数码复印机数据恢复系统设计
2018-05-10薛兵张有为孙雪凯葛芳丽
薛兵 张有为 孙雪凯 葛芳丽
摘要
数码复印机失泄密已对我国信息安全保密工作造成严重威胁。数码复印机品牌型号种类繁多复杂,给数据恢复与电子取证工作带来极大困难。为解决数码复印机取证中的数据恢复技术难题,该文以数据存储理论为基础,设计开发了数码复印机数据恢复系统,给出了数码复印机数据恢复系统的总体框架,研究了数码复印机数据恢复系统的实现技术。研制的数码复印机数据恢复系统经过大量实验分析,能够有效恢复复印机中存储的图像数据文件,为数码复印机检查取证提供有力帮助。
【关键词】复印机 失泄密 数据恢复 取证文件系统
1引言
数码复印机、网络打印机因使用监管不当造成的重大失泄密事件己屡见不鲜,己然成为企事业单位失泄密的“重灾区”,这给国家造成了不可预估的损失,我国信息安全工作面临前所未有的挑战。目前针对数码复印机的安全管控和保密检查技术还很薄弱,缺乏行之有效的检查技术和手段,开发一款操作方便、成熟稳定的恢复检查产品迫在眉睫,数码复印机数据恢复系统应运而生。它能够对复印机存储介质中存储的数据文件进行恢复,为公检法部门侦破案件、企事业单位处理违规操作和泄密行为提供有力帮助。
数据存储是数据以某种格式记录在计算机内部或外部存储介质上。数码复印机通过扫描、复印的数据文件保存在复印机存储介质上。复印机存储介质中保存的数据文件主要有图像文件和日志文件两种。在复印机取证中主要是针对数码复印机中图像文件的恢复取证。通过市场调研发现,出于数据保存的长久性、稳定性及成本因素的考虑,市面上带存储功能的数码复印机均采用了传统机械硬盘作为存储介质。但是不同品牌的数码复印机为了确保其自身数据不被窃取,在操作系统的使用、文件系统的选取和存储数据的压缩方式上都不尽相同。针对不同的文件系统的复印机存储介质,该文提出研制一种数码复印机数据恢复系统,对数码复印机的存储介质进行深度扫描,实现数据信息的恢复。通过实验验证该系统性能稳定,在实际应用中取得良好的效果。
2数码复印机数据恢复系统架构设计
数码复印机数据恢复系统采用模块化设计,主要有数据提取模块、人机交互模块、数据库模块、数据分析模块组成,系统的整体结构示意图如图1所示。人机交互界面封装了所有人机交互及输入输出的功能,其中包括系统登录、任务创建、关键字编辑、数据提取、日志分析、报告生成和归档导出等核心功能,通过友好的交互环境实现底层功能的透明化,由交互界面根据用户的任务配置数据通过控制耦合模式驱动中央控制程序实现复印机存储文件的提取,并将文件信息存储在中央數据库中。
不同品牌的数码复印机在文件系统的选取和存储数据的压缩方式上都不尽相同。因此,在对存储数据进行解析之前一定要对其存储格式、硬盘文件系统进行解析,为存储内容的正确恢复提供基础。设定好复印机硬盘品牌、型号,系统能够智能选取与之相对应数据解析算法,若硬盘内数据文件为计算机能够识别的格式,中央控制程序直接将数据存储在数据库;若硬盘内数据文件不能够被计算机正常识别,中央控制程序就会调用格式转化算法将数据文件转换成计算机能够识别的文件格式再存储到数据库。通过数据分析模块进行敏感信息识别,提取图像文件中对用户有用的信息进行取证。
3数码复印机数据恢复系统功能实现
3.1文件系统解析
数码复印机硬盘的文件系统常见的有FAT、EXT、UFS、XFS等格式。拆解数码复印机硬盘加电加载至磁盘编辑工具Winhex根据其第一个扇区信息判断其文件系统类型,文件系统类型确定后,根据相其文件系统的数据结构和存储方法进行解析。将数码复印机存储硬盘数据清零,加载至数码复印机待其正常工作后进行数据文件存储,在数码复印机硬盘分区内寻找发生变化的文件夹。即是数据信息的存储位置。
判定数据信息的存储位置后,进而判定数据文件是否为Windows系统加载下正常识别的图像文件。常见的正常加载识别的图像文件格式有JPG、PNG、TIFF、PDF。对于那些不能正常识别的图像文件,就需要进行文件格式的破解和转换,转换成Windows系统下可以正常识别的图像文件。
3.2文件特征匹配
Windows系统下仅能加载数码复印机FAT格式的文件系统,而数码复印机的文件系统因品牌型号的不同而不同。针对文件系统格式己知的文件系统,应用文件系统解析的方法对数码复印机硬盘中存储数据的区域进行数据恢复。对于文件系统未知的数码复印机,我们提出采用基于文件特征匹配的数据恢复算法。基于文件特征匹配的数据恢复算法是采用文件特征与磁盘分区深度扫描相结合的方法。
根据数据文件的文件头特征信息和文件尾特征信息在数码复印机硬盘磁盘中进行恢复扫描,为了提高搜索效率,我们以扇区为单位进行搜索。在扫描过程中首先将每个扇区的头部信息进行目标文件头特征信息进行匹配,如果在某一扇区匹配到文件头特征信息,这就确定了这一文件的起始位置。同理根据文件尾特征信息进行搜索匹配确定文件结束位置。将开始位置与结束位置之间的数据信息进行截取即是一个完整的数据文件。
3.3数据管理
数码复印机数据恢复系统工作过程中,需要对数码复印机硬盘内的大量的数据信息进行存取和处理。基于文件系统进行存储,可以实现数据的长期保存,用户直接按文件名访问,按记录进行存取。但这需要耗费大量的I/O,就会造成数据的冗余度变大,数据的共享性和独立性就会较差。而采用数据库管理系统可以实现数据的整体化和结构化,这样就可以很好地解决基于文件系统进行数据管理时出现的问题。采用数据库系统管理数据,数据和应用程序相互独立,通过事务调度与并发控制,可以有效地对数据进行读写、查询,实现数据的共享,数据的共享性高。同时借助于数据库管理系统提供的数据性保护、完整性检查和数据库恢复等安全机制,可确保系统具有较好的性能。
数码复印机数据恢复系统是一种用于侦查取证的数据恢复系统,对数据的真实性、完整性、一致性、存取和处理速率要求较高,该系统选用SQLite数据库组建一个微型数据库管理系统对数码复印机硬盘内采集到的数据进行管理。
3.4数据恢复实现
应用程序的开发基于Visual Studi02017集成开发环境,C#为其编程开发语言。数据恢复实现过程有:
3.4.1任务创建
创建任务设定被测试数码复印机的品牌和型号,创建工作目录,用于存放数码复印机数据恢复系统提取到的数据文件。
3.4.2关键字编辑
关键字编辑设定敏感关键词语,数码复印机数据恢复系统提取数据完毕后,进行光学字符识别,将图像文件的文字信息进行提取,与关键词进行匹配,匹配成功的即可以定位至要寻找的文件。
3.4.3报告查看
任务执行完毕后,系统会进行数据分析,将匹配成功的文件进行高亮显示,并生成一份结果报告,便于执法人员进行查看。
4实验验证与结果分析
为测试该文研制的数码复印机数据恢复系统的性能,分别对佳能、东芝、夏普三个品牌共计9个型号的数码复印机硬盘进行数据恢复测试。
4.1测试环境
采用数据恢复专用机搭建测试环境,该机处理器为Intel(R)Core(TM) i5-4460;主频为3.2HZ;內存RAM为8GB;操作系统为64位Windows 7旗舰版SP1。安装数码复印机数据恢复系统,配置其正常运行所需要的环境。
4.2恢复硬盘类型
东芝数码复印机硬盘3块,文件系统为EXT3格式;柯美数码复印机硬盘3块,文件系统为FAT格式;夏普数码复印机硬盘3块,文件系统未知。3个品牌共计9块复印机硬盘,标号1-9,依次贴上标签。具体信息见表1。
4.3实验
首先利用磁盘格式化工具将数码复印机硬盘进行格式化处理,清除数码复印机硬盘内原有信息,排除干扰信息源,之后将数码复印机硬盘依次加载至相对应的数码复印机,确保每一台数码复印机正常工作后,对每一台数码复印机依次扫描存储标记编号1-100的100张样本图片,在每一台数码复印机面板上检查确认其己成功存储100张样本数据,对每一台数码复印机进行标号1-10的10张样本数据删除操作,然后将数码复印机硬盘拆卸准备进行数据恢复。通过硬盘只读接口将数码复印机硬盘与搭建好测试环境的数据恢复专用机相连接,测试装置如图3所示。
创建测试任务依次对编号1-9的数码复印机硬盘进行数据恢复,记录实验结果,如表2所说,测试结果如图4所示。数码复印机数据恢复系统任务执行完毕后,会弹窗提示提取文件总数及恢复文件总数。方便用户知晓数据文件的恢复情况。文件提取完毕后,系统会对提取到的图像文件进行光学字符识别,进行关键词匹配,匹配到的关键词系统就会对其进行红色高亮显示。
表2是9块数码复印机硬盘数据恢复测试的实验结果,从表2可以看出数码复印机数据恢复系统可以完整地恢复这9台数码复印机硬盘中存储的90张样本数据,但对于删除的10张数据,文件系统已知的数码复印机硬盘只要数据未被覆盖可以通过文件系统解析将删除的数据恢复出来,文件系统未知的数码复印机硬盘通过文件特征匹配可以将数据进行恢复,数码复印机数据恢复系统的恢复成功率在80%以上,可见该数码复印机数据恢复系统性能优异,稳定性很高。
5结语
针对复印机取证难的技术问题,该文给出了数码复印机数据恢复系统的设计框架,研究了数据恢复中的文件特征匹配、文件系统解析和数据管理技术,并在数码复印机数据恢复系统的实现中得以应用。经过实验分析证明研制的数码复印机数据恢复系统性能优异,能够有效对数码复印机存储介质中存储的数据信息进行恢复,该系统的研究为数码复印机取证提供帮助,为我国的信息安全和保密检查工作发挥重要作用。
参开文献
[1]刘伟,数据恢复技术深度揭秘[M].电子工业出版社,2010 (05).
[2]赵双峰,费金龙,刘楠,武东英.WindowsNTFS下数据恢复的研究与实现[J].计算机工程与设计,2008 (02): 306-308+332.
[3]黄步根,数据恢复与计算机取证[J].计算机安全.2006 (06): 79-80.
[4]刘晋,任洪敏,胡巍,陈天伦,沈俞超.EXT2文件系统格式化程序的设计与实现[J].西华大学学报.自然科学版.2 012 (02):256-278
[5]文光斌.数据恢复技术的发展前景、技术层次及常用方法[J].网络安全技术与应用,2005 (05):74-76.
[6]杨明极,陈方县,吴学君,嵌入式系统中SD卡的FAT32文件系统的设计[J].电声技术,2010,34 (04):36-39.