返回
计算机数据取证修复技术探究

计算机数据取证修复技术探究

ID:6049606

大小:27.00 KB

页数:5页

时间:2018-01-01

计算机数据取证修复技术探究_第1页
计算机数据取证修复技术探究_第2页
计算机数据取证修复技术探究_第3页
计算机数据取证修复技术探究_第4页
计算机数据取证修复技术探究_第5页
资源描述:

《计算机数据取证修复技术探究》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、计算机数据取证修复技术探究  摘要:该文主要研究在计算机取证技术中,如何获取被恶意删除的数据的方法与途径。以磁盘定位原理为基础,通过实验,推导出引导扇区与数据区两大类数据信息的获取规则与具体操作步骤。实现了对丢失数据的重新获得。关键词:计算机取证;数据修复;扇区中图分类号:TP311文献标识码:A文章编号:1009-3044(2013)15-3451-02计算机取证是一专业性与技术性很强发展极其迅速的应用学科。现阶段,计算机取证工具发展也随着客观事实的要求朝着更细化学科方向发展。我国已经开始投入

2、巨大的人力,物力从事专业工具的研发,相信在大家的努力下,会缔造一个更加安全、纯净的信息空间[1]。1计算机数据取证修复技术的应用范围1)可以保护计算机系统,避免发生任的改变、伤害、数据破坏或病毒感染。2)可修复系统中已经被删除但仍存在于磁盘上文件,或尽可能恢复已删除文件。3)最大程度地显示隐藏文件,临时文件和交换文件的内容。4)可访问被保护或加密文件的内容。52取证中数据修复技术研究该文主要研究的是系统破坏和文件被删除条件下数据获取技术。在该应用领域,利用数据修复技术可完成两方面内容的修复:一类

3、是引导扇区数据内容的修复,另一类是数据区数据内容的修复。2.1引导扇区数据内容的修复前一类内容的修复又可以细分为主引导扇区(MBR)内容的修复和分区引导扇区(DBR)内容的修复。无论是MBR、DBR修复工作都不是直接对要找的真正数据区数据的修复,所以我们把它称作间接修复技术,当机器死机,找不到硬盘时,这种间接修复技术是很有效的一种方法。2.1.1引导区MBR数据修复当MBR区数据破坏后,计算机出现不能启动现象,只有重写MBR区数据,才可以达到对MBR区修复目的。第一步需要解决的问题就是如何确定M

4、BR区的数据值,第二步考虑的问题是数据值与磁盘物理位置对应问题。第三步通过编程式实现数据修复[2]。MBR主要数据集中在1BE~1DD地址字段内。其中偏移地址为1BEH~1FD的64个字节单元内容为分区表所在区域,而1BE~1DD地址字段恰为分区表项前2项共计32个字节的内容。实验部分数据见图1引导扇区数据界面图。5通过获取的MBR与DBR数据,并经过分析与验证得到如下参数对应关系,MBR偏移地址内容如表1MBR偏移地址内容表所示。2.1.2分区引导区DBR数据修复1)可变数据修复DBR的非固定

5、数据获取规则:BPB偏移地址为18、1A、1C、20、24处内容分别为[18]=MBR[1C4]&0X3F终止扇区号;[1A]=MBR[1C3]+1终止头号;[1C]双字=MBR[1C6];[20]双字=MBR[1CA];[24]=FAT32大小(扇区数)。设FAT32表的大小为F32,把每簇扇区数设为CLU。因为,盘占总扇区数=非数据区+数据区=BPB[0X0E]+F32*BPB[0X10]+数据区,数据区=F32*0X80*CLU。所以,盘占总扇区数=BPB[0X0E]+F32*BPB[0X

6、10]+F32*0X80*CLU;F32=(盘占总扇区数-BPB[0X0E])/(BPB[0X10]+0X80*CLU)2)分区引导区DBR其它数据获取规则对bt[0x200]中的BPB表偏移量为0B~24中中的各项数据获取,如图2bt[0x200]中的BPB表偏移量数据值获取图所示。2.2数据区数据内容的修复数据区数据内容的修复技术常用于已删除长文件的恢复。1)已删除长文件的特点5改变了目录项文件名属性字节的内容,增加了删除标志E5内容写入目录项的首字节,而目录项其它字节内容及真正数据文件并没

7、有变化。2)文件恢复原理根据被删除文件的特点,我们知道文件目录项中除首字节被E5改写以外,原有的其它字节数据并没有改变,且目录项结构中20-21-26-27偏移地址内容可以确定文件起簇始号,目录项的28~31偏移地址内容为的文件长度属性内容。可以唯一确定文件的起始地址及文件长度数据,所以我们可以根据文件的起始地址(运用簇号与扇区号之间的换算公式),找到丢失数据将其拷贝到新建的文件中实现数据恢复。3)文件恢复方法与步骤①查文件分区引导扇区数据通过DEBUG读取分区引导扇区数据,确定逻辑扇区号与簇号

8、对应的关系:②查文件目录项数据因被删除文件的首簇号为2,代入上述公式中,可确定预找文件的目录项所在逻辑地址。③确定文件实体参数文件实体的初始位置:起始逻辑扇区号=(11C5FH-2)*8+20H+2*1130H=90568H;文件实体长度扇区数:长度扇区数=文件实体长度/200H=16BAA0H/200H=B5EH,有余则加1;5确认文件单位步长:读取的单位步长为7EH个扇区,单位步长的个数=B5EH/7EH=17H;计算单位步长的余数:单位步长的余数=B5EH%7EH=0CH,16BAA0H-

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。