《电子数据恢复软件的比较研究》由会员分享,可在线阅读,更多相关《电子数据恢复软件的比较研究(21页珍藏版)》请在金锄头文库上搜索。
1、 中国刑事警察学院本科毕业论文目 录1 数据存储原理21.1 FAT32文件系统21.2 NTFS文件系统32 实验基本情况52.1 实验环境52.2 实验对象52.3 用于实验的4种数据恢复软件简介52.4 实验样本73 数据恢复实验及原理分析83.1 对于被删除的数据的恢复83.2 对于被格式化的数据的恢复113.3 对于NTFS格式的磁盘下被删除的数据的恢复154 对四种数据恢复软件的比较184.1 四种软件对磁盘扫描位置的区别184.2 扫描内容的区别18I引 言随着科学技术和经济的高速发展,计算机已经进入人类生活的每个方面,其中也包括犯罪活动。如在毒品交易中,一些高级的毒贩需要像其他
2、商人一样在计算机上保留售货纪录;在大型走私活动中,走私企业也会在计算机中留下走私的证据;恐怖分子也利用计算机传递消息或进行恐怖性的袭击,基地组织就曾经通过数字水印技术交换数据或下达指令。计算机犯罪行为(如电子商务纠纷,计算机犯罪等)不断出现,一种新的证据形式存在于计算机及相关外围设备(包括网络介质)中的电子证据,逐渐成为新的诉讼证据之一。在计算机犯罪中,犯罪分子总会故意删除硬盘上的文件,以达到毁灭证据的目的。作为公安机关侦查部门,非常需要几款操作方便简单,性能良好的数据恢复软件恢复这些犯罪证据,为侦查提供方向,为诉讼提供证据。然而实际上笔者经常看到的情况是,大部分侦查员在数据丢失时想到了数据恢
3、复软件,但只是慌乱地找一款软件来“试试”,自然恢复效果一般不会理想。事实上各款数据恢复软件在不同情况是有较大区别的,何时使用何种软件仍有一定讲究。本文对常见的四款数据恢复软件进行了对比评测,希望能提供各种情况下数据恢复的清晰结果,当“数据毁灭”问题发生时,侦查人员可以按图索骥,对照相应的结果找到适合当前情况的软件。目前用于数据恢复的工具软件(以下简称:数据恢复工具或工具)有FinalData、EasyRecovery、EnCase、WinHex等,每个工具都有其优点和缺点,恢复效果也会有一定的差别。如何提高数据恢复的成功率,选择合理的工具,是电子物证检验中面临的一个问题。本文选取了公安部物证鉴
4、定中心案件检验中常用的4种数据恢复工具(FinalData、EasyRecovery、EnCase、WinHex)进行数据恢复实验,从各个工具的功能、可操作性、数据恢复效力等方面进行比较,并给出在实际案件检验鉴定中的建议。 1 数据存储原理一般情况下,用户访问文件是通过文件系统来实现的,在用户磁盘中存放着数据,这些数据被随机或者通过某种算法存储在用户的存储设备中,并通过文件系统将这些数据组织起来,以文件的形式提供给用户。目前存储设备中最常用的文件系统有两种,即FAT32文件系统和NTFS文件系统,接下来简要介绍一下这两种文件系统在存储文件时的基本原理。1.1 FAT32文件系统FAT王继奎,成
5、就存储专家之路存储从入门到精通M.清华大学出版社,2009:56-63.文件系统的历史比较长,按其FAT表项位数的不同,可分为FAT12文件系统、FAT16文件系统、FAT32文件系统,FAT12文件系统一般多用于软盘,FAT16文件系统多用于较小的磁盘分区中,FAT32目前是一个使用较为广泛的文件系统。当一个磁盘分区被格式化为FAT32文件系统时,这个分区会被分为若干个部分,其中包括引导扇区,保留扇区,FAT1,FAT2,根目录区,数据区,引导扇区分为主引导扇区MBS(masterboot sector)马林,数据重现文件系统原理精解与数据恢复最佳实践M.清华大学出版社,2009:140-1
6、48.和分区引导扇区DBS,其主要作用就是以确定各个逻辑驱动器及其起始参数。FAT1与FAT2是完全相同的两个区域,其中主要存储的是分区的分配状态,通过FAT表可以确定分区中那些位置存储了数据,根目录区当中存储的是分区中文件的目录项,这个目录中包含了文件的一些重要属性,比如文件名(FAT32还有长文件名)、扩展名、文件大小,文件在磁盘上的起始簇号、文件的一些时间属性(比如在FATl6文件系统上的文件建立时间和日期,在FAT32文件系统上则有创建时间、修改时间、访问时间等时间属性)、文件属性等。在、Windows系统中右击文件图标,选择“属性命令可以看到这些属性。当对存储在FAT32文件系统的分
7、区当中的文件进行删除操作时,系统并不是完全的将这个文件删除,首先系统将文件对应的FAT表进行清空,表示原来存储该文件的扇区现在变为空状态,然后对文件的目录项的首字节进行改动,由原来用于存储文件名的首字节变为E5H,这样做的目的就是标志该文件已经被删除,对于文件在数据区中的内容则没有改动,就是这种文件存储模式让数据恢复成为可能。在对分区进行格式化操作时,系统则对分区中的FAT表和根目录区进行全部清空,这样就标志着整个分区中现在没有任何数据,图1.1,1.2为磁盘在格式化前后的文件系统和目录项的对比:图1.1 格式化前后文件系统对比图1.2 格式化前后文件目录项对比但是格式化对于数据区并没有进行改
8、动,数据区中的数据依旧存在,这种存储模式使被格式化的磁盘中的文件进行恢复成为可能,数据恢复软件如果想要对被格式化的分区中的数据进行恢复就必须要扫描数据区,找到文件头从而确定文件的属性,对文件进行恢复。1.2 NTFS文件系统NTFS是随着Windows NT操作系统而产生的,并随着Windows NT4跨入主力分区格式的行列,它的优点是安全性和稳定性极其出色,在使用中不易产生文件碎片,NTFS分区对用户权限做出了非常严格的限制,每个用户都只能按着系统赋予的权限进行操作,任何试图越权的操作都将被系统禁止,同时它还提供了容错结构日志,可以将用户的操作全部记录下来,从而保护了系统的安全。但是,NTF
9、S分区格式的兼容性不好,特别是对使用很广泛的Windows 98 SE厂WindowsME系统,它们还需借助第三方软件才能对NTFS分区进行操作,Windows 2000,Windows XP基于NT技术,提供完善的NTFS分区格式的支持尤晋元,史美林,Windows操作系统原理.J.数字电子.2010,(23):24-25.。在NTFS文件系统中,文件的信息主要存储在主控文件表MFT旋转数据,存储的奥秘-数据存储、备份与恢复完全解析.M.中国铁道出版社2010:238-256.中,MFT是NTFS卷结构的核心,系统通过MFT来确定文件在磁盘上的位置以及文件的所有属性,其实在NTFS系统中所有
10、与文件相关的数据均被认为是属性,包括文件的内容。MFT是一个与文件相对应的文件属性数据库,它记录了除文件数据外的所有属性,甚至有的小文件的数据本身也包含在MFT当中。MFT由许多文件记录(File Record)组成,在NTFS卷中每个文件至少有一个MFT,有些文件的文件属性如果在一个MFT中不能完全容纳则可能有多个MFT。可以看出MFT是NTFS中最为重要的系统文件,它包含了NTFS 分区中所有文件的信息。MFT表分为几个部分,第一部分是MFT表头,第二部分是属性部分,第三部分是结束标志,MFT头的长度和偏移处的数据含义是不变的,而属性列表是可变的,其不同的属性有着不同的含义,这里主要介绍M
11、FT表头部分,因为文件删除操作主要是对这个部分进行改动。在MFT表头部分中,16H17H两个字节存储的是文件的被使用信息,如果这两个字节是01H00H,说明这是一个文件且正在被使用,如果是00H00H,说明这是一个文件且已经被删除,如果是03H00H,说明这是一个目录且正在被使用,如果是02H00H说明这是一个目录且已经被删除,所以对文件进行删除操作主要是对这两个字节的改动。而对于NTFS格式的分区进行格式化操作时,系统就会将所有文件的MFT表进行清空,而对于文件本身则没有改动,所以在恢复被格式化的NTFS磁盘中的文件时原理与恢复FAT32格式的磁盘是相同的。2 实验基本情况2.1 实验环境计
12、算机软硬件配置的高低,直接影响着实验的效率,使用当前主流的计算机环境作为实验平台。硬件环境:LENOVO 笔记本电脑;CPU:Inter(R)Core(TM)i5-2410M CPU 2.30GHz 2.30GHz;内存:4GB;硬盘:300GB软件环境:操作系统:Microsoft Windows 7家庭普通版2.2 实验对象选用4种数据恢复工具进行实验,各工具基本情况见表2.1:EnCaseFinalDataEasyRecoveryWinHex软件版本EnCase4.20FinalData 企业版 V 3.0.8.1201EasyRecovery(TM) Professional 6.10
13、WinHex14.2 SR-3授权方式商业软件商业软件商业软件商业软件软件大小4.41MB3.86MB36.2MB2.56MB软件语言简体中文简体中文简体中文简体中文运行环境Microsoft Windows 7家庭普通版Microsoft Windows 7家庭普通版Microsoft Windows 7家庭普通版Microsoft Windows 7家庭普通版表2.1 软件基本信息2.3 用于实验的4种数据恢复软件简介(1)EnCase EnCase是目前使用最为广泛的计算机取证工具,至少超过2000家的法律执行部门在使用它。它提供良好的基于Windows的界面,左边是case文件的目录结
14、构,右边是用户访问目录的证据文件的列表。EnCase是用C+编写的容量大约为1M的程序,它能调查Windows,Macintosh,Linux,Unix或DOS机器的硬盘,把硬盘中的文件镜像成只读的证据文件,这样可以防止调查人员修改数据而使其成为无效的证据。为了确定镜像数据与原始数据相同,EnCase会计算机CRC校验码和 MD5哈希值进行比较。 EnCase对硬盘驱动镜像后重新组织文件结构,采用Windows GUI显示文件的内容,允许调查员使用多个工具完成多个任务。在检查一个硬盘驱动时,EnCase深入操作系统底层查看所有的数据包括file slack,未分配的空间和Windows交换分区
15、(存有被删除的文件和其它潜在的证据)的数据。在显示文件方面,EnCase可以由多种标准如时间戳或文件扩展名来排序。此外,EnCase可以比较已知扩展名的文件签名,使得调查人员能确定用户是否通过改变文件扩展名来隐藏证据。对调查结果可以采用 html或文本方式显示,并可打印出来。(2)EasyRecoveryEasyRecovery 是数据恢复公司 Ontrack 的产品,它是一个硬盘数据恢复工具,能够帮你恢复丢失的数据以及重建文件系统。EasyRecovery 不会向你的原始驱动器写入任何东西,它主要是在内存中重建文件分区表使数据能够安全地传输到其他驱动器中。你可以从被病毒破坏或是已经格式化的硬盘中恢复数据。该软件可以恢复大于 8.4GB 的硬盘。支持长文件名。 被破坏的硬盘中像丢失的引导记录、BIOS 参数数据块,分区表,FAT 表,引导区都可以由它来进行恢复。(3)FinalDataFinalData具有强大的数据恢复功能当文件被误删除(并从回收站中清除)、FAT表或者磁盘根区被病毒侵蚀造成文件信息全部丢失、物理故障造成FAT表或者磁盘根区不可读,以及磁盘格式化造成的
