數據恢復技術在計算機取證中的應用與探究

王林

關鍵詞：數據恢復技術；計算機取證；AMCF算法；上網記錄恢復

中圖分類號：TP393 文獻標識碼：A

文章編號：1009-3044（2023）12-0080-03

獲取信息、保存證據，是計算機取證的兩個關鍵步驟。如果電子數據在存儲、轉移或分析過程中被刪除、被破壞，必須使用數據恢復技術重新獲得電子數據。目前常用的數據恢復技術是基于文件系統實現的，恢復被刪除的文件后將其存儲到計算機硬盤中，然后分析文件，從中提取出有價值的數據。該方法在應用中存在一定的局限性，例如文件恢復的工作量大、耗時長，恢復后文件數據存在亂碼等。近幾年出現的基于內容特征的數據恢復技術，可對上網痕跡、圖片縮略圖緩存等進行深度恢復，在計算機取證領域也得到了廣泛運用。

1 計算機取證中的數據恢復技術

1.1 基于文件系統的數據恢復技術

Windows文件系統有兩種，分別是FAT32文件系統、NTFS文件系統。兩種系統的文件刪除原理是一致的：用戶執行刪除文件的操作后，系統并不會把文件中包含的所有數據從磁盤上直接抹去，而是選擇在具有文件控制功能的數據結構上做標記，表明此文件占有的存儲空間已經被釋放，可存入新的數據[1]。這樣一來，文件系統就省略了數據擦除的步驟，尤其是在刪除大文件時能夠顯著加快刪除速度，優化用戶體驗。基于文件系統的這種數據刪除方式，只要被刪除的數據沒有發生二次覆蓋，均可以保證數據本身的完整性，這就為數據恢復創造了便利。在具體的數據恢復流程上，兩種文件系統基本一致，這里以FAT32文件系統為例，其恢復步驟如下：

1） 按照FAT32文件目錄項的分布規則，瀏覽所有的文件目錄項。

2） 將文件目錄項中首字節不是“E5H（未被刪除的文件目錄項）”的過濾掉，剩余的即為被刪除、需要恢復的文件目錄項。

3） 按照FAT32文件系統的文件讀取規則，讀取保留下的文件目錄項，獲取文件內容，并選擇一個另一個磁盤保存，完成數據恢復。

1.2 基于內容特征的數據恢復技術

Windows 系統中Office Word 等文件采用的是結構化存儲，其特點是在現有文件系統的內部新建一個用于存儲內部數據的子系統，這種存儲模式的優點在于：其一，顯著提高了磁盤空間的使用效率，降低了存儲成本；其二，在軟件分發過程中，方便將海量的數據文件進行快速歸類并分別存儲到對應的文件中。基于結構化存儲的特點，可以選擇基于內容特征的數據恢復技術（AMCF） ，其恢復步驟為：

1） 分析需要恢復數據的文件格式，判斷該文件的結構體形式。如果文件較小，則屬于“數據庫”形式；如果文件較大，則屬于“數據系統”形式；

2） 從文件內容中提取關鍵特征信息，如數據頭（Data Header） 、數據塊（Data Block） 、數據位（DataFooter） 。尋找這些特征信息之間存在的特定聯系，如“通過數據頭引出數據塊”等；

3） 以提取到的特征信息作為參照，對待恢復文件所在的磁盤進行二進制數據匹配搜索，完成遍歷后可以收集到所有滿足特征信息的數據；

4） 另選一個磁盤，存儲收集到的數據，完成數據恢復[2]。

2 數據恢復技術在計算機取證中的應用

2.1 上網記錄恢復

Windows操作系統中的網絡瀏覽記錄或本地瀏覽記錄都會存儲在index.dat文件中。作為一種隱藏式文件，用戶刪除歷史瀏覽記錄或本地瀏覽記錄后，并不會對index.dat文件造成影響，這就為數據恢復與計算機取證提供了便利。以Windows10操作系統為例，該隱藏文件的保存路徑為：＼Documents and Settings＼＼Cookies＼index.dat。按照上述路徑進行in?dex.dat文件的定位后，解析文件即可提取到網絡痕跡[3]。如果因為系統格式化等原因導致index.dat文件也被刪除，那么只能借助于數據恢復技術找回index.dat文件。上文介紹的基于文件系統的數據恢復，在遇到文件系統被破壞或者文件內數據被覆蓋的情況，將會導致恢復后的數據不準確、不完整。為了實現對上網痕跡的深度恢復，提高電子證據的可用性，需要使用到AMCF技術，數據的深度恢復流程如圖1所示。

2.2 縮略圖緩存信息恢復

縮略圖緩存文件可以看作是保存圖像文件關鍵數據的小型“數據庫”，使用縮略圖文件恢復數據，也是計算機取證的一種常用方式。通常情況下，縮略圖緩存文件位于圖片文件的目錄下，存儲位置相對固定。從存儲的信息內容上來看，除了保存當前路徑下全部圖片的縮略圖外，還有圖片的文件名、最后修改時間等。縮略圖緩存文件與圖片文件相互獨立，即便是圖片被刪除并且清空回收站，縮略圖緩存文件仍然存在，這就為數據恢復和證據提取提供了有利條件。最早在Windows XP系統中，微軟公司為提升圖片加載速度，設置了專門存儲縮略圖的緩存文件，文件格式為thumbs.db。用戶每次點擊查看一幅圖片，都會生成對應的縮略圖并存放在thumbs.db文件中。可以說，thumbs.db文件本身就是一個小型的數據庫，并且支持緩存多種常規格式的圖像文件，如jpeg、bmp、gif 等。但是這些原始圖像的縮略圖統一為jpeg格式[4]。

以Windows操作系統為例，縮略圖文件的文件保存路徑為：＼User＼<用戶名>＼App Data＼Local＼Microsoft＼win?dows＼Explorer＼Thumbs.db。根據該路徑定位到縮略圖文件后，進行結構解析即可提取出當前文件中所有圖片的縮略圖。如果thumbs.db文件被清除，或者磁盤被格式化，就需要使用到數據恢復技術找回縮略圖緩存文件。傳統的基于文件系統的數據恢復，無法解決因為數據覆蓋導致的文件恢復不徹底等問題，這就需要使用AMCF技術，恢復流程如圖2所示。

3 數據恢復技術在計算機取證中的實現

3.1 上網痕跡信息恢復取證

基于AMCF技術的上網痕跡深度恢復實驗環境如下：

1） 操作系統，Windows 10，32-bit；

2） CPU，Intel? Core? 2 Duo CPU 6300@1.86GHz；

3） 內存，3072MB DDR2；

4） 分區，盤符C：＼ 總存儲空間60G，剩余11G。

將進行上網痕跡信息恢復取證實驗的計算機重裝系統，C盤的總存儲空間為60G。本次實驗以C盤為對象，分別啟動“敏感信息檢查工具”和“AMCF保密檢查工具”，對C盤中的所有上網記錄進行深度掃描。根據顯示的掃描結果，敏感信息檢查工具的掃描結果為：C盤上網記錄數為1773條，其中有3條上網記錄的URL網址為無含義的字符串，有效率為99.83%，掃描用時13′46″；AMCF保密檢查工具的掃描結果為：C盤上網記錄數1991條，其中有18條上網記錄的URL網址為無含義的字符串，另外4條上網記錄的URL網址為全亂碼串，掃描用時7′35″。兩種工具的掃描結果對比見表1。在詳情欄中可以顯示每一條上網記錄的網頁地址和上網時間。

對比可以發現，使用AMCF技術進行上網痕跡信息恢復取證，可以從磁盤檢測出更多數量的上網記錄，并且掃描用時大幅度縮短。

3.2 文件信息恢復取證

基于AMCF技術的文件信息深度恢復實驗環境如下：

1） 操作系統，Windows 10，64-bit；

2） CPU，Intel? Core ? 2 Duo CPU T9550@2.67GHz；

3） 內存，4096MB DDR3；

4） 分區，盤符D：＼ 總存儲空間200G，剩余140G。

在“＼計算機＼D：＼App Data”下新建一個文檔“實驗.docx”，打開后任意輸入一段文字，保存后關閉文檔。選擇快捷鍵組合“Shift+Delete”將“實驗.docx”文檔永久刪除[5]。調用數據恢復系統中文件恢復庫的GUI界面，對D盤進行掃描。掃描結果在文件恢復GUI界面展示，此時檢測結果顯示“實驗.docx”已經被刪除。使用AMCF深度恢復技術恢復該文件，并將恢復后的文件保存至E盤，在E盤雙擊打開該文件，可以觀察到恢復后文件內容與原文件內容完全一致，說明被刪除的“實驗.docx”文檔已經完好無損地恢復。

4 結束語

在計算機取證時，對于已經被刪除的敏感信息或重要文件，需要借助于數據恢復技術重新獲取原始文件，才能在打擊違法犯罪時作為有效的電子證據。基于文件系統的數據恢復和基于內容特征的數據恢復均可完成上網痕跡信息恢復、縮略圖緩存信息恢復，但是前者在發生數據覆蓋或系統文件遭到破壞時，會導致恢復的數據信息不準確、不完整。而基于內容特征的數據恢復技術則能夠根據文件的結構體形式，從文件內容中提取關鍵特征信息，通過遍歷檢索的方式確定所有滿足特征的信息并將其恢復至另一個磁盤中。從實驗結果來看，該恢復技術能夠完好無損地恢復數據，并且耗時更短，為計算機取證提供了技術支持。