王林

关键词：数据恢复技术；计算机取证；AMCF算法；上网记录恢复

中图分类号：TP393 文献标识码：A

文章编号：1009-3044（2023）12-0080-03

获取信息、保存证据，是计算机取证的两个关键步骤。如果电子数据在存储、转移或分析过程中被删除、被破坏，必须使用数据恢复技术重新获得电子数据。目前常用的数据恢复技术是基于文件系统实现的，恢复被删除的文件后将其存储到计算机硬盘中，然后分析文件，从中提取出有价值的数据。该方法在应用中存在一定的局限性，例如文件恢复的工作量大、耗时长，恢复后文件数据存在乱码等。近几年出现的基于内容特征的数据恢复技术，可对上网痕迹、图片缩略图缓存等进行深度恢复，在计算机取证领域也得到了广泛运用。

1 计算机取证中的数据恢复技术

1.1 基于文件系统的数据恢复技术

Windows文件系统有两种，分别是FAT32文件系统、NTFS文件系统。两种系统的文件删除原理是一致的：用户执行删除文件的操作后，系统并不会把文件中包含的所有数据从磁盘上直接抹去，而是选择在具有文件控制功能的数据结构上做标记，表明此文件占有的存储空间已经被释放，可存入新的数据[1]。这样一来，文件系统就省略了数据擦除的步骤，尤其是在删除大文件时能够显著加快删除速度，优化用户体验。基于文件系统的这种数据删除方式，只要被删除的数据没有发生二次覆盖，均可以保证数据本身的完整性，这就为数据恢复创造了便利。在具体的数据恢复流程上，两种文件系统基本一致，这里以FAT32文件系统为例，其恢复步骤如下：

1） 按照FAT32文件目录项的分布规则，浏览所有的文件目录项。

2） 将文件目录项中首字节不是“E5H（未被删除的文件目录项）”的过滤掉，剩余的即为被删除、需要恢复的文件目录项。

3） 按照FAT32文件系统的文件读取规则，读取保留下的文件目录项，获取文件内容，并选择一个另一个磁盘保存，完成数据恢复。

1.2 基于内容特征的数据恢复技术

Windows 系统中Office Word 等文件采用的是结构化存储，其特点是在现有文件系统的内部新建一个用于存儲内部数据的子系统，这种存储模式的优点在于：其一，显著提高了磁盘空间的使用效率，降低了存储成本；其二，在软件分发过程中，方便将海量的数据文件进行快速归类并分别存储到对应的文件中。基于结构化存储的特点，可以选择基于内容特征的数据恢复技术（AMCF） ，其恢复步骤为：

1） 分析需要恢复数据的文件格式，判断该文件的结构体形式。如果文件较小，则属于“数据库”形式；如果文件较大，则属于“数据系统”形式；

2） 从文件内容中提取关键特征信息，如数据头（Data Header） 、数据块（Data Block） 、数据位（DataFooter） 。寻找这些特征信息之间存在的特定联系，如“通过数据头引出数据块”等；

3） 以提取到的特征信息作为参照，对待恢复文件所在的磁盘进行二进制数据匹配搜索，完成遍历后可以收集到所有满足特征信息的数据；

4） 另选一个磁盘，存储收集到的数据，完成数据恢复[2]。

2 数据恢复技术在计算机取证中的应用

2.1 上网记录恢复

Windows操作系统中的网络浏览记录或本地浏览记录都会存储在index.dat文件中。作为一种隐藏式文件，用户删除历史浏览记录或本地浏览记录后，并不会对index.dat文件造成影响，这就为数据恢复与计算机取证提供了便利。以Windows10操作系统为例，该隐藏文件的保存路径为：＼Documents and Settings＼＼Cookies＼index.dat。按照上述路径进行in?dex.dat文件的定位后，解析文件即可提取到网络痕迹[3]。如果因为系统格式化等原因导致index.dat文件也被删除，那么只能借助于数据恢复技术找回index.dat文件。上文介绍的基于文件系统的数据恢复，在遇到文件系统被破坏或者文件内数据被覆盖的情况，将会导致恢复后的数据不准确、不完整。为了实现对上网痕迹的深度恢复，提高电子证据的可用性，需要使用到AMCF技术，数据的深度恢复流程如图1所示。

2.2 缩略图缓存信息恢复

缩略图缓存文件可以看作是保存图像文件关键数据的小型“数据库”，使用缩略图文件恢复数据，也是计算机取证的一种常用方式。通常情况下，缩略图缓存文件位于图片文件的目录下，存储位置相对固定。从存储的信息内容上来看，除了保存当前路径下全部图片的缩略图外，还有图片的文件名、最后修改时间等。缩略图缓存文件与图片文件相互独立，即便是图片被删除并且清空回收站，缩略图缓存文件仍然存在，这就为数据恢复和证据提取提供了有利条件。最早在Windows XP系统中，微软公司为提升图片加载速度，设置了专门存储缩略图的缓存文件，文件格式为thumbs.db。用户每次点击查看一幅图片，都会生成对应的缩略图并存放在thumbs.db文件中。可以说，thumbs.db文件本身就是一个小型的数据库，并且支持缓存多种常规格式的图像文件，如jpeg、bmp、gif 等。但是这些原始图像的缩略图统一为jpeg格式[4]。

以Windows操作系统为例，缩略图文件的文件保存路径为：＼User＼<用户名>＼App Data＼Local＼Microsoft＼win?dows＼Explorer＼Thumbs.db。根据该路径定位到缩略图文件后，进行结构解析即可提取出当前文件中所有图片的缩略图。如果thumbs.db文件被清除，或者磁盘被格式化，就需要使用到数据恢复技术找回缩略图缓存文件。传统的基于文件系统的数据恢复，无法解决因为数据覆盖导致的文件恢复不彻底等问题，这就需要使用AMCF技术，恢复流程如图2所示。

3 数据恢复技术在计算机取证中的实现

3.1 上網痕迹信息恢复取证

基于AMCF技术的上网痕迹深度恢复实验环境如下：

1） 操作系统，Windows 10，32-bit；

2） CPU，Intel? Core? 2 Duo CPU 6300@1.86GHz；

3） 内存，3072MB DDR2；

4） 分区，盘符C：＼ 总存储空间60G，剩余11G。

将进行上网痕迹信息恢复取证实验的计算机重装系统，C盘的总存储空间为60G。本次实验以C盘为对象，分别启动“敏感信息检查工具”和“AMCF保密检查工具”，对C盘中的所有上网记录进行深度扫描。根据显示的扫描结果，敏感信息检查工具的扫描结果为：C盘上网记录数为1773条，其中有3条上网记录的URL网址为无含义的字符串，有效率为99.83%，扫描用时13′46″；AMCF保密检查工具的扫描结果为：C盘上网记录数1991条，其中有18条上网记录的URL网址为无含义的字符串，另外4条上网记录的URL网址为全乱码串，扫描用时7′35″。两种工具的扫描结果对比见表1。在详情栏中可以显示每一条上网记录的网页地址和上网时间。

对比可以发现，使用AMCF技术进行上网痕迹信息恢复取证，可以从磁盘检测出更多数量的上网记录，并且扫描用时大幅度缩短。

3.2 文件信息恢复取证

基于AMCF技术的文件信息深度恢复实验环境如下：

1） 操作系统，Windows 10，64-bit；

2） CPU，Intel? Core ? 2 Duo CPU T9550@2.67GHz；

3） 内存，4096MB DDR3；

4） 分区，盘符D：＼ 总存储空间200G，剩余140G。

在“＼计算机＼D：＼App Data”下新建一个文档“实验.docx”，打开后任意输入一段文字，保存后关闭文档。选择快捷键组合“Shift+Delete”将“实验.docx”文档永久删除[5]。调用数据恢复系统中文件恢复库的GUI界面，对D盘进行扫描。扫描结果在文件恢复GUI界面展示，此时检测结果显示“实验.docx”已经被删除。使用AMCF深度恢复技术恢复该文件，并将恢复后的文件保存至E盘，在E盘双击打开该文件，可以观察到恢复后文件内容与原文件内容完全一致，说明被删除的“实验.docx”文档已经完好无损地恢复。

4 结束语

在计算机取证时，对于已经被删除的敏感信息或重要文件，需要借助于数据恢复技术重新获取原始文件，才能在打击违法犯罪时作为有效的电子证据。基于文件系统的数据恢复和基于内容特征的数据恢复均可完成上网痕迹信息恢复、缩略图缓存信息恢复，但是前者在发生数据覆盖或系统文件遭到破坏时，会导致恢复的数据信息不准确、不完整。而基于内容特征的数据恢复技术则能够根据文件的结构体形式，从文件内容中提取关键特征信息，通过遍历检索的方式确定所有满足特征的信息并将其恢复至另一个磁盘中。从实验结果来看，该恢复技术能够完好无损地恢复数据，并且耗时更短，为计算机取证提供了技术支持。