返回
对数据恢复与计算机取证的分析

对数据恢复与计算机取证的分析

ID:10155219

大小:28.50 KB

页数:7页

时间:2018-06-11

对数据恢复与计算机取证的分析_第1页
对数据恢复与计算机取证的分析_第2页
对数据恢复与计算机取证的分析_第3页
对数据恢复与计算机取证的分析_第4页
对数据恢复与计算机取证的分析_第5页
资源描述:

《对数据恢复与计算机取证的分析》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、对数据恢复与计算机取证的分析摘要:计算机取证中的数据恢复由于其特殊性,特别是在法律和技术上的特殊内容和要求,使其存在一定的局限性和难点,虽然与普通数据恢复在原理上相同,但还是有很大的不同。本文分析了数据恢复及其方法,计算机取证中数据恢复的特点和难点,数据恢复在计算机取证中的应用,为以后的计算机取证的公正合法性提供参考。关键词:数据恢复;计算机取证;修复中图分类号:TP399信息化时代的到来,电脑的大面积普及,随之而来的很多利用计算机和网络的犯罪也越来越多,给人们的生活带来了很多负面影响,也造成了很多财产损失。为了更有效的打击犯罪分子,我们可以着手计算机和网络来找出打击

2、罪犯的证据。然而由于数据存在易篡改、伪造、删除和破坏等问题,这使得很多有价值的数字证据被销毁,让罪犯逃离了法律的制裁。为了还原被销毁的证据,我们对计算机数据恢复进行了研究。可知,计算机数据存储在硬盘存储空间里,只要没有被新的数据覆盖,或者被覆盖的只有少部分,都可以通过数据恢复技术进行数据恢复。下面对数据恢复和计算机取证进行详细描述。1数据恢复及其方法71.1数据恢复由于人为破坏或者是偶然因素,导致电子存储介质被破坏而不能从中提取数据,数据恢复技术则可以恢复部分或者全部的相关数据。其中,电子存储介质指的是硬盘、光感设备、移动介质和磁性卷片等。造成数据不能读取的原因可能是

3、软件问题,可能是计算机病毒破坏了数据,可能是电力和机械设备存在故障,可能是意外情况引起的。但是只要介质没有出现严重受损的问题,只是删除数据或硬盘发生故障,都不会完全破坏数据,恢复数据的可能性很大。但当介质严重受损或数据被完全覆盖时,无法恢复数据。硬件出现异常,需要对硬件进行修复,有时可以更换故障零件,有时也可以更换控制电路来进行修复工作。对于操作失误而删除的或者是格式化而造成的数据损失,大部分数据还是存在的,只要连接环节可以通过软件来重新恢复,就可以重新读取数据。1.2数据恢复方法(1)格式化文件的数据恢复。文件格式化后会自动建立新的DBR、FAT表和FAT表备份,清

4、除多余的FAT项和根目录簇,此时并没有清空数据区。数据恢复要依靠FAT,一旦重建或者丢失,将很难恢复被覆盖的数据文件和断断续续存储的数据文件,而恢复连续的数据文件却是可以实现的,因为新文件覆盖部分只是分区前面部分的空间,而不会覆盖后面存储空间,可以恢复后半部分的内容。7(2)删除文件的数据恢复。删除的文件可以分为物理删除和逻辑删除,其中逻辑删除更容易得到恢复。逻辑删除只是在FAT文件中将要删除的内容标记上,没有完全删除文件,可以通过恢复删除标记来进行数据恢复。物理删除则有多个层面,第一种只是在操作系统里对磁盘文件进行相应字节的标记来实现删除,却没有对数据的存储空间进行

5、清除,也可以通过恢复删除标记来进行数据恢复,但如果已经被其它新数据覆盖,则实际数据也已经被损坏,无法恢复。第二种是在FAT里清除了文件占用的簇号记录来删除数据记录的,实际文件存储空间里还是保留着的,可以通过数据恢复软件恢复。(3)损坏分区表的数据恢复。记录扇区可能在人为破坏或者计算机、网络作用下发生错误,引起分区表的损坏、代码的丢失和结束标志的损坏等,但不影响数据存储区,很容易就可以恢复。2计算机取证中数据恢复的特点和难点2.1计算机取证中数据恢复的特点(1)合法性。计算机取证必须符合法律规范,作为证据的数据恢复必须严格遵守公安部计算机犯罪现场勘查与电子证据检查规则、

6、电子数据鉴定规则进行,改过程是一个电子证据的取证过程,要求人员必须客观、公正和严谨。7(2)发现和提取更广泛。计算机取证中的数据恢复不仅是对由于计算机病毒、误操作、程序错误等的数据丢失进行恢复,还要针对其他情况进行研究,如利用专业工具进行人为的擦除数据。计算机取证要对一切可以作为证据的数据进行发现和提取,特别是对一些隐藏起来的数据的提取,如在未分配空间和Slack空间里的数据进行提取,也要对一些加密的数据或者人为损坏的存储介质中的数据进行发现和提取。(3)内容更广泛。由于计算机取证是为侦查工作提供线索,也是为诉讼提供证据,因此要恢复的数据也更多。只要是可以作为证据的,

7、并可以证明犯罪事实的,即使只有一点内容,一小片文件碎片也值得技术人员花时间和精力去恢复。且计算机取证还要恢复文件的各种属性信息来辅助案件,是重要的证据信息,必须进行提取。2.2计算机取证中数据恢复的难点计算机取证中数据恢复的难点主要产生的原因由两方面组成,一是犯罪分子或相关嫌疑人为了逃避犯案证据而进行的故意隐藏和销毁证据的主观原因,二是由于计算机硬件设备或软件设备出现故障造成的数据丢失、损坏,如病毒对计算机的攻击等。具体难点有一下几个。7(1)文件的定位。计算机里的数据存储都是以文件形式来存放的,存储方式是文件数据和文件记录共同完成的。每个文件和文件

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。