計算機取證中數據恢復關鍵技術研究與實現

張一名

【摘要】 具體的敏感信息的獲取始終是計算機取證工作最終的目的，能夠從計算機中直接提取具體的信息是極好的。例如網頁瀏覽歷史記錄、因此研究新型的敏感信息深度恢復功能，以抵御此盤格式化等清除操作就變得刻不容緩。

【關鍵字】 計算機取證 恢復技術

一、計算機取證概述

計算機取證就是獲取可作為有效證據的信息。分析證據是其最關鍵的一環，使用計算機后，必然留下痕跡，提取或者恢復是獲取有效證據的信息的重要方法。

二、AMCF算法

本文提出了“ AIgorithm of Minimum Content Feature ”。針對不同種類文件的數據結構，如固定開頭、結尾，通過分析其數據構造，確定關鍵部分信息，再遍歷整個磁盤或分區的細粒度，找到其中與目標數據格式一致的數據塊，達到數據恢復。算法的大體步驟：（1） 確定和分析待恢復數據的文件和內容格式，得出結果。 （2） 從中確立關鍵特征信息，像數據頭、數據塊控制信息、數據尾等，找到它們之間的銜接關系；（3） 以特征信息為模式， 匹配搜索整個磁盤或者分區，提取出所需數據。

算法中的特征是直接標識信息區別于其他的特別的地方，并就近提取目標數據。而最小特征，單個網絡記錄特征的夠標識。AMCF 算法將對象縮為單個信息記錄，降低了數據恢復次復雜度。

三、上網記錄深度恢復

3.1 i ndex. dat 文件結構分析

AMCF 算法能實現上網痕跡的深度恢復。

首先解析i ndex. dat文件結構。描述如下：

文件頭，以十六進制表示文件版本和長度，包含了首個HASH表偏移地址等屬性信息，index.dat的數據頭部以NULL （OxOO）字符結尾。要找到index.dat 文件里的記錄地址，可以用HASH 表的指針，從活動記錄中可以獲取類型、 大小、內容這幾種信息。一種有URL、LEAK 、REDR、GUST 這四種類型。一下分條解析這幾種活動記錄：

（l） URL 條目。URL 條目正是通過瀏覽器訪問過的某網絡資源的記錄， URL 條目包含訪問地址和時間，其中時間是FILETIME格式的數據，它用的是 urc 標準時間，需要轉化成本地時間其結構如表所示：該條URL 條目的長度是02H x Ox80 = 256 字節。在偏移68 H 處也能發現其訪問過的網絡資源的真正字符串形式的地址，它以NULL 作為結尾。該U RL 條目的最后修改時間位于偏移08H 處。最后訪問時間緊隨其后，位于偏移 1 0H 處，各占8 字節。

（2） LEAK條目。LEAK結構與URL一致，解析LEAK記錄的方式方式也與URL 記錄沒有區別。然而，在HASH表中可以獲取URL 記錄的偏移地址， 這個偏移地址在HASH 表中數量極少，也是無法獲取的。

（3） REDR 記錄和 GUSTREDR 是redirect簡寫，REDR 記錄和 GUST兩者都沒有直接有關上網記錄有關的信息。

3.2 index . dat 文件最小內容特征分析

index. dat相當于一個"數據庫， 根據最小內容特征的思想 ，關注URL和 LEAK 條目，無視數據頭部與HASH 表，所有URL 條自有相同的小端序格式頭. " 5552 4C 20，因為大多計算機的" URL "無用，所以還需要尋找其他明顯特征點，URL 條目開頭是固定標識串，之后是以1 2 8 字節為單位的條目長度，共有四個字節，以"？ 000000"表示，所表示的長度范圍是128 字節到32640 字節。綜上結論，上網記錄最小內容特征是"55 52 4C 20 ？ 00 00 00 00"開頭的字符串，55 52 4C 20為"URL "，00 00 00 00為"URL "長度。這個特征容易識別出來，能撇開其他眾多無用數據。

四、上網痕跡信息深度恢復取證

有上網痕跡取證的產品不多，在Windows 7下，同步測試兩款功能相似的檢查工具，來驗證AMCF 算法的有效性。內存： 3072MB DDR2。打開兩款檢查工具掃描上網歷史痕跡，測試關系到時間、有效掃描數量、重復數量等，有效掃描數量指有信息含量的記錄，非URL字符串、亂碼，空串為無效記錄。重復指此條URL與其他掃描結果相同。，顯然掃描耗時短、有效結果數量越多、有效記錄比例越大、重復記錄越少，算法的性能越強。其一檢查工具掃出1662 條上網記錄，用時14 分54 秒，，其中有一條為無效記錄。其二檢查工具則1882 條記錄，用了8 分24 秒，無效記錄為24條。兩款工具掃描結果比較軟件名稱掃描.n時結果總數有效結果數量。兩款工具掃描結采的比較本文用的工具占優勢。

五、結論

用戶信息的挖據在計算機取證中，是十分重要的。當刪除文件時，恢復數據就成了計算機取證重要手段數據恢復，就是按照非常規手段使丟失的文件可見，本文研究了index. dat工作原理與數據結構。設計了計算機取證的數據算法，以滿足計算機取證的數據恢復需求。

參 考 文 獻

[1] 郭建朝.計算機取證技術的應用研究[學位論文]，蘭州，蘭州大學， 2007.

[2] 譚敏，胡曉龍，楊衛平.計算機取證概述問.網絡安全技術與應用122006 ，12： 75-77.

[3] 魏豪.基于數據恢復的信息獲取技術的研究[學位論文]，鄭州：解放軍信息工程大學， 2007.

[4] 楊衛平.分布式計算機動態取證系統研究[學位論文]，湖南中南大學， 2006.