計算機取證中的數(shù)據(jù)恢復(fù)技術(shù)

1、計算機取證中的數(shù)據(jù)恢復(fù)技術(shù)綜述摘要傳統(tǒng)數(shù)據(jù)恢復(fù)已經(jīng)有很多成熟的技術(shù)，通過分析計算機取證中數(shù)據(jù)恢復(fù)技術(shù)與傳統(tǒng)數(shù)據(jù)恢復(fù)的關(guān)系，我們證明了在計算機取證中應(yīng)用數(shù)據(jù)恢復(fù)技術(shù)的可行性，實踐也證明了其有效性和重要性。本文主要在介紹和分析磁盤在FAT32和NTFS兩種不同文件系統(tǒng)的分區(qū)結(jié)構(gòu)的前提下，在綜述了各種計算機取證中基于FAT32和基于NTFS的數(shù)據(jù)恢復(fù)技術(shù)和原理、基于閃存的數(shù)據(jù)恢復(fù)技術(shù)、基于新型存儲設(shè)備SSD固態(tài)盤的數(shù)據(jù)恢復(fù)技術(shù)。然后討論了未來計算機取證中數(shù)據(jù)恢復(fù)技術(shù)的發(fā)展趨勢和挑戰(zhàn)，即文件碎片的重組和恢復(fù)和基于SSD的數(shù)據(jù)恢復(fù)。相比傳統(tǒng)數(shù)據(jù)恢復(fù)，計算機取證中的數(shù)據(jù)恢復(fù)有其自己的特點和要求，最后本文從

2、法律角度，總結(jié)了數(shù)據(jù)恢復(fù)技術(shù)在計算機取證中應(yīng)用時所需要遵循的原則和流程規(guī)范。關(guān)鍵字：計算機取證、數(shù)據(jù)恢復(fù)AbstractTraditional data recovery has a lot of mature technologies, According to analysis the relationship between data recovery in computer forensics and traditional data recovery, feasibility of applying data recovery techniques to computer foren

3、sics has been proved,much practice also has proved its effectiveness and importance. This paper describes and analyzes the different disk partition structure respectively in the FAT32 and NTFS file systems, then reviews a variety of data recovery techniques and principles respectively based on FAT32

4、 and NTFS, flash-based data recovery techniques, SSD-based data recovery techniques in computer forensics. Next we discuss the trends and challenges of data recovery technology in computer forensics in the future, namely restructuring and recovery of file fragmentation and SSD-based data recovery. C

5、ompared to traditional data recovery, data recovery in computer forensics has own characteristics and requirements, and finally from a legal point of view, this paper summed up the principles and process specifications that need to be followed when data recovery techniques are applied to computer fo

6、rensics . Keywords: computer forensics, data recoveryI目錄摘要IAbstractI1 引言11.1 計算機取證概念11.2傳統(tǒng)數(shù)據(jù)恢復(fù)技術(shù)概念11.3 計算機取證中的數(shù)據(jù)恢復(fù)與傳統(tǒng)數(shù)據(jù)恢復(fù)的關(guān)系21.4 計算機取證中的數(shù)據(jù)恢復(fù)技術(shù)研究背景及意義32 計算機取證中的數(shù)據(jù)恢復(fù)技術(shù)32.1 基于FAT32的數(shù)據(jù)恢復(fù)32.1.1 FAT32系統(tǒng)中硬盤數(shù)據(jù)結(jié)構(gòu)32.1.2 文件刪除后的恢復(fù)32.1.3 硬盤格式化或硬盤分區(qū)后的恢復(fù)42.1.4 分區(qū)表損壞后的恢復(fù)52.2 基于NTFS的數(shù)據(jù)恢復(fù)52.2.1 NTFS系統(tǒng)中硬盤數(shù)據(jù)結(jié)構(gòu)52.2.2 文件

7、刪除后的恢復(fù)62.2.3 BPB損壞后的恢復(fù)62.3 基于閃存的數(shù)據(jù)恢復(fù)62.4 基于SSD的數(shù)據(jù)恢復(fù)73 計算機取證中的數(shù)據(jù)恢復(fù)技術(shù)發(fā)展方向73.1 文件碎片的重組和恢復(fù)73.2 基于SSD的數(shù)據(jù)恢復(fù)74 數(shù)據(jù)恢復(fù)在計算機取證中的應(yīng)用85 總結(jié)86 參考文獻91 引言1.1 計算機取證概念計算機取證是指能夠為法庭接受的、足夠可靠和有說服力的，存在于計算機、網(wǎng)絡(luò)、電子設(shè)備等數(shù)字設(shè)備中的電子證據(jù)進行確認、收集、保護、分析、歸檔及法庭出示的過程。與傳統(tǒng)證據(jù)一樣，電子證據(jù)必須是可信、準(zhǔn)確、完整、符合法律法規(guī)的。但與傳統(tǒng)證據(jù)相比，電子證據(jù)還具有如下特點：多媒體性；脆弱性；無形性；高科技性；人機交互性；

8、隨著計算機和電信技術(shù)的不斷發(fā)展，取證步驟和程序也必須不斷調(diào)整與之適應(yīng)1。電子證據(jù)的這些特點表明計算機取證中有完全不同于傳統(tǒng)取證的問題需要研究，所以面臨不少難題，也成為信息安全領(lǐng)域關(guān)注的焦點。根據(jù)取證時刻和取證對象的不同，計算機取證分為靜態(tài)取證和動態(tài)取證兩種。靜態(tài)取證主要針對靜止?fàn)顟B(tài)存儲的電子證據(jù)，是對取證計算機、外部設(shè)備和網(wǎng)絡(luò)中相關(guān)存儲設(shè)備中的定制證據(jù)和犯罪行為痕跡進行提取、分析、識別、鑒定、保全和提交的過程，是計算機傳統(tǒng)取證技術(shù)，主要涉及數(shù)據(jù)隱藏、硬盤克隆、密碼破譯、數(shù)據(jù)保護、數(shù)據(jù)恢復(fù)等技術(shù)。靜態(tài)取證的關(guān)鍵在于及時的現(xiàn)場保護，通過相關(guān)的文件、日志分析工具對入侵者在系統(tǒng)上的遺留信息進行分析和提

9、取。動態(tài)取證是對計算機系統(tǒng)或網(wǎng)絡(luò)現(xiàn)場進行監(jiān)視獲取證據(jù)，動態(tài)分析入侵者的個人信息和攻擊手段，或通過陷阱和智能追蹤的方式提取實時數(shù)字證據(jù)，可以實現(xiàn)對取證目標(biāo)的計算機犯罪相關(guān)的電子證據(jù)進行實時捕捉、定位、采集和保全。取證模型概述了整個取證事件的全過程。文獻2綜述了基本過程取證模型、事件響應(yīng)過程模型、過程抽象模型、綜合數(shù)字取證模型、增強型數(shù)字過程取證模型、基于目標(biāo)的層次性取證模型、基于事件的取證模型和多維計算機取證模型等，并總結(jié)了取證原則和各種取證工具。文獻1給出了計算機取證應(yīng)用模型：取證準(zhǔn)備，使得證據(jù)具有客觀性；現(xiàn)場勘察及證據(jù)固定，保證證據(jù)獲取的合法性；數(shù)據(jù)分析及證據(jù)提取，保證數(shù)據(jù)與案件的關(guān)聯(lián)性；數(shù)

10、據(jù)呈遞，保證證據(jù)對犯罪定性的有效性。從技術(shù)角度來說，計算機取證相關(guān)技術(shù)的研究主要針對證據(jù)獲取技術(shù)和證據(jù)分析技術(shù)。證據(jù)獲取技術(shù)中，非常重要的一個技術(shù)就是數(shù)據(jù)恢復(fù)。因為電子證據(jù)具有脆弱性的特點，容易被損壞或者修改，恢復(fù)已經(jīng)刪除的應(yīng)用文件、日志文件、交換文件或者歷史文件碎片都可能成為犯罪案件的有力證據(jù)。1.2傳統(tǒng)數(shù)據(jù)恢復(fù)技術(shù)概念隨著社會信息化的發(fā)展，人們對于信息的依賴性越來越高，存儲在各種信息設(shè)備中的數(shù)據(jù)價值已經(jīng)高于設(shè)備本身，計算機數(shù)據(jù)恢復(fù)技術(shù)應(yīng)運而生。數(shù)據(jù)恢復(fù)就是把遭受破壞、或由硬件缺陷導(dǎo)致不可訪問或不可獲得、或由于誤操作等各種原因?qū)е聛G失的數(shù)據(jù)還原成正常數(shù)據(jù)。當(dāng)用戶面對計算機系統(tǒng)遭受誤操作、病毒

11、侵襲硬件故障黑客攻擊等事件后，數(shù)據(jù)恢復(fù)技術(shù)可以將用戶的數(shù)據(jù)從各種“無法讀取”的存儲設(shè)備中拯救出來，從而將損失減到最小。計算機數(shù)據(jù)恢復(fù)技術(shù)主要應(yīng)用于計算機周邊各種存儲設(shè)備，如硬盤、U盤等，一般分為軟件恢復(fù)技術(shù)和硬件恢復(fù)技術(shù)。硬件恢復(fù)技術(shù)，是指一切由硬件損壞或失效造成的數(shù)據(jù)恢復(fù)并且涉及到硬件修理，針對的是無法進行讀寫操作的存儲設(shè)備，尤其是硬盤。硬盤由存儲數(shù)據(jù)的盤片、為讀取盤片設(shè)計的其他硬件和固化于硬件和盤片上的伺服軟件（即固件）等三部分組成，任何部分故障都會導(dǎo)致數(shù)據(jù)無法讀取。相應(yīng)地，硬件恢復(fù)可分為以下3種恢復(fù)方式：（1） 硬件替代：用同型號的好的硬件替代壞的硬件從而完成恢復(fù)，如硬盤電路板的替代、控

12、制芯片的更換等。（2）固件修復(fù)：用硬盤專用修復(fù)工具修復(fù)硬盤固件從而恢復(fù)硬盤數(shù)據(jù)。（3）盤片讀?。涸趯Ｓ贸瑑艄ぷ鏖g內(nèi)對硬盤進行開盤，取出盤片，然后用專門的數(shù)據(jù)恢復(fù)設(shè)備對其掃描，讀出盤片上的數(shù)據(jù)。軟件恢復(fù)技術(shù)，指一切可以通過軟件方式進行修復(fù)，不涉及硬件修理的數(shù)據(jù)恢復(fù)，主要針對可以正常進行讀寫操作的存儲設(shè)備。軟件恢復(fù)技術(shù)可以下兩種方式：（1） 系統(tǒng)級修復(fù)技術(shù)：指操作系統(tǒng)不能正常啟動，通過修復(fù)系統(tǒng)使得系統(tǒng)正常工作，從而恢復(fù)數(shù)據(jù)。包括對分區(qū)表及文件系統(tǒng)信息的修補技術(shù)，比如FAT32系統(tǒng)的引導(dǎo)扇區(qū)、FAT 表、目錄表以及 UNIX 系統(tǒng)中的超級塊等信息一旦受損或丟失，就看不到系統(tǒng)分區(qū)，系統(tǒng)中的文件就無法正

13、常讀取。（2） 文件級修復(fù)技術(shù)：針對存儲介質(zhì)上某個應(yīng)用文件損壞，又分為損壞文件的恢復(fù)和文件碎片的提取。在文件相對完整、文件頭和數(shù)據(jù)區(qū)損壞不大的情況下，可以將文件恢復(fù)；但如果文件損壞很大，數(shù)據(jù)區(qū)只殘留小部分，則只能提取文件碎片，這些碎片一般存在于分區(qū)內(nèi)未重復(fù)使用的部分和數(shù)據(jù)簇內(nèi)的剩余部分，但只對特殊的要求才有意義。1.3 計算機取證中的數(shù)據(jù)恢復(fù)與傳統(tǒng)數(shù)據(jù)恢復(fù)的關(guān)系計算機取證中的數(shù)據(jù)恢復(fù)和傳統(tǒng)數(shù)據(jù)恢復(fù)具有很多相同點，比如說基本的數(shù)據(jù)恢復(fù)技術(shù)的原理相同，從本質(zhì)上講都是從信息存儲設(shè)備中提取數(shù)據(jù)，并且操作前都需要保護目標(biāo)計算機系統(tǒng)，避免發(fā)生任何的改變、傷害、數(shù)據(jù)破壞或者病毒感染，都需要全部或盡可能恢復(fù)特

14、殊的文件或者數(shù)據(jù)塊。所以說在計算機取證中應(yīng)用數(shù)據(jù)恢復(fù)技術(shù)獲取電子證據(jù)在理論上是可行的。但由于計算機取證的特點和要求，計算機取證中的數(shù)據(jù)恢復(fù)與傳統(tǒng)數(shù)據(jù)恢復(fù)還有很多不同之處，主要體現(xiàn)在以下幾個方面：（1） 合法性：計算機取證是國家專有的、是公檢法機關(guān)針對犯罪案件進行的重要環(huán)節(jié)，計算機取證中的電子證據(jù)必須具有合法性，而由于電子證據(jù)易被修改并不留痕跡和易受環(huán)境影響的特定，這就要求取證過程采用數(shù)據(jù)恢復(fù)技術(shù)必須符合法律規(guī)范，使用工具必須通過有關(guān)部門的認證，從而使得恢復(fù)后的數(shù)據(jù)能作為具有法律效力的證據(jù)。而傳統(tǒng)的數(shù)據(jù)恢復(fù)，是廣泛向社會服務(wù)的，不一定涉及到法律問題，可能用作商業(yè)用途，也可能僅僅是個人需求。（2）

15、 恢復(fù)對象和結(jié)果：傳統(tǒng)的計算機數(shù)據(jù)恢復(fù)技術(shù)恢復(fù)的數(shù)據(jù)主要是應(yīng)用文件，如客戶專有的word文件、視頻文件、照片文件等?？蛻舨粌H關(guān)心文件內(nèi)容，還關(guān)心文件的完整性，即恢復(fù)之后保證文件可以正常使用。而在計算機取證中，恢復(fù)的對象不僅僅是應(yīng)用文件還有系統(tǒng)文件，并且恢復(fù)結(jié)果不一定完整或可用。因為恢復(fù)出來的即使僅僅是一個時間點、某個數(shù)據(jù)偏或者幾個字節(jié)，都可能成為案件的重要線索。（3） 證據(jù)原始性： 傳統(tǒng)數(shù)據(jù)恢復(fù)的目標(biāo)是恢復(fù)數(shù)據(jù)可用性，并不考慮是否改變?nèi)∽C對象。而計算機取證中的數(shù)據(jù)恢復(fù)則要求必須保持?jǐn)?shù)據(jù)的原始性，這就要求兩者在方法選擇上會有所不同。（4） 數(shù)據(jù)恢復(fù)難度：傳統(tǒng)的計算機數(shù)據(jù)恢復(fù)處理的主要是由于意外事

16、件造成的數(shù)據(jù)丟失。而計算機取證中的數(shù)據(jù)恢復(fù)針對的是犯罪發(fā)生后犯罪嫌疑人為了毀滅證據(jù)而故意破壞數(shù)據(jù)的情況，數(shù)據(jù)恢復(fù)的難度就會隨著犯罪嫌疑人計算機水平提高而增加。1.4 計算機取證中的數(shù)據(jù)恢復(fù)技術(shù)研究背景及意義隨著計算機和網(wǎng)絡(luò)技術(shù)的快速發(fā)展，整個社會各個行業(yè)的信息化程度不斷加深，與計算機相關(guān)的犯罪案件越來越普遍發(fā)生，會給個人、社會乃至整個國家?guī)砭薮髶p失。所以獲取充分、可靠、有說服力的證據(jù)能有力打擊計算機犯罪，所以計算機取證技術(shù)應(yīng)運而生。但與計算機犯罪相關(guān)的證據(jù)大多都是電子證據(jù)，犯罪嫌疑人在實施犯罪時為了掩蓋其行蹤，很可能刪除、破壞、修改、偽造這些電子證據(jù)而給獲取有價值電子證據(jù)帶來很大困難。在計算

17、機取證中應(yīng)用計算機數(shù)據(jù)恢復(fù)技術(shù)恢復(fù)被刪除、破壞后的數(shù)據(jù)，可以作為取得證據(jù)和犯罪線索的一種重要手段，也因此從計算機取證發(fā)展開始到現(xiàn)在一直得到安全領(lǐng)域的廣泛關(guān)注。2 計算機取證中的數(shù)據(jù)恢復(fù)技術(shù)2.1 基于FAT32的數(shù)據(jù)恢復(fù)2.1.1 FAT32系統(tǒng)中硬盤數(shù)據(jù)結(jié)構(gòu)為了使用和管理方便，數(shù)據(jù)通常以文件形式存儲在硬盤上，為了深刻理解數(shù)據(jù)恢復(fù)技術(shù)，了解文件在硬盤上的存儲方式是非常有必要的。在硬盤分區(qū)的基礎(chǔ)之上，不同的文件系統(tǒng)有不同的邏輯組織方式。在FAT32文件系統(tǒng)中，硬盤被分為主引導(dǎo)記錄區(qū)（MBR區(qū)）、操作系統(tǒng)引導(dǎo)區(qū)（DBR區(qū)）、文件分配表區(qū)（FAT）、文件目錄表區(qū)（FDT）和DATA區(qū)等五個部分。MB

18、R由分區(qū)程序生成，位于硬盤的0磁道0柱面1扇區(qū)，包括硬盤引導(dǎo)記錄MBR和分區(qū)表DPT；DBR通常位于硬盤每個分區(qū)的第0個扇區(qū)，包括一個引導(dǎo)程序和一個本分區(qū)的參數(shù)記錄表；FAT表示用于文件索引和定位的鏈?zhǔn)浇Y(jié)構(gòu)，有兩份；FDT緊跟第二個FAT表之后，兩者配合才能準(zhǔn)確定位文件位置。文件內(nèi)容以簇為單位存放在DATA區(qū)中，一個文件至少占用一個簇。當(dāng)一個文件占用多個簇時，都會對應(yīng)一個特定的簇號鏈，并存儲在FAT表中。每個文件在FDT表中對應(yīng)一個目錄項（32個字節(jié)）。當(dāng)讀取一個文件時，系統(tǒng)先讀取該文件對應(yīng)的FDT表中的目錄項，從中獲取該文件起始簇號和FAT表入口，再從FAT表中獲取對應(yīng)簇號鏈，然后就可以通過

19、移動磁臂到對應(yīng)簇的位置進行文件讀取。所以FAT和FDT能幫助操作系統(tǒng)關(guān)聯(lián)和識別DATA區(qū)數(shù)據(jù)，否則DATA區(qū)的數(shù)據(jù)就是沒有意義的二進制代碼。2.1.2 文件刪除后的恢復(fù) 刪除文件只是改變文件在FAT中的鏈接指向，但并不代表文件實際有效數(shù)據(jù)即DATA區(qū)數(shù)據(jù)受到損壞，所以操作人員可以通過重新編制文件分配表來恢復(fù)數(shù)據(jù)。但是需要高度重視的一個問題就是，被刪除文件所在的扇區(qū)不能被其他新文件覆蓋或占用，一旦覆蓋或者占用文件將很難甚至無法恢復(fù)。Windows文件刪除分為邏輯刪除和物理刪除兩種：（1） 邏輯刪除：是指將文件刪除到回收站，它只是在FDT表中將被刪除文件的目錄條目的第一個字節(jié)改成“E5”，作為刪除

20、標(biāo)記，文件的實體數(shù)據(jù)并未完全刪除，所以操作人員只需要消除刪除標(biāo)記就可以還原數(shù)據(jù)，Windows自身就可以完成這樣的工作。 （2） 物理刪除：相當(dāng)于“清空回收站”，文件的目錄條目被破壞，Windows自身無法恢復(fù)文件。 當(dāng)文件被物理刪除時，操作系統(tǒng)仍將FDT中對應(yīng)刪除文件目錄項的首字節(jié)做刪除標(biāo)記，同時FAT表中對應(yīng)的文件簇號鏈也被清零， 從而使操作系統(tǒng)法無識別該文件，并認為該文件所在的DATA區(qū)是未分配空間，允許寫入新數(shù)據(jù)。 但其實文件的實體數(shù)據(jù)并沒被清除，而且FDT表中文件的首簇號也沒有損壞，所以當(dāng)文件較小或者文件占用連續(xù)存儲空間時，就可能將數(shù)據(jù)全部恢復(fù)出來。當(dāng)然當(dāng)文件占用的存儲空間不是連續(xù)的

21、時，也可以根據(jù)不同文件的數(shù)據(jù)特征判斷哪些扇區(qū)是要找的文件內(nèi)容。通常的研究將文件刪除或損壞后的數(shù)據(jù)恢復(fù)分為以下三個層次：（1） 基于文件目錄的數(shù)據(jù)恢復(fù)基于文件目錄的數(shù)據(jù)恢復(fù)，需要根據(jù)文件系統(tǒng)的存儲結(jié)構(gòu)進行數(shù)據(jù)恢復(fù)，就是前面講述的常規(guī)的文件邏輯或物理刪除后的數(shù)據(jù)恢復(fù)。（2） 基于文件數(shù)據(jù)特征的數(shù)據(jù)恢復(fù)當(dāng)文件的目錄數(shù)據(jù)損壞后，無法確定哪個數(shù)據(jù)簇屬于哪個文件，而如果知道文件中若干字節(jié)內(nèi)容，就可以通過關(guān)鍵字搜索法，在整個文件系統(tǒng)搜索相應(yīng)字節(jié)串從而得到需恢復(fù)文件所在的數(shù)據(jù)塊，將塊號填入索引節(jié)點即可恢復(fù)該文件。而恰恰各種不同類型的文件有其各自的數(shù)據(jù)特征，如Windows事件日志的二進制文件是由若干記錄單元組

22、成，其中最前面是記錄頭，最后面是紀(jì)錄尾，每條記錄的第二個雙字是特定碼：4C 66 4C；Word文檔的前8個字節(jié)是特定碼：D0 CF 11 E0 A1 B1 1A E1 。所以可以根據(jù)不同文件類型的數(shù)據(jù)特征從DATA區(qū)直接恢復(fù)數(shù)據(jù)，而沒有文件的完整目錄信息。而這個層次上的文件數(shù)據(jù)恢復(fù)，就需要研究各種系統(tǒng)和應(yīng)用軟件生成的不同文件類型的數(shù)據(jù)特征。尹丹在文獻6中根據(jù)恢復(fù)對象的不同特征，分析了常規(guī)文件、Windows事件日志以及注冊表的恢復(fù)技術(shù)原理。林蔚在文獻7中詳細分析了Word文件的內(nèi)部結(jié)構(gòu)和內(nèi)容特征，提出了針對Word文件的雕復(fù)技術(shù)，其中針對Word 2003提出基于內(nèi)部數(shù)據(jù)流的雕復(fù)方法，不僅能

23、恢復(fù)連續(xù)文件，在文件分片情況下效果也較好；針對Word 2007提出一種基于結(jié)構(gòu)和內(nèi)容的雕復(fù)方法，可以有效恢復(fù)二分片、非關(guān)鍵部位數(shù)據(jù)損壞或丟失的文件。（3） 殘缺數(shù)據(jù)的數(shù)據(jù)恢復(fù)電子證據(jù)是二進制編碼，需要借助相應(yīng)軟硬件顯示以表達其實際意義。當(dāng)數(shù)據(jù)無法完整恢復(fù)時，相應(yīng)的應(yīng)用軟件就無法打開文件，也就無法顯示文件內(nèi)容而使得恢復(fù)的部分?jǐn)?shù)據(jù)沒有實際價值。所以數(shù)據(jù)恢復(fù)技術(shù)還要研究數(shù)據(jù)的結(jié)構(gòu)特性和編碼方式，在在僅有部分?jǐn)?shù)據(jù)的情況下，盡可能多地顯示出其中具有實際意義的內(nèi)容。2.1.3 硬盤格式化或硬盤分區(qū)后的恢復(fù)硬盤被格式化處理之后一般都會重新構(gòu)建DBR區(qū)中對應(yīng)的操作系統(tǒng)引導(dǎo)記錄，修改FAT和FDT表，而保留數(shù)

24、據(jù)區(qū)中的文件數(shù)據(jù)。所以格式化也不是真正刪除數(shù)據(jù)區(qū)中的數(shù)據(jù)，可以通過相應(yīng)的數(shù)據(jù)恢復(fù)技術(shù)將其部分或完全恢復(fù)。而且分區(qū)處理之后，即使寫入新的數(shù)據(jù)，也只是占用了分區(qū)的前部分內(nèi)容，該分區(qū)剩余空間數(shù)據(jù)仍有可能被重新組織而恢復(fù)數(shù)據(jù)。當(dāng)然這里指的是高級格式化，而低級格式化是與操作系統(tǒng)無關(guān)的物理機格式化，會將磁盤上每個扇區(qū)寫“00”覆蓋，完全破壞硬盤所有數(shù)據(jù)而無法恢復(fù)。硬盤的分區(qū)操作是修改了MBR和DBR，絕大部分的DATA區(qū)的數(shù)據(jù)并沒有被改變，只要沒有覆蓋這個文件，即使 MBR、FAT、DIR全部壞了，只要找到一個文件的起始簇位置，就可使用磁盤編輯軟件將該文件恢復(fù)，這是許多硬盤數(shù)據(jù)能夠得以修復(fù)的原因。2.1.

25、4 分區(qū)表損壞后的恢復(fù)Windows中文件管理是通過目錄來完成的，而目錄建立在分區(qū)基礎(chǔ)上的。一個物理盤通過分區(qū)表（只有1個分區(qū)時可以沒有分區(qū)表）將硬盤劃分成若干邏輯分區(qū)（也稱卷或邏輯盤），在FAT32文件系統(tǒng)中，分區(qū)表存放在MBR區(qū)。當(dāng)分區(qū)表損壞時，系統(tǒng)就不能定位邏輯盤而無法獲取文件數(shù)據(jù)，但每個分區(qū)的開頭有其特征，根據(jù)這些特征可以恢復(fù)分區(qū)表。2.2 基于NTFS的數(shù)據(jù)恢復(fù)FAT32（以及較少使用的 FAT）在某些早期版本的 Windows 中使用，且當(dāng)前用于大多數(shù) USB 閃存驅(qū)動器。相比FAT32，NTFS具有很多優(yōu)勢：自動恢復(fù)磁盤相關(guān)錯誤；對較大磁盤的支持；更高的安全性等，所以隨著Wind

26、ows中NTFS文件系統(tǒng)的流行，基于NTFS的數(shù)據(jù)恢復(fù)技術(shù)具有很高的研究價值。2.2.1 NTFS系統(tǒng)中硬盤數(shù)據(jù)結(jié)構(gòu)NTFS在硬盤上的結(jié)構(gòu)以卷為基礎(chǔ)，卷建立在硬盤分區(qū)基礎(chǔ)之上。所以硬盤上仍然有MBR區(qū)，這是不隨操作系統(tǒng)和文件系統(tǒng)不同而變化的。一個硬盤可有多個卷，一個卷對應(yīng)一個基本分區(qū)或擴展分區(qū)中的一個邏輯分區(qū)。這與FAT32是相同的，而且NTFS中文件存取同樣也是按簇分配，所不同的是NTFS通過邏輯簇號（LCN）和虛擬簇號（VCN）來定位簇。NTFS分區(qū)主要由分區(qū)引導(dǎo)區(qū)、主文件表（MFT）和文件存儲區(qū)，而且在文件存儲區(qū)中部還存放了MFT前4個甚至更多的元數(shù)據(jù)文件備份。NTFS特點之一就是所有數(shù)

27、據(jù)包括系統(tǒng)信息（如引導(dǎo)程序、記錄整個卷的分配狀態(tài)位圖等）都以文件形式存儲，每個文件對應(yīng)一個文件記錄，且文件記錄以數(shù)據(jù)庫形式組織：文件記錄就是屬性和屬性值的集合，在NTFS中稱為流。（1） 分區(qū)引導(dǎo)區(qū)：保存了有關(guān)卷文件結(jié)構(gòu)的信息及啟動引導(dǎo)程序，主要涉及BPB參數(shù)表。BPB表中的參數(shù)是建立文件系統(tǒng)時由操作系統(tǒng)生成的。其中數(shù)據(jù)恢復(fù)時要用到相關(guān)參數(shù)有MFT區(qū)域的起始簇號，每簇所占扇區(qū)數(shù)，每扇區(qū)字節(jié)數(shù)。（2） MFT：MFT是NTFS的核心，文件通過MFT來進行定位。MFT是一個關(guān)系數(shù)據(jù)庫，有一系列文件記錄組成，每個文件記錄1KB的固定大小，MFT本身也有自己的文件記錄。文件記錄在MFT中從 0開始編號

28、，前 16個文件記錄是元文件的即系統(tǒng)文件，這些元文件名字以 “$”開始，是隱藏文件，并且NTFS在文件存儲區(qū)還對它們進行了備份。這16個文件是NTFS文件系統(tǒng)中唯一在 MFT表中具有固定地址的文件，其他文件和目錄的文件記錄可以MFT表中的存放是任意的。MFT的第一個文件記錄就是 MFT自身，它記錄著所有文件和目錄的所有情況，類似FAT+FDT的功能，由于其重要性，系統(tǒng)專門為它準(zhǔn)備了一個 鏡像文件即MFT中的第 2個記錄。 當(dāng)目錄的屬性值存放在 MFT表的基本文件記錄中，該屬性就稱為常駐屬性。 如果一個目錄的屬性值太大，不能存放在一個文件記錄中，那么 NTFS將從DATA區(qū)為該屬性值分配存儲空間

29、。這些存儲空間通常稱為一個運行，存儲在運行中的屬性稱為非常駐屬性。非常駐屬性可以有多個數(shù)據(jù)運行。2.2.2 文件刪除后的恢復(fù)為了了解文件刪除后數(shù)據(jù)恢復(fù)原理，首先我們要知道在NTFS中文件刪除時候發(fā)生了什么。當(dāng)文件被刪除之后，在文件記錄頭部中將標(biāo)志字節(jié)置為00/02H，文件記錄的其它屬性均沒有變化；對于有數(shù)據(jù)運行的文件，回收文件所占用的空間，不改變數(shù)據(jù)區(qū)(即數(shù)據(jù)運行)的內(nèi)容，只是將數(shù)據(jù)運行所占用的簇在元文件$Bitmap中對應(yīng)的位均置為0。文獻15,16中針對NTFS文件系統(tǒng)中，針對文件刪除后文件記錄頭部的變化，提出了數(shù)據(jù)恢復(fù)的策略：通過分析MBR和擴展紀(jì)錄（EBR）的硬盤分區(qū)表，選取NTFS分

30、區(qū)，獲取BPB參數(shù)從而得到MFT起始地址，掃描MFT，查找刪除文件的文件記錄，這一階段稱為磁盤分析階段；通過分析文件記錄，確定文件的數(shù)據(jù)區(qū)，這一階段稱為分區(qū)掃描階段；最后分類對刪除文件進行恢復(fù)，即數(shù)據(jù)恢復(fù)階段。文獻17提出通過獲取BPB參數(shù)得到MFT起始地址，掃描MFT，查找刪除文件的文件記錄，通過分析文件記錄確定文件數(shù)據(jù)區(qū)；最后對文件數(shù)據(jù)區(qū)作完整性判斷，針對完整性的不同，采用不同的恢復(fù)策略。如果文件數(shù)據(jù)區(qū)完好，沒有被覆蓋，則在另一塊盤區(qū)創(chuàng)建新文件，然后將刪除文件的數(shù)據(jù)區(qū)內(nèi)容逐個字節(jié)復(fù)制到新文件數(shù)據(jù)區(qū)。如果文件數(shù)據(jù)區(qū)被覆蓋，則不能完整恢復(fù)。對于純文本格式的文件，直接將數(shù)據(jù)區(qū)殘留數(shù)據(jù)提取，復(fù)制到

31、新文件數(shù)據(jù)區(qū)；對于特殊格式的文件，以二進制形式提取殘留數(shù)據(jù)，并結(jié)合數(shù)據(jù)挖掘思想從中提取敏感信息。如果文件數(shù)據(jù)區(qū)數(shù)據(jù)損壞或丟失，也可以像基于FAT32的數(shù)據(jù)恢復(fù)問題中提到的一樣，采用基于文件類型不同數(shù)據(jù)特征的恢復(fù)技術(shù)。2.2.3 BPB損壞后的恢復(fù)一般文件刪除后，BPB參數(shù)并沒有損壞，所以很多刪除文件的數(shù)據(jù)恢復(fù)都要依賴于BPB參數(shù)，如果一旦BPB參數(shù)損壞，就無法定位目錄和文件，那么這些技術(shù)就會失效。所以數(shù)據(jù)恢復(fù)還包括BPB的恢復(fù)，其恢復(fù)原理就是根據(jù)文件系統(tǒng)存儲結(jié)構(gòu)的數(shù)據(jù)特征進行恢復(fù)。當(dāng)然在NTFS中同樣也存在硬盤格式化或分區(qū)后的恢復(fù)問題等，恢復(fù)原理的基本思想都是一致的，只要數(shù)據(jù)區(qū)數(shù)據(jù)沒有被刪除和

32、覆蓋，都是有可能部分或完全恢復(fù)的。2.3 基于閃存的數(shù)據(jù)恢復(fù)目前閃存設(shè)備（如U盤）是廣大計算機用戶存儲和備份數(shù)據(jù)的重要載體，越來越廣泛地被使用。因此針對閃存設(shè)備的數(shù)據(jù)恢復(fù)技術(shù)在計算機取證中的作用也越來越重要。閃存設(shè)備中應(yīng)用了FAT32文件系統(tǒng)，了解和研究基于閃存的數(shù)據(jù)恢復(fù)技術(shù)原理要以深入了解和分析閃存設(shè)備的結(jié)構(gòu)、存儲原理和FAT文件系統(tǒng)為前提，這里篇幅有限不做詳細介紹。對閃存設(shè)備來說，硬件正常工作情況下（即可以通過主控芯片正常讀取邏輯數(shù)據(jù)），基于軟件的閃存數(shù)據(jù)恢復(fù)與傳統(tǒng)磁盤差別不大。但是硬件受到損壞的情況下，如果像磁盤一樣使用硬件替代或固件修復(fù)，U盤會出現(xiàn)現(xiàn)存映射表丟失現(xiàn)象而無法恢復(fù)數(shù)據(jù)。磁盤

33、中邏輯地址和物理地址對應(yīng)關(guān)系確定不變，所以能采用盤片讀取方式進行數(shù)據(jù)恢復(fù)，而U盤如果想通過直接讀取閃存數(shù)據(jù)實現(xiàn)數(shù)據(jù)恢復(fù)，必須找到邏輯頁和物理頁映射關(guān)系，將讀取的物理數(shù)據(jù)重新排列組織為邏輯數(shù)據(jù)內(nèi)容。U盤中邏輯頁與物理頁映射表由主控芯片自己維護與保存，而主控芯片一般也會寫入部分信息到備用區(qū)，如邏輯頁(塊)號。在主控芯片失效的情況下，只能通過直接讀取閃存芯片，從備用區(qū)中找尋相應(yīng)的邏輯頁和物理頁映射關(guān)系。而如果主控芯片不將相應(yīng)內(nèi)容寫入備用區(qū)，則很難實現(xiàn)數(shù)據(jù)恢復(fù)。主控芯片是否將相關(guān)信息是否寫入閃存芯片，可以通過對正常U盤測試得知。文獻18主要考慮主控芯片將邏輯頁和物理頁映射關(guān)系寫入備用區(qū)的情況，將針對U

34、盤邏輯鏡像數(shù)據(jù)的恢復(fù)問題，設(shè)計了向U盤中寫入邏輯扇區(qū)號的方法，通過讀取閃存物理數(shù)據(jù)進行對比分析，從而找出閃存?zhèn)溆脜^(qū)中的邏輯地址信息，成功實現(xiàn)U盤邏輯鏡像數(shù)據(jù)的恢復(fù)。并針對恢復(fù)后的U盤邏輯鏡像文件，在Linux系統(tǒng)下利用loop設(shè)備處理鏡像數(shù)據(jù)文件的技術(shù)，充分利用Linux中的文件系統(tǒng)處理功能來恢復(fù)U盤中的正常目錄和文件。這種獲得U盤邏輯頁和物理頁映射關(guān)系的方法需要通過對與故障U盤的主控芯片和閃存芯片型號完全一樣的額外正常U盤，寫入實驗數(shù)據(jù)進行復(fù)雜的人工分析，不同的U盤還需要相同流程的分析，耗時較長。2.4 基于SSD的數(shù)據(jù)恢復(fù)SSD 固態(tài)硬盤是以固態(tài)的半導(dǎo)體芯片作為存儲介質(zhì)的大容量存儲器，相比

35、傳統(tǒng)磁盤具有讀寫速度快、防震抗摔、低功耗無噪音等特點，目前廣泛應(yīng)用于筆記本電腦等便攜式設(shè)備中。SSD 固態(tài)硬盤特有的垃圾回收和 TRIM 指令給其數(shù)據(jù)恢復(fù)帶來了災(zāi)難性的后果，會導(dǎo)致無法進行傳統(tǒng)的數(shù)據(jù)恢復(fù)工作，而以前通過未分配簇查找證據(jù)文件碎片的方法也無法進行。文獻19中提到 SSD盤在加電的情況下，即使沒有外界讀寫操作也會自動發(fā)生變化，這也給 SSD 盤的證據(jù)保全帶來巨大的技術(shù)挑戰(zhàn)。Belkasoft 公司基于對 SSD 固態(tài)盤取證技術(shù)的研究，推出了Evidence Center 工具20，通過充分利用硬件接口、操作系統(tǒng)和固件對TRIM 指令的兼容性情況，可以在特定環(huán)境下實現(xiàn)一定的SSD固態(tài)盤

36、數(shù)據(jù)恢復(fù)。3 計算機取證中的數(shù)據(jù)恢復(fù)技術(shù)發(fā)展方向3.1 文件碎片的重組和恢復(fù)存儲在計算機上的文件被刪除后容易形成文件碎片。傳統(tǒng)的取證恢復(fù)技術(shù)利用文件系統(tǒng)信息或者基于文件類型的數(shù)據(jù)特征利用關(guān)鍵字首尾匹配可以實現(xiàn)對連續(xù)存放的文件或者已知扇區(qū)分布情況的文件的有效恢復(fù)，而對沒有關(guān)聯(lián)的文件碎片恢復(fù)則很難實現(xiàn)。因此如何對文件碎片進行深度分析成為計算機取證研究領(lǐng)域中的一個重要問題。特別是對存儲介質(zhì)進行取證調(diào)查時，數(shù)據(jù)恢復(fù)之后可能會得到一些文件碎片，而不是完整的原始文件。目前文件碎片的重組和恢復(fù)主要遇到的挑戰(zhàn)有：區(qū)分不同類型文件二進制數(shù)據(jù)，使得碎片重組的范圍縮?。会槍Σ煌愋臀募?，評價當(dāng)前碎片與已經(jīng)確定的文件

37、碎片之間相似度；對于復(fù)合文件，要先將其中包含的單一文件重組成功，再進一步還原成復(fù)合文件。3.2 基于SSD的數(shù)據(jù)恢復(fù)如2.4中介紹，目前SSD由于其較好的性能已經(jīng)廣泛使用，但其存儲原理和傳統(tǒng)磁盤存在較大差別，其特有的垃圾回收和TRIM指令使得傳統(tǒng)針對磁盤的數(shù)據(jù)恢復(fù)技術(shù)失效，從而給其數(shù)據(jù)恢復(fù)帶來很大的挑戰(zhàn)。所以未來SSD必然取代磁盤，計算機取證中的數(shù)據(jù)恢復(fù)技術(shù)的研究熱點必將轉(zhuǎn)向針對SSD的數(shù)據(jù)恢復(fù)。4 數(shù)據(jù)恢復(fù)在計算機取證中的應(yīng)用在1.4節(jié)中，我們已經(jīng)論述了計算機取證中的數(shù)據(jù)恢復(fù)與傳統(tǒng)數(shù)據(jù)恢復(fù)的相同點和不同點，證明了數(shù)據(jù)恢復(fù)技術(shù)應(yīng)用在計算機取證中的可行性和有效性，但是由于計算機取證中的數(shù)據(jù)恢復(fù)相

38、比傳統(tǒng)數(shù)據(jù)恢復(fù)的特點和要求，數(shù)據(jù)恢復(fù)技術(shù)在計算機取證中應(yīng)用時必須遵守一定的原則和流程規(guī)范。（1） 計算機取證中數(shù)據(jù)恢復(fù)的原則 1） 客觀性原則：要求在數(shù)據(jù)恢復(fù)過程中必須真實客觀，恢復(fù)出來的資料必須真實且能反映原始資料的面貌。 這是和計算機取證中數(shù)據(jù)恢復(fù)的原始性特點相一致的。2） 合法性原則：計算機取證中的數(shù)據(jù)恢復(fù)必須具有合法性，所以必須遵守合法性原則。3） 及時備份原則：為了保證訴訟效率，也為了防止被恢復(fù)的硬盤或其他存儲設(shè)備出現(xiàn)新的問題，需要對恢復(fù)設(shè)備復(fù)制副本，原始設(shè)備專人專門保管，利用復(fù)制品恢復(fù)數(shù)據(jù)。這樣既可以防止恢復(fù)操作對原數(shù)據(jù)的破壞，也可以保證原始數(shù)據(jù)更強的證明力。4） 環(huán)境安全原則 ：

39、既要防止外界因素（如高磁場、高溫、高壓等）對存儲介質(zhì)造成損害而影響數(shù)據(jù)的恢復(fù)，又要防止人為破壞。5） 保密原則：計算機取證中的數(shù)據(jù)恢復(fù)是為偵破案件或提供法庭證據(jù)的一種司法活動，所以整個過程必須保密。（2） 計算機取證中數(shù)據(jù)恢復(fù)的流程規(guī)范 總的來說，計算機取證中的相關(guān)原則和規(guī)定，數(shù)據(jù)恢復(fù)也要遵守。文獻21通過研究2007年7月18日審議通過，同年10月1日開始實施的司法鑒定程序通則，總結(jié)了計算機取證中的數(shù)據(jù)恢復(fù)的流程規(guī)范，主要包括數(shù)據(jù)恢復(fù)的申請、委托、受理、實施活動、出具鑒定文書等5項。5 總結(jié)計算機取證技術(shù)越來越廣泛地應(yīng)用于偵破打與計算機相關(guān)的犯罪犯罪案件，而數(shù)據(jù)恢復(fù)在計算機取證中也表現(xiàn)出了可行性和有效性，而成為計算取證過程張的重要環(huán)節(jié)。雖然傳統(tǒng)數(shù)據(jù)恢復(fù)已經(jīng)有很多成熟的技術(shù)，但是由于計算機取證中的數(shù)據(jù)恢復(fù)有其