摘要：該文主要研究在計算機取證技術中，如何獲取被惡意刪除的數(shù)據(jù)的方法與途徑。以磁盤定位原理為基礎，通過實驗，推導出引導扇區(qū)與數(shù)據(jù)區(qū)兩大類數(shù)據(jù)信息的獲取規(guī)則與具體操作步驟。實現(xiàn)了對丟失數(shù)據(jù)的重新獲得。

關鍵詞：計算機取證；數(shù)據(jù)修復； 扇區(qū)

中圖分類號：TP311 文獻標識碼：A 文章編號：1009-3044（2013）15-3451-02

計算機取證是一專業(yè)性與技術性很強發(fā)展極其迅速的應用學科。現(xiàn)階段，計算機取證工具發(fā)展也隨著客觀事實的要求朝著更細化學科方向發(fā)展。我國已經(jīng)開始投入巨大的人力，物力從事專業(yè)工具的研發(fā)，相信在大家的努力下，會締造一個更加安全、純凈的信息空間[1]。

1 計算機數(shù)據(jù)取證修復技術的應用范圍

1）可以保護計算機系統(tǒng)，避免發(fā)生任的改變、傷害、數(shù)據(jù)破壞或病毒感染。

2）可修復系統(tǒng)中已經(jīng)被刪除但仍存在于磁盤上文件，或盡可能恢復已刪除文件。

3）最大程度地顯示隱藏文件，臨時文件和交換文件的內容。

4）可訪問被保護或加密文件的內容。

2 取證中數(shù)據(jù)修復技術研究

該文主要研究的是系統(tǒng)破壞和文件被刪除條件下數(shù)據(jù)獲取技術。在該應用領域，利用數(shù)據(jù)修復技術可完成兩方面內容的修復：一類是引導扇區(qū)數(shù)據(jù)內容的修復，另一類是數(shù)據(jù)區(qū)數(shù)據(jù)內容的修復。

2.1 引導扇區(qū)數(shù)據(jù)內容的修復

前一類內容的修復又可以細分為主引導扇區(qū)（MBR）內容的修復和分區(qū)引導扇區(qū)（DBR）內容的修復。無論是MBR、DBR修復工作都不是直接對要找的真正數(shù)據(jù)區(qū)數(shù)據(jù)的修復，所以我們把它稱作間接修復技術，當機器死機，找不到硬盤時，這種間接修復技術是很有效的一種方法。

2.1.1 引導區(qū)MBR數(shù)據(jù)修復

當MBR區(qū)數(shù)據(jù)破壞后，計算機出現(xiàn)不能啟動現(xiàn)象，只有重寫MBR區(qū)數(shù)據(jù)，才可以達到對MBR區(qū)修復目的。第一步需要解決的問題就是如何確定MBR區(qū)的數(shù)據(jù)值，第二步考慮的問題是數(shù)據(jù)值與磁盤物理位置對應問題。第三步通過編程式實現(xiàn)數(shù)據(jù)修復[2]。

MBR主要數(shù)據(jù)集中在1BE～1DD地址字段內。其中偏移地址為1BEH～1FD的64個字節(jié)單元內容為分區(qū)表所在區(qū)域，而1BE～1DD地址字段恰為分區(qū)表項前2項共計32個字節(jié)的內容。實驗部分數(shù)據(jù)見圖1引導扇區(qū)數(shù)據(jù)界面圖。

通過獲取的MBR與DBR數(shù)據(jù)，并經(jīng)過分析與驗證得到如下參數(shù)對應關系， MBR偏移地址內容如表1 MBR偏移地址內容表所示。

2.1.2 分區(qū)引導區(qū)DBR數(shù)據(jù)修復

1）可變數(shù)據(jù)修復

DBR的非固定數(shù)據(jù)獲取規(guī)則：BPB偏移地址為18、1A、1C、20、24處內容分別為[18]= MBR[1C4]& 0X3F終止扇區(qū)號；[1A]= MBR[1C3]+1終止頭號；[1C]雙字= MBR[1C6]；[20]雙字= MBR[1CA]；[24]=FAT32大?。ㄉ葏^(qū)數(shù)）。

設FAT32表的大小為F32，把每簇扇區(qū)數(shù)設為CLU。因為，盤占總扇區(qū)數(shù)=非數(shù)據(jù)區(qū)+數(shù)據(jù)區(qū)=BPB[0X0E]+F32*BPB[0X10]+數(shù)據(jù)區(qū)，數(shù)據(jù)區(qū)=F32*0X80*CLU。所以，盤占總扇區(qū)數(shù)=BPB[0X0E] +F32*BPB[0X10]+ F32*0X80*CLU；F32=（盤占總扇區(qū)數(shù)-BPB[0X0E]）/（ BPB[0X10]+ 0X80*CLU）

2）分區(qū)引導區(qū)DBR其它數(shù)據(jù)獲取規(guī)則

對bt[0x200]中的BPB表偏移量為0B～24中中的各項數(shù)據(jù)獲取，如圖2 bt[0x200]中的BPB表偏移量數(shù)據(jù)值獲取圖所示。

2.2 數(shù)據(jù)區(qū)數(shù)據(jù)內容的修復

數(shù)據(jù)區(qū)數(shù)據(jù)內容的修復技術常用于已刪除長文件的恢復。

1）已刪除長文件的特點

改變了目錄項文件名屬性字節(jié)的內容，增加了刪除標志E5內容寫入目錄項的首字節(jié)，而目錄項其它字節(jié)內容及真正數(shù)據(jù)文件并沒有變化。

2）文件恢復原理

根據(jù)被刪除文件的特點，我們知道文件目錄項中除首字節(jié)被E5改寫以外，原有的其它字節(jié)數(shù)據(jù)并沒有改變，且目錄項結構中20-21-26-27偏移地址內容可以確定文件起簇始號，目錄項的28～31偏移地址內容為的文件長度屬性內容?？梢晕ㄒ淮_定文件的起始地址及文件長度數(shù)據(jù)，所以我們可以根據(jù)文件的起始地址（運用簇號與扇區(qū)號之間的換算公式），找到丟失數(shù)據(jù)將其拷貝到新建的文件中實現(xiàn)數(shù)據(jù)恢復。

3）文件恢復方法與步驟

① 查文件分區(qū)引導扇區(qū)數(shù)據(jù) 通過DEBUG讀取分區(qū)引導扇區(qū)數(shù)據(jù)，確定邏輯扇區(qū)號與簇號對應的關系：

② 查文件目錄項數(shù)據(jù) 因被刪除文件的首簇號為2，代入上述公式中，可確定預找文件的目錄項所在邏輯地址。

③ 確定文件實體參數(shù)

文件實體的初始位置：起始邏輯扇區(qū)號=（11C5FH-2）*8+20H+2*1130H=90568H；

文件實體長度扇區(qū)數(shù)：長度扇區(qū)數(shù)=文件實體長度/200H=16BAA0H/200H=B5EH，有余則加1；

確認文件單位步長：讀取的單位步長為7EH個扇區(qū)，單位步長的個數(shù)=B5EH/7EH=17H；

計算單位步長的余數(shù)：單位步長的余數(shù)=B5EH%7EH=0CH， 16BAA0H-17H*7EH*200H=16BAA0H-16A400H=16A0H；

對文件進行讀寫操作：根據(jù)起始邏輯扇區(qū)號與長度數(shù)據(jù)，利用匯編語言的讀寫功能對硬盤中文件實體數(shù)據(jù)進行讀寫操，并將所讀數(shù)據(jù)以新建好的空文件進行保存來獲取文件實體數(shù)據(jù)。

3 結論

本文通過對磁盤數(shù)據(jù)信息的解讀、分析歸納、推導等方式，得出了引導區(qū)與數(shù)據(jù)區(qū)信息重新獲取的方法。很好的解決了重新獲取被惡意破壞的文件信息。文章介紹的修復內容全面，涵蓋應用范圍廣，對計算機取證技術是一種有益的補充與拓展。

參考文獻：

[1] 顧艷林.計算機取證技術的運用和分析[J].中國管理信息化，2012（2）：15.

[2] 魯恩銘，袁丁.Windows環(huán)境中硬盤分區(qū)鏈表結構分析與分區(qū)表的恢復[J].科協(xié)論壇（下月），2008（（3）：88-89.