數碼復印機數據恢復系統設計

薛兵 張有為 孫雪凱 葛芳麗

摘要

數碼復印機失泄密已對我國信息安全保密工作造成嚴重威脅。數碼復印機品牌型號種類繁多復雜，給數據恢復與電子取證工作帶來極大困難。為解決數碼復印機取證中的數據恢復技術難題，該文以數據存儲理論為基礎，設計開發了數碼復印機數據恢復系統，給出了數碼復印機數據恢復系統的總體框架，研究了數碼復印機數據恢復系統的實現技術。研制的數碼復印機數據恢復系統經過大量實驗分析，能夠有效恢復復印機中存儲的圖像數據文件，為數碼復印機檢查取證提供有力幫助。

【關鍵詞】復印機 失泄密 數據恢復 取證文件系統

1引言

數碼復印機、網絡打印機因使用監管不當造成的重大失泄密事件己屢見不鮮，己然成為企事業單位失泄密的“重災區”，這給國家造成了不可預估的損失，我國信息安全工作面臨前所未有的挑戰。目前針對數碼復印機的安全管控和保密檢查技術還很薄弱，缺乏行之有效的檢查技術和手段，開發一款操作方便、成熟穩定的恢復檢查產品迫在眉睫，數碼復印機數據恢復系統應運而生。它能夠對復印機存儲介質中存儲的數據文件進行恢復，為公檢法部門偵破案件、企事業單位處理違規操作和泄密行為提供有力幫助。

數據存儲是數據以某種格式記錄在計算機內部或外部存儲介質上。數碼復印機通過掃描、復印的數據文件保存在復印機存儲介質上。復印機存儲介質中保存的數據文件主要有圖像文件和日志文件兩種。在復印機取證中主要是針對數碼復印機中圖像文件的恢復取證。通過市場調研發現，出于數據保存的長久性、穩定性及成本因素的考慮，市面上帶存儲功能的數碼復印機均采用了傳統機械硬盤作為存儲介質。但是不同品牌的數碼復印機為了確保其自身數據不被竊取，在操作系統的使用、文件系統的選取和存儲數據的壓縮方式上都不盡相同。針對不同的文件系統的復印機存儲介質，該文提出研制一種數碼復印機數據恢復系統，對數碼復印機的存儲介質進行深度掃描，實現數據信息的恢復。通過實驗驗證該系統性能穩定，在實際應用中取得良好的效果。

2數碼復印機數據恢復系統架構設計

數碼復印機數據恢復系統采用模塊化設計，主要有數據提取模塊、人機交互模塊、數據庫模塊、數據分析模塊組成，系統的整體結構示意圖如圖1所示。人機交互界面封裝了所有人機交互及輸入輸出的功能，其中包括系統登錄、任務創建、關鍵字編輯、數據提取、日志分析、報告生成和歸檔導出等核心功能，通過友好的交互環境實現底層功能的透明化，由交互界面根據用戶的任務配置數據通過控制耦合模式驅動中央控制程序實現復印機存儲文件的提取，并將文件信息存儲在中央數據庫中。

不同品牌的數碼復印機在文件系統的選取和存儲數據的壓縮方式上都不盡相同。因此，在對存儲數據進行解析之前一定要對其存儲格式、硬盤文件系統進行解析，為存儲內容的正確恢復提供基礎。設定好復印機硬盤品牌、型號，系統能夠智能選取與之相對應數據解析算法，若硬盤內數據文件為計算機能夠識別的格式，中央控制程序直接將數據存儲在數據庫;若硬盤內數據文件不能夠被計算機正常識別，中央控制程序就會調用格式轉化算法將數據文件轉換成計算機能夠識別的文件格式再存儲到數據庫。通過數據分析模塊進行敏感信息識別，提取圖像文件中對用戶有用的信息進行取證。

3數碼復印機數據恢復系統功能實現

3.1文件系統解析

數碼復印機硬盤的文件系統常見的有FAT、EXT、UFS、XFS等格式。拆解數碼復印機硬盤加電加載至磁盤編輯工具Winhex根據其第一個扇區信息判斷其文件系統類型，文件系統類型確定后，根據相其文件系統的數據結構和存儲方法進行解析。將數碼復印機存儲硬盤數據清零，加載至數碼復印機待其正常工作后進行數據文件存儲，在數碼復印機硬盤分區內尋找發生變化的文件夾。即是數據信息的存儲位置。

判定數據信息的存儲位置后，進而判定數據文件是否為Windows系統加載下正常識別的圖像文件。常見的正常加載識別的圖像文件格式有JPG、PNG、TIFF、PDF。對于那些不能正常識別的圖像文件，就需要進行文件格式的破解和轉換，轉換成Windows系統下可以正常識別的圖像文件。

3.2文件特征匹配

Windows系統下僅能加載數碼復印機FAT格式的文件系統，而數碼復印機的文件系統因品牌型號的不同而不同。針對文件系統格式己知的文件系統，應用文件系統解析的方法對數碼復印機硬盤中存儲數據的區域進行數據恢復。對于文件系統未知的數碼復印機，我們提出采用基于文件特征匹配的數據恢復算法。基于文件特征匹配的數據恢復算法是采用文件特征與磁盤分區深度掃描相結合的方法。

根據數據文件的文件頭特征信息和文件尾特征信息在數碼復印機硬盤磁盤中進行恢復掃描，為了提高搜索效率，我們以扇區為單位進行搜索。在掃描過程中首先將每個扇區的頭部信息進行目標文件頭特征信息進行匹配，如果在某一扇區匹配到文件頭特征信息，這就確定了這一文件的起始位置。同理根據文件尾特征信息進行搜索匹配確定文件結束位置。將開始位置與結束位置之間的數據信息進行截取即是一個完整的數據文件。

3.3數據管理

數碼復印機數據恢復系統工作過程中，需要對數碼復印機硬盤內的大量的數據信息進行存取和處理。基于文件系統進行存儲，可以實現數據的長期保存，用戶直接按文件名訪問，按記錄進行存取。但這需要耗費大量的I/O，就會造成數據的冗余度變大，數據的共享性和獨立性就會較差。而采用數據庫管理系統可以實現數據的整體化和結構化，這樣就可以很好地解決基于文件系統進行數據管理時出現的問題。采用數據庫系統管理數據，數據和應用程序相互獨立，通過事務調度與并發控制，可以有效地對數據進行讀寫、查詢，實現數據的共享，數據的共享性高。同時借助于數據庫管理系統提供的數據性保護、完整性檢查和數據庫恢復等安全機制，可確保系統具有較好的性能。

數碼復印機數據恢復系統是一種用于偵查取證的數據恢復系統，對數據的真實性、完整性、一致性、存取和處理速率要求較高，該系統選用SQLite數據庫組建一個微型數據庫管理系統對數碼復印機硬盤內采集到的數據進行管理。

3.4數據恢復實現

應用程序的開發基于Visual Studi02017集成開發環境，C#為其編程開發語言。數據恢復實現過程有：

3.4.1任務創建

創建任務設定被測試數碼復印機的品牌和型號，創建工作目錄，用于存放數碼復印機數據恢復系統提取到的數據文件。

3.4.2關鍵字編輯

關鍵字編輯設定敏感關鍵詞語，數碼復印機數據恢復系統提取數據完畢后，進行光學字符識別，將圖像文件的文字信息進行提取，與關鍵詞進行匹配，匹配成功的即可以定位至要尋找的文件。

3.4.3報告查看

任務執行完畢后，系統會進行數據分析，將匹配成功的文件進行高亮顯示，并生成一份結果報告，便于執法人員進行查看。

4實驗驗證與結果分析

為測試該文研制的數碼復印機數據恢復系統的性能，分別對佳能、東芝、夏普三個品牌共計9個型號的數碼復印機硬盤進行數據恢復測試。

4.1測試環境

采用數據恢復專用機搭建測試環境，該機處理器為Intel（R）Core（TM） i5-4460;主頻為3.2HZ;內存RAM為8GB;操作系統為64位Windows 7旗艦版SP1。安裝數碼復印機數據恢復系統，配置其正常運行所需要的環境。

4.2恢復硬盤類型

東芝數碼復印機硬盤3塊，文件系統為EXT3格式;柯美數碼復印機硬盤3塊，文件系統為FAT格式;夏普數碼復印機硬盤3塊，文件系統未知。3個品牌共計9塊復印機硬盤，標號1-9，依次貼上標簽。具體信息見表1。

4.3實驗

首先利用磁盤格式化工具將數碼復印機硬盤進行格式化處理，清除數碼復印機硬盤內原有信息，排除干擾信息源，之后將數碼復印機硬盤依次加載至相對應的數碼復印機，確保每一臺數碼復印機正常工作后，對每一臺數碼復印機依次掃描存儲標記編號1-100的100張樣本圖片，在每一臺數碼復印機面板上檢查確認其己成功存儲100張樣本數據，對每一臺數碼復印機進行標號1-10的10張樣本數據刪除操作，然后將數碼復印機硬盤拆卸準備進行數據恢復。通過硬盤只讀接口將數碼復印機硬盤與搭建好測試環境的數據恢復專用機相連接，測試裝置如圖3所示。

創建測試任務依次對編號1-9的數碼復印機硬盤進行數據恢復，記錄實驗結果，如表2所說，測試結果如圖4所示。數碼復印機數據恢復系統任務執行完畢后，會彈窗提示提取文件總數及恢復文件總數。方便用戶知曉數據文件的恢復情況。文件提取完畢后，系統會對提取到的圖像文件進行光學字符識別，進行關鍵詞匹配，匹配到的關鍵詞系統就會對其進行紅色高亮顯示。

表2是9塊數碼復印機硬盤數據恢復測試的實驗結果，從表2可以看出數碼復印機數據恢復系統可以完整地恢復這9臺數碼復印機硬盤中存儲的90張樣本數據，但對于刪除的10張數據，文件系統已知的數碼復印機硬盤只要數據未被覆蓋可以通過文件系統解析將刪除的數據恢復出來，文件系統未知的數碼復印機硬盤通過文件特征匹配可以將數據進行恢復，數碼復印機數據恢復系統的恢復成功率在80%以上，可見該數碼復印機數據恢復系統性能優異，穩定性很高。

5結語

針對復印機取證難的技術問題，該文給出了數碼復印機數據恢復系統的設計框架，研究了數據恢復中的文件特征匹配、文件系統解析和數據管理技術，并在數碼復印機數據恢復系統的實現中得以應用。經過實驗分析證明研制的數碼復印機數據恢復系統性能優異，能夠有效對數碼復印機存儲介質中存儲的數據信息進行恢復，該系統的研究為數碼復印機取證提供幫助，為我國的信息安全和保密檢查工作發揮重要作用。

參開文獻

[1]劉偉，數據恢復技術深度揭秘[M].電子工業出版社，2010 （05）.

[2]趙雙峰，費金龍，劉楠，武東英.WindowsNTFS下數據恢復的研究與實現[J].計算機工程與設計，2008 （02）： 306-308+332.

[3]黃步根，數據恢復與計算機取證[J].計算機安全.2006 （06）： 79-80.

[4]劉晉，任洪敏，胡巍，陳天倫，沈俞超.EXT2文件系統格式化程序的設計與實現[J].西華大學學報.自然科學版.2 012 （02）：256-278

[5]文光斌.數據恢復技術的發展前景、技術層次及常用方法[J].網絡安全技術與應用，2005 （05）：74-76.

[6]楊明極，陳方縣，吳學君，嵌入式系統中SD卡的FAT32文件系統的設計[J].電聲技術，2010，34 （04）：36-39.