计算机取证中的数据恢复技术综述摘要传统数据恢复已经有很多成熟的技术,通过分析计算机取证中数据恢复技术与传统数据恢复的关系,我们证明了在计算机取证中应用数据恢复技术的可行性,实践也证明了其有效性和重要性。
本文主要在介绍和分析磁盘在FAT32和NTFS两种不同文件系统的分区结构的前提下,在综述了各种计算机取证中基于FAT32和基于NTFS的数据恢复技术和原理、基于闪存的数据恢复技术、基于新型存储设备SSD固态盘的数据恢复技术。
然后讨论了未来计算机取证中数据恢复技术的发展趋势和挑战,即文件碎片的重组和恢复和基于SSD的数据恢复。
相比传统数据恢复,计算机取证中的数据恢复有其自己的特点和要求,最后本文从法律角度,总结了数据恢复技术在计算机取证中应用时所需要遵循的原则和流程规范。
关键字:计算机取证、数据恢复AbstractTraditional data recovery has a lot of mature technologies, According to analysis the relationship between data recovery in computer forensics and traditional data recovery, feasibility of applying data recovery techniques to computer forensics has been proved,much practice also has proved its effectiveness and importance. This paper describes and analyzes the different disk partition structure respectively in the FAT32 and NTFS file systems, then reviews a variety of data recovery techniques and principles respectively based on FAT32 and NTFS, flash-based data recovery techniques, SSD-based data recovery techniques in computer forensics. Next we discuss the trends and challenges of data recovery technology in computer forensics in the future, namely restructuring and recovery of file fragmentation and SSD-based data recovery. Compared to traditional data recovery, data recovery in computer forensics has own characteristics and requirements, and finally from a legal point of view, this paper summed up the principles and process specifications that need to be followed when data recovery techniques are applied to computer forensics .Keywords: computer forensics, data recovery目录摘要 (I)Abstract (I)1 引言 (1)1.1 计算机取证概念 (1)1.2传统数据恢复技术概念 (1)1.3 计算机取证中的数据恢复与传统数据恢复的关系 (2)1.4 计算机取证中的数据恢复技术研究背景及意义 (3)2 计算机取证中的数据恢复技术 (3)2.1 基于FAT32的数据恢复 (3)2.1.1 FAT32系统中硬盘数据结构 (3)2.1.2 文件删除后的恢复 (3)2.1.3 硬盘格式化或硬盘分区后的恢复 (4)2.1.4 分区表损坏后的恢复 (5)2.2 基于NTFS的数据恢复 (5)2.2.1 NTFS系统中硬盘数据结构 (5)2.2.2 文件删除后的恢复 (6)2.2.3 BPB损坏后的恢复 (6)2.3 基于闪存的数据恢复 (6)2.4 基于SSD的数据恢复 (7)3 计算机取证中的数据恢复技术发展方向 (7)3.1 文件碎片的重组和恢复 (7)3.2 基于SSD的数据恢复 (7)4 数据恢复在计算机取证中的应用 (8)5 总结 (8)6 参考文献 (9)1 引言1.1 计算机取证概念计算机取证是指能够为法庭接受的、足够可靠和有说服力的,存在于计算机、网络、电子设备等数字设备中的电子证据进行确认、收集、保护、分析、归档及法庭出示的过程。
与传统证据一样,电子证据必须是可信、准确、完整、符合法律法规的。
但与传统证据相比,电子证据还具有如下特点:多媒体性;脆弱性;无形性;高科技性;人机交互性;随着计算机和电信技术的不断发展,取证步骤和程序也必须不断调整与之适应[1]。
电子证据的这些特点表明计算机取证中有完全不同于传统取证的问题需要研究,所以面临不少难题,也成为信息安全领域关注的焦点。
根据取证时刻和取证对象的不同,计算机取证分为静态取证和动态取证两种。
静态取证主要针对静止状态存储的电子证据,是对取证计算机、外部设备和网络中相关存储设备中的定制证据和犯罪行为痕迹进行提取、分析、识别、鉴定、保全和提交的过程,是计算机传统取证技术,主要涉及数据隐藏、硬盘克隆、密码破译、数据保护、数据恢复等技术。
静态取证的关键在于及时的现场保护,通过相关的文件、日志分析工具对入侵者在系统上的遗留信息进行分析和提取。
动态取证是对计算机系统或网络现场进行监视获取证据,动态分析入侵者的个人信息和攻击手段,或通过陷阱和智能追踪的方式提取实时数字证据,可以实现对取证目标的计算机犯罪相关的电子证据进行实时捕捉、定位、采集和保全。
取证模型概述了整个取证事件的全过程。
文献[2]综述了基本过程取证模型、事件响应过程模型、过程抽象模型、综合数字取证模型、增强型数字过程取证模型、基于目标的层次性取证模型、基于事件的取证模型和多维计算机取证模型等,并总结了取证原则和各种取证工具。
文献[1]给出了计算机取证应用模型:取证准备,使得证据具有客观性;现场勘察及证据固定,保证证据获取的合法性;数据分析及证据提取,保证数据与案件的关联性;数据呈递,保证证据对犯罪定性的有效性。
从技术角度来说,计算机取证相关技术的研究主要针对证据获取技术和证据分析技术。
证据获取技术中,非常重要的一个技术就是数据恢复。
因为电子证据具有脆弱性的特点,容易被损坏或者修改,恢复已经删除的应用文件、日志文件、交换文件或者历史文件碎片都可能成为犯罪案件的有力证据。
1.2传统数据恢复技术概念随着社会信息化的发展,人们对于信息的依赖性越来越高,存储在各种信息设备中的数据价值已经高于设备本身,计算机数据恢复技术应运而生。
数据恢复就是把遭受破坏、或由硬件缺陷导致不可访问或不可获得、或由于误操作等各种原因导致丢失的数据还原成正常数据。
当用户面对计算机系统遭受误操作、病毒侵袭硬件故障黑客攻击等事件后,数据恢复技术可以将用户的数据从各种“无法读取”的存储设备中拯救出来,从而将损失减到最小。
计算机数据恢复技术主要应用于计算机周边各种存储设备,如硬盘、U盘等,一般分为软件恢复技术和硬件恢复技术。
硬件恢复技术,是指一切由硬件损坏或失效造成的数据恢复并且涉及到硬件修理,针对的是无法进行读写操作的存储设备,尤其是硬盘。
硬盘由存储数据的盘片、为读取盘片设计的其他硬件和固化于硬件和盘片上的伺服软件(即固件)等三部分组成,任何部分故障都会导致数据无法读取。
相应地,硬件恢复可分为以下3种恢复方式:(1)硬件替代:用同型号的好的硬件替代坏的硬件从而完成恢复,如硬盘电路板的替代、控制芯片的更换等。
(2)固件修复:用硬盘专用修复工具修复硬盘固件从而恢复硬盘数据。
(3)盘片读取:在专用超净工作间内对硬盘进行开盘,取出盘片,然后用专门的数据恢复设备对其扫描,读出盘片上的数据。
软件恢复技术,指一切可以通过软件方式进行修复,不涉及硬件修理的数据恢复,主要针对可以正常进行读写操作的存储设备。
软件恢复技术可以下两种方式:(1)系统级修复技术:指操作系统不能正常启动,通过修复系统使得系统正常工作,从而恢复数据。
包括对分区表及文件系统信息的修补技术,比如FAT32系统的引导扇区、FAT 表、目录表以及UNIX 系统中的超级块等信息一旦受损或丢失,就看不到系统分区,系统中的文件就无法正常读取。
(2)文件级修复技术:针对存储介质上某个应用文件损坏,又分为损坏文件的恢复和文件碎片的提取。
在文件相对完整、文件头和数据区损坏不大的情况下,可以将文件恢复;但如果文件损坏很大,数据区只残留小部分,则只能提取文件碎片,这些碎片一般存在于分区内未重复使用的部分和数据簇内的剩余部分,但只对特殊的要求才有意义。
1.3 计算机取证中的数据恢复与传统数据恢复的关系计算机取证中的数据恢复和传统数据恢复具有很多相同点,比如说基本的数据恢复技术的原理相同,从本质上讲都是从信息存储设备中提取数据,并且操作前都需要保护目标计算机系统,避免发生任何的改变、伤害、数据破坏或者病毒感染,都需要全部或尽可能恢复特殊的文件或者数据块。
所以说在计算机取证中应用数据恢复技术获取电子证据在理论上是可行的。
但由于计算机取证的特点和要求,计算机取证中的数据恢复与传统数据恢复还有很多不同之处,主要体现在以下几个方面:(1)合法性:计算机取证是国家专有的、是公检法机关针对犯罪案件进行的重要环节,计算机取证中的电子证据必须具有合法性,而由于电子证据易被修改并不留痕迹和易受环境影响的特定,这就要求取证过程采用数据恢复技术必须符合法律规范,使用工具必须通过有关部门的认证,从而使得恢复后的数据能作为具有法律效力的证据。
而传统的数据恢复,是广泛向社会服务的,不一定涉及到法律问题,可能用作商业用途,也可能仅仅是个人需求。
(2)恢复对象和结果:传统的计算机数据恢复技术恢复的数据主要是应用文件,如客户专有的word文件、视频文件、照片文件等。
客户不仅关心文件内容,还关心文件的完整性,即恢复之后保证文件可以正常使用。
而在计算机取证中,恢复的对象不仅仅是应用文件还有系统文件,并且恢复结果不一定完整或可用。