徐仙偉，楊雁瑩，曹 霽

（南京森林警察學(xué)院信息技術(shù)系，江蘇 南京210023）

0 前言

隨著信息技術(shù)和信息產(chǎn)業(yè)的發(fā)展，計(jì)算機(jī)和網(wǎng)絡(luò)已經(jīng)滲透到我國(guó)政治、經(jīng)濟(jì)、軍事、科技、文化等各個(gè)領(lǐng)域。與此同時(shí)，計(jì)算機(jī)犯罪呈逐年遞增的趨勢(shì)，通常由于計(jì)算機(jī)犯罪具有犯罪主體專業(yè)化、犯罪行為智能化、犯罪客體復(fù)雜化、犯罪對(duì)象多樣化、危害后果隱蔽等特點(diǎn)，使得計(jì)算機(jī)犯罪明顯有別于傳統(tǒng)的刑事犯罪［1］。因此，構(gòu)建全面有效打擊各種計(jì)算機(jī)犯罪的數(shù)據(jù)恢復(fù)、計(jì)算機(jī)取證技術(shù)已成為當(dāng)前研究的熱點(diǎn)。

2012年3月，《刑事訴訟法（草案）》通過(guò)了第8次修訂，明確把電子證據(jù)列為第8類證據(jù)，諸如貪污、瀆職、賭球、軟件侵權(quán)、網(wǎng)絡(luò)盜號(hào)、短信詐騙、私服外掛、網(wǎng)絡(luò)電子傳銷等案件，都離不開(kāi)電子取證及鑒定。而針對(duì)惡意刪改數(shù)據(jù)、惡意損壞存儲(chǔ)載體致使數(shù)據(jù)丟失的取證技術(shù)——數(shù)據(jù)恢復(fù)取證，更是憑借其“補(bǔ)救性”“針對(duì)性”“權(quán)威性”等特點(diǎn)，成為檢察機(jī)關(guān)最重視的一種電子證據(jù)調(diào)查取證手段［2］。

數(shù)據(jù)恢復(fù)技術(shù)是信息安全技術(shù)和計(jì)算機(jī)存儲(chǔ)技術(shù)發(fā)展到一定階段的產(chǎn)物，是在數(shù)據(jù)發(fā)生丟失或破壞后各種恢復(fù)需求下誕生的，是一種跨硬件平臺(tái)和軟件系統(tǒng)的特殊計(jì)算機(jī)技術(shù)，整合了現(xiàn)有所有的計(jì)算機(jī)數(shù)據(jù)存儲(chǔ)技術(shù)［3］。其應(yīng)用目的不僅包括恢復(fù)出失去的重要數(shù)據(jù)，使當(dāng)事人的數(shù)字財(cái)富免受損失，更重要的是，能針對(duì)各種各類犯罪行為而展開(kāi)的司法意義上的數(shù)字化取證工作，為打擊通過(guò)銷毀電子證據(jù)手段逃避法律責(zé)任提供了有效方法。因此作為電子取證方向的研究人員，不僅要學(xué)會(huì)數(shù)據(jù)恢復(fù)技術(shù)的應(yīng)用方法，更應(yīng)該深入掌握各類數(shù)據(jù)恢復(fù)的基本原理、分析與研究數(shù)據(jù)丟失的原因、預(yù)防辦法、解決的思路以及實(shí)際恢復(fù)過(guò)程中存在的問(wèn)題和相應(yīng)的解決措施，最終實(shí)現(xiàn)對(duì)各類數(shù)據(jù)資源的恢復(fù)，同時(shí)盡可能地保證數(shù)據(jù)恢復(fù)效率的最大化。

目前數(shù)據(jù)恢復(fù)的解決方案主要分為軟件恢復(fù)、硬件恢復(fù)2種。其中硬件恢復(fù)包括硬件替換、元器件修復(fù)以及盤片數(shù)據(jù)讀取3種恢復(fù)方式［4］。軟件恢復(fù)分為系統(tǒng)級(jí)恢復(fù)與文件級(jí)恢復(fù)。系統(tǒng)級(jí)恢復(fù)：主要針對(duì)不同操作系統(tǒng)環(huán)境下出現(xiàn)的操作系統(tǒng)不能啟動(dòng)、分區(qū)找不到或打開(kāi)時(shí)提示未格式化等現(xiàn)象提出的恢復(fù)方法，這類問(wèn)題的解決主要依賴于各操作系統(tǒng)中使用的文件系統(tǒng)類型，需依據(jù)不同文件系統(tǒng)的組織結(jié)構(gòu)原理，常應(yīng)用存儲(chǔ)介質(zhì)底層編輯工具，如 Winhex 16位磁盤編輯器進(jìn)行系統(tǒng)級(jí)數(shù)據(jù)恢復(fù)，通過(guò)分析與修正系統(tǒng)中各類參數(shù)信息，確保系統(tǒng)的正常使用。文件級(jí)恢復(fù)：主要是針對(duì)存儲(chǔ)介質(zhì)上各分區(qū)或卷中的某個(gè)應(yīng)用文件或用戶創(chuàng)建的文件遭遇丟失的情況，如DOC文件丟失等。

本文主要從軟件恢復(fù)的角度出發(fā)，著重對(duì)硬盤中文件級(jí)數(shù)據(jù)恢復(fù)方法進(jìn)行分析對(duì)比，即以 Windows操作系統(tǒng)為平臺(tái)，對(duì)其環(huán)境下用戶數(shù)據(jù)進(jìn)行分析，分別采用基于文件系統(tǒng)和文件特征的數(shù)據(jù)恢復(fù)方法進(jìn)行研究，同時(shí)進(jìn)行理論與實(shí)驗(yàn)對(duì)比分析。

1 Windows操作系統(tǒng)中數(shù)據(jù)恢復(fù)算法分析

1.1 基于文件系統(tǒng)的數(shù)據(jù)恢復(fù)算法

對(duì)于Windows操作系統(tǒng)中常用的2種文件系統(tǒng)類型FAT32與NTFS，其數(shù)據(jù)恢復(fù)的原理分別是：1）FAT32文件系統(tǒng)：由于文件進(jìn)行刪除時(shí)，只是對(duì)其FDT表中作刪除標(biāo)記操作，同時(shí)清空該文件在FAT表中的內(nèi)容，因此當(dāng)該FDT表中被刪除文件項(xiàng)仍然存在（即未被覆蓋）時(shí)，根據(jù)FDT中記錄文件的各種信息，如文件名、文件大小、文件創(chuàng)建日期、文件存在的起始簇號(hào)等數(shù)據(jù)信息來(lái)重建FAT表，從而恢復(fù)丟失的文件內(nèi)容。2）NTFS文件系統(tǒng)：首先查找出MFT表中做刪除標(biāo)記的表項(xiàng)，依據(jù)MFT表中提供的文件數(shù)據(jù)流屬性列表信息，找出數(shù)據(jù)區(qū)中文件內(nèi)容所在簇空間（即運(yùn)行位置），從而實(shí)現(xiàn)恢復(fù)操作。文獻(xiàn)［5］中給出了基于NTFS文件系統(tǒng)的數(shù)據(jù)恢復(fù)流程，本文在此基礎(chǔ)上進(jìn)行了擴(kuò)展，給出了Windows系統(tǒng)下基于FAT32和NTFS兩種文件系統(tǒng)的數(shù)據(jù)恢復(fù)算法流程，如圖1所示。

圖1 基于文件系統(tǒng)的數(shù)據(jù)恢復(fù)流程圖

由流程圖可知，該數(shù)據(jù)恢復(fù)算法主要依賴于文件目錄項(xiàng)（FDT）和主文件表（MFT）中信息，即要求文件系統(tǒng)的信息完整，能夠從數(shù)據(jù)組織原理角度重構(gòu)文件結(jié)構(gòu)信息，實(shí)現(xiàn)恢復(fù)操作。由于實(shí)現(xiàn)簡(jiǎn)便，因此該方法是目前最主要的數(shù)據(jù)恢復(fù)方法之一，常用的數(shù)據(jù)恢復(fù)工具軟件如Findata、Easyrecovery、RStudio等都是基于文件系統(tǒng)的數(shù)據(jù)恢復(fù)方法［4］。

1.2 基于文件特征的數(shù)據(jù)恢復(fù)算法

在實(shí)際應(yīng)用過(guò)程中發(fā)現(xiàn)由于磁盤中各種類型的文件都有一定的數(shù)據(jù)特征，因此除了采用基于文件系統(tǒng)數(shù)據(jù)恢復(fù)方法外，還可根據(jù)不同文件類型的特征信息進(jìn)行分析，并最終提取出想要的文件內(nèi)容。該方法將主要從文件系統(tǒng)的數(shù)據(jù)區(qū)中直接掃描文件特征類型，進(jìn)而恢復(fù)所需的文件內(nèi)容［6］。幾種常見(jiàn)的文件類型及其存儲(chǔ)特點(diǎn)有：1）線性PDF文件的文件頭部特征為“25 50 44 46”，文件尾部特征為“25 25 45 4F 46”。2）Office文檔的文件頭部特征為“D0CF11E0A1B11AE1”，同時(shí) Word（＊.doc）文檔的文件目錄中包含特征信息 WordDocument、PowerPoint（＊.ppt）文檔的文件目錄中的特征信息為PowerPointer Document、Excel（＊.xls）文檔的文件目錄中特征信息為Workbook，但上述3種文檔沒(méi)有明顯的尾部特征信息。3）圖片格式文件，如JPEG、BMP和GIF文件。其中JPEG文件的文件頭部特征為“FFD8FF”、文件尾部的特征為“FFD9”。BMP文件的文件頭部特征為“424D”，文件尾部沒(méi)有明確的特征，但BMP文件的開(kāi)始扇區(qū)的第2到第6個(gè)字節(jié)表示了當(dāng)前文件的長(zhǎng)度。因此，可利用文件頭部特征結(jié)合文件長(zhǎng)度信息來(lái)確定BMP文件的尾部位置，進(jìn)而恢復(fù)出完整的BMP文件。GIF文件中文件頭部特征是“474946”，文件尾部特征為“003B”。由于篇幅所限，本文不再具體介紹，其他類型文件特征分析可參考文獻(xiàn)［7-8］。

由于上述3類文件類型是用戶數(shù)據(jù)中經(jīng)常出現(xiàn)的類型，即應(yīng)用最廣，出現(xiàn)頻率最高，為此本文將著重對(duì)以上3類文件的數(shù)據(jù)恢復(fù)方法進(jìn)行分析研究。即采用基于文件特征的數(shù)據(jù)恢復(fù)方法，利用其文件頭部特征，結(jié)合文件尾部信息或文件長(zhǎng)度信息等進(jìn)行判斷，找出其文件內(nèi)容在磁盤中的具體位置。

利用該方法進(jìn)行數(shù)據(jù)恢復(fù)操作時(shí)，主要是針對(duì)數(shù)據(jù)區(qū)中數(shù)據(jù)，因此在算法實(shí)現(xiàn)時(shí)，存在2種情況，一是依據(jù)文件系統(tǒng)提供信息，能夠確定數(shù)據(jù)單元即簇大小，此時(shí)可以簇為掃描單位。二是文件系統(tǒng)被破壞，無(wú)法獲取簇信息，只能以扇區(qū)為掃描單位，明顯前者速度上存在優(yōu)勢(shì)。為體現(xiàn)出程序通用性，本文采用該方法進(jìn)行數(shù)據(jù)恢復(fù)時(shí)，將以扇區(qū)為掃描單元，盡管有些文件沒(méi)有明確文件尾部信息，但是可通過(guò)發(fā)現(xiàn)新的文件類型頭標(biāo)志或文件大小超過(guò)文件系統(tǒng)最大值的方法確定其容量。具體流程參見(jiàn)圖2所示。

圖2 基于文件特征的數(shù)據(jù)恢復(fù)流程圖

2 分析

2.1 理論分析

2.1.1 基于文件系統(tǒng)的數(shù)據(jù)恢復(fù)方法

優(yōu)點(diǎn)：1）能夠找出文件名、文件大小、文件創(chuàng)建時(shí)間等相關(guān)屬性信息；2）恢復(fù)方法簡(jiǎn)單，算法實(shí)現(xiàn)容易，目前采用此方法的工具軟件較多，恢復(fù)時(shí)間相對(duì)較短。

缺點(diǎn)：1）該方法恢復(fù)的數(shù)據(jù)信息依賴于相應(yīng)文件系統(tǒng)，當(dāng)文件系統(tǒng)遭遇破壞時(shí)，特別是文件目錄信息或MFT表中相應(yīng)記錄項(xiàng)中信息被破壞或被覆蓋時(shí)，該文件系統(tǒng)下數(shù)據(jù)恢復(fù)的可能性較小。因此該方法適合于文件系統(tǒng)完好情況下出現(xiàn)的誤刪除、誤格式化后進(jìn)行的數(shù)據(jù)恢復(fù)，效果比較突出。2）由于刪除文件后，相應(yīng)的文件分配表FAT被清空，因此對(duì)非連續(xù)性數(shù)據(jù)的恢復(fù)可能性減小，只能對(duì)文件連續(xù)存儲(chǔ)空間進(jìn)行恢復(fù)。即要求被恢復(fù)的文件是連續(xù)存儲(chǔ)在介質(zhì)上。若文件非連續(xù)存儲(chǔ)，則恢復(fù)出來(lái)的文件可能存在2種情況：一是能夠找出文件名及一些相關(guān)屬性信息，但是文件內(nèi)容為空；二是能恢復(fù)出文件的部分內(nèi)容，打開(kāi)時(shí)，發(fā)現(xiàn)不完整或者出現(xiàn)許多亂碼。因此，利用該方法進(jìn)行的恢復(fù)操作要求刪除后能盡快執(zhí)行，一旦有新的數(shù)據(jù)對(duì)原始數(shù)據(jù)進(jìn)行了覆蓋，則恢復(fù)的可能性將會(huì)降低。

2.1.2 基于文件特征的數(shù)據(jù)恢復(fù)方法

優(yōu)點(diǎn)：1）該數(shù)據(jù)恢復(fù)方法不依賴于具體的文件系統(tǒng)類型，即當(dāng)文件系統(tǒng)破壞后仍可進(jìn)行恢復(fù)操作。2）該方法恢復(fù)的文件相對(duì)較多。3）當(dāng)被恢復(fù)的文件為非連續(xù)存儲(chǔ)即存在碎片時(shí)或文件刪除后其中部分?jǐn)?shù)據(jù)已被覆蓋，此時(shí)，仍有可能恢復(fù)出許多殘缺文件中的字符信息，而對(duì)取證人員而言，分析沒(méi)有任何文件系統(tǒng)結(jié)構(gòu)的原始磁盤上的存儲(chǔ)信息，提取出目標(biāo)文件內(nèi)容，如已刪除或隱藏的數(shù)據(jù)文件也是十分有價(jià)值的。

缺點(diǎn)：1）此方法不能恢復(fù)出文件名、文件創(chuàng)建時(shí)間等相關(guān)屬性信息，而這些信息對(duì)計(jì)算機(jī)取證人員來(lái)說(shuō)也是相對(duì)比較重要的信息。2）該方法恢復(fù)數(shù)據(jù)時(shí)主要以扇區(qū)或簇為單位進(jìn)行搜索，隨著存儲(chǔ)介質(zhì)空間的不斷增大，這種恢復(fù)方法所需時(shí)間較長(zhǎng)。3）由于不同類型的文件其文件特征不同，因此應(yīng)用此方法需事先對(duì)相應(yīng)的操作系統(tǒng)環(huán)境下所需提取的文件特征進(jìn)行分析，確定恢復(fù)流程。另外，由于有些文件的特征不夠明確，因此利用該方法進(jìn)行的可恢復(fù)文件類型是有限的。

2.2 實(shí)驗(yàn)分析

（1）實(shí)驗(yàn)環(huán)境

CPU 為Intel（R）Core（TM）i3-2100，主頻為3.10GHz；內(nèi)存為768MB；操作系統(tǒng)為 Windows XP SP2。硬盤：1.95GB硬盤分區(qū)，文件系統(tǒng)類型：NTFS。

（2）實(shí)驗(yàn)

對(duì)分區(qū)進(jìn)行格式化操作，利用上述兩種方法進(jìn)行數(shù)據(jù)恢復(fù)實(shí)驗(yàn)分析。如圖3、4所示給出了實(shí)驗(yàn)結(jié)果的部分截圖。表1對(duì)實(shí)驗(yàn)結(jié)果進(jìn)行了分析。

圖3 基于文件系統(tǒng)的數(shù)據(jù)恢復(fù)

圖4 基于文件特征的數(shù)據(jù)恢復(fù)

表1 實(shí)驗(yàn)分析

由表1可見(jiàn)，基于文件系統(tǒng)的數(shù)據(jù)恢復(fù)方法在恢復(fù)時(shí)間上明顯優(yōu)于基于文件特征的數(shù)據(jù)恢復(fù)方法。但從掃描恢復(fù)出的文件數(shù)及正確率上來(lái)看，基于文件特征的數(shù)據(jù)恢復(fù)方法有明顯優(yōu)勢(shì)，特別是當(dāng)分區(qū)被進(jìn)行過(guò)多次刪除或覆蓋操作后，后者能恢復(fù)出更多文件，這對(duì)取證工作十分有益。

3 結(jié)論

針對(duì)當(dāng)前數(shù)據(jù)恢復(fù)技術(shù)的發(fā)展方向，本文主要以Windows環(huán)境為應(yīng)用基礎(chǔ)，深入分析研究2種不同的數(shù)據(jù)恢復(fù)方法，并對(duì)2種方法進(jìn)行理論與實(shí)驗(yàn)分析，說(shuō)明了各自的優(yōu)缺點(diǎn)，為進(jìn)一步研究提供了理論依據(jù)與實(shí)驗(yàn)指導(dǎo)。

由上述實(shí)驗(yàn)分析可見(jiàn)，基于文件特征的數(shù)據(jù)恢復(fù)方法在恢復(fù)成功率上明顯優(yōu)于基于文件系統(tǒng)的數(shù)據(jù)恢復(fù)方法，但恢復(fù)時(shí)間較長(zhǎng)，因此下一步工作重點(diǎn)主要包括：（1）改進(jìn)基于文件特征的數(shù)據(jù)恢復(fù)算法流程，一方面使算法能夠滿足不同類型的文件特征獲取，提高算法的擴(kuò)展性。另一方面優(yōu)化算法結(jié)構(gòu)，減少磁盤上扇區(qū)掃描與數(shù)據(jù)恢復(fù)時(shí)間。（2）由于本文主要采用的是文件頭、尾等特征信息進(jìn)行數(shù)據(jù)的提取，下一步工作可采用其他特征提取方法，如信息熵、內(nèi)部特征驗(yàn)證等，這些方法的應(yīng)用能夠準(zhǔn)確識(shí)別文件分片，同時(shí)去除基于文件特征恢復(fù)方法中出現(xiàn)的文件內(nèi)容出錯(cuò)、存在噪聲信息等問(wèn)題，從而提高數(shù)據(jù)恢復(fù)成功率。

［1］譚敏.計(jì)算機(jī)動(dòng)態(tài)取證關(guān)鍵技術(shù)研究［D］.長(zhǎng)沙：中南大學(xué)（碩士學(xué)位論文），2007.

［2］數(shù)據(jù)恢復(fù)取證找回“丟失的”電子證據(jù)［EB/OL］.http：//www.81it.com/2012/1031/3114.html，2012.10.

［3］王維雄.基于介質(zhì)存儲(chǔ)結(jié)構(gòu)的數(shù)據(jù)恢復(fù)技術(shù)研究［D］.西安：西安電子科技大學(xué)（碩士學(xué)位論文），2010.

［4］游春暉，劉乃琦.數(shù)據(jù)恢復(fù)技術(shù)在計(jì)算機(jī)取證系統(tǒng)中的應(yīng)用［J］.成都大學(xué)學(xué)報(bào)：自然科學(xué)版，2008（27）：131-133.

［5］杜江，王石東.計(jì)算機(jī)取證中的數(shù)據(jù)恢復(fù)技術(shù)研究［J］.重慶郵電大學(xué)學(xué)報(bào)：自然科學(xué)版，2010（5）：683-686.

［6］胡敏，楊吉云，姜維.Windows下基于文件特征的數(shù)據(jù)恢復(fù)算法［J］.計(jì)算機(jī)應(yīng)用，2011（31）：527-529.

［7］Nicholas Mikus.An Analysis of Disc Carving Techniques Master Thesis［D］.Monterey：Naval Postgraduate School，2005.

［8］王鵬.Windows日志取證與恢復(fù)技術(shù)研究［D］.杭州：杭州電子科技大學(xué)（碩士學(xué)位論文），2009.

［9］章華，劉乃琦，郭建東，等.基于孩子兄弟樹(shù)的FAT32文件刪除恢復(fù)算法［J］.計(jì)算機(jī)應(yīng)用研究，2009（3）：1116-1118.

［10］鐘秀玉.基于FAT32的數(shù)據(jù)恢復(fù)系統(tǒng)的設(shè)計(jì)［J］.計(jì)算機(jī)應(yīng)用與軟件，2008（11）：56-57.

［11］Daniel Ayers.A Second Generation Computer Forensic Analysis System［J］.Digital Investigation，2009（6）：S34-S42.