數據恢復技術在計算機取證中的應用與探究

王林

關鍵詞：數據恢復技術；計算機取證；AMCF算法；上網記錄恢復

中圖分類號：TP393 文獻標識碼：A

文章編號：1009-3044（2023）12-0080-03

獲取信息、保存證據，是計算機取證的兩個關鍵步驟。如果電子數據在存儲、轉移或分析過程中被刪除、被破壞，必須使用數據恢復技術重新獲得電子數據。目前常用的數據恢復技術是基于文件系統實現的，恢復被刪除的文件后將其存儲到計算機硬盤中，然后分析文件，從中提取出有價值的數據。該方法在應用中存在一定的局限性，例如文件恢復的工作量大、耗時長，恢復后文件數據存在亂碼等。近幾年出現的基于內容特征的數據恢復技術，可對上網痕跡、圖片縮略圖緩存等進行深度恢復，在計算機取證領域也得到了廣泛運用。

1 計算機取證中的數據恢復技術

1.1 基于文件系統的數據恢復技術

Windows文件系統有兩種，分別是FAT32文件系統、NTFS文件系統。兩種系統的文件刪除原理是一致的：用戶執行刪除文件的操作后，系統并不會把文件中包含的所有數據從磁盤上直接抹去，而是選擇在具有文件控制功能的數據結構上做標記，表明此文件占有的存儲空間已經被釋放，可存入新的數據[1]。這樣一來，文件系統就省略了數據擦除的步驟，尤其是在刪除大文件時能夠顯著加快刪除速度，優化用戶體驗。基于文件系統的這種數據刪除方式，只要被刪除的數據沒有發生二次覆蓋，均可以保證數據本身的完整性，這就為數據恢復創造了便利。在具體的數據恢復流程上，兩種文件系統基本一致，這里以FAT32文件系統為例，其恢復步驟如下：