计算机取证中的数据恢复技术综述

合集下载

基于Winhex的数据恢复技术在计算机取证中的应用

一
中更是发挥了巨大的作用。
收稿日期：２０１４－０５－２４
‘

作者简介：吴琪（１９７６一），女，吉林警察学院信息工程系讲师，主研研究方向：信息安全。基金项目：本文系吉林省教育厅 “ 十一五 ” 科研项目阶段性成果。
分区后．格式化程序则建立相应的文件系统。根据分区大小一般将分区合理划分为四个主
要部分：ＤＢＲ扇区、文件分配表ＦＡＴ、根目录ＤＩＲ和数据区ＤＡＴＡ。ＤＢＲ扇区记录整个文件系统的重要参数信息。包括保留扇区数、ＦＡＴ表个数、每个ＦＡＴ表大小、文件系统大小和根目录位置等。
有所了解。
个新硬盘只有经过分区、格式化后，才能安装操作系统进行正常使用。分区后主引导记录（ＭＢＲ）就位于硬盘的０磁道０柱面ｌ扇区。硬盘的主引导记录共有５ｌ２个字节，前４４６个字节为引导程序，随后６４个字节为ＤＰＴ（硬盘分区表），最后两个字节为分区的结束标志 “ ５５ＡＡ ” 。通过分析
一
ＭＢＲ区的信息可初步判断出硬盘的分区数量、每个分区的大小、起始位置、系统的文件类型等信息。当主引导记录遭到病毒、人为操作等破坏后，部分或全部分区则会丢失，掌握了主引导记录ＭＢＲ扇区的结构。根据数据信息特征。重新推算计算分区大小及位置，按照这个结构重建一个ＭＢＲ扇区，即可恢复。

数据恢复技术在计算机取证系统中的应用

取法．以动态取证为主，静态取证为辅，静而以动
计算机取证技术将向以下几个方向发展：（）１取证工具向智能化、业化和自动化方向专
发展．
（）２取证工具（软件）本身的可靠性、安全性和可用性进一步地提高．（）３在工具软件的开发上应该结合计算机领域内的其他理论和技术，以代替大部分人工操作．此外，利用无线局域网和手机、Ｄ、ＰＡ便携式计
维普资讯
・
１２・３
成都大学学报（自然科学版，ｂ览器数据缓冲，Ｗｅ浏书签、历史记录或会话日志、实时聊天记录等等．电子取证的方法包括数字鉴定法，数据检查法，数据对比法，数据保护法，数据分析法，证据抽
中图分类号：Ｐ０Ｔ３９文献标识码：Ａ
０引言
随着信息技术的不断发展，计算机越来越多地参与到人们的工作与生活中，计算机相关的与
计算机犯罪案例（电子商务纠纷，业机密信息如商
１２计算机取证的特点．计算机取证主要是围绕电子证据来展开工作的，目的就是将储存在计算机及相关设备中反其映犯罪者犯罪的信息变成为有效的诉讼证据提供
注的焦点．
机或计算机系统运行过程中产生的，以其记录的内容来证明案件事实的电磁记录物．与传统证据样，电子证据必须是可信的、准确的、完整的、使法官信服的、符合法律法规的，即可为法庭所接受

计算机取证

摘要计算机取证及数据恢复技术包括两个部分，即计算机取证和数据恢复。

电子证据既有法律方面的问题，也有技术方面的问题，本文就其子集“计算机取证”的技术体系进行研究和分析，指出了计算机取证的技术体系及其层次关系，为深入研究计算机取证提供了一个借鉴。

社会信息化的发展给我们生活带来诸多便捷的同时，也给信息罪犯带来可乘之机。

病毒、黑客、网络攻击的日益泛滥，计算机犯罪案件数量不断上升，搜集电子证据就成为提供重要线索及破案的关键。

计算机取证是使用软件和工具提取和保护有关计算机犯罪的证据。

数据恢复技术，是一门新兴的边缘学科，是技术性与实践性相结合的新技术，需要非常深厚的技术功底和实践经验，绝不是一种简单的流水线作业似的操作。

数据恢复技术目的在于让人们学到如何把硬盘上被破坏的数据抢救回来、以及如何保护硬盘中的重要数据的方法。

它同时要求人们通过各种手段来把丢失和遭到破坏的数据还原为正常的数据。

本文主要研究了计算机取证技术及数据恢复的基本原理，并通过一个具体实例演示了数据恢复的过程。

关键词：计算机取证: 计算机取证技术恢复技术目录第一章绪论 (1)1.1计算机取证总论 (1)1.1.1病毒的威胁 (1)1.1.2计算机取证技术的高科技性 (1)1.1.3计算机取证的发展 (1)1.2数据恢复总论 (2)1.2.1数据恢复的定义 (2)1.2.2数据恢复的服务范围 (2)1.2.3数据恢复的一般原则 (3)第二章计算机取证技术研究概述 (4)2.1计算机取证的基本概念 (4)2.1.1计算机取证服务 (4)2.1.2计算机取证的原则和步骤 (4)2.2计算机取证技术的发展 (5)2.2.1计算机取证遇到的问题 (5)2.2.2计算机取证的工具 (5)2.2.3电子证据基本内容机及获取 (6)第三章数据恢复基本原理 (8)3.1硬盘的工作原理 (8)3.1.1 硬盘的分区 (8)3.1.2 硬盘分区方式 (9)3.2数据存储原理 (9)第四章数据恢复实例 (12)4.1恢复软件的下载及安装 (12)4.2数据恢复软件的运行过程 (12)4.3数据恢复操作 (15)4.3.1快速文件搜索 (15)4.3.2完整文件搜索 (18)4.3.3快速格式化恢复 (18)4.3.4完全格式化恢复 (19)4.3.5保存为CD/VCD方式 (20)第五章总结语 (21)致谢 (22)参考文献 (22)第一章绪论1.1计算机取证总论1.1.1病毒的威胁随着计算机入侵和病毒的泛滥，信息安全需深入人心。

浅析计算机犯罪取证中的数据恢复原理

引导程序。其中的硬盘引导程序的主要作用是检查分区表是否正确并且在系统硬件完成自检以
后引导具有激活标志的分区上的操作系统。将并
地找到各段的位置并正确读出。但是这种以簇为
单位的存储方法在空间的利用上是有缺陷的。每
没有了前面的各部分，它对于我们来说，只能是也
一
统控制权交给它时。断本分区根目录前两个文判
件是不是操作系统的引导文件。如果确定存在。
就把它读入内存，并把控制权交给该文件。Ｐ参ＢＢ
数块记录着本分区的起始扇区、束扇区、件结文存储格式、盘介质描述符、目录大小、Ａ个硬根ＦＴ数，配单元的大小等重要参数。Ｂ分ＤＲ由高级格式化程序（Ｉｏｍａ．ｍ等程序）产生。￣Ｆｒｔｏｃ所
文件信息获取和数据恢复。因此，于计算机取对证人员来说。很好地把握这些信息。需要深要就入了解存储介质尤其是硬盘的数据结构和存储
原理，了解文件删除与恢复的原理与方法。只有
计算机犯罪给国家、社会和个人带来巨大的损
２１年第２期０１（总第１１）７期
吉林公安高等专科学校学报
ＪｕａｆＪｌｕｌｅｕｉａｅｏｒｌｏｉＰｂｉＳｃｒｔＡｃｄｍｙｎｉｎｃｙ

Unix系统计算机取证中数据恢复方法探讨

Ｖｏ．４Ｎｏ．１２２
第２４卷
第２期
【司法实务】
Ｕｉｎｘ系统计算机取证中数据恢复方法探讨
李枫张，涛
（．原理工大学，１太山西太原００２；．原警官职业学院，西太原００３）３０４２太山３０２
文件是很有可能被成功恢复的。恢复工作中首要的工作是
立刻停止该文件所在分区上的所有输入输出操作，以卸载可该分区或使系统处于单用户状态，者在禁止新用户登录的或情况下让所有已登录的用户停止工作。以上措施的主要目
将计算机及其网络设备的调查和分析技术应用于存在计算机硬件设备中，并将具有法律意义的数据文件进行确定、恢
复与提取。任何一个被入侵的计算机系统都必然会留下曾被入侵的数字痕迹，这些痕迹处理并作为证据使用，够将能再现犯罪的过程与目的。因此，法律意义上讲，查人员从侦
ｄ命令对被删除文件所在的分区作原始拷贝，ｄ将原始拷贝的内容以文件形式（ｅＶｒｄｋ存放在／ｘｏ１Ｏｅ．ｓ）￣ｅｐ￣分区，贝结拷
束后将系统转为正常状态，且开始在分区备份中进行文件并
索引节点与其相关，件的拥有者、在组、小、改、文所大修存取、性变更时间、接记数等信息记录在这个节点中。所属链有索引节点中都保存了一个用来记录文件内容所在数据块直接地址（当文件太大时需用间接数据块指针）数组。索的

电子物证检验鉴定的数据恢复技术分析

技术挑战：数据加密、数据完整性、数据隐私保护等问题
技术应用前景：提高电子物证检验鉴定的效率和准确性，为司法公正提供技术支持。
数据恢复技术面临的挑战与机遇
技术挑战：数据加密、数据损坏、数据丢失等问题
法律挑战：数据隐私、数据安全、数据合规等问题
机遇：大数据、云计算、人工智能等技术的发展和应用
数据恢复技术在电子物证检验鉴定中的应用
数据恢复技术：通过技术手段恢复被删除、损坏或丢失的数据
数据恢复技术在电子物证检验鉴定中的作用：帮助提取、分析和鉴定电子设备中的数据
添加标题
添加标题
添加标题
添加标题
电子物证检验鉴定：对电子设备中的数据进行提取、分析和鉴定
数据恢复技术在电子物证检验鉴定中的挑战：数据损坏、数据加密、数据完整性等问题
数据恢复技术的原理
数据恢复技术的原理主要是通过分析磁盘的物理结构和文件系统，找到丢失的数据并恢复。数据恢复技术可以分为逻辑恢复和物理恢复两种。逻辑恢复主要是通过分析文件系统和文件结构，找到丢失的数据并恢复。物理恢复主要是通过分析磁盘的物理结构和数据存储方式，找到丢失的数据并恢复。数据恢复技术需要具备一定的计算机知识和技能，如文件系统、磁盘物理结构、数据存储方式等。
电子物证检验鉴定中的数据恢复技术
电子物证检验鉴定的概念
电子物证：指在电子设备中存储的电子数据，如电子邮件、文档、图片等检验鉴定：指对电子物证进行技术分析，以确定其真实性、完整性和有效性数据恢复技术：指在电子物证检验鉴定中，通过技术手段恢复被删除、损坏或丢失的数据应用领域：电子物证检验鉴定中的数据恢复技术广泛应用于刑事侦查、民事诉讼等领域
数据恢复技术的应用场景

数据恢复技术在计算机取证中的应用

方法。通过对存储结构到取证技术实现方法分析，以期为我国司法界今后的计算机取证在技术、程、法等方面的发展规方
提供理论支持。
关键词：据恢复；除：证数删取
中图分类号：Ｐ３３Ｔ９
片的” 取证恢复的范罔不单单是应用文件还有系统文ｊ
后还会留有原来分区的痕迹，辑盘被重新格式化后也留逻有原来卷上的一些痕迹。尤其重要的是文件操作，件的义增加、除、改会使系统中产生许多临时文件和中间文删修
维普资讯
第７卷第９期
２００８年９月
南阳师范学院学报
ＪｕｎｌｏｎａｇＮｏｍａｉｅｓｔｏｒａｆＮａｙｎｒｌＵｎｖｒｉｙ
Ｖｏ．ＮＯ９１７．Ｓｐ２０８ｅ．０
２硬盘结构
２１主引导扇区ＭＢＲ．
取证据具有法律效力。取证应按标准进行，使用经过有并
关部门认证的取证１具＿、
ＭＢＲ是由分区程序产生的，同的操作系统该扇区可不
文献标识码：Ａ
文章编号：６１— １２２０）９— ００— ３１７６３（０８００６０
ｌ计算机取证中的数据恢复

简述计算机取证的技术及其过程

简述计算机取证的技术及其过程
计算机取证（Computer Forensics）是一种用于获取、保护和分析在计算机或网络环境中发现的可用作证据的数据的技术。

它是一种针对计算机存在的各种欺诈行为、犯罪行为、不当行为以及各种违反公法的行为而进行的技术支持。

计算机取证是一种复杂的过程，涉及到非常多的技术，它涉及到计算机和网络存储设备的分析、取证和恢复等多个环节。

一般来说，它的流程主要分为以下几个步骤：
1.取证：经过法律手段进入犯罪现场，及时收集相关信息，以及收集、拍摄、测量和鉴定当地存在的物体和环境条件；
2.鉴定：根据收集的物证资料鉴定取证中的计算机设备的制造商、型号、序列号等情况；
3.数据恢复：数据恢复技术可以使损坏的媒体介质上存储的数据恢复可用；
4.数据取证：根据取证计划的要求，从收集的电脑设备中检索需要的相关信息；
5.数据分析：根据取证计划的要求，进行分析技术，以建立案件证据；
6.报告归档：根据案件定性，对取证结果进行实体报告，供警方、检察院、法院以及其他部门使用。

计算机取证工作对专业性要求非常高，取证过程中涉及的法律、技术等都是需要专业人员配合进行的。

取证技术的应用可以非常大程
度上帮助警方侦破各类犯罪，充分发挥计算机取证在司法取证中的重要作用。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

计算机取证中的数据恢复技术综述摘要传统数据恢复已经有很多成熟的技术，通过分析计算机取证中数据恢复技术与传统数据恢复的关系，我们证明了在计算机取证中应用数据恢复技术的可行性，实践也证明了其有效性和重要性。

本文主要在介绍和分析磁盘在FAT32和NTFS两种不同文件系统的分区结构的前提下，在综述了各种计算机取证中基于FAT32和基于NTFS的数据恢复技术和原理、基于闪存的数据恢复技术、基于新型存储设备SSD固态盘的数据恢复技术。

然后讨论了未来计算机取证中数据恢复技术的发展趋势和挑战，即文件碎片的重组和恢复和基于SSD的数据恢复。

相比传统数据恢复，计算机取证中的数据恢复有其自己的特点和要求，最后本文从法律角度，总结了数据恢复技术在计算机取证中应用时所需要遵循的原则和流程规范。

关键字：计算机取证、数据恢复AbstractTraditional data recovery has a lot of mature technologies, According to analysis the relationship between data recovery in computer forensics and traditional data recovery, feasibility of applying data recovery techniques to computer forensics has been proved,much practice also has proved its effectiveness and importance. This paper describes and analyzes the different disk partition structure respectively in the FAT32 and NTFS file systems, then reviews a variety of data recovery techniques and principles respectively based on FAT32 and NTFS, flash-based data recovery techniques, SSD-based data recovery techniques in computer forensics. Next we discuss the trends and challenges of data recovery technology in computer forensics in the future, namely restructuring and recovery of file fragmentation and SSD-based data recovery. Compared to traditional data recovery, data recovery in computer forensics has own characteristics and requirements, and finally from a legal point of view, this paper summed up the principles and process specifications that need to be followed when data recovery techniques are applied to computer forensics .Keywords: computer forensics, data recovery目录摘要 (I)Abstract (I)1 引言 (1)1.1 计算机取证概念 (1)1.2传统数据恢复技术概念 (1)1.3 计算机取证中的数据恢复与传统数据恢复的关系 (2)1.4 计算机取证中的数据恢复技术研究背景及意义 (3)2 计算机取证中的数据恢复技术 (3)2.1 基于FAT32的数据恢复 (3)2.1.1 FAT32系统中硬盘数据结构 (3)2.1.2 文件删除后的恢复 (3)2.1.3 硬盘格式化或硬盘分区后的恢复 (4)2.1.4 分区表损坏后的恢复 (5)2.2 基于NTFS的数据恢复 (5)2.2.1 NTFS系统中硬盘数据结构 (5)2.2.2 文件删除后的恢复 (6)2.2.3 BPB损坏后的恢复 (6)2.3 基于闪存的数据恢复 (6)2.4 基于SSD的数据恢复 (7)3 计算机取证中的数据恢复技术发展方向 (7)3.1 文件碎片的重组和恢复 (7)3.2 基于SSD的数据恢复 (7)4 数据恢复在计算机取证中的应用 (8)5 总结 (8)6 参考文献 (9)1 引言1.1 计算机取证概念计算机取证是指能够为法庭接受的、足够可靠和有说服力的，存在于计算机、网络、电子设备等数字设备中的电子证据进行确认、收集、保护、分析、归档及法庭出示的过程。

与传统证据一样，电子证据必须是可信、准确、完整、符合法律法规的。

但与传统证据相比，电子证据还具有如下特点：多媒体性；脆弱性；无形性；高科技性；人机交互性；随着计算机和电信技术的不断发展，取证步骤和程序也必须不断调整与之适应[1]。

电子证据的这些特点表明计算机取证中有完全不同于传统取证的问题需要研究，所以面临不少难题，也成为信息安全领域关注的焦点。

根据取证时刻和取证对象的不同，计算机取证分为静态取证和动态取证两种。

静态取证主要针对静止状态存储的电子证据，是对取证计算机、外部设备和网络中相关存储设备中的定制证据和犯罪行为痕迹进行提取、分析、识别、鉴定、保全和提交的过程，是计算机传统取证技术，主要涉及数据隐藏、硬盘克隆、密码破译、数据保护、数据恢复等技术。

静态取证的关键在于及时的现场保护，通过相关的文件、日志分析工具对入侵者在系统上的遗留信息进行分析和提取。

动态取证是对计算机系统或网络现场进行监视获取证据，动态分析入侵者的个人信息和攻击手段，或通过陷阱和智能追踪的方式提取实时数字证据，可以实现对取证目标的计算机犯罪相关的电子证据进行实时捕捉、定位、采集和保全。

取证模型概述了整个取证事件的全过程。

文献[2]综述了基本过程取证模型、事件响应过程模型、过程抽象模型、综合数字取证模型、增强型数字过程取证模型、基于目标的层次性取证模型、基于事件的取证模型和多维计算机取证模型等，并总结了取证原则和各种取证工具。

文献[1]给出了计算机取证应用模型：取证准备，使得证据具有客观性；现场勘察及证据固定，保证证据获取的合法性；数据分析及证据提取，保证数据与案件的关联性；数据呈递，保证证据对犯罪定性的有效性。

从技术角度来说，计算机取证相关技术的研究主要针对证据获取技术和证据分析技术。

证据获取技术中，非常重要的一个技术就是数据恢复。

因为电子证据具有脆弱性的特点，容易被损坏或者修改，恢复已经删除的应用文件、日志文件、交换文件或者历史文件碎片都可能成为犯罪案件的有力证据。

1.2传统数据恢复技术概念随着社会信息化的发展，人们对于信息的依赖性越来越高，存储在各种信息设备中的数据价值已经高于设备本身，计算机数据恢复技术应运而生。

数据恢复就是把遭受破坏、或由硬件缺陷导致不可访问或不可获得、或由于误操作等各种原因导致丢失的数据还原成正常数据。

当用户面对计算机系统遭受误操作、病毒侵袭硬件故障黑客攻击等事件后，数据恢复技术可以将用户的数据从各种“无法读取”的存储设备中拯救出来，从而将损失减到最小。

计算机数据恢复技术主要应用于计算机周边各种存储设备，如硬盘、U盘等，一般分为软件恢复技术和硬件恢复技术。

硬件恢复技术，是指一切由硬件损坏或失效造成的数据恢复并且涉及到硬件修理，针对的是无法进行读写操作的存储设备，尤其是硬盘。

硬盘由存储数据的盘片、为读取盘片设计的其他硬件和固化于硬件和盘片上的伺服软件（即固件）等三部分组成，任何部分故障都会导致数据无法读取。

相应地，硬件恢复可分为以下3种恢复方式：（1）硬件替代：用同型号的好的硬件替代坏的硬件从而完成恢复，如硬盘电路板的替代、控制芯片的更换等。

（2）固件修复：用硬盘专用修复工具修复硬盘固件从而恢复硬盘数据。

（3）盘片读取：在专用超净工作间内对硬盘进行开盘，取出盘片，然后用专门的数据恢复设备对其扫描，读出盘片上的数据。

软件恢复技术，指一切可以通过软件方式进行修复，不涉及硬件修理的数据恢复，主要针对可以正常进行读写操作的存储设备。

软件恢复技术可以下两种方式：（1）系统级修复技术：指操作系统不能正常启动，通过修复系统使得系统正常工作，从而恢复数据。

包括对分区表及文件系统信息的修补技术，比如FAT32系统的引导扇区、FAT 表、目录表以及UNIX 系统中的超级块等信息一旦受损或丢失，就看不到系统分区，系统中的文件就无法正常读取。

（2）文件级修复技术：针对存储介质上某个应用文件损坏，又分为损坏文件的恢复和文件碎片的提取。

在文件相对完整、文件头和数据区损坏不大的情况下，可以将文件恢复；但如果文件损坏很大，数据区只残留小部分，则只能提取文件碎片，这些碎片一般存在于分区内未重复使用的部分和数据簇内的剩余部分，但只对特殊的要求才有意义。

1.3 计算机取证中的数据恢复与传统数据恢复的关系计算机取证中的数据恢复和传统数据恢复具有很多相同点，比如说基本的数据恢复技术的原理相同，从本质上讲都是从信息存储设备中提取数据，并且操作前都需要保护目标计算机系统，避免发生任何的改变、伤害、数据破坏或者病毒感染，都需要全部或尽可能恢复特殊的文件或者数据块。

所以说在计算机取证中应用数据恢复技术获取电子证据在理论上是可行的。

但由于计算机取证的特点和要求，计算机取证中的数据恢复与传统数据恢复还有很多不同之处，主要体现在以下几个方面：（1）合法性：计算机取证是国家专有的、是公检法机关针对犯罪案件进行的重要环节，计算机取证中的电子证据必须具有合法性，而由于电子证据易被修改并不留痕迹和易受环境影响的特定，这就要求取证过程采用数据恢复技术必须符合法律规范，使用工具必须通过有关部门的认证，从而使得恢复后的数据能作为具有法律效力的证据。

而传统的数据恢复，是广泛向社会服务的，不一定涉及到法律问题，可能用作商业用途，也可能仅仅是个人需求。

（2）恢复对象和结果：传统的计算机数据恢复技术恢复的数据主要是应用文件，如客户专有的word文件、视频文件、照片文件等。

客户不仅关心文件内容，还关心文件的完整性，即恢复之后保证文件可以正常使用。

而在计算机取证中，恢复的对象不仅仅是应用文件还有系统文件，并且恢复结果不一定完整或可用。