浅析计算机犯罪取证中的数据恢复原理
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
置 。 I 记 录着 每个 文件 ( DR 目录 ) 的起始单 元 、 文件 的属 性 等 。定 位文 件位 置时 , 操作 系统 根据D R中 I 的起 始 单 元 。结合 F T 就可 以知 道文 件 在磁 盘 A表 的具 体 位置 及大 小 了。 D T 数据区) A A( 。数 据 区是 真正 存储 数 据 的 地方 , 于D R区之 后 , 位 I 占据 硬 盘上 的大 部 分数 据 空 间。D T A A虽然 占据 了硬盘 的绝 大部分空 间 , 但
浅析计算机犯罪取证 中的数据恢复原 理
吴 琪
( 吉林 警察 学院 ,吉林 长春 10 l) 3 1 7
摘
要 :计 算机 犯 罪现 象 日趋 增 多 ,犯 罪嫌 疑人 为掩 盖其犯 罪行 踪 ,常 常恶意删 除或破 坏 有价值
的证据 。而恢 复被删 除的信 息则是 取得证 据和犯 罪线 索的一种 重要 手段 。在计 算机犯 罪取证 中 了解数 据恢 复原理对 正确分析 出案件 所 需的电子证据 意义重 大 。
2 1年 第 2期 01 ( 总第 1 1 ) 7期
吉 林 公 安 高等 专 科 学 校 学 报
J u a fJl u l e ui a e o r lo i P bi S c rt Ac d my n in c y
No 2。 0 1 . 21
ห้องสมุดไป่ตู้
Api, . 7 r No1 l 1
引言
当 多 的工 作 是 要 在 目标 计 算 机 系 统 的硬 盘 上 搜
集 证 物 , 以是 计算 机 犯 罪取 证 工作 的主要 调 查 所 对 象 。 目前 大多数 计 算机取 证软件 的主要功 能是
随着 计 算机 在 各行 业 和各 领 域 大量 、 泛地 广 应 用 , 算 机 网络 的不 断 普及 . 用 计 算 机 及其 计 利 网络作 为犯 罪 工具 的计 算 机 犯罪 现象 H趋增 多 。
是 重 写 了F T 而 已 . 于分 区 硬盘 , 只是 修 改 A 表 至 也 了MB R和O R.绝 大部 分 D T B A A区的数 据 并 没有 被 改 变 , 也是 许 多 硬 盘数 据 能够 得 以修 复 的原 这
因
三 、 据存储 原 理 数
文 件 的读 取原 理 就是 先读 取 某一 分 区 的B B P 参数 至 内存 , 当需 要 读取某 一 文件 时 , 读 取文 就先 件 的 目录表 ,找到 相对 应 文件 的首扇 区和F T A 表
没有 了前 面 的各 部分 , 它对 于我 们来 说 , 只 能是 也
一
统 控 制权 交 给它 时 。 断 本 分 区根 目录前 两个 文 判
件 是不 是 操作 系 统 的 引导 文 件 。 如果 确 定存 在 。
就 把它读 入 内存 , 并把 控 制权交 给该 文 件 。 P 参 BB
数 块 记 录 着 本 分 区 的起 始 扇 区 、 束 扇 区 、 件 结 文 存 储格 式 、 盘 介 质 描 述 符 、 目录 大 小 、A 个 硬 根 FT 数 , 配单 元 的大 小等重 要参 数 。 B 分 D R由高 级格式 化程 序 ( I oma. m等程 序 ) 产生 。  ̄F r t o c 所
-- -— —
6 ・— 4 - - —
整个 硬盘 的0 道O 面l 区 。在 总共 5 2 节 的 磁 柱 扇 1字 主 引导 扇 区 中 , R 占用 了其 中 的4 6 字 节 , MB 只 4个
另外 的6 个 字节 交 给 了Dr ( i ati al 4 t D s P r t nT be r k io
失, 引发 的社会 问题也 越来 越 突 出 。要 打击 计算 机犯 罪 就需 要 找到 充分 、 靠 、 说 服力 的证 据 。 可 有
在此 基 础上 , 能 判 断 、 才 区分 、 别 出各 种 信 息及 辨 其之 间的关 系 , 能更 好 地 分析 出案件 所 需 的 电 才
子证 据 。 二、 硬盘 的数 据结构
件 实 际大 小 小 于一 簇 , 也 要 占一簇 的空 间 。所 它 以 , 般 情况 下 文 件所 占空 间要 略 大 于文 件 的实 一
际 大 小 , 有 在 少 数 情 况 下 。 文 件 的实 际大 小 只 即
的入 口后 。再从 F T 中找 到后 续扇 区的相 应链 A 表 接 , 动磁 臂 到对应 的位 置进行 文件 读取 。 移 就完 成 了某 一个 文件 的读 写操 作 。 当我 们要 保 存 文 件 时 ,操 作系 统 首先在 D R I 区 中找 到空 区写入 文 件 名 、 大小 和创 建 时 间 等相
F T Fl A lct nT be 文件 分 配 表 ) A ( i l a o al , e o i 是操 作 系 统 的文 件 寻址 系统 。文 件 占用 磁 盘 空 间时 。
些 枯 燥 的二 进 制代 码 。 没有 任 何 意义 。我 们 通
常所 说 的格 式化 程 序 ( 高 级格 式化 ,  ̄ D S 指 例 I O 下
MB Ma o t eod 主引导记 录 区) 于 R( i B o R cr , n 位
收稿 日期 :2 1 — 1 1 0 10— 0 作 者简 介 :吴琪 ( 9 6 )女 , 1 7 一 , 吉林长春 人 , 吉林警察 学院信 息工程 系讲 师 , 主要 研 究方 向 : 息安全 。 信 基 金项 目 :本文 为 吉林 省教 育厅 “ 十一五 ” 科研 项 目阶段性 成果 。
式 和 容量 大 小来 决定 ,所 以同一个 文 件 的数 据并 不 一定 完 整 地存 放 在 磁 盘 的一 个 连 续 的 区域 内 , 而 往往 会 分 成若 干 段 , 一 条 链 子一 样存 放 。磁 像
硬 盘 分 区表 ) 最 后 两个 字 节 “5 A 是分 区 的结 , 5A ” 束标 志 。 整体 构 成 了硬 盘 的主 引导 扇 区。这 个 其 扇 区在计 算 机 引导 过 程 中起 着 举 足轻 重 的 作用 。 主 引导 记 录 中包 含 了硬 盘 的 一 系 列参 数 和 一 段
文件 信 息获 取 和数 据恢 复 。因此 , 于计 算机 取 对 证 人 员来 说 。 很 好 地 把 握 这些 信 息 。 需 要 深 要 就 入 了解 存 储 介 质 尤 其 是 硬 盘 的数 据 结 构 和 存 储
原理 , 了解 文件 删 除 与恢 复 的原 理 与方 法 。 只有
计 算 机犯 罪 给 国家 、社 会 和 个 人 带 来 巨 大 的损
坏 , 一般 做两 个 , n 第二 F T A 为第一F T A 的备 份 。 D R( i c r, 目录 区 ) D R紧 接 在 第 二 I D r t y根 eo 。 I F T 之后 , F T 不 能定 位 文件 在磁 盘 中 的 A表 只有 A 还
位 置 。A 只有 和DR 合 才能 准确 定位 文件 的位 FT I配
F i . e所 产 生 的 , ds e ) kx 它不 依 赖 任 何 操 作 系 统 。 而 且硬 盘 引导 程 序也 是 可 以改变 的 , 而 实 现 多 系 从 统共 存 。 D R( o otR cr , 作 系 统 引 导 区 ) B D sB o e od 操 通 常位 于 硬盘 的0 道 1 面 1 区 。是 操 作 系统 可 磁 柱 扇 以直 接 访 问 的第 一 个 扇 区 。 包 括 一个 引 导 程序 它 和一 个 被 称 为B B( is aa trBok 的分 区 P Bo rme l ) P e c 参数 记 录表 。引导程 序 的主 要任 务是 当MB R将系
引导程 序 。其 中的硬 盘引 导程 序的 主要作 用是 检 查 分 区表 是 否 正 确 并 且 在 系 统 硬 件 完 成 自检 以
后 引 导具 有激 活 标 志 的分 区上 的操 作 系 统 。 将 并
地找 到各 段 的位 置并 正确 读 出。但 是这种 以簇 为
单位 的存 储 方法 在空 间 的利用 上是 有缺 陷的 。每
由于计 算机 信 息容 易篡 改 . 罪 嫌疑 人 为掩 盖其 犯 行 踪 , 量 的证 据 存 在 被 删 除 、 坏 、 改 、 大 破 修 伪造
的可 能 性 , 有价 值 的证 据 往往 难 以取 得 . 就需 这 要用 尽 可 能多 的办 法搜 集 证 据 , 而恢 复 被删 除 的 信 息则 可 以作 为取 得 证 据 和 犯 罪 线 索 的 一 种重
的F r a程 序 )并 没 有把 D T om t 。 A A区 的数据 清 除 , 只
以簇 为单 位 。 一般 情 况 下 , 盘 每簇 是 1 扇 区 , 软 个 硬 盘 每簇 的扇 区数 与硬 盘 的总容 量大 小有 关 。扇 区是 磁盘 最 小 的物 理 存储 单 元 。 因为 操 作 系统 但 无 法对 数 目众 多 的扇 区进 行 寻 址 , 以操 作 系统 所 就 将 相 邻 的扇 区 组 合 在 一 起 , 成 一 个 簇 , 后 形 然 再对 簇 进行 管 理 。显然 。 是操 作 系 统 所使 用 的 簇 逻辑 概 念 , 非 磁 盘 的物 理 特性 。为 了更好 地 管 而 理磁 盘 空 间和 更 高效 地 从 硬 盘读 取 数 据 。 作 系 操 统规 定 一个 簇 中只 能放 置 一 个文 件 的 内容 。 因此 文 件 所 占用 的空 间 , 能是 簇 的整 数 倍 ; 只 如果 文
关键词 :计 算机取 证 ;数 据 恢复 ;硬 盘 ;删 除
中 图分 类号 :D 1 98 文献标 识码 :A 文 章编 号 :17 — 5 1 (0 )0 一 0 4 0 6 104 2 1 1 2 o 6— 4
存 储 着各 种 各样 的信息 , 计算 机 取证 过 程 中有 相
一
、
区 、 B 区 、A 区、 I 和D T D R F T D R区 A A区 。
可能有一定 的价值 。 通过技术手段把残存在计算 机 上 的信 息全 部或 部 分再 现 , 握更 多 的犯 罪 信 掌
息, 并进 行 分 析 , 出鉴定 结论 , 以作 为认 定事 得 可
实 的依据 。
计算 机 硬盘 是 最 常见 的 数据 存储 介 质 , 中 其
个文 件 的最后 一簇 都有 可 能有 未被 完全利 用 的空
间( 称为 Sak 间 ) lc 空 。一 般 来 说 , 文件个 数 比较 当 多时 , 平均 每 个文 件 要 浪 费半 个 簇 的空 间 。 因 为
F T 文件 管 理 的重要 性 。所 以为 了防止 意 外损 A对
控 制 权 交 给 启 动 程 序 。MB R是 由分 区程 序 ( 如
要 手段 。计 算 机 的各种 文 件信 息 被删 除 后 , 它们
所 占用 的 硬 盘 空 间可 能 并 没 有 被 新 的 数 据覆 盖
一
块 全新 的硬 盘 在存 储 数据 之 前 , 般需 经 一
或 只 覆 盖 了 一部 分 . 取证 的 角度 看 , 些 信 息 从 这
过 分 区 、 式 化 , 后 再 安装 上 操 作 系统 之 后 才 格 然 能使 用 , 目的是 在 物 理硬 盘 上建 立 一定 的数 据逻 辑结 构 。对 于F T 6 A 3 文 件系统 , 盘上 的 A 1 和F T 2 硬 数 据 按 照 其 不 同 的 特 点 和作 用 大 致 可分 为 五部 分来 实现对 数据 的存 储 与管理 。它们 分别 为MB R
盘 上 的文 件 常 常要 进 行创 建 、 入 、 除等 操 作 , 插 删
这 样 的操 作 越 多 。 上 的文 件 就 有可 能 被分 得 越 盘
零碎 。 由 于硬盘 上保 存着 段 与段之 间 的连 接 信息
( A ) 操 作 系统 在读 取 文件 时 , 即F T , 总是 能够 准 确
浅析计算机犯罪取证 中的数据恢复原 理
吴 琪
( 吉林 警察 学院 ,吉林 长春 10 l) 3 1 7
摘
要 :计 算机 犯 罪现 象 日趋 增 多 ,犯 罪嫌 疑人 为掩 盖其犯 罪行 踪 ,常 常恶意删 除或破 坏 有价值
的证据 。而恢 复被删 除的信 息则是 取得证 据和犯 罪线 索的一种 重要 手段 。在计 算机犯 罪取证 中 了解数 据恢 复原理对 正确分析 出案件 所 需的电子证据 意义重 大 。
2 1年 第 2期 01 ( 总第 1 1 ) 7期
吉 林 公 安 高等 专 科 学 校 学 报
J u a fJl u l e ui a e o r lo i P bi S c rt Ac d my n in c y
No 2。 0 1 . 21
ห้องสมุดไป่ตู้
Api, . 7 r No1 l 1
引言
当 多 的工 作 是 要 在 目标 计 算 机 系 统 的硬 盘 上 搜
集 证 物 , 以是 计算 机 犯 罪取 证 工作 的主要 调 查 所 对 象 。 目前 大多数 计 算机取 证软件 的主要功 能是
随着 计 算机 在 各行 业 和各 领 域 大量 、 泛地 广 应 用 , 算 机 网络 的不 断 普及 . 用 计 算 机 及其 计 利 网络作 为犯 罪 工具 的计 算 机 犯罪 现象 H趋增 多 。
是 重 写 了F T 而 已 . 于分 区 硬盘 , 只是 修 改 A 表 至 也 了MB R和O R.绝 大部 分 D T B A A区的数 据 并 没有 被 改 变 , 也是 许 多 硬 盘数 据 能够 得 以修 复 的原 这
因
三 、 据存储 原 理 数
文 件 的读 取原 理 就是 先读 取 某一 分 区 的B B P 参数 至 内存 , 当需 要 读取某 一 文件 时 , 读 取文 就先 件 的 目录表 ,找到 相对 应 文件 的首扇 区和F T A 表
没有 了前 面 的各 部分 , 它对 于我 们来 说 , 只 能是 也
一
统 控 制权 交 给它 时 。 断 本 分 区根 目录前 两个 文 判
件 是不 是 操作 系 统 的 引导 文 件 。 如果 确 定存 在 。
就 把它读 入 内存 , 并把 控 制权交 给该 文 件 。 P 参 BB
数 块 记 录 着 本 分 区 的起 始 扇 区 、 束 扇 区 、 件 结 文 存 储格 式 、 盘 介 质 描 述 符 、 目录 大 小 、A 个 硬 根 FT 数 , 配单 元 的大 小等重 要参 数 。 B 分 D R由高 级格式 化程 序 ( I oma. m等程 序 ) 产生 。  ̄F r t o c 所
-- -— —
6 ・— 4 - - —
整个 硬盘 的0 道O 面l 区 。在 总共 5 2 节 的 磁 柱 扇 1字 主 引导 扇 区 中 , R 占用 了其 中 的4 6 字 节 , MB 只 4个
另外 的6 个 字节 交 给 了Dr ( i ati al 4 t D s P r t nT be r k io
失, 引发 的社会 问题也 越来 越 突 出 。要 打击 计算 机犯 罪 就需 要 找到 充分 、 靠 、 说 服力 的证 据 。 可 有
在此 基 础上 , 能 判 断 、 才 区分 、 别 出各 种 信 息及 辨 其之 间的关 系 , 能更 好 地 分析 出案件 所 需 的 电 才
子证 据 。 二、 硬盘 的数 据结构
件 实 际大 小 小 于一 簇 , 也 要 占一簇 的空 间 。所 它 以 , 般 情况 下 文 件所 占空 间要 略 大 于文 件 的实 一
际 大 小 , 有 在 少 数 情 况 下 。 文 件 的实 际大 小 只 即
的入 口后 。再从 F T 中找 到后 续扇 区的相 应链 A 表 接 , 动磁 臂 到对应 的位 置进行 文件 读取 。 移 就完 成 了某 一个 文件 的读 写操 作 。 当我 们要 保 存 文 件 时 ,操 作系 统 首先在 D R I 区 中找 到空 区写入 文 件 名 、 大小 和创 建 时 间 等相
F T Fl A lct nT be 文件 分 配 表 ) A ( i l a o al , e o i 是操 作 系 统 的文 件 寻址 系统 。文 件 占用 磁 盘 空 间时 。
些 枯 燥 的二 进 制代 码 。 没有 任 何 意义 。我 们 通
常所 说 的格 式化 程 序 ( 高 级格 式化 ,  ̄ D S 指 例 I O 下
MB Ma o t eod 主引导记 录 区) 于 R( i B o R cr , n 位
收稿 日期 :2 1 — 1 1 0 10— 0 作 者简 介 :吴琪 ( 9 6 )女 , 1 7 一 , 吉林长春 人 , 吉林警察 学院信 息工程 系讲 师 , 主要 研 究方 向 : 息安全 。 信 基 金项 目 :本文 为 吉林 省教 育厅 “ 十一五 ” 科研 项 目阶段性 成果 。
式 和 容量 大 小来 决定 ,所 以同一个 文 件 的数 据并 不 一定 完 整 地存 放 在 磁 盘 的一 个 连 续 的 区域 内 , 而 往往 会 分 成若 干 段 , 一 条 链 子一 样存 放 。磁 像
硬 盘 分 区表 ) 最 后 两个 字 节 “5 A 是分 区 的结 , 5A ” 束标 志 。 整体 构 成 了硬 盘 的主 引导 扇 区。这 个 其 扇 区在计 算 机 引导 过 程 中起 着 举 足轻 重 的 作用 。 主 引导 记 录 中包 含 了硬 盘 的 一 系 列参 数 和 一 段
文件 信 息获 取 和数 据恢 复 。因此 , 于计 算机 取 对 证 人 员来 说 。 很 好 地 把 握 这些 信 息 。 需 要 深 要 就 入 了解 存 储 介 质 尤 其 是 硬 盘 的数 据 结 构 和 存 储
原理 , 了解 文件 删 除 与恢 复 的原 理 与方 法 。 只有
计 算 机犯 罪 给 国家 、社 会 和 个 人 带 来 巨 大 的损
坏 , 一般 做两 个 , n 第二 F T A 为第一F T A 的备 份 。 D R( i c r, 目录 区 ) D R紧 接 在 第 二 I D r t y根 eo 。 I F T 之后 , F T 不 能定 位 文件 在磁 盘 中 的 A表 只有 A 还
位 置 。A 只有 和DR 合 才能 准确 定位 文件 的位 FT I配
F i . e所 产 生 的 , ds e ) kx 它不 依 赖 任 何 操 作 系 统 。 而 且硬 盘 引导 程 序也 是 可 以改变 的 , 而 实 现 多 系 从 统共 存 。 D R( o otR cr , 作 系 统 引 导 区 ) B D sB o e od 操 通 常位 于 硬盘 的0 道 1 面 1 区 。是 操 作 系统 可 磁 柱 扇 以直 接 访 问 的第 一 个 扇 区 。 包 括 一个 引 导 程序 它 和一 个 被 称 为B B( is aa trBok 的分 区 P Bo rme l ) P e c 参数 记 录表 。引导程 序 的主 要任 务是 当MB R将系
引导程 序 。其 中的硬 盘引 导程 序的 主要作 用是 检 查 分 区表 是 否 正 确 并 且 在 系 统 硬 件 完 成 自检 以
后 引 导具 有激 活 标 志 的分 区上 的操 作 系 统 。 将 并
地找 到各 段 的位 置并 正确 读 出。但 是这种 以簇 为
单位 的存 储 方法 在空 间 的利用 上是 有缺 陷的 。每
由于计 算机 信 息容 易篡 改 . 罪 嫌疑 人 为掩 盖其 犯 行 踪 , 量 的证 据 存 在 被 删 除 、 坏 、 改 、 大 破 修 伪造
的可 能 性 , 有价 值 的证 据 往往 难 以取 得 . 就需 这 要用 尽 可 能多 的办 法搜 集 证 据 , 而恢 复 被删 除 的 信 息则 可 以作 为取 得 证 据 和 犯 罪 线 索 的 一 种重
的F r a程 序 )并 没 有把 D T om t 。 A A区 的数据 清 除 , 只
以簇 为单 位 。 一般 情 况 下 , 盘 每簇 是 1 扇 区 , 软 个 硬 盘 每簇 的扇 区数 与硬 盘 的总容 量大 小有 关 。扇 区是 磁盘 最 小 的物 理 存储 单 元 。 因为 操 作 系统 但 无 法对 数 目众 多 的扇 区进 行 寻 址 , 以操 作 系统 所 就 将 相 邻 的扇 区 组 合 在 一 起 , 成 一 个 簇 , 后 形 然 再对 簇 进行 管 理 。显然 。 是操 作 系 统 所使 用 的 簇 逻辑 概 念 , 非 磁 盘 的物 理 特性 。为 了更好 地 管 而 理磁 盘 空 间和 更 高效 地 从 硬 盘读 取 数 据 。 作 系 操 统规 定 一个 簇 中只 能放 置 一 个文 件 的 内容 。 因此 文 件 所 占用 的空 间 , 能是 簇 的整 数 倍 ; 只 如果 文
关键词 :计 算机取 证 ;数 据 恢复 ;硬 盘 ;删 除
中 图分 类号 :D 1 98 文献标 识码 :A 文 章编 号 :17 — 5 1 (0 )0 一 0 4 0 6 104 2 1 1 2 o 6— 4
存 储 着各 种 各样 的信息 , 计算 机 取证 过 程 中有 相
一
、
区 、 B 区 、A 区、 I 和D T D R F T D R区 A A区 。
可能有一定 的价值 。 通过技术手段把残存在计算 机 上 的信 息全 部或 部 分再 现 , 握更 多 的犯 罪 信 掌
息, 并进 行 分 析 , 出鉴定 结论 , 以作 为认 定事 得 可
实 的依据 。
计算 机 硬盘 是 最 常见 的 数据 存储 介 质 , 中 其
个文 件 的最后 一簇 都有 可 能有 未被 完全利 用 的空
间( 称为 Sak 间 ) lc 空 。一 般 来 说 , 文件个 数 比较 当 多时 , 平均 每 个文 件 要 浪 费半 个 簇 的空 间 。 因 为
F T 文件 管 理 的重要 性 。所 以为 了防止 意 外损 A对
控 制 权 交 给 启 动 程 序 。MB R是 由分 区程 序 ( 如
要 手段 。计 算 机 的各种 文 件信 息 被删 除 后 , 它们
所 占用 的 硬 盘 空 间可 能 并 没 有 被 新 的 数 据覆 盖
一
块 全新 的硬 盘 在存 储 数据 之 前 , 般需 经 一
或 只 覆 盖 了 一部 分 . 取证 的 角度 看 , 些 信 息 从 这
过 分 区 、 式 化 , 后 再 安装 上 操 作 系统 之 后 才 格 然 能使 用 , 目的是 在 物 理硬 盘 上建 立 一定 的数 据逻 辑结 构 。对 于F T 6 A 3 文 件系统 , 盘上 的 A 1 和F T 2 硬 数 据 按 照 其 不 同 的 特 点 和作 用 大 致 可分 为 五部 分来 实现对 数据 的存 储 与管理 。它们 分别 为MB R
盘 上 的文 件 常 常要 进 行创 建 、 入 、 除等 操 作 , 插 删
这 样 的操 作 越 多 。 上 的文 件 就 有可 能 被分 得 越 盘
零碎 。 由 于硬盘 上保 存着 段 与段之 间 的连 接 信息
( A ) 操 作 系统 在读 取 文件 时 , 即F T , 总是 能够 准 确