试论计算机取证中的数据恢复技术

2017-05-30张婷婷

科技风 2017年5期

摘要：计算机取证中的数据恢复是当前研究的一个热点问题，本文从硬盘结构分析着手，探讨了两种层次的计算机取证数据恢复方法，旨在为相关研究与实践提供参考。

关键词：计算机取证；数据恢复；恢复方法

在计算机取证过程中，删除的文件往往会成为案件重要线索，这些删除的文件即位数据恢复对象，保证文件是可用的即位恢复效果。恢复文件的范围不仅仅是应用文件，还可能是系统文件，恢复之后文件可能不一定完整或不可用，此时即需要利用分析技术来再现原来的数据形式，获取案件线索。

1 硬盘结构

1）主引导扇区MBR。MBR指的是分区程序产生的主导扇区，其受到不同操作系统的影响，即不同操作系统的主引导扇区可能存在一定差异。主引导扇区包括主引导记录MBR和分区表DPT，前者的作用是分区表的正确性进行检查，并确定引导分区，在程序结束并完成之后，在内存中将启动程序调入并执行。

2）操作系统引导扇区DBR。DBR指的是操作系统引导扇区，其是操作系统能够直接访问的首个扇区，DBR中包括分區参数记录表和引导程序两个部分，其能够对分区根目录第一个文件和第二个文件进行判断，看文件是否为引导文件，在判断完成之后，在内存中读入，并递交控制权给文件。在BPB的参数块中，记录着许多重要的参数，例如起始与结束扇区、文件的存储格式等等。

3）文件分配表FAT。Windows系统中，存在FAT，FAT的大小主要受到分区及分配单元两个因素影响，一般来说，FAT数量为2个，一个是初始形成的FAT，另一个是后形成的FAT，以此来充分保证数据的安全性。对于初始形成的FAT来说，其表示为“未占用”，如果磁盘出现损坏问题，则在格式化程序中标识为“坏簇”，如果在磁盘中存有相关文件，则需要分割文件，文件中的数据往往会被分为若干段，以链式方式存储[ 2 ]。段与段之间的链接信息在FAT中存储，读取文件的过程中，能够实现段的精确定位，并精确的读出各个段。在删除文件的过程中，OS通过对FAT中信息的改变来表示这些簇可被使用，在写入数据前，被删除的文件仍在磁盘中保存，要想实现删除文件的恢复，则需要将文件头的两个代码恢复，或重写，之后重新通过映射来恢复文件。

4）目录区DIR。紧接着第二个FAT表之后即为目录区DIR，FAT与DIR的配合来实现对文件的定位，在DIR中记录着文件相关属性，定位过程中，以起始单元为基础，结合FAT表即可实现文件定位，判断文件大小。

5）数据区DATA。数据区DATA数据可分为可见数据和不可见数据，前者指的是在DIR中有记录的数据，能够被相关程序锁定，后者指的是相关程序难以找到且不能精确定位和锁定的数据[ 3 ]。对于计算机取证来说，如何实现不可见数据的再现对于寻找证据至关重要，例如文件碎片空间及临时文件等都属于不可见数据的范畴。

2 数据恢复原理

文件删除可以分为几种形式，一般意义上的删除即改变FAT的链接指向，“格式化”指的是将FAT表重写，二者均不是真正的删除数据，即DATA区中的数据没有被清楚。而对于硬盘分区来说，其修改了DBR和MBR，但DATA中的大部分数据没有发生改变，在没有覆盖该文件的基础上，只需要找到文件起始存储位置即可恢复该文件，这是硬盘数据的修复原理。在Windows文件系统中，文件删除指的是将文件首字节改为E5H，表标记为未分配，文件本身没有被破坏，因此可以被恢复，只需要采用手动方式或相关软件来恢复即可。

3 数据恢复层次

3.1 依据文件目录的数据恢复

这种数据恢复方法以文件系统存储结构为基础，以文件形式将数据磁盘或存储介质中存放，数据管理主要通过文件管理来实现，文件主要包括目录数据及文件内容数据，以目录数据定位文件，一般来说，可根据目录数据的完整性来全部恢复数据或部分恢复数据，而根本上的文件删除中，FAT表项被清零处理，首簇号可能没有损坏，如果文件较小，或占用连续存储空间，则可以实现文件内容的全部恢复，凑则智能部分恢复或无法恢复[ 4 ]。对于NTFS文件系统来说，文件目录数据决定是否可以恢复文件。

3.2 依据文件内容的数据恢复

重新分配簇之后，以特殊设备可恢复数据，主要依据为磁头偏移形成的阴影数据。目录数据损坏后，无法定位文件，若知道文件一定的字节内容，可搜索关键字，定位文件，并将块号填入到索引中，实现文件恢复，具体关键字搜索算法公式如下：

具体搜索函数如下：

long searchfs（char*fsname，intcomp（））

char buf[1024]

long i=0

fp=fopen（fsname，“r”）

while（！Feof（fp））

{fread（bu，f 1024，1，fp）；

If（comp（））/*

Return；i/*若成功返回块号*/

i++