王林

關(guān)鍵詞：數(shù)據(jù)恢復(fù)技術(shù)；計算機取證；AMCF算法；上網(wǎng)記錄恢復(fù)

中圖分類號：TP393 文獻標識碼：A

文章編號：1009-3044（2023）12-0080-03

獲取信息、保存證據(jù)，是計算機取證的兩個關(guān)鍵步驟。如果電子數(shù)據(jù)在存儲、轉(zhuǎn)移或分析過程中被刪除、被破壞，必須使用數(shù)據(jù)恢復(fù)技術(shù)重新獲得電子數(shù)據(jù)。目前常用的數(shù)據(jù)恢復(fù)技術(shù)是基于文件系統(tǒng)實現(xiàn)的，恢復(fù)被刪除的文件后將其存儲到計算機硬盤中，然后分析文件，從中提取出有價值的數(shù)據(jù)。該方法在應(yīng)用中存在一定的局限性，例如文件恢復(fù)的工作量大、耗時長，恢復(fù)后文件數(shù)據(jù)存在亂碼等。近幾年出現(xiàn)的基于內(nèi)容特征的數(shù)據(jù)恢復(fù)技術(shù)，可對上網(wǎng)痕跡、圖片縮略圖緩存等進行深度恢復(fù)，在計算機取證領(lǐng)域也得到了廣泛運用。

1 計算機取證中的數(shù)據(jù)恢復(fù)技術(shù)

1.1 基于文件系統(tǒng)的數(shù)據(jù)恢復(fù)技術(shù)

Windows文件系統(tǒng)有兩種，分別是FAT32文件系統(tǒng)、NTFS文件系統(tǒng)。兩種系統(tǒng)的文件刪除原理是一致的：用戶執(zhí)行刪除文件的操作后，系統(tǒng)并不會把文件中包含的所有數(shù)據(jù)從磁盤上直接抹去，而是選擇在具有文件控制功能的數(shù)據(jù)結(jié)構(gòu)上做標記，表明此文件占有的存儲空間已經(jīng)被釋放，可存入新的數(shù)據(jù)[1]。這樣一來，文件系統(tǒng)就省略了數(shù)據(jù)擦除的步驟，尤其是在刪除大文件時能夠顯著加快刪除速度，優(yōu)化用戶體驗?；谖募到y(tǒng)的這種數(shù)據(jù)刪除方式，只要被刪除的數(shù)據(jù)沒有發(fā)生二次覆蓋，均可以保證數(shù)據(jù)本身的完整性，這就為數(shù)據(jù)恢復(fù)創(chuàng)造了便利。在具體的數(shù)據(jù)恢復(fù)流程上，兩種文件系統(tǒng)基本一致，這里以FAT32文件系統(tǒng)為例，其恢復(fù)步驟如下：

1） 按照FAT32文件目錄項的分布規(guī)則，瀏覽所有的文件目錄項。

2） 將文件目錄項中首字節(jié)不是“E5H（未被刪除的文件目錄項）”的過濾掉，剩余的即為被刪除、需要恢復(fù)的文件目錄項。

3） 按照FAT32文件系統(tǒng)的文件讀取規(guī)則，讀取保留下的文件目錄項，獲取文件內(nèi)容，并選擇一個另一個磁盤保存，完成數(shù)據(jù)恢復(fù)。

1.2 基于內(nèi)容特征的數(shù)據(jù)恢復(fù)技術(shù)

Windows 系統(tǒng)中Office Word 等文件采用的是結(jié)構(gòu)化存儲，其特點是在現(xiàn)有文件系統(tǒng)的內(nèi)部新建一個用于存儲內(nèi)部數(shù)據(jù)的子系統(tǒng)，這種存儲模式的優(yōu)點在于：其一，顯著提高了磁盤空間的使用效率，降低了存儲成本；其二，在軟件分發(fā)過程中，方便將海量的數(shù)據(jù)文件進行快速歸類并分別存儲到對應(yīng)的文件中?；诮Y(jié)構(gòu)化存儲的特點，可以選擇基于內(nèi)容特征的數(shù)據(jù)恢復(fù)技術(shù)（AMCF） ，其恢復(fù)步驟為：

1） 分析需要恢復(fù)數(shù)據(jù)的文件格式，判斷該文件的結(jié)構(gòu)體形式。如果文件較小，則屬于“數(shù)據(jù)庫”形式；如果文件較大，則屬于“數(shù)據(jù)系統(tǒng)”形式；

2） 從文件內(nèi)容中提取關(guān)鍵特征信息，如數(shù)據(jù)頭（Data Header） 、數(shù)據(jù)塊（Data Block） 、數(shù)據(jù)位（DataFooter） 。尋找這些特征信息之間存在的特定聯(lián)系，如“通過數(shù)據(jù)頭引出數(shù)據(jù)塊”等；

3） 以提取到的特征信息作為參照，對待恢復(fù)文件所在的磁盤進行二進制數(shù)據(jù)匹配搜索，完成遍歷后可以收集到所有滿足特征信息的數(shù)據(jù)；

4） 另選一個磁盤，存儲收集到的數(shù)據(jù)，完成數(shù)據(jù)恢復(fù)[2]。

2 數(shù)據(jù)恢復(fù)技術(shù)在計算機取證中的應(yīng)用

2.1 上網(wǎng)記錄恢復(fù)

Windows操作系統(tǒng)中的網(wǎng)絡(luò)瀏覽記錄或本地瀏覽記錄都會存儲在index.dat文件中。作為一種隱藏式文件，用戶刪除歷史瀏覽記錄或本地瀏覽記錄后，并不會對index.dat文件造成影響，這就為數(shù)據(jù)恢復(fù)與計算機取證提供了便利。以Windows10操作系統(tǒng)為例，該隱藏文件的保存路徑為：＼Documents and Settings＼＼Cookies＼index.dat。按照上述路徑進行in?dex.dat文件的定位后，解析文件即可提取到網(wǎng)絡(luò)痕跡[3]。如果因為系統(tǒng)格式化等原因?qū)е耰ndex.dat文件也被刪除，那么只能借助于數(shù)據(jù)恢復(fù)技術(shù)找回index.dat文件。上文介紹的基于文件系統(tǒng)的數(shù)據(jù)恢復(fù)，在遇到文件系統(tǒng)被破壞或者文件內(nèi)數(shù)據(jù)被覆蓋的情況，將會導(dǎo)致恢復(fù)后的數(shù)據(jù)不準確、不完整。為了實現(xiàn)對上網(wǎng)痕跡的深度恢復(fù)，提高電子證據(jù)的可用性，需要使用到AMCF技術(shù)，數(shù)據(jù)的深度恢復(fù)流程如圖1所示。

2.2 縮略圖緩存信息恢復(fù)

縮略圖緩存文件可以看作是保存圖像文件關(guān)鍵數(shù)據(jù)的小型“數(shù)據(jù)庫”，使用縮略圖文件恢復(fù)數(shù)據(jù)，也是計算機取證的一種常用方式。通常情況下，縮略圖緩存文件位于圖片文件的目錄下，存儲位置相對固定。從存儲的信息內(nèi)容上來看，除了保存當前路徑下全部圖片的縮略圖外，還有圖片的文件名、最后修改時間等?？s略圖緩存文件與圖片文件相互獨立，即便是圖片被刪除并且清空回收站，縮略圖緩存文件仍然存在，這就為數(shù)據(jù)恢復(fù)和證據(jù)提取提供了有利條件。最早在Windows XP系統(tǒng)中，微軟公司為提升圖片加載速度，設(shè)置了專門存儲縮略圖的緩存文件，文件格式為thumbs.db。用戶每次點擊查看一幅圖片，都會生成對應(yīng)的縮略圖并存放在thumbs.db文件中。可以說，thumbs.db文件本身就是一個小型的數(shù)據(jù)庫，并且支持緩存多種常規(guī)格式的圖像文件，如jpeg、bmp、gif 等。但是這些原始圖像的縮略圖統(tǒng)一為jpeg格式[4]。

以Windows操作系統(tǒng)為例，縮略圖文件的文件保存路徑為：＼User＼<用戶名>＼App Data＼Local＼Microsoft＼win?dows＼Explorer＼Thumbs.db。根據(jù)該路徑定位到縮略圖文件后，進行結(jié)構(gòu)解析即可提取出當前文件中所有圖片的縮略圖。如果thumbs.db文件被清除，或者磁盤被格式化，就需要使用到數(shù)據(jù)恢復(fù)技術(shù)找回縮略圖緩存文件。傳統(tǒng)的基于文件系統(tǒng)的數(shù)據(jù)恢復(fù)，無法解決因為數(shù)據(jù)覆蓋導(dǎo)致的文件恢復(fù)不徹底等問題，這就需要使用AMCF技術(shù)，恢復(fù)流程如圖2所示。

3 數(shù)據(jù)恢復(fù)技術(shù)在計算機取證中的實現(xiàn)

3.1 上網(wǎng)痕跡信息恢復(fù)取證

基于AMCF技術(shù)的上網(wǎng)痕跡深度恢復(fù)實驗環(huán)境如下：

1） 操作系統(tǒng)，Windows 10，32-bit；

2） CPU，Intel? Core? 2 Duo CPU 6300@1.86GHz；

3） 內(nèi)存，3072MB DDR2；

4） 分區(qū)，盤符C：＼ 總存儲空間60G，剩余11G。

將進行上網(wǎng)痕跡信息恢復(fù)取證實驗的計算機重裝系統(tǒng)，C盤的總存儲空間為60G。本次實驗以C盤為對象，分別啟動“敏感信息檢查工具”和“AMCF保密檢查工具”，對C盤中的所有上網(wǎng)記錄進行深度掃描。根據(jù)顯示的掃描結(jié)果，敏感信息檢查工具的掃描結(jié)果為：C盤上網(wǎng)記錄數(shù)為1773條，其中有3條上網(wǎng)記錄的URL網(wǎng)址為無含義的字符串，有效率為99.83%，掃描用時13′46″；AMCF保密檢查工具的掃描結(jié)果為：C盤上網(wǎng)記錄數(shù)1991條，其中有18條上網(wǎng)記錄的URL網(wǎng)址為無含義的字符串，另外4條上網(wǎng)記錄的URL網(wǎng)址為全亂碼串，掃描用時7′35″。兩種工具的掃描結(jié)果對比見表1。在詳情欄中可以顯示每一條上網(wǎng)記錄的網(wǎng)頁地址和上網(wǎng)時間。

對比可以發(fā)現(xiàn)，使用AMCF技術(shù)進行上網(wǎng)痕跡信息恢復(fù)取證，可以從磁盤檢測出更多數(shù)量的上網(wǎng)記錄，并且掃描用時大幅度縮短。

3.2 文件信息恢復(fù)取證

基于AMCF技術(shù)的文件信息深度恢復(fù)實驗環(huán)境如下：

1） 操作系統(tǒng)，Windows 10，64-bit；

2） CPU，Intel? Core ? 2 Duo CPU T9550@2.67GHz；

3） 內(nèi)存，4096MB DDR3；

4） 分區(qū)，盤符D：＼ 總存儲空間200G，剩余140G。

在“＼計算機＼D：＼App Data”下新建一個文檔“實驗.docx”，打開后任意輸入一段文字，保存后關(guān)閉文檔。選擇快捷鍵組合“Shift+Delete”將“實驗.docx”文檔永久刪除[5]。調(diào)用數(shù)據(jù)恢復(fù)系統(tǒng)中文件恢復(fù)庫的GUI界面，對D盤進行掃描。掃描結(jié)果在文件恢復(fù)GUI界面展示，此時檢測結(jié)果顯示“實驗.docx”已經(jīng)被刪除。使用AMCF深度恢復(fù)技術(shù)恢復(fù)該文件，并將恢復(fù)后的文件保存至E盤，在E盤雙擊打開該文件，可以觀察到恢復(fù)后文件內(nèi)容與原文件內(nèi)容完全一致，說明被刪除的“實驗.docx”文檔已經(jīng)完好無損地恢復(fù)。

4 結(jié)束語

在計算機取證時，對于已經(jīng)被刪除的敏感信息或重要文件，需要借助于數(shù)據(jù)恢復(fù)技術(shù)重新獲取原始文件，才能在打擊違法犯罪時作為有效的電子證據(jù)?；谖募到y(tǒng)的數(shù)據(jù)恢復(fù)和基于內(nèi)容特征的數(shù)據(jù)恢復(fù)均可完成上網(wǎng)痕跡信息恢復(fù)、縮略圖緩存信息恢復(fù)，但是前者在發(fā)生數(shù)據(jù)覆蓋或系統(tǒng)文件遭到破壞時，會導(dǎo)致恢復(fù)的數(shù)據(jù)信息不準確、不完整。而基于內(nèi)容特征的數(shù)據(jù)恢復(fù)技術(shù)則能夠根據(jù)文件的結(jié)構(gòu)體形式，從文件內(nèi)容中提取關(guān)鍵特征信息，通過遍歷檢索的方式確定所有滿足特征的信息并將其恢復(fù)至另一個磁盤中。從實驗結(jié)果來看，該恢復(fù)技術(shù)能夠完好無損地恢復(fù)數(shù)據(jù)，并且耗時更短，為計算機取證提供了技術(shù)支持。