摘 要：計算機(jī)取證中的數(shù)據(jù)恢復(fù)是當(dāng)前研究的一個熱點問題，本文從硬盤結(jié)構(gòu)分析著手，探討了兩種層次的計算機(jī)取證數(shù)據(jù)恢復(fù)方法，旨在為相關(guān)研究與實踐提供參考。

關(guān)鍵詞：計算機(jī)取證；數(shù)據(jù)恢復(fù)；恢復(fù)方法

在計算機(jī)取證過程中，刪除的文件往往會成為案件重要線索，這些刪除的文件即位數(shù)據(jù)恢復(fù)對象，保證文件是可用的即位恢復(fù)效果。恢復(fù)文件的范圍不僅僅是應(yīng)用文件，還可能是系統(tǒng)文件，恢復(fù)之后文件可能不一定完整或不可用，此時即需要利用分析技術(shù)來再現(xiàn)原來的數(shù)據(jù)形式，獲取案件線索。

1 硬盤結(jié)構(gòu)

1）主引導(dǎo)扇區(qū)MBR。MBR指的是分區(qū)程序產(chǎn)生的主導(dǎo)扇區(qū)，其受到不同操作系統(tǒng)的影響，即不同操作系統(tǒng)的主引導(dǎo)扇區(qū)可能存在一定差異。主引導(dǎo)扇區(qū)包括主引導(dǎo)記錄MBR和分區(qū)表DPT，前者的作用是分區(qū)表的正確性進(jìn)行檢查，并確定引導(dǎo)分區(qū)，在程序結(jié)束并完成之后，在內(nèi)存中將啟動程序調(diào)入并執(zhí)行。

2）操作系統(tǒng)引導(dǎo)扇區(qū)DBR。DBR指的是操作系統(tǒng)引導(dǎo)扇區(qū)，其是操作系統(tǒng)能夠直接訪問的首個扇區(qū)，DBR中包括分區(qū)參數(shù)記錄表和引導(dǎo)程序兩個部分，其能夠?qū)Ψ謪^(qū)根目錄第一個文件和第二個文件進(jìn)行判斷，看文件是否為引導(dǎo)文件，在判斷完成之后，在內(nèi)存中讀入，并遞交控制權(quán)給文件。在BPB的參數(shù)塊中，記錄著許多重要的參數(shù)，例如起始與結(jié)束扇區(qū)、文件的存儲格式等等。

3）文件分配表FAT。Windows系統(tǒng)中，存在FAT，F(xiàn)AT的大小主要受到分區(qū)及分配單元兩個因素影響，一般來說，F(xiàn)AT數(shù)量為2個，一個是初始形成的FAT，另一個是后形成的FAT，以此來充分保證數(shù)據(jù)的安全性。對于初始形成的FAT來說，其表示為“未占用”，如果磁盤出現(xiàn)損壞問題，則在格式化程序中標(biāo)識為“壞簇”，如果在磁盤中存有相關(guān)文件，則需要分割文件，文件中的數(shù)據(jù)往往會被分為若干段，以鏈?zhǔn)椒绞酱鎯 2 ]。段與段之間的鏈接信息在FAT中存儲，讀取文件的過程中，能夠?qū)崿F(xiàn)段的精確定位，并精確的讀出各個段。在刪除文件的過程中，OS通過對FAT中信息的改變來表示這些簇可被使用，在寫入數(shù)據(jù)前，被刪除的文件仍在磁盤中保存，要想實現(xiàn)刪除文件的恢復(fù)，則需要將文件頭的兩個代碼恢復(fù)，或重寫，之后重新通過映射來恢復(fù)文件。

4）目錄區(qū)DIR。緊接著第二個FAT表之后即為目錄區(qū)DIR，F(xiàn)AT與DIR的配合來實現(xiàn)對文件的定位，在DIR中記錄著文件相關(guān)屬性，定位過程中，以起始單元為基礎(chǔ)，結(jié)合FAT表即可實現(xiàn)文件定位，判斷文件大小。

5）數(shù)據(jù)區(qū)DATA。數(shù)據(jù)區(qū)DATA數(shù)據(jù)可分為可見數(shù)據(jù)和不可見數(shù)據(jù)，前者指的是在DIR中有記錄的數(shù)據(jù)，能夠被相關(guān)程序鎖定，后者指的是相關(guān)程序難以找到且不能精確定位和鎖定的數(shù)據(jù)[ 3 ]。對于計算機(jī)取證來說，如何實現(xiàn)不可見數(shù)據(jù)的再現(xiàn)對于尋找證據(jù)至關(guān)重要，例如文件碎片空間及臨時文件等都屬于不可見數(shù)據(jù)的范疇。

2 數(shù)據(jù)恢復(fù)原理

文件刪除可以分為幾種形式，一般意義上的刪除即改變FAT的鏈接指向，“格式化”指的是將FAT表重寫，二者均不是真正的刪除數(shù)據(jù)，即DATA區(qū)中的數(shù)據(jù)沒有被清楚。而對于硬盤分區(qū)來說，其修改了DBR和MBR，但DATA中的大部分?jǐn)?shù)據(jù)沒有發(fā)生改變，在沒有覆蓋該文件的基礎(chǔ)上，只需要找到文件起始存儲位置即可恢復(fù)該文件，這是硬盤數(shù)據(jù)的修復(fù)原理。在Windows文件系統(tǒng)中，文件刪除指的是將文件首字節(jié)改為E5H，表標(biāo)記為未分配，文件本身沒有被破壞，因此可以被恢復(fù)，只需要采用手動方式或相關(guān)軟件來恢復(fù)即可。

3 數(shù)據(jù)恢復(fù)層次

3.1 依據(jù)文件目錄的數(shù)據(jù)恢復(fù)

這種數(shù)據(jù)恢復(fù)方法以文件系統(tǒng)存儲結(jié)構(gòu)為基礎(chǔ)，以文件形式將數(shù)據(jù)磁盤或存儲介質(zhì)中存放，數(shù)據(jù)管理主要通過文件管理來實現(xiàn)，文件主要包括目錄數(shù)據(jù)及文件內(nèi)容數(shù)據(jù)，以目錄數(shù)據(jù)定位文件，一般來說，可根據(jù)目錄數(shù)據(jù)的完整性來全部恢復(fù)數(shù)據(jù)或部分恢復(fù)數(shù)據(jù)，而根本上的文件刪除中，F(xiàn)AT表項被清零處理，首簇號可能沒有損壞，如果文件較小，或占用連續(xù)存儲空間，則可以實現(xiàn)文件內(nèi)容的全部恢復(fù)，湊則智能部分恢復(fù)或無法恢復(fù)[ 4 ]。對于NTFS文件系統(tǒng)來說，文件目錄數(shù)據(jù)決定是否可以恢復(fù)文件。

3.2 依據(jù)文件內(nèi)容的數(shù)據(jù)恢復(fù)

重新分配簇之后，以特殊設(shè)備可恢復(fù)數(shù)據(jù)，主要依據(jù)為磁頭偏移形成的陰影數(shù)據(jù)。目錄數(shù)據(jù)損壞后，無法定位文件，若知道文件一定的字節(jié)內(nèi)容，可搜索關(guān)鍵字，定位文件，并將塊號填入到索引中，實現(xiàn)文件恢復(fù)，具體關(guān)鍵字搜索算法公式如下：

具體搜索函數(shù)如下：

long searchfs（char*fsname，intcomp（））

char buf[1024]

long i=0

fp=fopen（fsname，“r”）

while（！Feof（fp））

{fread（bu，f 1024，1，fp）；

If（comp（））/*

Return；i/*若成功返回塊號*/

i++

}

Fclose（fp），Return-1；/*沒有找到符合搜索條件的塊，返回-1*/

對設(shè)備文件名確定，用上述函數(shù)進(jìn)行文件搜索，看是否搜索成功，如果搜索成功則返回*/，如果搜索不成功則返回-1，設(shè)備名用fsname來表示。

4 結(jié)論

綜上所述，在計算機(jī)取證中，利用一定的科學(xué)技術(shù)方法恢復(fù)數(shù)據(jù)有助于獲取更多的案件線索和電子證據(jù)，從而打擊計算機(jī)犯罪。本文簡要探討了兩種數(shù)據(jù)恢復(fù)技術(shù)的具體應(yīng)用，在未來的發(fā)展中，數(shù)據(jù)恢復(fù)技術(shù)還有待進(jìn)一步的研究，例如對于文件碎片查找、特殊文件分析等方面的計算機(jī)取證中如何利用數(shù)據(jù)恢復(fù)技術(shù)還有待開發(fā)。

參考文獻(xiàn)：

[1] 程優(yōu).數(shù)據(jù)恢復(fù)技術(shù)在計算機(jī)取證系統(tǒng)中的應(yīng)用[J]. 電子技術(shù)與軟件工程，2014，（20）：212-213.

[2] 杜江，王石東.計算機(jī)取證中的數(shù)據(jù)恢復(fù)技術(shù)研究[J].重慶郵電大學(xué)學(xué)報（自然科學(xué)版），2010，（05）：683-687.

[3] 尹丹.計算機(jī)取證中的數(shù)據(jù)恢復(fù)技術(shù)研究[A].中國計算機(jī)學(xué)會計算機(jī)安全專業(yè)委員會.全國計算機(jī)安全學(xué)術(shù)交流會論文集·第二十五卷[C].中國計算機(jī)學(xué)會計算機(jī)安全專業(yè)委員會，2010：5.

[4] 易凌鷹.基于閃存數(shù)據(jù)恢復(fù)的計算機(jī)取證技術(shù)的研究與實現(xiàn)[D].北京郵電大學(xué)，2010.

作者簡介：張婷婷，女，武警遼寧省總隊司令部通信網(wǎng)絡(luò)管理中心工程師，研究方向：計算機(jī)數(shù)據(jù)處理與網(wǎng)站開發(fā)。