返回
基于“连带效应”和“过期日志”的EXT3文件系统数据恢复方法研究.pdf

基于“连带效应”和“过期日志”的EXT3文件系统数据恢复方法研究.pdf

ID:55398463

大小:1.16 MB

页数:5页

时间:2020-05-15

基于“连带效应”和“过期日志”的EXT3文件系统数据恢复方法研究.pdf_第1页
基于“连带效应”和“过期日志”的EXT3文件系统数据恢复方法研究.pdf_第2页
基于“连带效应”和“过期日志”的EXT3文件系统数据恢复方法研究.pdf_第3页
基于“连带效应”和“过期日志”的EXT3文件系统数据恢复方法研究.pdf_第4页
基于“连带效应”和“过期日志”的EXT3文件系统数据恢复方法研究.pdf_第5页
资源描述:

《基于“连带效应”和“过期日志”的EXT3文件系统数据恢复方法研究.pdf》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、ChineseJournalofForensicSciences,2015,No.1TotalNo.78鉴定实践ForensicPractice基于“连带效应"和“过期日志"的EXT3文件系统数据恢复方法研究徐国天(中国刑警学院网络犯罪侦查系,辽宁沈阳110854)摘要:目的EXT3文件系统是大多数Linux主机的默认硬盘分区格式,研究EXT3文件系统的数据恢复方法对公安机关的电子数据鉴定工作有重要意义。方法详细分析了“复制”、“删除”动作产生的日志记录,研究了EXT3日志记录的“连带效应”.深入分析了“过期日志”结构,设计了事务链式存储结构、inode编号链式存储结构和用于恢复文件的有限状

2、态机..结果恢复软件可以直接运行在Linux主机上,通过扫描日志文件完成恢复。结论经过大量实际测试,软件可以有效恢复EXT3文件系统中的被删数据。关键词:连带效应;过期日志;EXT3;日志;恢复中图分类号:TP274文献标志码:Adoi:10.3969~.issn.1671-2072.2015.01.013文章编号:167l一2072一(2015)01—0062—05ResearchontheDataRecoveryMethodBasedon“ImplicatedEfiect”and“ExpiredLog”inEXT3FileSystemXUGuo-tian(DepartmentofNetw

3、orkCriminalInvestigation,ChinaCriminalPoliceUniversity,Shenyang110854,China)Abstract:ObjectiveTostudythedatarecoverymethodintheEXT3filesystemfortheuseofdigitalforensics.MethodThelogrecordsof“copy’’and“delete”actionswereanalyzedindetail.“Implicatedeffect’and“expiredlog”werestudied.Atransactionlistst

4、oragestructureandafinitestatemachineweredesigned.ResultTherecoverysoftwaredesignedintheresearchcandirectlyrunontheLinuxhostandcompletetherecoverybasedonthelogrecords.ConclusionThesoftwarehasbeentestedascapableofrestoringthedeleteddataintheEXT3filesystem.Keywords:implicatedeffect;expiredlog;EXT3;log

5、;recovery.随着操作系统技术的快速发展,Linux系统得到了化.整个数据块都将被复制到日志文件中,在这个备不断完善,它变得更加稳定、安全和易于使用,其用户群份数据块中除了包含发生变化的数据部分,还包含没由传统的大型服务器转向个人用户.越来越多的个人用有变化的数据,即这些数据也被“连带”记录到日志文户选择在自己的主机上安装Linux操作系统。随着使用件中。本文设计的恢复软件可以挖掘“连带”数据中有Linux的用户不断增多.利用Linux系统从事的犯罪活动价值的信息,实现最大限度的数据恢复。也在增多。大多数Linux主机的硬盘分区采用EXT3格EXT3文件系统恢复方法大多基于日志文件,当

6、式,在嫌疑人使用的Linux主机硬盘中可能存有大量的EXT3硬盘被重新挂载时,日志会从文件的起始位置涉案信息。犯罪分子为了逃避法律的制裁,可能会将某重新开始记录.新产生的13志记录会将陈旧的过期日些涉案文件删除或直接格式化硬盘。获取、分析这些涉志覆盖。目前的EXT3恢复方法只对当前有效的日志案信息对公安机关的调查、取证工作有着重要的意义。记录进行处理,不处理未被覆盖的过期日志。而这部EXT3文件系统以数据块作为日志记录的基本单分日志也包含了大量有价值的恢复信息,本文设计的位,即硬盘“系统”数据块中任何一个比特位发生变恢复软件可同时根据有效和过期日志进行文件恢复,达到优于现有软件的恢复效果。收

7、稿日期:2014—06—04基金项目:公安部技术研究计划项目(2014JSYB033);公安部应用创新计划项目(2014YYCxxJXY055);辽宁省教育科学“十二lEXT3日志文件结构五”计划立项项目(iG14db440)作者简介:徐国天(1978一),男,副教授,主要从事电子数据恢EXT3文件系统支持日志记录功能.用户对磁盘复,网络安全研究。E—mail:xuguotian888@163.con。_数据

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。