|
摘要:信息技术的发展使得利用网络系统作为犯罪的工具或目标的案件在司法实践中逐年增多,因此电子证据也将成为越来越重要的诉讼证据。但对于这类证据的取得,亦即网络犯罪取证却是司法人员要面对的一大难题。数据恢复技术具有把被破坏的数据还原为原始数据的功能。
关键词:数据恢复,磁盘阵列,远程数据恢复
The Study Of Network Forensics Base On Data Recovery
Abstract:Due to the development of information technology, network, which as the tool or object for crime, has be seen in many cases. As a result, electronic evidence will be much more important. But there are many difficulties in forensics too. In this case, data recovery can help to recover the data that was corrupted.
Keyword: data recovery, raid, remote data recovery
1.数据恢复
简单地说,数据恢复就是把遭受破坏、或由硬件缺陷导致不可访问或不可获得、或由于误操作等各种原因导致丢失的数据还原成正常数据,即恢复至它本来的“面目”。
数据恢复不仅对已丢失的文件进行恢复,还可以恢复物理损伤的磁盘数据,也可以恢复不同操作系统的数据。概括地说,数据出现问题主要包括两大类:即逻辑问题和硬件问题,相对应的恢复也分别称为软恢复和硬恢复。所谓软恢复,指的是一切可以通过“软”的方式进行的恢复,不涉及硬件修理的数据恢复操作,其故障原因不是硬件失效造成的,如病毒感染、误格式化、误分区、误克隆、误操作、网络删除、操作时断电等,软件现象一般表现为无操作系统,读盘错误,文件找不到、打不开,报告五分区、无格式化、密码丢失、乱码等;对应地,一切涉及到硬件修理、由硬件损坏或失效造成的数据恢复均归人硬恢复,如磁道损坏、磁盘划伤、磁组损坏、主电机损坏、电路板芯片及其他原器件烧坏等,硬件故障一般表现为不认盘,常有一种“咔嚓咔嚓”的磁组撞击声或电机不转,或通电后无任何声音等,两者之间最明显的特征或区别就是:存储介质本身是否不需要进行修理或更换部件就可以正常的进行访问。 转载自 无忧论文网
2 数据恢复的原理
证据的获取从本质上说就是从众多的未知和不确定性中找到确定性的东西。这一步使用的工具一般是具有磁盘镜像、数据恢复、解密、网络数据捕获等功能的取证工具。其中数据恢复可以说是网络取证研究的基础。下文以FAT32文件系统为例讲解数据恢复的原理。
FAT32文件系统将逻辑盘空间划分为三个部分:引导区、文件分配表区(FAT区)和数据区(DATA区)。引导区和文件分配表区合称为系统区,文件分配表区保存有两个相同的文件分配表(FAT),FAT是一个链表结构,定义文件的其他存放簇号和结束标志。文件目录表(FDT)是也系统区的一部分,其中文件目录项占32字节,其结构如图:其中,第一字节表明该文件的状态,有如下三种取值方式:00H:目录项的空表项(未使用的目录项)E5H:表示该目录项曾经使用过,但文件已被删除。其他任何合法字符:表示文件名(或目录名)的第一个字符的ASCII码值。系统根据FDT和FAT查找文件,首先根据FDT中的参数确定DATA中的首簇和FAT中簇链的起始点,然后,由FAT中的簇跟踪文件和子目录在DATA 中的位置。如图2 所示。显然,DATA是一个区域,只有起始点和结束点,区域本身和文件或目录无关。删除文件时,系统只是在该文件的文件目录项上做一个删除标记,把它们在FAT表中所占用的簇标记为“空簇”,而DATA区域中的簇仍旧保存着原文件的内容。当再次往硬盘上写入数据文件时,系统就可能会覆盖这些被标记为删除的文件所占用的簇,也就是在这些被删除文件占用的区块上写入新的信息。只要数据区没有遭到覆盖,就可以将它部分乃至全部 | 
