计算机数据取证修复技术

本文是一篇计算机取证论文范文,计算机取证类毕业论文格式,关于计算机数据取证修复技术相关硕士学位毕业论文范文。适合计算机取证及数据及计算机方面的的大学硕士和本科毕业论文以及计算机取证相关开题报告范文和职称论文写作参考文献资料下载。

摘 要：该文主要研究在计算机取证技术中,如何获取被恶意删除的数据的方法与途径.以磁盘定位原理为基础,通过实验,推导出引导扇区与数据区两大类数据信息的获取规则与具体操作步骤.实现了对丢失数据的重新获得.

关 键 词：计算机取证；数据修复；扇区

中图分类号：TP311文献标识码：A文章编号：1009-3044（2013）15-3451-02

计算机取证是一专业性与技术性很强发展极其迅速的应用学科.现阶段,计算机取证工具发展也随着客观事实的要求朝着更细化学科方向发展.我国已经开始投入巨大的人力,物力从事专业工具的研发,相信在大家的努力下,会缔造一个更加安全、纯净的信息空间[1].

1计算机数据取证修复技术的应用范围

1）可以保护计算机系统,避免发生任的改变、伤害、数据破坏或病毒感染.

2）可修复系统中已经被删除但仍存在于磁盘上文件,或尽可能恢复已删除文件.

3）最大程度地显示隐藏文件,临时文件和交换文件的内容.

4）可访问被保护或加密文件的内容.

2取证中数据修复技术研究

该文主要研究的是系统破坏和文件被删除条件下数据获取技术.在该应用领域,利用数据修复技术可完成两方面内容的修复：一类是引导扇区数据内容的修复,另一类是数据区数据内容的修复.

2.1引导扇区数据内容的修复

前一类内容的修复又可以细分为主引导扇区（MBR）内容的修复和分区引导扇区（DBR）内容的修复.无论是MBR、DBR修复工作都不是直接对要找的真正数据区数据的修复,所以我们把它称作间接修复技术,当机器死机,找不到硬盘时,这种间接修复技术是很有效的一种方法.

2.1.1引导区MBR数据修复

当MBR区数据破坏后,计算机出现不能启动现象,只有重写MBR区数据,才可以达到对MBR区修复目的.第一步需要解决的问题就是如何确定MBR区的数据值,第二步考虑的问题是数据值与磁盘物理位置对应问题.第三步通过编程式实现数据修复[2].

MBR主要数据集中在1BE～1DD地址字段内.其中偏移地址为1BEH～1FD的64个字节单元内容为分区表所在区域,而1BE～1DD地址字段恰为分区表项前2项共计32个字节的内容.实验部分数据见图1引导扇区数据界面图.

通过获取的MBR与DBR数据,并经过分析与验证得到如下参数对应关系,MBR偏移地址内容如表1MBR偏移地址内容表所示.

2.1.2分区引导区DBR数据修复

1）可变数据修复

DBR的非固定数据获取规则：BPB偏移地址为18、1A、1C、20、24处内容分别为[18]等于MBR[1]&0X3F终止扇区号；[1A]等于MBR[1C3]+1终止头号；[1C]双字等于MBR[1C6]；[20]双字等于MBR[1CA]；[24]等于FAT32大小（扇区数）.

设FAT32表的大小为F32,把每簇扇区数设为CLU.因为,盘占总扇区数等于非数据区+数据区等于BPB[0X0E]+F32*BPB[0X10]+数据区,数据区等于F32*0X80*CLU.所以,盘占总扇区数等于BPB[0X0E]+F32*BPB[0X10]+F32*0X80*CLU；F32等于（盘占总扇区数-BPB[0X0E]）/（BPB[0X10]+0X80*CLU）

2）分区引导区DBR其它数据获取规则

对bt[0x200]中的BPB表偏移量为0B～24中中的各项数据获取,如图2bt[0x200]中的BPB表偏移量数据值获取图所示.

2.2数据区数据内容的修复

数据区数据内容的修复技术常用于已删除长文件的恢复.

1）已删除长文件的特点

改变了目录项文件名属性字节的内容,增加了删除标志E5内容写入目录项的首字节,而目录项其它字节内容及真正数据文件并没有变化.

2）文件恢复原理

根据被删除文件的特点,我们知道文件目录项中除首字节被E5改写以外,原有的其它字节数据并没有改变,且目录项结构中20-21-26-27偏移地址内容可以确定文件起簇始号,目录项的28～31偏移地址内容为的文件长度属性内容.可以唯一确定文件的起始地址及文件长度数据,所以我们可以根据文件的起始地址（运用簇号与扇区号之间的换算公式）,找到丢失数据将其拷贝到新建的文件中实现数据恢复.

3）文件恢复方法与步骤

①查文件分区引导扇区数据通过DEBUG读取分区引导扇区数据,确定逻辑扇区号与簇号对应的关系：

②查文件目录项数据因被删除文件的首簇号为2,代入上述公式中,可确定预找文件的目录项所在逻辑地址.

③确定文件实体参数

文件实体的初始位置：起始逻辑扇区号等于（11C5FH-2）*8+20H+2*1130H等于90568H；

文件实体长度扇区数：长度扇区数等于文件实体长度/200H等于16BAA0H/200H等于B5EH,有余则加1；

确认文件单位步长：读取的单位步长为7EH个扇区,单位步长的个数等于B5EH/7EH等于17H；

计算单位步长的余数：单位步长的余数等于B5EH%7EH等于0CH,16BAA0H-17H*7EH*200H等于16BAA0H-16A400H等于16A0H；

对文件进行读写操作：根据起始逻辑扇区号与长度数据,利用汇编语言的读写功能对硬盘中文件实体数据进行读写操,并将所读数据以新建好的空文件进行保存来获取文件实体数据.

3结论

本文通过对磁盘数据信息的解读、分析归纳、推导等方式,得出了引导区与数据区信息重新获取的方法.很好的解决了重新获取被恶意破坏的文件信息.文章介绍的修复内容全面,涵盖应用范围广,对计算机取证技术是一种有益的补充与拓展.