試論計算機取證中的數據恢復技術

摘 要：計算機取證中的數據恢復是當前研究的一個熱點問題，本文從硬盤結構分析著手，探討了兩種層次的計算機取證數據恢復方法，旨在為相關研究與實踐提供參考。

關鍵詞：計算機取證；數據恢復；恢復方法

在計算機取證過程中，刪除的文件往往會成為案件重要線索，這些刪除的文件即位數據恢復對象，保證文件是可用的即位恢復效果。恢復文件的范圍不僅僅是應用文件，還可能是系統文件，恢復之后文件可能不一定完整或不可用，此時即需要利用分析技術來再現原來的數據形式，獲取案件線索。

1 硬盤結構

1）主引導扇區MBR。MBR指的是分區程序產生的主導扇區，其受到不同操作系統的影響，即不同操作系統的主引導扇區可能存在一定差異。主引導扇區包括主引導記錄MBR和分區表DPT，前者的作用是分區表的正確性進行檢查，并確定引導分區，在程序結束并完成之后，在內存中將啟動程序調入并執行。

2）操作系統引導扇區DBR。DBR指的是操作系統引導扇區，其是操作系統能夠直接訪問的首個扇區，DBR中包括分區參數記錄表和引導程序兩個部分，其能夠對分區根目錄第一個文件和第二個文件進行判斷，看文件是否為引導文件，在判斷完成之后，在內存中讀入，并遞交控制權給文件。在BPB的參數塊中，記錄著許多重要的參數，例如起始與結束扇區、文件的存儲格式等等。

3）文件分配表FAT。Windows系統中，存在FAT，FAT的大小主要受到分區及分配單元兩個因素影響，一般來說，FAT數量為2個，一個是初始形成的FAT，另一個是后形成的FAT，以此來充分保證數據的安全性。對于初始形成的FAT來說，其表示為“未占用”，如果磁盤出現損壞問題，則在格式化程序中標識為“壞簇”，如果在磁盤中存有相關文件，則需要分割文件，文件中的數據往往會被分為若干段，以鏈式方式存儲[ 2 ]。段與段之間的鏈接信息在FAT中存儲，讀取文件的過程中，能夠實現段的精確定位，并精確的讀出各個段。在刪除文件的過程中，OS通過對FAT中信息的改變來表示這些簇可被使用，在寫入數據前，被刪除的文件仍在磁盤中保存，要想實現刪除文件的恢復，則需要將文件頭的兩個代碼恢復，或重寫，之后重新通過映射來恢復文件。

4）目錄區DIR。緊接著第二個FAT表之后即為目錄區DIR，FAT與DIR的配合來實現對文件的定位，在DIR中記錄著文件相關屬性，定位過程中，以起始單元為基礎，結合FAT表即可實現文件定位，判斷文件大小。

5）數據區DATA。數據區DATA數據可分為可見數據和不可見數據，前者指的是在DIR中有記錄的數據，能夠被相關程序鎖定，后者指的是相關程序難以找到且不能精確定位和鎖定的數據[ 3 ]。對于計算機取證來說，如何實現不可見數據的再現對于尋找證據至關重要，例如文件碎片空間及臨時文件等都屬于不可見數據的范疇。

2 數據恢復原理

文件刪除可以分為幾種形式，一般意義上的刪除即改變FAT的鏈接指向，“格式化”指的是將FAT表重寫，二者均不是真正的刪除數據，即DATA區中的數據沒有被清楚。而對于硬盤分區來說，其修改了DBR和MBR，但DATA中的大部分數據沒有發生改變，在沒有覆蓋該文件的基礎上，只需要找到文件起始存儲位置即可恢復該文件，這是硬盤數據的修復原理。在Windows文件系統中，文件刪除指的是將文件首字節改為E5H，表標記為未分配，文件本身沒有被破壞，因此可以被恢復，只需要采用手動方式或相關軟件來恢復即可。

3 數據恢復層次

3.1 依據文件目錄的數據恢復

這種數據恢復方法以文件系統存儲結構為基礎，以文件形式將數據磁盤或存儲介質中存放，數據管理主要通過文件管理來實現，文件主要包括目錄數據及文件內容數據，以目錄數據定位文件，一般來說，可根據目錄數據的完整性來全部恢復數據或部分恢復數據，而根本上的文件刪除中，FAT表項被清零處理，首簇號可能沒有損壞，如果文件較小，或占用連續存儲空間，則可以實現文件內容的全部恢復，湊則智能部分恢復或無法恢復[ 4 ]。對于NTFS文件系統來說，文件目錄數據決定是否可以恢復文件。

3.2 依據文件內容的數據恢復

重新分配簇之后，以特殊設備可恢復數據，主要依據為磁頭偏移形成的陰影數據。目錄數據損壞后，無法定位文件，若知道文件一定的字節內容，可搜索關鍵字，定位文件，并將塊號填入到索引中，實現文件恢復，具體關鍵字搜索算法公式如下：

具體搜索函數如下：

long searchfs（char*fsname，intcomp（））

char buf[1024]

long i=0

fp=fopen（fsname，“r”）

while（！Feof（fp））

{fread（bu，f 1024，1，fp）；

If（comp（））/*

Return；i/*若成功返回塊號*/

i++

}

Fclose（fp），Return-1；/*沒有找到符合搜索條件的塊，返回-1*/

對設備文件名確定，用上述函數進行文件搜索，看是否搜索成功，如果搜索成功則返回*/，如果搜索不成功則返回-1，設備名用fsname來表示。

4 結論

綜上所述，在計算機取證中，利用一定的科學技術方法恢復數據有助于獲取更多的案件線索和電子證據，從而打擊計算機犯罪。本文簡要探討了兩種數據恢復技術的具體應用，在未來的發展中，數據恢復技術還有待進一步的研究，例如對于文件碎片查找、特殊文件分析等方面的計算機取證中如何利用數據恢復技術還有待開發。

參考文獻：

[1] 程優.數據恢復技術在計算機取證系統中的應用[J]. 電子技術與軟件工程，2014，（20）：212-213.

[2] 杜江，王石東.計算機取證中的數據恢復技術研究[J].重慶郵電大學學報（自然科學版），2010，（05）：683-687.

[3] 尹丹.計算機取證中的數據恢復技術研究[A].中國計算機學會計算機安全專業委員會.全國計算機安全學術交流會論文集·第二十五卷[C].中國計算機學會計算機安全專業委員會，2010：5.

[4] 易凌鷹.基于閃存數據恢復的計算機取證技術的研究與實現[D].北京郵電大學，2010.

作者簡介：張婷婷，女，武警遼寧省總隊司令部通信網絡管理中心工程師，研究方向：計算機數據處理與網站開發。