張一名

【摘要】 具體的敏感信息的獲取始終是計算機(jī)取證工作最終的目的，能夠從計算機(jī)中直接提取具體的信息是極好的。例如網(wǎng)頁瀏覽歷史記錄、因此研究新型的敏感信息深度恢復(fù)功能，以抵御此盤格式化等清除操作就變得刻不容緩。

【關(guān)鍵字】 計算機(jī)取證 恢復(fù)技術(shù)

一、計算機(jī)取證概述

計算機(jī)取證就是獲取可作為有效證據(jù)的信息。分析證據(jù)是其最關(guān)鍵的一環(huán)，使用計算機(jī)后，必然留下痕跡，提取或者恢復(fù)是獲取有效證據(jù)的信息的重要方法。

二、AMCF算法

本文提出了“ AIgorithm of Minimum Content Feature ”。針對不同種類文件的數(shù)據(jù)結(jié)構(gòu)，如固定開頭、結(jié)尾，通過分析其數(shù)據(jù)構(gòu)造，確定關(guān)鍵部分信息，再遍歷整個磁盤或分區(qū)的細(xì)粒度，找到其中與目標(biāo)數(shù)據(jù)格式一致的數(shù)據(jù)塊，達(dá)到數(shù)據(jù)恢復(fù)。算法的大體步驟：（1） 確定和分析待恢復(fù)數(shù)據(jù)的文件和內(nèi)容格式，得出結(jié)果。 （2） 從中確立關(guān)鍵特征信息，像數(shù)據(jù)頭、數(shù)據(jù)塊控制信息、數(shù)據(jù)尾等，找到它們之間的銜接關(guān)系；（3） 以特征信息為模式， 匹配搜索整個磁盤或者分區(qū)，提取出所需數(shù)據(jù)。

算法中的特征是直接標(biāo)識信息區(qū)別于其他的特別的地方，并就近提取目標(biāo)數(shù)據(jù)。而最小特征，單個網(wǎng)絡(luò)記錄特征的夠標(biāo)識。AMCF 算法將對象縮為單個信息記錄，降低了數(shù)據(jù)恢復(fù)次復(fù)雜度。

三、上網(wǎng)記錄深度恢復(fù)

3.1 i ndex. dat 文件結(jié)構(gòu)分析

AMCF 算法能實現(xiàn)上網(wǎng)痕跡的深度恢復(fù)。

首先解析i ndex. dat文件結(jié)構(gòu)。描述如下：

文件頭，以十六進(jìn)制表示文件版本和長度，包含了首個HASH表偏移地址等屬性信息，index.dat的數(shù)據(jù)頭部以NULL （OxOO）字符結(jié)尾。要找到index.dat 文件里的記錄地址，可以用HASH 表的指針，從活動記錄中可以獲取類型、 大小、內(nèi)容這幾種信息。一種有URL、LEAK 、REDR、GUST 這四種類型。一下分條解析這幾種活動記錄：

（l） URL 條目。URL 條目正是通過瀏覽器訪問過的某網(wǎng)絡(luò)資源的記錄， URL 條目包含訪問地址和時間，其中時間是FILETIME格式的數(shù)據(jù)，它用的是 urc 標(biāo)準(zhǔn)時間，需要轉(zhuǎn)化成本地時間其結(jié)構(gòu)如表所示：該條URL 條目的長度是02H x Ox80 = 256 字節(jié)。在偏移68 H 處也能發(fā)現(xiàn)其訪問過的網(wǎng)絡(luò)資源的真正字符串形式的地址，它以NULL 作為結(jié)尾。該U RL 條目的最后修改時間位于偏移08H 處。最后訪問時間緊隨其后，位于偏移 1 0H 處，各占8 字節(jié)。

（2） LEAK條目。LEAK結(jié)構(gòu)與URL一致，解析LEAK記錄的方式方式也與URL 記錄沒有區(qū)別。然而，在HASH表中可以獲取URL 記錄的偏移地址， 這個偏移地址在HASH 表中數(shù)量極少，也是無法獲取的。

（3） REDR 記錄和 GUSTREDR 是redirect簡寫，REDR 記錄和 GUST兩者都沒有直接有關(guān)上網(wǎng)記錄有關(guān)的信息。

3.2 index . dat 文件最小內(nèi)容特征分析

index. dat相當(dāng)于一個"數(shù)據(jù)庫， 根據(jù)最小內(nèi)容特征的思想 ，關(guān)注URL和 LEAK 條目，無視數(shù)據(jù)頭部與HASH 表，所有URL 條自有相同的小端序格式頭. " 5552 4C 20，因為大多計算機(jī)的" URL "無用，所以還需要尋找其他明顯特征點，URL 條目開頭是固定標(biāo)識串，之后是以1 2 8 字節(jié)為單位的條目長度，共有四個字節(jié)，以"？ 000000"表示，所表示的長度范圍是128 字節(jié)到32640 字節(jié)。綜上結(jié)論，上網(wǎng)記錄最小內(nèi)容特征是"55 52 4C 20 ？ 00 00 00 00"開頭的字符串，55 52 4C 20為"URL "，00 00 00 00為"URL "長度。這個特征容易識別出來，能撇開其他眾多無用數(shù)據(jù)。

四、上網(wǎng)痕跡信息深度恢復(fù)取證

有上網(wǎng)痕跡取證的產(chǎn)品不多，在Windows 7下，同步測試兩款功能相似的檢查工具，來驗證AMCF 算法的有效性。內(nèi)存： 3072MB DDR2。打開兩款檢查工具掃描上網(wǎng)歷史痕跡，測試關(guān)系到時間、有效掃描數(shù)量、重復(fù)數(shù)量等，有效掃描數(shù)量指有信息含量的記錄，非URL字符串、亂碼，空串為無效記錄。重復(fù)指此條URL與其他掃描結(jié)果相同。，顯然掃描耗時短、有效結(jié)果數(shù)量越多、有效記錄比例越大、重復(fù)記錄越少，算法的性能越強(qiáng)。其一檢查工具掃出1662 條上網(wǎng)記錄，用時14 分54 秒，，其中有一條為無效記錄。其二檢查工具則1882 條記錄，用了8 分24 秒，無效記錄為24條。兩款工具掃描結(jié)果比較軟件名稱掃描.n時結(jié)果總數(shù)有效結(jié)果數(shù)量。兩款工具掃描結(jié)采的比較本文用的工具占優(yōu)勢。

五、結(jié)論

用戶信息的挖據(jù)在計算機(jī)取證中，是十分重要的。當(dāng)刪除文件時，恢復(fù)數(shù)據(jù)就成了計算機(jī)取證重要手段數(shù)據(jù)恢復(fù)，就是按照非常規(guī)手段使丟失的文件可見，本文研究了index. dat工作原理與數(shù)據(jù)結(jié)構(gòu)。設(shè)計了計算機(jī)取證的數(shù)據(jù)算法，以滿足計算機(jī)取證的數(shù)據(jù)恢復(fù)需求。

參 考 文 獻(xiàn)

[1] 郭建朝.計算機(jī)取證技術(shù)的應(yīng)用研究[學(xué)位論文]，蘭州，蘭州大學(xué)， 2007.

[2] 譚敏，胡曉龍，楊衛(wèi)平.計算機(jī)取證概述問.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用122006 ，12： 75-77.

[3] 魏豪.基于數(shù)據(jù)恢復(fù)的信息獲取技術(shù)的研究[學(xué)位論文]，鄭州：解放軍信息工程大學(xué)， 2007.

[4] 楊衛(wèi)平.分布式計算機(jī)動態(tài)取證系統(tǒng)研究[學(xué)位論文]，湖南中南大學(xué)， 2006.