计算机取证中的数据恢复技术综述
基于Winhex的数据恢复技术在计算机取证中的应用
中更是发挥 了巨大 的作用 。
收 稿 日期 :2 0 1 4 - 0 5 -2 4
‘
作者 简介 :吴琪 ( 1 9 7 6 一) , 女, 吉林 警察 学院信 息 工程 系讲 师 , 主研 研 究 方 向 : 信 息安 全 。 基金 项 目:本 文 系吉林 省教 育厅 “ 十 一五 ” 科研 项 目阶段 性 成 果 。
分 区后 . 格 式 化 程 序 则 建 立 相 应 的 文件 系 统 。根据 分 区 大 小 一 般 将 分 区合 理 划 分 为 四个 主
要部分 : D B R扇 区 、 文件分 配表F A T、 根 目录DI R和 数 据 区 D A T A。D B R 扇 区 记 录 整 个 文 件 系 统 的 重要 参数信 息 。 包 括 保 留 扇 区数 、 F A T表 个 数 、 每个F A T 表大小 、 文 件 系统 大 小 和 根 目录 位 置 等 。
有 所 了解 。
个新 硬盘只有经过分 区 、 格式化后 , 才 能安装操 作系统进行正常使用 。 分区后主引导记录 ( M B R) 就位于硬盘 的0 磁道0 柱面l 扇 区。 硬 盘的主引导记 录共有5 l 2 个字节 , 前4 4 6 个 字节为引导 程序 , 随后6 4 个 字节为D P T ( 硬盘分 区表 ) , 最后 两个字节 为分 区的结 束标志 “ 5 5 A A ” 。通过 分析
一
MB R区 的信 息 可 初 步 判 断 出硬 盘 的分 区数 量 、 每个分 区的大小 、 起始位 置 、 系统 的 文件 类 型 等 信 息 。 当主 引 导 记 录遭 到病 毒 、 人为操作等破 坏后 , 部 分 或 全 部 分 区则 会 丢 失 , 掌握 了 主 引 导 记 录 MB R扇 区 的 结 构 。 根 据数 据信息 特征 。 重新 推算计算 分 区大小及 位置 , 按 照 这 个 结 构 重 建 一 个 MB R扇 区 , 即可 恢 复 。
数据恢复技术在计算机取证系统中的应用
计算机取证技术将向以下几个方 向发展 : () 1取证 工具 向智 能化 、 业 化 和 自动化 方 向 专
发展 .
() 2 取证工具 ( 软件 ) 本身 的可靠性、 安全性和 可用性进一步地提高 . () 3 在工具软件 的开发 上应该结合计算 机领 域内的其他理论和技术 , 以代替大部分人工操作 . 此外 , 利用无线局域网和手机、D 、 P A 便携式计
维普资讯
・
12 ・ 3
成 都 大 学学报 ( 自然科 学版 , b 览 器数 据缓 冲 , We 浏 书 签、 历史记录或会话 日志、 实时聊天记录等等 . 电子取证 的方法包括数字 鉴定法 , 数据 检查 法, 数据对 比法 , 数据保护法 , 数据分析法 , 证据抽
中图分类 号 :P 0 T 39 文献标识码 : A
0 引 言
随着信息 技术 的不断发展 , 计算 机越来 越多 地 参 与 到人 们 的 工 作 与 生 活 中 , 计 算 机 相 关 的 与
计 算 机犯 罪案 例 ( 电子 商 务 纠纷 , 业 机 密信 息 如 商
12 计算机取证的特点 . 计算 机 取证 主要 是 围绕 电子 证 据来 展 开 工 作 的 , 目的就 是将储存 在计算机及相关设备 中反 其 映犯 罪者 犯 罪 的信息 变 成 为有 效 的诉讼 证 据 提 供
注 的焦 点 .
机或计算机系统运行过程 中产生 的, 以其记 录的 内容来证 明案件 事实的电磁记录物 . 与传统 证据 样, 电子证据必须是可信的、 准确 的、 完整的、 使 法官信服的、 符合法律法规 的, 即可为法庭所接受
计算机取证
摘要计算机取证及数据恢复技术包括两个部分,即计算机取证和数据恢复。
电子证据既有法律方面的问题,也有技术方面的问题,本文就其子集“计算机取证”的技术体系进行研究和分析,指出了计算机取证的技术体系及其层次关系,为深入研究计算机取证提供了一个借鉴。
社会信息化的发展给我们生活带来诸多便捷的同时,也给信息罪犯带来可乘之机。
病毒、黑客、网络攻击的日益泛滥,计算机犯罪案件数量不断上升,搜集电子证据就成为提供重要线索及破案的关键。
计算机取证是使用软件和工具提取和保护有关计算机犯罪的证据。
数据恢复技术,是一门新兴的边缘学科,是技术性与实践性相结合的新技术,需要非常深厚的技术功底和实践经验,绝不是一种简单的流水线作业似的操作。
数据恢复技术目的在于让人们学到如何把硬盘上被破坏的数据抢救回来、以及如何保护硬盘中的重要数据的方法。
它同时要求人们通过各种手段来把丢失和遭到破坏的数据还原为正常的数据。
本文主要研究了计算机取证技术及数据恢复的基本原理,并通过一个具体实例演示了数据恢复的过程。
关键词:计算机取证: 计算机取证技术恢复技术目录第一章绪论 (1)1.1计算机取证总论 (1)1.1.1病毒的威胁 (1)1.1.2计算机取证技术的高科技性 (1)1.1.3计算机取证的发展 (1)1.2数据恢复总论 (2)1.2.1数据恢复的定义 (2)1.2.2数据恢复的服务范围 (2)1.2.3数据恢复的一般原则 (3)第二章计算机取证技术研究概述 (4)2.1计算机取证的基本概念 (4)2.1.1计算机取证服务 (4)2.1.2计算机取证的原则和步骤 (4)2.2计算机取证技术的发展 (5)2.2.1计算机取证遇到的问题 (5)2.2.2计算机取证的工具 (5)2.2.3电子证据基本内容机及获取 (6)第三章数据恢复基本原理 (8)3.1硬盘的工作原理 (8)3.1.1 硬盘的分区 (8)3.1.2 硬盘分区方式 (9)3.2数据存储原理 (9)第四章数据恢复实例 (12)4.1恢复软件的下载及安装 (12)4.2数据恢复软件的运行过程 (12)4.3数据恢复操作 (15)4.3.1快速文件搜索 (15)4.3.2完整文件搜索 (18)4.3.3快速格式化恢复 (18)4.3.4完全格式化恢复 (19)4.3.5保存为CD/VCD方式 (20)第五章总结语 (21)致谢 (22)参考文献 (22)第一章绪论1.1计算机取证总论1.1.1病毒的威胁随着计算机入侵和病毒的泛滥,信息安全需深入人心。
浅析计算机犯罪取证中的数据恢复原理
引导程 序 。其 中的硬 盘引 导程 序的 主要作 用是 检 查 分 区表 是 否 正 确 并 且 在 系 统 硬 件 完 成 自检 以
后 引 导具 有激 活 标 志 的分 区上 的操 作 系 统 。 将 并
地找 到各 段 的位 置并 正确 读 出。但 是这种 以簇 为
单位 的存 储 方法 在空 间 的利用 上是 有缺 陷的 。每
没有 了前 面 的各 部分 , 它对 于我 们来 说 , 只 能是 也
一
统 控 制权 交 给它 时 。 断 本 分 区根 目录前 两个 文 判
件 是不 是 操作 系 统 的 引导 文 件 。 如果 确 定存 在 。
就 把它读 入 内存 , 并把 控 制权交 给该 文 件 。 P 参 BB
数 块 记 录 着 本 分 区 的起 始 扇 区 、 束 扇 区 、 件 结 文 存 储格 式 、 盘 介 质 描 述 符 、 目录 大 小 、A 个 硬 根 FT 数 , 配单 元 的大 小等重 要参 数 。 B 分 D R由高 级格式 化程 序 ( I oma. m等程 序 ) 产生 。  ̄F r t o c 所
文件 信 息获 取 和数 据恢 复 。因此 , 于计 算机 取 对 证 人 员来 说 。 很 好 地 把 握 这些 信 息 。 需 要 深 要 就 入 了解 存 储 介 质 尤 其 是 硬 盘 的数 据 结 构 和 存 储
原理 , 了解 文件 删 除 与恢 复 的原 理 与方 法 。 只有
计 算 机犯 罪 给 国家 、社 会 和 个 人 带 来 巨 大 的损
2 1年 第 2期 01 ( 总第 1 1 ) 7期
吉 林 公 安 高等 专 科 学 校 学 报
J u a fJl u l e ui a e o r lo i P bi S c rt Ac d my n in c y
Unix系统计算机取证中数据恢复方法探讨
第2 4卷
第 2期
【 司法实务】
Ui nx系统 计 算机 取证 中数 据恢 复 方 法探 讨
李 枫 张 , 涛
( . 原理 工 大 学 , 1太 山西 太 原 0 0 2 ;. 原 警 官 职业 学 院 , 西 太 原 00 3 ) 30 4 2 太 山 3 02
文件是很有可能被成 功恢复 的。恢 复工作 中首 要的工作 是
立 刻 停 止该 文件 所 在 分 区上 的 所 有 输 入 输 出操 作 , 以 卸 载 可 该 分 区 或使 系统 处 于 单 用 户 状 态 , 者 在 禁 止 新 用 户 登 录 的 或 情 况 下 让所 有 已登 录 的 用 户 停 止 工 作 。 以 上 措 施 的 主要 目
将计算机及其网络设 备的调查 和分析技术应 用于存在计 算 机硬件设备中 , 并将具有法律 意义 的数据 文件进行 确定 、 恢
复 与 提 取 。任 何 一 个 被 入 侵 的 计 算 机 系 统 都 必 然 会 留下 曾 被 入 侵 的 数 字 痕迹 , 这 些 痕 迹 处 理 并 作 为 证 据 使 用 , 够 将 能 再 现 犯 罪 的 过 程 与 目的 。 因 此 , 法 律 意 义 上 讲 , 查 人 员 从 侦
d 命 令对 被删 除文件所 在的分 区作原始 拷贝 , d 将原 始拷 贝 的内容 以文件形式( eVrdk 存放在/ xo 1 Oe. s )  ̄ ep ̄分 区, 贝结 拷
束 后 将 系统 转 为 正 常 状 态 , 且 开 始 在 分 区 备 份 中进 行 文 件 并
索 引 节点 与 其 相 关 , 件 的 拥 有 者 、 在 组 、 小 、 改 、 文 所 大 修 存 取 、 性 变更 时 间 、 接 记 数 等 信 息 记 录 在 这 个 节 点 中 。所 属 链 有索 引节 点 中都保 存 了一 个 用 来 记 录 文 件 内 容 所 在 数 据 块 直接 地 址 ( 当文 件 太 大 时 需 用 间 接 数 据 块 指 针 ) 数 组 。索 的
电子物证检验鉴定的数据恢复技术分析
技术挑战:数据加 密、数据完整性、 数据隐私保护等问 题
技术应用前景:提高 电子物证检验鉴定的 效率和准确性,为司 法公正提供技术支持。
数据恢复技术面临的挑战与机遇
技术挑战:数据加密、数据损 坏、数据丢失等问题
法律挑战:数据隐私、数据安 全、数据合规等问题
机遇:大数据、云计算、人工 智能等技术的发展和应用
数据恢复技术在电子物证检验鉴定中的应用
数据恢复技术:通过技术手段恢复 被删除、损坏或丢失的数据
数据恢复技术在电子物证检验鉴定 中的作用:帮助提取、分析和鉴定 电子设备中的数据
添加标题
添加标题
添加标题
添加标题
电子物证检验鉴定:对电子设备中 的数据进行提取、分析和鉴定
数据恢复技术在电子物证检验鉴定 中的挑战:数据损坏、数据加密、 数据完整性等问题
数据恢复技术的原理
数据恢复技术的原理主要是通过分析磁盘的物理结构和文件系统,找到丢失的数据并恢复。 数据恢复技术可以分为逻辑恢复和物理恢复两种。逻辑恢复主要是通过分析文件系统和文件结构,找到丢 失的数据并恢复。物理恢复主要是通过分析磁盘的物理结构和数据存储方式,找到丢失的数据并恢复。 数据恢复技术需要具备一定的计算机知识和技能,如文件系统、磁盘物理结构、数据存储方式等。
电子物证检验鉴 定中的数据恢复 技术
电子物证检验鉴定的概念
电子物证:指在电子设备中存储的电子数据,如电子邮件、文档、图片等 检验鉴定:指对电子物证进行技术分析,以确定其真实性、完整性和有效性 数据恢复技术:指在电子物证检验鉴定中,通过技术手段恢复被删除、损坏或丢失的数据 应用领域:电子物证检验鉴定中的数据恢复技术广泛应用于刑事侦查、民事诉讼等领域
数据恢复技术的应用场景
数据恢复技术在计算机取证中的应用
提 供 理 论 支持 。
关 键 词 : 据 恢 复 ; 除 : 证 数 删 取
中 图分 类 号 : P3 3 T 9
片 的” 取 证 恢 复 的 范 罔 不 单 单 是 应 用 文 件 还 有 系 统 文 j
后 还 会 留 有 原来 分 区 的 痕 迹 , 辑 盘 被 重 新 格 式 化 后 也 留 逻 有 原 来 卷上 的一 些 痕 迹 。尤 其 重 要 的 是 文 件 操 作 , 件 的 义 增 加 、 除 、 改 会 使 系 统 中 产 生 许 多 临 时 文 件 和 中 间 文 删 修
维普资讯
第 7卷 第 9期
2008年 9月
南 阳 师 范 学 院 学 报
J u n lo n a g No m a ie st o r a fNa y n r lUn v riy
Vo . NO 9 17 . S p 2 08 e . 0
2 硬 盘 结 构
2 1 主 引 导 扇 区 MBR .
取 证 据 具 有 法 律 效 力 。取 证 应 按 标 准 进 行 , 使 用 经 过 有 并
关 部 门认 证 的 取 证 1 具 _ 、
MB R是 由分 区 程 序 产 生 的 , 同 的 操 作 系统 该 扇 区可 不
文 献 标 识 码 : A
文 章 编 号 :6 1— 12 2 0 )9— 00— 3 17 6 3 (0 8 0 0 6 0
l 计 算 机 取 证 中 的 数 据 恢 复
简述计算机取证的技术及其过程
简述计算机取证的技术及其过程
计算机取证(Computer Forensics)是一种用于获取、保护和分析在计算机或网络环境中发现的可用作证据的数据的技术。
它是一种针对计算机存在的各种欺诈行为、犯罪行为、不当行为以及各种违反公法的行为而进行的技术支持。
计算机取证是一种复杂的过程,涉及到非常多的技术,它涉及到计算机和网络存储设备的分析、取证和恢复等多个环节。
一般来说,它的流程主要分为以下几个步骤:
1.取证:经过法律手段进入犯罪现场,及时收集相关信息,以及收集、拍摄、测量和鉴定当地存在的物体和环境条件;
2.鉴定:根据收集的物证资料鉴定取证中的计算机设备的制造商、型号、序列号等情况;
3.数据恢复:数据恢复技术可以使损坏的媒体介质上存储的数据恢复可用;
4.数据取证:根据取证计划的要求,从收集的电脑设备中检索需要的相关信息;
5.数据分析:根据取证计划的要求,进行分析技术,以建立案件证据;
6.报告归档:根据案件定性,对取证结果进行实体报告,供警方、检察院、法院以及其他部门使用。
计算机取证工作对专业性要求非常高,取证过程中涉及的法律、技术等都是需要专业人员配合进行的。
取证技术的应用可以非常大程
度上帮助警方侦破各类犯罪,充分发挥计算机取证在司法取证中的重要作用。
司法鉴定中的数字取证技术介绍
文件解析与识别技术
文件解析
对数字设备中的各类文件进行深入分 析,提取文件头、元数据、内容等信 息,以确定文件类型、来源和修改历 史等。
文件识别
通过特定算法对文件进行识别和分类 ,如识别图像、音频、视频等文件的 格式和内容,为后续分析提供基础。
时间戳分析与验证技术
时间戳分析
对数字设备中的时间戳信息进行提取和分析,以确定文件创建、修改和访问的 时间,为案件调查提供时间线索。
工作流程
数字取证技术的工作流程通常包括案件受理、现场勘查 、数据提取、数据分析、证据呈现和结案归档等步骤。 其中,案件受理是指接收案件并了解案情;现场勘查是 指对涉案数字设备或存储介质进行现场勘查和收集;数 据提取是指对收集到的数据进行提取和整理;数据分析 是指对提取的数据进行深入分析和挖掘;证据呈现是指 将分析结果以可视化、直观化的方式呈现出来;结案归 档是指将案件相关材料和证据进行整理和归档。
展望未来发展趋势
技术创新
随着人工智能、大数据等技 术的不断发展,数字取证技 术将不断创新,提高自动化 和智能化水平。
法规完善
随着数字技术的广泛应用, 相关法律法规将不断完善, 为数字取证技术的发展提供 有力保障。
国际合作
跨国犯罪和网络犯罪日益猖 獗,数字取证技术的国际合 作将成为未来发展的重要趋 势。
时间戳验证
通过与其他证据或信息进行比对,验证时间戳的真实性和准确性,以确定数字 证据的可靠性和完整性。
加密解密技术应用
加密技术应用
采用加密算法对重要数字信息进行加密处理,确保信息在传 输和存储过程中的安全性,防止未经授权的访问和篡改。
解密技术应用
在合法授权的情况下,利用解密算法对加密信息进行解密处 理,以获取原始信息内容,为案件调查提供证据支持。
数据恢复技术成为电子取证的核心技术
数据恢复技术成为电子取证的核心技术数据恢复技术成为电子取证的核心技术王笑强(国家信息中心信息安全研究与服务中心,北京 100045)1 电子数据证据取证与计算机数据恢复基本介绍电子证据一般是指以电子形式存在的,可以用作证据使用并且能够证明案件真实情况的一切材料及其派生物。
所谓电子形式,一般指由介质、磁性物、光学设备、计算机内存或类似设备生成,发送、接收和存储的任一信息的存在形式。
其中,电子数据广义地讲,是指以物理形式存储于计算机系统内部及其存储器当中的指令和资料,包括计算机程序和程序运行过程所处理的信息资料;狭义地讲,则指的是存储于计算机系统中的除计算机程序外的一切信息资料,即那些由计算机系统所有者及用户采集并输入计算机系统的,非本系统本身运行所不可缺少的信息。
对电子数据证据的保护、确认、提取和归档就是所谓的电子取证。
电子数据证据与传统证据相比有其自身的特点。
第一,电子数据证据不是肉眼直接可见的,而是存储于各种介质中,如计算机硬盘、内存等,由计算机代码组成,必须借助适当的工具用特殊的方法才能将其还原。
第二,电子数据证据的不稳定性,比如存储于计算机内存中的数据,一旦计算机关机就会自动消失,存储于计算机硬盘中的数据经过一系列删除、初始化等操作,甚至从物理上完全破坏硬盘的方法,也可以损坏甚至完全破坏电子数据。
但是,这类操作是有资料完整可查的,而传统的证据如果被损坏,则很难恢复,比如打印文件被烧毁就很难再恢复。
第三,计算机网络的使用,使人们无论在世界的何地,都可以共享电子数据资料,它使某些犯罪从不可能成为可能,同时也方便了电子数据证据的取证工作,现在就有很多公司编制了网络取证软件,随时收集网络上的各种信息,一旦发生网络犯罪,就可以提供各种子数据证据,甚至可以做到预防犯罪。
社会信息化催生了一种边缘的计算机技术——计算机数据恢复技术,这是一种跨硬件平台、跨软件系统的技术,是在人们对信息的依赖性越来越高、存储于各种信息设备中数据的价值已经高于设备本身的前提下应运而生的。
网络犯罪调查取证的关键技术有哪些
网络犯罪调查取证的关键技术有哪些在当今数字化时代,网络犯罪日益猖獗,给社会带来了巨大的威胁和损失。
为了有效地打击网络犯罪,调查取证工作显得尤为重要。
网络犯罪调查取证涉及到一系列复杂的技术和方法,下面我们就来探讨一下其中的关键技术。
一、数据获取与保全技术数据获取是网络犯罪调查取证的第一步,也是最为关键的一步。
在获取数据时,需要确保数据的完整性和准确性,同时要遵循合法的程序和原则。
常见的数据获取方法包括:1、硬盘镜像:对犯罪嫌疑人的计算机硬盘进行全盘复制,以获取所有的数据信息,包括已删除的数据和隐藏的数据。
2、网络数据包捕获:通过网络监控工具,捕获犯罪嫌疑人在网络中传输的数据数据包,分析其中的通信内容和行为。
3、移动设备取证:对于手机、平板电脑等移动设备,使用专门的取证工具获取设备中的数据,如短信、通话记录、社交媒体信息等。
在获取数据后,还需要进行数据保全,以防止数据被篡改或丢失。
数据保全通常采用哈希值计算、数字签名等技术,确保数据的原始性和完整性。
二、数据分析技术获取到的数据往往是海量的、杂乱无章的,需要通过数据分析技术来提取有价值的信息。
1、文件分析:对获取到的文件进行类型识别、内容分析,查找与犯罪相关的文件,如犯罪计划书、非法交易记录等。
2、日志分析:分析服务器日志、系统日志等,了解犯罪嫌疑人的操作行为和时间轨迹。
3、数据库分析:对于涉及数据库的犯罪,分析数据库中的数据结构和内容,查找异常数据和操作记录。
数据分析技术还包括数据挖掘、机器学习等方法,通过建立模型和算法,自动发现数据中的潜在规律和关联,为调查提供线索。
三、网络追踪技术网络追踪技术用于确定犯罪嫌疑人在网络中的位置和行踪。
1、 IP 地址追踪:通过分析网络数据包中的 IP 地址,追踪犯罪嫌疑人使用的网络设备的位置。
2、域名追踪:对于使用域名进行犯罪活动的,通过域名解析和注册信息,查找域名所有者和相关的网络服务提供商。
3、网络流量分析:通过分析网络流量的特征和流向,确定犯罪嫌疑人与其他网络节点的通信关系。
数据恢复技术在涉案计算机侦查取证中的应用研究
①基金项目:四川省教育厅2017年度科研课题(项目编号:17ZB0295);四川省教育厅2016年度省级大学生创新创业训练计划项目(项目编号:201612212022);四川警察学院2018年度教改项目(项目编号:2018YB07)。
作者简介:张明旺(1983—),男,汉族,湖北荆州人,硕士研究生,讲师,研究方向:网络安全、电子数据取证。
DOI:10.16660/ki.1674-098X.2018.06.170数据恢复技术在涉案计算机侦查取证中的应用研究①张明旺 侯智文(四川警察学院 四川泸州 646000)摘 要:随着科技的进步,犯罪分子的犯罪手段也越来越高技术化,犯罪分子反侦察意识的增强,会有意识地将存储设备中的犯罪证据销毁,给公安机关侦查取证带来不小的困难。
数据恢复是一种从被损坏或删除的文件中恢复有价值数据,当重要电子证据丢失或损毁时,如何快速恢复电子数据是侦查人员必须掌握的技术。
在结合已有的数据恢复软件和取证工具的基础上,重点介绍了利用WinHex软件,根据文件签名特征和关键字搜索方法快速恢复数据,并在实际案例中发挥很大的作用。
关键词:数据恢复 WinHex 侦查取证中图分类号:TP30 文献标识码:A 文章编号:1674-098X(2018)02(c)-0170-04Abstract:With the progress of science and technology, the means of crime crime means more and more intelligent, with the awareness of anti investigation, criminals will have the awareness of evidence of a crime will be a storage device for destruction, poses difficulties for investigation of public security organs. Data recovery is a way to recover valuable data from damaged or deleted files. How fast electronic data can be recovered when an important electronic evidence is lost or destroyed is a skill that investigators must master. On the basis of the existing data recovery software and forensics tools, focuses on the use of WinHex software, the rapid recovery of data according to the file signature features and keyword search method, and play a significant role in the actual case.Key Words:Data recovery;WinHex;Investigation and evidence collection根据中国互联网络信心中心2017年7月发布的第40次《中国互联网络发展状况统计报告》显示,截至2017年6月,我国网民数量达到7.31亿,较去年新增网民共计1992万人,互联网普及率超过54.3%,其中,手机网民数量达到7.24亿,较去年新增共计2830万人,网民中使用手机上网人数占比由2016 年底的95.1% 提升至96.3%[1]。
计算机取证中的数据恢复技术综述
计算机取证中的数据恢复技术综述摘要传统数据恢复已经有很多成熟的技术,通过分析计算机取证中数据恢复技术与传统数据恢复的关系,我们证明了在计算机取证中应用数据恢复技术的可行性,实践也证明了其有效性和重要性。
本文主要在介绍和分析磁盘在FAT32和NTFS两种不同文件系统的分区结构的前提下,在综述了各种计算机取证中基于FAT32和基于NTFS的数据恢复技术和原理、基于闪存的数据恢复技术、基于新型存储设备SSD固态盘的数据恢复技术。
然后讨论了未来计算机取证中数据恢复技术的发展趋势和挑战,即文件碎片的重组和恢复和基于SSD的数据恢复。
相比传统数据恢复,计算机取证中的数据恢复有其自己的特点和要求,最后本文从法律角度,总结了数据恢复技术在计算机取证中应用时所需要遵循的原则和流程规范。
关键字:计算机取证、数据恢复AbstractTraditional data recovery has a lot of mature technologies, According to analysis the relationship between data recovery in computer forensics and traditional data recovery, feasibility of applying data recovery techniques to computer forensics has been proved,much practice also has proved its effectiveness and importance. This paper describes and analyzes the different disk partition structure respectively in the FAT32 and NTFS file systems, then reviews a variety of data recovery techniques and principles respectively based on FAT32 and NTFS, flash-based data recovery techniques, SSD-based data recovery techniques in computer forensics. Next we discuss the trends and challenges of data recovery technology in computer forensics in the future, namely restructuring and recovery of file fragmentation and SSD-based data recovery. Compared to traditional data recovery, data recovery in computer forensics has own characteristics and requirements, and finally from a legal point of view, this paper summed up the principles and process specifications that need to be followed when data recovery techniques are applied to computer forensics .Keywords: computer forensics, data recovery目录摘要 (I)Abstract (I)1 引言 (1)1.1 计算机取证概念 (1)1.2传统数据恢复技术概念 (1)1.3 计算机取证中的数据恢复与传统数据恢复的关系 (2)1.4 计算机取证中的数据恢复技术研究背景及意义 (2)2 计算机取证中的数据恢复技术 (3)2.1 基于FAT32的数据恢复 (3)2.1.1 FAT32系统中硬盘数据结构 (3)2.1.2 文件删除后的恢复 (3)2.1.3 硬盘格式化或硬盘分区后的恢复 (4)2.1.4 分区表损坏后的恢复 (4)2.2 基于NTFS的数据恢复 (4)2.2.1 NTFS系统中硬盘数据结构 (5)2.2.2 文件删除后的恢复 (5)2.2.3 BPB损坏后的恢复 (6)2.3 基于闪存的数据恢复 (6)2.4 基于SSD的数据恢复 (6)3 计算机取证中的数据恢复技术发展方向 (7)3.1 文件碎片的重组和恢复 (7)3.2 基于SSD的数据恢复 (7)4 数据恢复在计算机取证中的应用 (7)5 总结 (7)6 参考文献 (8)1 引言1.1 计算机取证概念计算机取证是指能够为法庭接受的、足够可靠和有说服力的,存在于计算机、网络、电子设备等数字设备中的电子证据进行确认、收集、保护、分析、归档及法庭出示的过程。
计算机数据恢复技术分析
近年来 信息化建设 高速 发展 , 不仅仅是 I T企业 , 传统企 业 以及政 府机关也开始全 方位启用信 息化存 储技术 。我们 在使 用硬 盘的过程 中难免会 出现一些问题 , 轻 则部分数 据丢
失, 重则整个硬 盘报废 , 造 成不 可 预料 的后果 , 给我们 的学 习、 工作 、 生活带来 巨大的 困扰 和不便。那 么在发 生 了数 据
领域 。有文章分 析 了 A n d r o i d系统 的漏 洞 以及 漏洞 如何 被
数据 安全带来严重 的威胁 。 目前 针对 E x F A T文 件系统 的数 据恢 复软 件有 R—S t u d i o 4 . 6 、 D—R e c o v e r y F o r E x F A T , 这 两 款软件能够 对 E x F A T分 区下删 除 或格 式 化 的文 件进 行恢
复, 但都不能保 证 1 0 0 % 的恢 复 。而实 际上 D B R遭到 破坏 后, 只要 不点击格式化 , 就完全没有必要进行数据恢 复 , 只需
利用来获得 R o o t 权限, 进 而在取证 中能 够进行 数据 恢复 和 获取手机镜像 。随着漏洞不断被发现 , 谷歌公 司也在不 断地 修复漏洞 , 升级 A n d r o i d系统 。一方面 可以减少漏洞被 不法
部特 征码所 在扇区的簇号 和残存 目录项 中文 件大小两 个参 数确定文件 的存储 空间进 而恢复 ; 探讨 了复 合文 档结构 , 给 出了根据文档存储规范 和数据流标识提取有效信息 的方 法。 实验表 明 , 该方案可 以简单 、 高效地恢复被删除的数据。
3 F l a s h存 储 中 的纠错编 码
丢失 或损坏后应该 如何应对 呢?数据恢复技 术研 究不 断深 人, 各种恢复方法层出不穷。因此有必要对数据恢复 的原理
数据恢复知识点总结
数据恢复知识点总结数据恢复是指在数据丢失或损坏后,通过一定的技术手段将数据重新找回的过程。
数据恢复的方法和技术中有很多知识点,包括数据存储介质、数据结构和文件系统等方面的知识。
在本文中,将对数据恢复的一些关键知识点进行总结和讨论。
一、数据恢复概述数据恢复是指将意外删除、格式化、硬盘损坏、病毒攻击等情况下丢失的数据重新找回的过程。
当数据丢失后,往往需要通过专业的数据恢复技术和工具来进行恢复。
数据恢复的过程中需要考虑很多因素,包括数据的存储介质、数据结构、文件系统、数据恢复工具等。
二、数据存储介质数据存储介质是指存储数据的物理介质,包括硬盘、固态硬盘、光盘、U盘等。
不同的存储介质有不同的特点和数据恢复方法。
1. 硬盘:硬盘是常见的数据存储介质,包括传统的机械硬盘和固态硬盘。
在硬盘数据恢复中,需要考虑硬盘的分区结构、文件系统、数据碎片等因素。
常见的硬盘数据恢复方法包括软件恢复、硬件恢复和实验室恢复。
2. 光盘:光盘包括CD、DVD等,是一种便携式的数据存储介质。
在光盘数据恢复中,需要考虑光盘表面的划痕、数据区域的损坏等因素。
常见的光盘数据恢复方法包括刻录软件、数据恢复软件等。
3. U盘:U盘是一种方便的移动存储介质,但由于其易受损坏和病毒感染,数据丢失的情况较为常见。
在U盘数据恢复中,需要考虑U盘的物理损坏、文件系统损坏等因素。
常见的U盘数据恢复方法包括数据恢复软件、数据恢复服务等。
三、数据结构数据结构是指数据在存储介质上的排布方式和组织形式。
熟悉数据结构对于数据恢复非常重要,因为它直接影响到数据的读取和恢复。
1. 文件系统:文件系统是指操作系统用来组织和管理存储介质上文件的一种方法。
常见的文件系统包括FAT、NTFS、exFAT等。
在数据恢复中,需要根据文件系统的不同采用不同的恢复方法,例如对于NTFS文件系统,可以使用NTFS数据恢复工具进行恢复。
2. 数据碎片:数据碎片是指文件在存储介质上不连续的存储情况。
涉案计算机的数据恢复与侦查取证
随着计算机技术的广泛应用 ,人们对 计算机 技 术掌握程度越来越高 。许 多犯罪嫌 疑人 为了掩饰犯
罪, 在实施犯罪后 , 对计算机及其附属设备进 行数据 删除或者格式化等操作 , 甚至进行物 理性的破坏 , 导 致数据无法直接获取 。因此 ,只有 利用数据恢 复技 术对 已经删除破坏的数据进行复原提取,才 能获取 线索证据 , 更好地打击犯罪 , 为诉讼的顺利进行提 供
无意间把 自己犯罪的有关数据存储在电脑 当中, 在诉讼 过程 中电子数据的地位越 来越高。由于电子数据的特殊性 , 普通 计 算机 中的数 据极 易遭 到破 坏 和 改 变 , 而数 据 恢 复技 术正 是对 遭到破 坏 、 修 改 的数 据 进行 还原 恢复 , 其 功能在 于
发现 线 索 , 获 取证 据 。在 公 安 工作 中 , 数 据 恢 复 已经成 为 侦 查取 证过 程 中 日益重 要 的一种 技 术手 段 。但在 数 据恢 复
记录和传输 ,因此无论是 电子数 据的存 储: 还是传递
帮助 。 在P C市场 中, Wi n d o ws 操作系统的全球 占有 率为 9 1 . 4 8 %, 在发展中国家其 占有率更高, 在实际侦
查工作 中, 涉及的计算机 几乎全部是 Wi n d o w s 系统
的计算机 ,由于不同操作系统的计算机文件 系统构
索和犯罪证据 。电子数据较物证 书证等传统证据具 有许多特殊性 :一是表现形式 多样性。 电子数据一 般 是通过显像设备 以文字 、 图形 、 视频图像 资料等形
式呈现在用户面前 ,因此 多能直 接反映犯罪嫌疑人
的犯罪事实或作案过程 。二是依赖介质性 。电子数 据 的本质是二进制 的 “ 0 ” 和“ 1 ” 按一定规则组成 的, 而 这些代码都必须通过 电磁 方式或者光学方式产生
计算机犯罪现场勘查取证技术研究
计算机犯罪现场勘查取证技术研究摘要:随着计算机技术的不断发展和普及,计算机犯罪也越来越严重。
为了对计算机犯罪案件进行有效的调查和定罪,计算机犯罪现场勘查取证技术成为犯罪侦查的重要组成部分。
本文综述了计算机犯罪现场勘查取证技术的现状和发展趋势,并分析了其中的关键技术和挑战。
根据国内外学术研究和实践经验,提出了改进和完善计算机犯罪现场勘查取证技术的建议。
关键词:计算机犯罪;现场勘查;取证技术;数据恢复;电子证据一、引言1. 勘查准备:在进行计算机犯罪现场勘查之前,必须做好充分的准备工作。
勘查人员需要收集相关证据材料和调取相关日志记录,以便进行后续的取证和分析。
2. 现场勘查:对计算机犯罪现场进行勘查是取证工作的重要步骤。
勘查人员需要仔细观察现场,记录并收集相关证据,包括物理设备、外部存储介质、打印文件等。
3. 取证技术:计算机犯罪现场勘查取证技术主要包括数据采集和数据分析两个方面。
数据采集是指从计算机设备和存储介质中提取相关数据的过程,包括硬件采集和软件采集两种方法。
数据分析是指对采集到的数据进行处理和分析,以寻找证据链和确定犯罪事实。
随着科技的进步和计算机犯罪的不断演变,计算机犯罪现场勘查取证技术也在不断发展和创新。
以下是几个发展趋势:1. 自动化技术:随着计算机犯罪案件的增加和复杂化,手工勘查和取证已经无法满足需求。
自动化技术越来越受到关注,包括自动数据采集工具、自动数据分析工具等。
2. 大数据分析:随着互联网的普及和应用,产生了大量的电子信息和数据。
如何有效地进行大数据分析,以从海量数据中提取有用的信息和证据成为一个研究热点。
3. 云取证:随着云计算技术的发展,越来越多的数据和应用程序存储在云端。
如何在云环境中进行有效的取证工作成为一个挑战。
云取证技术包括从云存储中提取数据和分析云服务日志等方面。
四、关键技术和挑战1. 数据恢复:在进行计算机犯罪现场勘查时,经常需要进行数据恢复工作,以从受损或删除的存储介质中提取数据。
取证系统中数据恢复关键技术研究
王中杉 刘乃琦 秦 , ,
摘
科 倪 ,
程。
(. 1 电子科技 大学 计算机科 学与工程 学院 , 成都 605 ; . 104 2 四川 大学 计 算机除文件在 未被覆 盖之前 , 其存储 方式 为连 续和 离散存储 。针 对连 续存储提 出 了一种 准 确 匹
第 2 卷 第 9期 5 20 0 8年 9月
计 算 机 应 用 研 究
Ap l a in Re e r h o o u e s p i t s a c f C mp tr c o
V0 . 5 N . 12 o 9 Sp 20 e. 0 8
取 系 中数 据 恢 复 关 键 技 术 研 究 证 统
.
本 文将分析已删 除文 件连续存 储的恢复关 键技术及 其离
0 引言
取证分析是对 已发生事件进行保存 、 重构 、 归档 、 翻译 的一 个分析过程 J 。它致力于对犯罪分子 如何入侵 计算机 以及在 入侵成功后所做的事情 给 出一个 完整 的回答。犯罪 的各种数
散存储 的恢 复关键技术 , 并重点分 析后者 , 出一种 基于 P M 提 P
t h ooy m l e rd t nb a i a hn P M)t b i o t t o e a dc m u a dd t p b bli f e n lg .E po d pe i i yp r a m t i c y co t l c g( P o u dac ne d l n o p t c n i e r a it so l xm e a o ie teps b daec fw ou etrg n , n dpe 一 rn gt ho g rn o e m os l t e n y h s l ajcnyo o cm n f met adaotd Bpu i cnly t p esm psi e r e e o ie t d a s n e o ou i b e o b
计算机反取证
有不对的请大家指教!
附件:x.zip(1171K)下载次数:438顶部 sunwear 发布于:2006-10-1308:42 [1楼]
如果工具是你写的我就加精了。
但仅仅是工具介绍,放在原创区已经很勉强了。
如果是介绍反计算机取证技术细节的document也可以。
什么是“IDS入侵检测技术”
IDS一般有两种使用方式:基于网络和主机。基于网络的IDS一般安装在一个网段,检测网段内每台机器的流量和未授权活动记录所有Ri志,基于主机的一般在单各主机上执行检测记录特定事件或者模式边变化,等等。
下面说反取证技术
一般常见的技术有代理,跳板,数据抹擦等等。
当你进入跳板肉鸡操作就会有很多的记录比如说远行痕迹、网络浏览地址、缓存、历史记录和临时文件Ri志记录礡i庑┤绻阒煌ü胀ǖ腞i志清除工具都可以恢复,所以我向大家推荐几款工具Powerful.Cookies通过3次覆盖技术删除电脑上所以执行痕迹,不针对Ri志。
2006-09-1319:01 4,789,401取证与蜜罐(计算机取证技术部分).pdf
2006-09-1319:01 254,032浅析电子证据的法律定位.pdf
2006-09-1319:01 69,632论计算机取证工具及其检测.doc
2006-09-1319:01 1,173,920计算机取证与Ri志分析.pdf
2006-09-1319:02 827,392计算机取证技术.ppt
2006-09-1319:02 540,808计算机取证的技术和方法.pdf
2006-09-1319:02 167,750计算机反取证技术研究.pdf
计算机取证中数据恢复技术探讨
文件存 储格式 、A F T个数 、 分配单 元 的大 小 、 目录大 根
小 、 始 扇 区和 结 束 扇 区 等 重要 参 数 。 起
( )A 3 F T区 ( 件分 配 表 ) 文 F T (i lct n T be 文 件 分 配 表 ) 文 件 寻 A Fl Al ai a l, e o o 是
文 件存 储 空 间 中 的数 据 信 息 仍 然 存 在 .则 此 类 型 数 据 的恢 复 也 只需 通 过数 据 恢 复 软 件 ( 如 WiH x 、ia 例 n e Fnl — D t、 a rcvr 等 ) 可 将 数 据 恢 复 。 a E s eoey 便 a y 同 时 . 果 文 件 存 储 时 是 连 续 存 储 的 . 可 以完 整 如 则 地将数据恢复 . 如果不是连续存储 的 . 但 或存 储 文 件 的
被 覆 盖 文 件 数 据 将 很 难 被 恢 复 但 如 果 文 件 是 连续 存 储 的. 即使 被 新 的文 件 覆 盖 . 么 新 数 据 也 只 是覆 盖 分 那 区前 面 的部 分 空 间 . 样 . 下 存 储 空 间上 的数 据 内容 这 剩 仍 然 可 以被 恢 复 出来 ( ) 区 表 被损 坏 的数 据 恢 复 3分
被引导程序 占用 . 随后 紧接着的 6 个字 节由 D T Ds 4 P (i k
Prt nT be 硬 盘 分 区表 ) ati al. io 占用 . 后 的 两 个 字 节 “5 最 5
来。 计算机数据被删除后 . 其所 占有的硬盘存 储空间如
果 没 有 被 新 的 数 据 覆 盖 或 只 有 部 分 存 储 空 间被 覆 盖 . 则 可 通 过 一 定 的 技 术 手 段 把 这 些 数 据 恢 复 显 示 出来 .
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
计算机取证中的数据恢复技术综述摘要传统数据恢复已经有很多成熟的技术,通过分析计算机取证中数据恢复技术与传统数据恢复的关系,我们证明了在计算机取证中应用数据恢复技术的可行性,实践也证明了其有效性和重要性。
本文主要在介绍和分析磁盘在FAT32和NTFS两种不同文件系统的分区结构的前提下,在综述了各种计算机取证中基于FAT32和基于NTFS的数据恢复技术和原理、基于闪存的数据恢复技术、基于新型存储设备SSD固态盘的数据恢复技术。
然后讨论了未来计算机取证中数据恢复技术的发展趋势和挑战,即文件碎片的重组和恢复和基于SSD的数据恢复。
相比传统数据恢复,计算机取证中的数据恢复有其自己的特点和要求,最后本文从法律角度,总结了数据恢复技术在计算机取证中应用时所需要遵循的原则和流程规范。
关键字:计算机取证、数据恢复AbstractTraditional data recovery has a lot of mature technologies, According to analysis the relationship between data recovery in computer forensics and traditional data recovery, feasibility of applying data recovery techniques to computer forensics has been proved,much practice also has proved its effectiveness and importance. This paper describes and analyzes the different disk partition structure respectively in the FAT32 and NTFS file systems, then reviews a variety of data recovery techniques and principles respectively based on FAT32 and NTFS, flash-based data recovery techniques, SSD-based data recovery techniques in computer forensics. Next we discuss the trends and challenges of data recovery technology in computer forensics in the future, namely restructuring and recovery of file fragmentation and SSD-based data recovery. Compared to traditional data recovery, data recovery in computer forensics has own characteristics and requirements, and finally from a legal point of view, this paper summed up the principles and process specifications that need to be followed when data recovery techniques are applied to computer forensics .Keywords: computer forensics, data recovery目录摘要 (I)Abstract (I)1 引言 (1)1.1 计算机取证概念 (1)1.2传统数据恢复技术概念 (1)1.3 计算机取证中的数据恢复与传统数据恢复的关系 (2)1.4 计算机取证中的数据恢复技术研究背景及意义 (3)2 计算机取证中的数据恢复技术 (3)2.1 基于FAT32的数据恢复 (3)2.1.1 FAT32系统中硬盘数据结构 (3)2.1.2 文件删除后的恢复 (3)2.1.3 硬盘格式化或硬盘分区后的恢复 (4)2.1.4 分区表损坏后的恢复 (5)2.2 基于NTFS的数据恢复 (5)2.2.1 NTFS系统中硬盘数据结构 (5)2.2.2 文件删除后的恢复 (6)2.2.3 BPB损坏后的恢复 (6)2.3 基于闪存的数据恢复 (6)2.4 基于SSD的数据恢复 (7)3 计算机取证中的数据恢复技术发展方向 (7)3.1 文件碎片的重组和恢复 (7)3.2 基于SSD的数据恢复 (7)4 数据恢复在计算机取证中的应用 (8)5 总结 (8)6 参考文献 (9)1 引言1.1 计算机取证概念计算机取证是指能够为法庭接受的、足够可靠和有说服力的,存在于计算机、网络、电子设备等数字设备中的电子证据进行确认、收集、保护、分析、归档及法庭出示的过程。
与传统证据一样,电子证据必须是可信、准确、完整、符合法律法规的。
但与传统证据相比,电子证据还具有如下特点:多媒体性;脆弱性;无形性;高科技性;人机交互性;随着计算机和电信技术的不断发展,取证步骤和程序也必须不断调整与之适应[1]。
电子证据的这些特点表明计算机取证中有完全不同于传统取证的问题需要研究,所以面临不少难题,也成为信息安全领域关注的焦点。
根据取证时刻和取证对象的不同,计算机取证分为静态取证和动态取证两种。
静态取证主要针对静止状态存储的电子证据,是对取证计算机、外部设备和网络中相关存储设备中的定制证据和犯罪行为痕迹进行提取、分析、识别、鉴定、保全和提交的过程,是计算机传统取证技术,主要涉及数据隐藏、硬盘克隆、密码破译、数据保护、数据恢复等技术。
静态取证的关键在于及时的现场保护,通过相关的文件、日志分析工具对入侵者在系统上的遗留信息进行分析和提取。
动态取证是对计算机系统或网络现场进行监视获取证据,动态分析入侵者的个人信息和攻击手段,或通过陷阱和智能追踪的方式提取实时数字证据,可以实现对取证目标的计算机犯罪相关的电子证据进行实时捕捉、定位、采集和保全。
取证模型概述了整个取证事件的全过程。
文献[2]综述了基本过程取证模型、事件响应过程模型、过程抽象模型、综合数字取证模型、增强型数字过程取证模型、基于目标的层次性取证模型、基于事件的取证模型和多维计算机取证模型等,并总结了取证原则和各种取证工具。
文献[1]给出了计算机取证应用模型:取证准备,使得证据具有客观性;现场勘察及证据固定,保证证据获取的合法性;数据分析及证据提取,保证数据与案件的关联性;数据呈递,保证证据对犯罪定性的有效性。
从技术角度来说,计算机取证相关技术的研究主要针对证据获取技术和证据分析技术。
证据获取技术中,非常重要的一个技术就是数据恢复。
因为电子证据具有脆弱性的特点,容易被损坏或者修改,恢复已经删除的应用文件、日志文件、交换文件或者历史文件碎片都可能成为犯罪案件的有力证据。
1.2传统数据恢复技术概念随着社会信息化的发展,人们对于信息的依赖性越来越高,存储在各种信息设备中的数据价值已经高于设备本身,计算机数据恢复技术应运而生。
数据恢复就是把遭受破坏、或由硬件缺陷导致不可访问或不可获得、或由于误操作等各种原因导致丢失的数据还原成正常数据。
当用户面对计算机系统遭受误操作、病毒侵袭硬件故障黑客攻击等事件后,数据恢复技术可以将用户的数据从各种“无法读取”的存储设备中拯救出来,从而将损失减到最小。
计算机数据恢复技术主要应用于计算机周边各种存储设备,如硬盘、U盘等,一般分为软件恢复技术和硬件恢复技术。
硬件恢复技术,是指一切由硬件损坏或失效造成的数据恢复并且涉及到硬件修理,针对的是无法进行读写操作的存储设备,尤其是硬盘。
硬盘由存储数据的盘片、为读取盘片设计的其他硬件和固化于硬件和盘片上的伺服软件(即固件)等三部分组成,任何部分故障都会导致数据无法读取。
相应地,硬件恢复可分为以下3种恢复方式:(1)硬件替代:用同型号的好的硬件替代坏的硬件从而完成恢复,如硬盘电路板的替代、控制芯片的更换等。
(2)固件修复:用硬盘专用修复工具修复硬盘固件从而恢复硬盘数据。
(3)盘片读取:在专用超净工作间内对硬盘进行开盘,取出盘片,然后用专门的数据恢复设备对其扫描,读出盘片上的数据。
软件恢复技术,指一切可以通过软件方式进行修复,不涉及硬件修理的数据恢复,主要针对可以正常进行读写操作的存储设备。
软件恢复技术可以下两种方式:(1)系统级修复技术:指操作系统不能正常启动,通过修复系统使得系统正常工作,从而恢复数据。
包括对分区表及文件系统信息的修补技术,比如FAT32系统的引导扇区、FAT 表、目录表以及UNIX 系统中的超级块等信息一旦受损或丢失,就看不到系统分区,系统中的文件就无法正常读取。
(2)文件级修复技术:针对存储介质上某个应用文件损坏,又分为损坏文件的恢复和文件碎片的提取。
在文件相对完整、文件头和数据区损坏不大的情况下,可以将文件恢复;但如果文件损坏很大,数据区只残留小部分,则只能提取文件碎片,这些碎片一般存在于分区内未重复使用的部分和数据簇内的剩余部分,但只对特殊的要求才有意义。
1.3 计算机取证中的数据恢复与传统数据恢复的关系计算机取证中的数据恢复和传统数据恢复具有很多相同点,比如说基本的数据恢复技术的原理相同,从本质上讲都是从信息存储设备中提取数据,并且操作前都需要保护目标计算机系统,避免发生任何的改变、伤害、数据破坏或者病毒感染,都需要全部或尽可能恢复特殊的文件或者数据块。
所以说在计算机取证中应用数据恢复技术获取电子证据在理论上是可行的。
但由于计算机取证的特点和要求,计算机取证中的数据恢复与传统数据恢复还有很多不同之处,主要体现在以下几个方面:(1)合法性:计算机取证是国家专有的、是公检法机关针对犯罪案件进行的重要环节,计算机取证中的电子证据必须具有合法性,而由于电子证据易被修改并不留痕迹和易受环境影响的特定,这就要求取证过程采用数据恢复技术必须符合法律规范,使用工具必须通过有关部门的认证,从而使得恢复后的数据能作为具有法律效力的证据。
而传统的数据恢复,是广泛向社会服务的,不一定涉及到法律问题,可能用作商业用途,也可能仅仅是个人需求。
(2)恢复对象和结果:传统的计算机数据恢复技术恢复的数据主要是应用文件,如客户专有的word文件、视频文件、照片文件等。
客户不仅关心文件内容,还关心文件的完整性,即恢复之后保证文件可以正常使用。
而在计算机取证中,恢复的对象不仅仅是应用文件还有系统文件,并且恢复结果不一定完整或可用。