的故障,都可能导致科学研究的中断和结果的丧失。
借助数据恢复技术,科研人员可以从崩溃的设备、受损的存储介质中恢复数据,保障研究工作的进行。
二、数据恢复技术的原理1. 逻辑恢复原理逻辑恢复是指通过软件手段恢复因误操作、病毒感染等导致的数据丢失。
逻辑恢复主要是通过对文件系统的分析,找回被删除、被覆盖或被格式化的文件。
恢复软件通过扫描存储介质,识别已删除文件的文件头信息,然后根据文件剩余的数据进行恢复。
逻辑恢复技术适用于较为简单的数据丢失情况,但对于严重的物理损坏或磁盘故障则无能为力。
2. 物理恢复原理物理恢复是指通过硬件手段恢复因硬件损坏、磁头崩溃等造成的数据丢失。
数据恢复技术在计算机取证中的应用
提 供 理 论 支持 。
关 键 词 : 据 恢 复 ; 除 : 证 数 删 取
中 图分 类 号 : P3 3 T 9
片 的” 取 证 恢 复 的 范 罔 不 单 单 是 应 用 文 件 还 有 系 统 文 j
后 还 会 留 有 原来 分 区 的 痕 迹 , 辑 盘 被 重 新 格 式 化 后 也 留 逻 有 原 来 卷上 的一 些 痕 迹 。尤 其 重 要 的 是 文 件 操 作 , 件 的 义 增 加 、 除 、 改 会 使 系 统 中 产 生 许 多 临 时 文 件 和 中 间 文 删 修
维普资讯
第 7卷 第 9期
2008年 9月
南 阳 师 范 学 院 学 报
J u n lo n a g No m a ie st o r a fNa y n r lUn v riy
Vo . NO 9 17 . S p 2 08 e . 0
2 硬 盘 结 构
2 1 主 引 导 扇 区 MBR .
取 证 据 具 有 法 律 效 力 。取 证 应 按 标 准 进 行 , 使 用 经 过 有 并
关 部 门认 证 的 取 证 1 具 _ 、
MB R是 由分 区 程 序 产 生 的 , 同 的 操 作 系统 该 扇 区可 不
文 献 标 识 码 : A
文 章 编 号 :6 1— 12 2 0 )9— 00— 3 17 6 3 (0 8 0 0 6 0
l 计 算 机 取 证 中 的 数 据 恢 复
手机取证调研报告
手机取证调研报告手机取证是现代社会中重要的司法技术手段,能够在刑事、民事、行政等案件中起到至关重要的作用。
本文将对手机取证进行一定调查和研究,以期对手机取证技术的现状和发展趋势有更深入的了解。
首先,我们收集了大量的文献和资料,了解了手机取证的基本概念和技术原理。
手机取证是指通过技术手段获取手机储存的各种信息,包括通话记录、短信、相册、通讯录等。
手机取证的技术原理主要包括数据恢复和数据分析两个方面。
数据恢复是指通过软硬件工具恢复被删除或损坏的数据,包括物理和逻辑两个层面。
数据分析是指通过技术手段对恢复的数据进行筛选、整理和分析,以获取相关证据。
其次,我们进行了一定数量的问卷调查,了解了手机取证在实际应用中的情况。
调查结果表明,手机取证在犯罪侦查和网络安全领域得到了广泛应用,取得了良好的效果。
同时,手机取证在民事领域的应用也越来越多,例如离婚案件中的通讯记录取证等。
调查还发现,在手机取证过程中,技术手段和专业人员的能力是关键因素。
一些调查参与者表示,他们在手机取证过程中遇到了技术难题,需要专业人员的帮助。
最后,我们对手机取证的发展趋势进行了分析。
据调查和分析发现,随着智能手机的普及和技术的发展,手机取证将面临更多的挑战和机遇。
一方面,手机取证技术将越来越成熟,能够更好地适应不断更新迭代的手机系统和应用。
另一方面,手机取证的难度也会随着技术的进步而增加,一些隐私保护措施和数据加密技术可能会对手机取证产生影响。
综上所述,手机取证是一项十分重要的技术手段,对于刑事、民事、行政等案件具有重要意义。
手机取证的技术原理、实际应用和发展趋势都需要进一步研究和探索,以满足司法机关和公安部门的需求。
数据恢复技术详细概述
数据恢复技术详细概述数据恢复是指通过特定的技术手段从损坏、丢失或无法访问的存储介质中恢复被删除或损坏的数据。
数据恢复技术已经广泛应用于个人用户、企业机构和科学研究等领域。
本文将详细概述数据恢复技术的原理、方法和应用,帮助读者全面了解数据恢复技术。
一、数据恢复技术原理数据恢复技术的实现原理是基于存储介质的物理特性和数据的存储原理。
在存储介质上,数据被以特定的格式和方式存储,而删除或损坏的数据实际上并没有被彻底清除,只是在文件系统中被标记为可覆盖的空间。
数据恢复技术通过对存储介质的读取、解析和重建,还原被删除或损坏的数据。
数据恢复技术原理主要包括以下几个方面:1. 存储介质读取存储介质读取是数据恢复的基础。
根据存储介质的类型,可以使用不同的读取设备和方法。
例如,对于硬盘的数据恢复,可以使用专业的硬盘读取设备,通过接触硬盘的磁头读取磁道上的数据。
而对于闪存介质,可以采用直接读取芯片上的存储单元的方法。
2. 数据解析数据解析是将读取的原始数据转换为可读、可理解的数据的过程。
不同的存储介质和文件系统采用不同的数据结构和文件格式,需要使用相应的解析算法来还原数据。
解析算法可以通过分析文件系统结构、读取文件头信息等方式来实现。
3. 数据重建数据重建是根据解析得到的信息恢复数据的过程。
通过解析得到的文件系统结构和文件分配表,可以还原被删除或损坏的文件。
对于已经被覆盖或部分损坏的数据,可以通过数据的特征和模式进行重建。
二、数据恢复技术方法数据恢复技术采用多种方法来实现对损坏或丢失数据的恢复。
根据不同的数据丢失原因和存储介质类型,常见的数据恢复技术方法包括以下几种:1. 删除文件恢复使用删除文件恢复方法可以恢复误删除的文件。
当一个文件被删除时,文件系统只是将该文件标记为可覆盖的空间,而实际上文件的数据并没有被移除。
通过对存储介质的扫描和解析,可以找到被删除文件的存储位置,并将其还原为可读的文件。
2. 格式化恢复格式化恢复用于恢复被格式化的存储介质上的数据。
计算机数据恢复技术研究
三、数据损坏类型及相关恢复方法 ( )文件 的删除及恢复 一
文 件 的 删 除 要 从 两 个 方 面 入 手 : 方 面 要 将登记 的第一个字节成 为 E H 5 ;另 方面查找 出文件在文件分配表 中的镞号并清除记录 , 释放文 件空间。 因此 , 文件 的数据信息如果仍然保 留在硬盘 的数据 中,
计 算机 光盘 软件 与应 用
工 程 技 术 C m u e D S fw r n p l c t o s o p t r C o t a e a d A p i a i n 2 1 第 6期 0 2年
计算机数据恢复技术研究
彭 妮 燕
( 湖北工业 大学武汉航道 学校 ,武汉
40 0 3 00)
摘要 : 随着全球信息化 的不 断加剧 , 息早 已 为社会 发展 的重要资 源,围绕这一资源展开 的竞争也 日 信 成 益激烈 。
而数据是信 息的重要载体 ,所 以 系统与数据恢复技术作 为一种 新技 术就应运 而生了。本 文首先介绍 了数据的存储结 构原理 ,然后 对计算机 数据损 害进行 了分析 ,最后介 绍 了计算机数据损坏的相 关类型及其相 关数据恢复 的方法。
区主要 由一个引导程序 以及一个 B B分 区参 数记 录表 。 P 引导程 那 么此类 的恢复工作 只要通过 一些恢复软件 就可 以完 成数据 序 的任 务便 是负责判断文件是否为 引导文件 , 果是 , 如 那么 就 恢复工作, 是需要注意的是恢复后的数据不能再存放到故障 但 读入 内存 ,并且将 其的控制权交给该文件 。 而参数快 B B则记 硬盘 的分区中。 P
一
说过这样一句话 :‘ 创建这些数据也许只花 了 1 O万元 , 但是 当 2 设计数据 的存储路径 . 你 在关键时刻打算把它们全部 找回来时, 你得 准备 1 0万元的 0 在关系数据库 中, 选择存储路径主要是指确定如可建立 索 支票。 ’这句想你 有其 一定的道理 ,但是 ,如 果我们 掌握了数 引 , 例如 ,应把哪些域作 为次码 建立 次索引,建立单码索 引还 据 恢复的技能 , 那么我们就会省下这 1 0 的支票了 , 0万 也许还 是组合索引 ,建立多少个为合适 ,是否建立 聚集 索引等。 会 有意想不到的惊喜 。由此可见 , 计算机数据 恢复技术是多么 3 数据 的存储位置 .
电子证据与数字取证实践案例与技术工具分享
数字取证的流程与规范
流程
数字取证的流程包括案件受理、现场勘查、数据提取、数据分析、证据固定和报 告编写等步骤。
规范
数字取证应遵循一定的规范和标准,如国际标准化组织(ISO)发布的《电子数 据取证过程标准》等。同时,在实际操作中,还需要遵守相关法律法规和伦理道 德要求,确保数字取证的合法性和公正性。
数字取证的技术手段
数据恢复技术
通过特定的技术手段,恢复被删 除、格式化或损坏的数字数据, 以获取与案件相关的电子数据证
据。
数据分析技术
对提取的数字数据进行深入分析 ,包括文件类型识别、文件内容 解析、元数据提取等,以发现和 验证与案件相关的线索和证据。
数据挖掘技术
利用统计学、机器学习等方法, 对大量数字数据进行挖掘和分析 ,以发现隐藏在数据中的模式、 趋势和异常,为案件侦破提供线
06
技术工具介绍:数字取证 技术应用工具
工具一:恶意软件分析系统演示
静态分析
通过反汇编、反编译等技术手段,对恶意软件进行静态分析,提 取关键信息,如恶意行为、代码结构等。
动态分析
在受控环境下运行恶意软件,监控其行为并进行记录,以便后续 分析和取证。
恶意软件识别
利用已知恶意软件样本库进行比对,快速识别恶意软件及其变种 。
定义
数字取证是指利用计算机科学、法学、侦查学等学科的理论和技术,对数字设 备、数字数据、数字信息进行收集、保全、检验、分析、认定,以提供具有法 律效力的电子数据证据的过程。
原理
数字取证遵循数据恢复、数据分析和数据挖掘的基本原理,通过对数字设备中 存储的数据进行提取、恢复、分析和挖掘,以发现和验证与案件相关的电子数 据证据。
工具二:数据恢复软件在数字取证中的应用
数据恢复对策分析与研究
摘
要: 分析 了数据 恢 复技 术 的工作 原 理及 常见 的 几种 由于误操 作或 数 据被破 坏 所 造成 数据 丢 失的恢 复 策略。 以及
加 强数 据 完 整 性 的 保 护 措 施 。 关 键 词 : 存 储 技 术 ; 据 恢 复 ; 态硬 盘 磁 数 固
中 图分类 号 : P 0 T 39
复 通 常 只 能 在 数 据 文 件 删 除 之 后 相 应 存 储 位 置 没 有 写 入 新 数
据 的情况 下进 行 。一旦 写入新 的数据 . 粒子 极性 将无 可挽 回 磁 的被 改变 , 而 使得 旧有 的数 据真 正意 义上 被清 除 。 外 , 了 从 另 除
磁 存 储 介 质 之 外 , 它 一 些 类 型 存 储 介 质 的 数 据 恢 复 也 遵 循 同 其
样 的原理 , 如U盘 、 F 、 D 等等 。 因为这 些存 储设 备 也 和 例 C卡 S卡 磁盘 一样 使用 类似 扇 区 、 这样 的方式来 对 数据进 行 管理 。 簇 在 了解 了 数据 恢 复 的原 理 之后 , 可 以理解 . 什 么使 用 就 为
普 通 的文 件 删 除 、 式 化 硬 盘 , 据 也 有 希 望 被 找 回 的 原 因 了 。 格 数 这也 是很 多恢 复程 序基 于 的恢 复工作 原 理 。
器 开始扫 描 。如 图l 示 ; 扫描 完成 后 , 示 初步 的搜 索 结 所 ③ 将显 果 , 时 右侧 将 会 出现 我 们 删除 的 文件 ; 在 右 侧 列表 框选 取 此 ④
要恢 复 的文件 , 击程 序 菜单栏 上 的 “ eoe” 点 R cvr 按钮 进行 恢复 。
22 硬 盘 误 格 式 化 的 恢 复 策 略 .
计算机取证中数据恢复技术探讨
文件存 储格式 、A F T个数 、 分配单 元 的大 小 、 目录大 根
小 、 始 扇 区和 结 束 扇 区 等 重要 参 数 。 起
( )A 3 F T区 ( 件分 配 表 ) 文 F T (i lct n T be 文 件 分 配 表 ) 文 件 寻 A Fl Al ai a l, e o o 是
文 件存 储 空 间 中 的数 据 信 息 仍 然 存 在 .则 此 类 型 数 据 的恢 复 也 只需 通 过数 据 恢 复 软 件 ( 如 WiH x 、ia 例 n e Fnl — D t、 a rcvr 等 ) 可 将 数 据 恢 复 。 a E s eoey 便 a y 同 时 . 果 文 件 存 储 时 是 连 续 存 储 的 . 可 以完 整 如 则 地将数据恢复 . 如果不是连续存储 的 . 但 或存 储 文 件 的
被 覆 盖 文 件 数 据 将 很 难 被 恢 复 但 如 果 文 件 是 连续 存 储 的. 即使 被 新 的文 件 覆 盖 . 么 新 数 据 也 只 是覆 盖 分 那 区前 面 的部 分 空 间 . 样 . 下 存 储 空 间上 的数 据 内容 这 剩 仍 然 可 以被 恢 复 出来 ( ) 区 表 被损 坏 的数 据 恢 复 3分
被引导程序 占用 . 随后 紧接着的 6 个字 节由 D T Ds 4 P (i k
Prt nT be 硬 盘 分 区表 ) ati al. io 占用 . 后 的 两 个 字 节 “5 最 5
来。 计算机数据被删除后 . 其所 占有的硬盘存 储空间如
果 没 有 被 新 的 数 据 覆 盖 或 只 有 部 分 存 储 空 间被 覆 盖 . 则 可 通 过 一 定 的 技 术 手 段 把 这 些 数 据 恢 复 显 示 出来 .
数据恢复在司法鉴定中的应用调查研究
[ 关键词 ] 电子证据
数据恢复 司法鉴定 1 . 依法, 电子数据司法鉴定活动 的过 程和结果都受到法律的保护 。2 . 科 学, 电子数据 司法鉴定原 理以及方法 都必须正确 、 可靠 , 其 过程和结果 必 须可 以重复再现 。3 . 客观 , 电子数 据司法 鉴定活动要 根据原 始材料 和 客观事实进行 , 其 结论必须客观 中立 。4 . 独立 , 鉴定机 构及人员不受 外界 因素干扰 , 独立 表达意见 。5 . 接受监 督 , 鉴定活动必 须有监督机制 进行约束 , 以便保证 电子数 据司法鉴定 活动的合 理 、 合法 、 公平、 公正。 不论 是基 于那 种分类所 得到 的电子 数据 , 其 司法鉴定技术 都大 同 小 异。对于单机取证 所采用 的技术有 7 种, 包括证据保全技 术 、 数据恢 复技 术 、 加密解 密技术 和 口令获取 、 隐藏数据 的再 现技术 、 信 息搜索与 过滤技术 、 逆向工程技术 、 芯片数据提取技术 。基 于网络的取证技术有 网络环境下 的证 据保全技术 、 日志分 析技术 、 数据捕 获技术 、 现场重建 技术 。 ( 五) 电子数据 司法 鉴定 的工具 和取证原 则 目 前 应用于 电子数据 司法鉴定 的工具 非常多 , 总体分为硬 件工具 和 软件 T 具 。硬 件 工 具 有 硬 盘 取 证 设 备 , 例 如 国 内硬 盘 拷 贝 机 D C 一 8 1 0 1 , 主要 实现疑犯 硬盘 的拷贝 , 这 些设备有 很好 的校 验机 制 , 实 时计算疑犯硬 盘和拷贝盘的哈希值 , 确保 疑犯盘 数据 未被改动 ; 取证勘 验箱 , 是取证人 员拥有 的一套 针对光盘 、 闪存 、 各类 存储卡 的移 动取证 平 台; 司法分析 服务器 , 即配置 了多种 只读接 口的高性 能 、 大容 量专用 电子证据分析计 算机 , 能够充分提高证据分析 、 处理 的效 率。软件类工 具特别 多 , 可 以分 为综合取证分 析软件 ( 例如E n C a s e 、 取证大师 等) 、 数 据恢复 工具 、 文件查看工具 、 文件搜索和检测工 具 、 校验和 H a s h 值计算 工具 、 解密工具 、 网络鉴定工具 、 磁 盘镜像 虚拟工具等 。 电子 数据取证是 要收集 电子数据证据 , 电子证据 的易受损 特性对 收集证 据 、 审查判 断证 据都提 出了严格 的程序要 求 : 1 . 必 须及 时 , 证据 的获 取有一定 的时效 性 。2 . 取 证过程合 法 , 取 证过程必 须按照法 律 的 规定进行 。3 . 多备份 , 含有证据 的媒介至少应制作 两个 副本。4 . 保证环 境安全 , 计算 机证 据要妥善保存 , 防止 因物理环境 或人为因素而遭到破 坏 。5 . 取证过程严格管理 。 二、 数据恢复技 术在 电子取证 中的应 用现状分析 ( 一) 数据恢复 的概述 电子数据恢 复技 术是指通过技术手段 , 对保存在 台式机硬盘 、 笔记 本硬 盘 、 服 务器硬盘 、 移动硬 盘 、 u盘 、 数码 存储卡 、 M P 3 等设备 丢失 的 电子数 据进行抢 救和恢复 的技术 , 一般 分为软件恢 复技术和硬 件恢复 技术 。信 息与人们的生活工作越来越密切 , 很多重 要的数据都 以电子 数据 的形式保存 。但 是 电子数据经常会 因为某种 因素而遭到破坏 。病 毒破坏 、 黑客入侵 、 人为误操 作 、 人为恶 意破坏 、 系统 的不稳定 、 存储介 质损坏等原 因都有可能造成数据 的丢失 。一旦数据 丢失 将会给人们带 来 巨大 的损失 , 在案件侦破 过程 中甚至关 系到 司法公正 和法律 的尊严 。 ( 二) 研究思路 为 了了解数据恢 复在 司法 鉴定 中的应 用 , 课题组 在集 中学 习相关 理论知识 的基础上确定 了研 究的基本思路 : 1 . 我们对公安机关 各警种 、 各职 能部 门进行 了走访调查 , 从而 了解 了数据恢复 在司法鉴定 以及侦 查 中的基本 现状 。2 . 采用调查 问卷 的形 式获取具 体的数据 , 进一 步 了 解 了数据 恢复在 司法鉴 定中的应用现状 以及存 在的问题 。3 . 根据调查 结果 , 总结其 中的问题 , 提 出解决方 案。 ( 三) 数据恢 复技术在 司法鉴定 中应用现状 的具体分析 1 . 日常工作及生活 中的数据 丢失现象及人员情况分析 经调查可知 9 8 %的人 , 在使用计算机时候都有过丢失数据 的现象 。 从图 1 可知 , 数据丢 失主要 是 由于 意外情况 ( 如突然 断电 , 数 据未 保存 ) 、 病毒感 染和硬 件故障 , 分别所 占比例为 4 0 . 4 %、 2 6 . 9 %和 3 0 . 8 %, 使用 不 当( 误删 除 、 格式化 ) 的情 况 占2 3 . 1 %。丢失 数据 的电子设 备主 要是人 们常用 的手机 、 电脑 硬盘和优 盘。遇到此类情 况有多于 一半 的 人会选择放弃或者重做 。可见很 多人 没有数据恢 复意识 。
FAT32文件系统数据恢复在网络取证中的研究
[ 关键词 ] F A T3 2 数据恢复
1 . 背 景
D BR F DT
文件 系统
随着计算 机技术 和网络技术 的飞速发展 , 人类社会 网络信息 化程
度 日益增加 、 对 网络 的依赖性 日益增强 , 由于 网络具有虚拟性 和开放性 的特点 , m现 了大量 以计算机 和互联 网为 r 具或 以计算 机和互联 网应 用 及数据 为对象 的犯 罪活动 。为防止非法入侵 和阻止 网络犯罪 , 仅 靠 诸 如防火墙和入侵检测 系统等 安全 产品的过滤和预警功能是远远 不够 的 由于黑客攻击水平 不断提高 , 网络犯罪呈 多样化发展 , 另外 . 网络 犯 罪行为 也可能是正 常的 网络 活动 , 如通过 即时通 信 、 E ma i l 等传播非 法 信息。 因此 , 要从根 本 上解决 网络 犯罪问题 , 就要依靠法 律 , 利用有 效 的法律 手段对黑客行为 、 对各种 各样 的网络 犯罪予以制裁 , 这 当l 1 1 关 键 的问题之一 就是取证 。网络取证 不仅是对于黑 客入侵行 为的取证 , 正常 的网络行为也可能是需要取证 的非法信 息。在网络犯罪手段不断 升级 的形 势下 , 为了能够有效的打击 网络犯罪 , 需 要从基于 网络的角度 来进 千 亍 电子取证 的研究 。网络取证 正是 在这种形 势下产生 和发展的 , 它标 志着网络安全 主动防御理论 的成熟 。 当前 , 为_ 『 使用和管理的方便 , 数据大 多以文 件的形式存储在特定 操作 系统的硬盘 巾。 网络犯 罪过程 巾, 犯罪嫌疑人 反侦察意识 的加强 和反取证 技术的使用 , 特别是对一些敏感 重要 的数据信息的删除 , 使取 证工作 变得比较困难。常用 的方式是人 为地将犯 罪资料等数据从硬盘 中彻底删 除, 比如删除网络监控 日志文件等 , 进 而导致犯罪证据的破坏 或者丢失 。因此 , 如何能够从硬盘 中快速准确地恢 复被破坏的数据 , 为 打 击犯罪提供有 力的证据 , 成 为网络取证研 究的一个重要方面。 2 . F A T 3 2文 件 系统 结 构 微软 的文件 系统 主要有 F A T、 N T F S 、 E x F AT ?当前 , F A T文件 系统 中的 F A T 3 2应 用最 为 广泛 。F A T 3 2义件 系统 由 D B R及其 保 留扇 、 F A T 1 、 F A T 2、 D A T A区 四个部分组成 , 分圳是 : ( 1 】 D B R: ( D OS B o o t R e  ̄ ・ o r d ) 操作 系统 引 导记录区 , 通 常位于硬盘的 0 柱L 面1 扇区 , 是操作 系统 可以亢接访 问的第 一个扇区 。由跳转指令 、 厂商 标示及 D O S 版本 号 、 B P B、 D O S 引导 程序 、 结束标 志 5 部 分组成 : 其 , t l , B P B 中的信息埘 于数据恢复的文班 尤为重 要 , B P B中记 录着本分 区 的文 件存储格式 、 起始扇 区 、 硬盘介 质描述符 、 结束 扇区 、 F AI ’ 个数 、 分 配单元 的大小 和根 目录大小等重要信 息。 ( 2 ) F A T( F i l e A l l o e a t i r m T a b l e ) : 文 件分配 表 , 表 示文件 硬盘 【 t 1 存 储位 置的瞀记 表 , 是 系统 中文仲 的寻址 系统 。F AT 不 真正存储 文件的 内容。 为了数据 安全 起 。 F A I ’ 一 般生 成两个 , 第二 个 F A 1 为第 一个 F A T的 备份 。● A T表 南F A T表项 构成 , 每个F AT表项 占4宁节 3 2位 。 F A T 前2 簇 即簇 0 和簇 l 为保 留簇 , 不分配使 J L H 。文件 的结束簇 标 记为 F r F F F F O F; 一个 F A T表项值表 明了文件 占用 的一个簇号并指 明下 一 簇 号 的位 置 。 f 3 ) F D T ( F i l e D i r e c t o l T T a b l e ) 文件 目录表 , 是 文件 系统 的根 目录区 , 紧接 第二个 F A T表之后 。磁 盘进行格式 化的时候 , 就 已经 为整个磁盘 建立 了… 一 个 根 日录 F D T 。根 目录下的所有文件及其 子 目录存根 目录的 文件 目录表( F D T) 中都有一个 “ 目录项 ” 。每个 目录髓记项 占用 3 2个字 节, 分为8 个 区域 , 提供 有关文件或子 目录的信息 。包括 了文件的文件 名、 扩 展名 、 文件的创建 日期 、 创建 时间 、 访 问 日期 、 访问时间 、 最后写 口 期、 最后写 时间 、 文件 的长度 、 起 始簇 的 高低 位。其 目录项 对应关 系如
数据恢复技术在涉案计算机侦查取证中的应用研究
①基金项目:四川省教育厅2017年度科研课题(项目编号:17ZB0295);四川省教育厅2016年度省级大学生创新创业训练计划项目(项目编号:201612212022);四川警察学院2018年度教改项目(项目编号:2018YB07)。
作者简介:张明旺(1983—),男,汉族,湖北荆州人,硕士研究生,讲师,研究方向:网络安全、电子数据取证。
DOI:10.16660/ki.1674-098X.2018.06.170数据恢复技术在涉案计算机侦查取证中的应用研究①张明旺 侯智文(四川警察学院 四川泸州 646000)摘 要:随着科技的进步,犯罪分子的犯罪手段也越来越高技术化,犯罪分子反侦察意识的增强,会有意识地将存储设备中的犯罪证据销毁,给公安机关侦查取证带来不小的困难。
数据恢复是一种从被损坏或删除的文件中恢复有价值数据,当重要电子证据丢失或损毁时,如何快速恢复电子数据是侦查人员必须掌握的技术。
在结合已有的数据恢复软件和取证工具的基础上,重点介绍了利用WinHex软件,根据文件签名特征和关键字搜索方法快速恢复数据,并在实际案例中发挥很大的作用。
关键词:数据恢复 WinHex 侦查取证中图分类号:TP30 文献标识码:A 文章编号:1674-098X(2018)02(c)-0170-04Abstract:With the progress of science and technology, the means of crime crime means more and more intelligent, with the awareness of anti investigation, criminals will have the awareness of evidence of a crime will be a storage device for destruction, poses difficulties for investigation of public security organs. Data recovery is a way to recover valuable data from damaged or deleted files. How fast electronic data can be recovered when an important electronic evidence is lost or destroyed is a skill that investigators must master. On the basis of the existing data recovery software and forensics tools, focuses on the use of WinHex software, the rapid recovery of data according to the file signature features and keyword search method, and play a significant role in the actual case.Key Words:Data recovery;WinHex;Investigation and evidence collection根据中国互联网络信心中心2017年7月发布的第40次《中国互联网络发展状况统计报告》显示,截至2017年6月,我国网民数量达到7.31亿,较去年新增网民共计1992万人,互联网普及率超过54.3%,其中,手机网民数量达到7.24亿,较去年新增共计2830万人,网民中使用手机上网人数占比由2016 年底的95.1% 提升至96.3%[1]。
基于数据恢复技术的电子数据调查研究
基于数据恢复技术的电子数据调查研究随着数字化时代的到来,网络犯罪日益增多,警方调查犯罪案件的工作也变得越来越艰难。
电子数据调查技术应运而生,成为现代刑侦工作中不可或缺的重要手段之一。
其中,基于数据恢复技术的电子数据调查备受关注。
什么是数据恢复技术?数据恢复技术是一种通过各种技术手段把损坏或删除掉的数据重新恢复的技术。
如今,数据恢复技术已经形成了一种完整的行业,各个公司和学术机构都在研究和应用这项技术。
数据恢复技术主要包括硬盘数据恢复,文件数据恢复,丢失分区数据恢复,数据库数据恢复等。
基于数据恢复技术的电子数据调查在犯罪调查中,涉及到的大量数据需要进行检索和分析。
但是,使用传统的方法进行取证和调查已经难以胜任这项大量而繁琐的工作。
基于数据恢复技术的电子数据调查,尤其是在网络犯罪调查中,已经成为刑侦工作中越来越不可缺少的手段之一。
基于数据恢复技术的电子数据调查可以从物理层、逻辑层以及用户层对数据进行恢复,尤其是在硬盘和存储介质中的数据,可以被恢复。
这项技术可以帮助警方快速且准确地找出被删除和隐藏的关键信息,如:涉案人员的通讯记录,交易记录以及相关的文件,从而为案件调查提供重要的证据。
数据恢复技术的应用举例有一些案例可以很好地说明电子数据调查中数据恢复技术的应用。
比如,之前一起涉及到大量涉及黑客软件的案件,通过对电脑硬盘进行数据恢复,警方成功地找到了黑客软件的源代码,从而追溯案件的蛛丝马迹。
这也成为了国内重要的网络案件之一。
又比如,在一些跨国案件的调查中,通过对公共的云存储服务进行数据恢复,结果获得了重要的证据,为案件侦破提供了实质性的帮助。
数据恢复技术的未来数据恢复技术在电子数据调查中的应用是不可忽视的,但是这项技术仍然存在许多挑战和问题,例如,数据恢复技术本身的复杂度和不确定性,以及法律和隐私问题等。
未来,随着技术的发展和法律的完善,在数据恢复技术的研究和应用方面,我们相信会有更好的表现和成果。
结语数据恢复技术在电子数据调查中的应用是非常有利的,它可以帮助警方快速、准确地找到被删除和隐藏的信息,从而为案件调查提供重要的证据。
取证系统中数据恢复关键技术研究
王中杉 刘乃琦 秦 , ,
摘
科 倪 ,
程。
(. 1 电子科技 大学 计算机科 学与工程 学院 , 成都 605 ; . 104 2 四川 大学 计 算机除文件在 未被覆 盖之前 , 其存储 方式 为连 续和 离散存储 。针 对连 续存储提 出 了一种 准 确 匹
第 2 卷 第 9期 5 20 0 8年 9月
计 算 机 应 用 研 究
Ap l a in Re e r h o o u e s p i t s a c f C mp tr c o
V0 . 5 N . 12 o 9 Sp 20 e. 0 8
取 系 中数 据 恢 复 关 键 技 术 研 究 证 统
.
本 文将分析已删 除文 件连续存 储的恢复关 键技术及 其离
0 引言
取证分析是对 已发生事件进行保存 、 重构 、 归档 、 翻译 的一 个分析过程 J 。它致力于对犯罪分子 如何入侵 计算机 以及在 入侵成功后所做的事情 给 出一个 完整 的回答。犯罪 的各种数
散存储 的恢 复关键技术 , 并重点分 析后者 , 出一种 基于 P M 提 P
t h ooy m l e rd t nb a i a hn P M)t b i o t t o e a dc m u a dd t p b bli f e n lg .E po d pe i i yp r a m t i c y co t l c g( P o u dac ne d l n o p t c n i e r a it so l xm e a o ie teps b daec fw ou etrg n , n dpe 一 rn gt ho g rn o e m os l t e n y h s l ajcnyo o cm n f met adaotd Bpu i cnly t p esm psi e r e e o ie t d a s n e o ou i b e o b
基于Winhex的U盘文件碎片化的数据恢复研究
基于Winhex的U盘文件碎片化的数据恢复研究Winhex是一种常用的计算机取证软件,具有强大的数据恢复和文件分析功能。
通过使用Winhex软件,可以对U盘中的碎片化文件进行深度扫描,找出文件的碎片,并通过对碎片进行组合,恢复原始文件。
与传统的文件恢复方法相比,基于Winhex的数据恢复技术可以更加精确地找到文件的碎片位置和内容,提高文件恢复的成功率。
在进行U盘碎片化文件的数据恢复之前,首先需要了解U盘文件的碎片化原理。
在文件被删除或移动后,文件系统会将文件所占用的存储空间释放出来,但并不会实际删除文件的内容。
当新的文件被写入U盘时,文件系统会将新文件的内容分散地存储在U盘的不同区域,而原来的文件内容则成为了碎片化的部分。
通过对U盘进行扫描和分析,可以找到被删除或移动文件的碎片,并将其组合起来还原为原始文件。
第一步,打开Winhex软件,选择U盘作为目标设备,并进行扇区级别的扫描。
Winhex 支持对U盘的低级别扫描,可以将U盘中的全部扇区进行扫描,找到所有的文件碎片。
第二步,使用Winhex的分析功能,对扫描到的文件碎片进行排序和分类。
Winhex可以根据文件的特征和结构,对碎片进行自动分类和排序,提高文件恢复的效率。
第三步,对文件碎片进行组合和还原。
根据Winhex的分析结果,可以将碎片按照一定的顺序进行组合,从而恢复原始文件。
在组合过程中,需要特别注意文件的顺序和对齐的正确性,以确保还原后的文件能够正常打开和使用。
第四步,对恢复后的文件进行验证和测试。
通过使用相关的软件或工具,对恢复后的文件进行验证和测试,以确保文件的完整性和可用性。
如果发现恢复后的文件存在问题,可以通过对文件的进一步分析和处理,进一步提高恢复的效果。
基于Winhex的U盘文件碎片化数据恢复技术具有一定的局限性。
由于U盘中的文件碎片化情况复杂多样,恢复过程中可能会出现一些问题和困难。
为了提高基于Winhex的数据恢复技术的成功率和效果,需要在实践中不断总结经验,并不断改进和完善相关的技术方法和工具。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
音频 、 文档和 图像等数据 , 因此相较一般 的数据恢复 , 有其 自身
的特 点 。
图 1 短 文件 名恢 复 流程 图
2 . 1数据恢复取证 的合法性 电子证据取证 的每一步都要严格遵循国家的法律程序 , 严 格遵 守公安机关的 《 电子数据 鉴定规则》 等法规 , 公正严谨地运 用有关部 门认定 的工具进行计算机取证工作。 2 . 2数据恢 复取证 的全面性
【 关键词 】 数据恢复电子证据文件 系统数据恢复取证
1引 言
F A T表 中的簇链信 息将被清空Ⅲ , 变为未分配状态 , 只要文件 内 容对应 的簇群 未被 再次分配利用 , 此文盘上 的, 只 是在用户 使用 的层次上
以及 在 文 件 系 统 中 变 得 不 可 见而 已四 。这 就 是 F A T文 件 系 统 中 数 据 恢 复 的理 论 基 础 。 3 . 2 F A T文 件 系 统 中短 文 件 名 恢 复
【 摘 要】 数据恢复技 术是政府公检 法部 门信息取证 的重要技术手段 , 在 打击高科技犯 罪活动 中起到 重要 支撑 作用。
本文对 F A T 3 2 、 NT F S格 式 文 件 系统 的 数 据 恢 复 理 论 进 行 研 究 , 并设计给 出F A T 3 2 、 NTF S格 式数 据 恢 复 实现 流 程 , 以及 网络 历 史痕 迹 信 息提 取 方 法 , 该技 术 经检 验 可 直接 应 用 于数 据 恢 复 取证 。
取 证 时 不 仅 要 对 由于 计 算 机 病 毒 破 坏 、 程 序 错 误 或 人 为 删 除 的数 据 进 行 恢 复 , 还 要 对 加 密 数 据 或 经 专 业 工 具 擦 除 的数 据
F A T文件系统 中短文件 名恢 复流程 如图 1所示 , 主要步骤
如下 :
1 . 判断磁盘分区类型, 若为 F A T则继续, 否则结束本次;
取 证过程应尽量保证取证对象不遭受改变 , 如 对 取 证 的存
5 . 若为短文件名 目录, 读取短文件名并记 录, 该记录不包含
第一字节 : 6 . 遍 历系统文件夹 , 查 找 是 否 存 在 与 此 只 相 差 第 一 字 节 的
储 盘进行 复制之后才进行数据恢复工作 。
3 F A T系 统 数 据恢 复 的设 计 与 实 现
步;
7 . 若 无法直接查 到相差首字符 的文件 , 则通 过字符 的统计 概率来预 测可 能的文件名 ; 8 . 验证得到 的文件名 , 若有意义 , 参 照文件 中的某 些关键字 来判断文件名的有 效性 , 至此结束恢 复流程 。 3 . 3 F A T文件系统下长文件名恢复
文件 名; 若存在 , 根据文件 的基本信息如创建 时间、 大小等来确 定是否为同一文件 , 若是, 则直接进行文件恢 复, 若不是则转下
一
F A T是 Wi n d o w s 操作系统下常见的磁盘分区格式之一 , 本 节主要进行 F A T文件系统的数据恢 复研 究。 3 . 1 F A T格式数据恢复理论
意义I l _ 。2 0 0 4年 马加 爵案 , 警方通过硬盘数据恢复分析 , 最 终锁 定犯 罪嫌 疑人 于三亚 , 成功破 获案件 ; 2 0 1 0年 , 警 方利用数据恢 复取证技术成 功破获 了“ 傀儡机恶意 攻击服务器 ” 案; 2 0 1 2年 , 警方通过恢复一 台被格式化 的数码 相机 成功破获一起“ 连 环盗
随着 国家信息化建设的深化 , 高科 技犯 罪活动和违法活动
不断增多 , 犯罪 分子反侦 察的意识越 来越强 , 为 了毁 灭 违 法 行
为的 电子数 据 , 人为地删 除或是 恶意地破坏 电子数据 , 给刑事 诉讼 和执法带来很多 困难 。电子证据取证 的难度越来越 大, 也
越 来越受到 重视 , 因此 , 如 何 通 过 数 据 恢 复 技 术 找 到 犯 罪 活 动 或违 法 活 动 的 电子 证 据 , 对 于 打 击 犯 罪 和 公 正 执 法 具 有 重 要 的
窃案” 。
本文以 X X公 安 数 据 恢 复 取 证 系 统 为研 究 支 撑 ,项 目 目标
为构建电子数据恢 复系统,主要提供对遭受破坏 的 F A T 、 N T F S 文件系统下 的电子证 据的数据恢复方案 , 同时研 究互 联网历史 痕迹数据 的提取 , 通 过数据恢 复技术获取 有力证据 , 协助 公检 法等部 门判案。 2数 据 恢 复 取 证 特 点 本文主要关注 的是通 过软件的方式进行的计算机取证 , 获 取嫌疑人存储在计算 机、 U盘 等存 储设备上 以数 字形 式保存的
2 . 定 位 到 该 分 区 的根 目录 区 ;
3 . 对“ E 5 ” 这一删 除标识符进行判 断, 对被删 除文件 目录项
进行查找 ; 4 . 判 断 是 否 为 短 文 件 名 目录项 ;
进行恢 复和提取 , 保证 电子证据 的全面完整 。 2 . 3数据恢 复取证 的原始性
: 塑…堡… 一 …照
UJ l AN CO M P1 3下ER
D O I : 1 0 . 1 6 7 0 7 / j . e n k i . f j p e . 2 0 1 7 . 0 1 . 0 6 0
数 据 恢 复 技 术 在 数 据 恢 复 取 证 中的应 用研 究
万 超
( 福 州大学福建省空间信 息工程研 究中心 福 建 福 州 3 5 0 0 0 2 )
F A T文件 系统下删 除文件并 非真正删 除文件 内容而 只是
做 了一个删 除的标 志[ 3 1 , 将短文件名的首字节标记为 0 x E 5 , F D T 表项 中的起始簇 高位来 标识此文件 名 已经被删 除 ,该文件 在
・
1 1 4 ・ 福建电脑 l 2 o l 7 年 第1 期