毕业论文网
该文是关于计算机数据论文范文,为你的论文写作提供相关论文资料参考。
计算机数据取证修复技术
摘 要:本次研究主要就针对在计算机取证过程中,如何重新获得受损数据信息的技术方法展开了相关分析,简要阐述FAT32与NTFS两种计算机数据取证修复技术的基本原理,而后就关于在文件删除、硬盘格式化、分区表损坏等情况下应用FAT32技术进行数据修复,与在文件删除与BPB损坏后应用NTFS进行数据修复展开了深入研究.希望通过本文的研究能够为相关的研究人员提供一些有价值的参考.
关键词:计算机;数据取证;修复技术
一、前言
伴随着当前计算机与相关网络技术的不断发展,全社会的信息化程度也得到了大幅度的提升,同时与计算机有关的犯罪案件数量也越来越多,无论是对于个人甚至是整个社会都造成了巨大损失[1].因此获取到详尽、可靠的证据信息可实现对计算机犯罪的有力打击,因此计算机取证技术应用也随之诞生.然而和计算机犯罪有关的证据则多以电子证据为主,犯罪嫌疑人在实施犯罪行为时常常会修改、伪造、破坏,甚至是删除相关的电子证据,从而也导致获取有价值的电子证据面临巨大困难挑战.在计算机取证过程中采用计算机数据恢复技术将受损数据进行恢复,可将之作为犯罪线索或证据,因而关于计算机取证发展的研究越来越被人们所重视.
二、计算机数据取证修复技术研究
(一)基于FAT32 的数据修复
1. 文件删除修复.将文件删除仅是促使文件在FAT 内的链接指向发生了改变,并不意味着文件内的真实数据遭受了破坏.因此相关的数据修复人员可采取重新编制文件分配表的方式来进行数据恢复.但需要注意的一项关键问题即,被删除之后的文件其所处扇区不能够被新的文件所覆盖,一旦被新添加文件覆盖后数据修复将很难实现.依据文件删除方式的不同在进行文件修复时所采取的的方式也有所不同:
(1)若文件被删除至回收站,则其仅是在FDT 表内将被删除的文件目录条首字节转变为了“E5”,而真实的数据信息则未彻底删除,因此相关的操作人员仅需将删除标记去除便可修复数据.
(2)被删除至回收站的文件被清空处理,即文件本身的目录条目受到了破坏,系统本身难以实现数据恢复.在文件遭受这种删除方式时,系统仍旧会将FDT 内所与之相对应的删除文件目录首字节予以删除标记,且FAT 表内所与之相对的文件簇号链也将被清空.但真实数据并未被彻底删除,且FDT 表内的文件首簇号也未受损,因此在文件规模相对偏小亦或是占据连续存储空间之时,便可将数据完全恢复.
2. 硬盘格式化修复.硬盘在遭受格式化处理后通常会重建DBR 区内所对应的操作系统引导记录,更改FAT 与FDT 表,保留数据区内的文件信息.因此,采取格式化处理后也并非完全是将数据区内的数据彻底删除,仍可采取对应的数据修复技术来进行修复.只要原本的文件并未被覆盖,则即便FAT、MBR等受到破坏,也仅需找出文件起始簇所在位置,便可采用磁盘编辑软件恢复文件信息.
3. 分区表损坏修复.在目前常用电脑系统中的文件管理均是采取目录来实现的,但目录的建立则必须是基于分区之上.某一物理盘通过分区表将硬盘分为多个逻辑分区在FAT32 文件系统内,分区表存储于MBR 区内,在分区表受损后,系统将无法定位相应的文件数据也将不能被获取,但依据各分区开头特征便可修复分区表.
(二)基于NTFS 的数据修复
1. 文件删除修复.为掌握文件在删除后数据修复原理,需现了解在NTFS文件删除之时产生了什么变化.在文件被删除处理后,其记录头部内标志字节为00/02H,文件记录属性未发生改变[2];针对存在数据运行的文件,回收文件占用空间将无法改变数据区运行内容,仅是促使数据运行占用簇元文件对应位置调整为了零.若文件区数据损坏,则可采用与FAT32 数据修复类似的方式,应用基于文件类型的不同数据特征来进行数据恢复.
2. BPB 损坏修复.通常文件在被删除后,BPB 参数并未受损,因此在进行数据修复时便可依据文件系统内的存储结构特征来进行数据恢复.
三、结语
总而言之,在本次研究中就关于磁盘数据信息的获取与分析研究,提出了基于FAT32 与NTFS 的数据修复两种技术手术.应用这两种计算机数据取证修复技术能够有效解决受损文件信息的重新获取,且其所能够覆盖的修复内容十分广泛,应用前景良好,可对传统计算机取证技术起到重要的补充与促进作用.
计算机数据论文范文结:
关于本文可作为相关专业计算机数据论文写作研究的大学硕士与本科毕业论文计算机数据论文开题报告范文和职称论文参考文献资料。
1、论文计算机
4、数据挖掘论文
6、计算机硕士论文