達思數據恢復技術在計算機取證中的應用

　　信息技術的發展使計算機犯罪活動日益猖獗，取證技術越來越受到人們的關注和重視?，F實中嫌疑人反偵察意識加強，數據很容易被篡改和銷毀，使取證工作變得困難。如何迅速正確的對丟失的數據進行數據恢復和修復成了取證工作的重點。除了依靠取證軟件和數據恢復軟件進行數據恢復和提取，還需要取證人員掌握數據恢復基本原理，從而更準確的提取電子證據。

　　數據恢復，即將遭受破壞的數據還原為正常數據的過程。數據恢復分為三個層次：基于文件系統的數據恢復、基于文件數據特征的數據恢復和殘缺數據的數據恢復。

　　基于文件系統的數據恢復是較為常用的數據恢復技術，常規的數據恢復軟件比如R-Studio(加拿大R-TT出品)、D-Recovery(達思科技出品)、EasyRecovery(美國ontrack出品)等都是基于這一原理，通過解析文件系統，讀取分區，再讀取目錄，根據目錄提取數據。

　　而當文件系統遭到破壞，已經無法識別有效的分區信息，或者目錄信息被全部清空的情況下，就需要按照文件的數據特征來恢復數據。

　　不同類型的文件都有一定的數據特征，比如每個數據文件都有一個文件頭，同一類型的文件頭是一樣的，可以根據不同文件類型的文件特征從數據區直接掃描恢復文件數據。比如，DOC 文檔前八個字節數據是十六進制數 d0cf 11 e0a1b11ae1，PNG 文件前八個字節十六進制數是 89 50 4e 47 0d 0a 1a 0a。如下圖

　　word文件修復：

　　圖1 DOC文件頭

　　PNG文件修復：

　　圖2 PNG文件頭

　　對于采用文件特征搜索方式恢復回來的文件，如果文件不大，剛好在文件系統分配的一個簇里面，則這個文件可以完美恢復的概率高達95%以上。但是如果文件大小超過了一個簇或一個存儲單位，則文件頭或文件尾被破壞，文件打不開的情況就非常多了。這種情況下必須采用殘缺數據恢復技術，也就是國外常稱為數據雕刻的恢復技術。

　　此外，硬盤中有一些特殊區域，比如未分配空間，目前雖然沒有被使用，但可能含有先前的數據殘留;文件中的“Slack”空間，即文件有效數據的結束位置到最后一個數據庫的最末端位置之間的存儲空間。如果文件長度不是簇長度的整數倍，在文件最后一簇中，會有一些剩余空間，可能包含先前文件的殘留數據。對這些特殊區域恢復出的數據或者信息片段，也是需要用到文件雕刻技術來恢復的。

　　在實際的計算機取證中，使用達思公司研制的D-Recovery企業版，可解決大部分文件系統級的數據恢復問題。操作步驟也很簡單，真正復雜和具有挑戰性的是文件級的數據恢復與修復工作，用達思公司提供的一些工具，也可解決這類難題。

　　如文件頭被篡改的情況下，無論使用R-Studio還是EasyRecovery，要么是識別不了這些文件，要么是識別錯誤，得到的文件打不開。比如，我們將一個pdf文件：“測試.pdf”改后綴名為“測試.jpg”，通過RStudio加載，如下圖

　　圖3 用RStudio讀取

　　用Winhex按照jpg格式查找，無法找到。這種情況下，需要檢查提取文件的文件名和文件頭的匹配情況，如若不匹配，按照文件頭而不是文件名來打開文件。 對于文件內容被破壞，可針對不同文件類型，采用有針對性的雕刻修復。比如DOC文件頭被破壞，清零，該文檔無法打開。

　　文件報錯 圖4 文檔無法打開

　　這種情況下，需要進行二進制編輯，用編輯器打開要雕刻的文檔，在文件頭處回寫“D0 CF 11 E0 A1 B1 1A E1”，對文件進行修復。修復doc文件

　　圖5 修復DOC文檔

　　文檔可正常打開，見下圖。

　　word文件修復成功 圖6 文檔正常打開

　　對于一些圖片文件，可根據特征進行雕刻修復，JPEG、PNG、TIFF等文件，是分塊壓縮的，如果獲得了部分數據，可以構造數據結構，使找到的這部分數據可讀。

　　關于達思科技

　　達思科技，國家級高新技術企業，天津市國家保密局涉密載體數據恢復唯一協作單位，數據恢復行業著名品牌，在國內乃至全亞洲數據恢復技術領先!

　　達思科技的全稱是達思凱瑞技術(北京)有限公司，成立于2007年8月，注冊資金1500萬元。

　　達思科技是一家以數據恢復與取證技術研發為核心的國家級高新技術企業，公司擁有自主知識產權的數據恢復與取證軟件30多種。公司下設研發中心、數據恢復與取證服務部、服務器RAID數據恢復應急中心等。

　　數據恢復技術優勢明顯

　　達思科技是一家真正掌握數據恢復核心技術的企業，尤其在Unix及Linux大型存儲設備的數據恢復方面(包括EXT3文件系統刪除數據、UFS文件系統數據恢復、XFS文件系統數據恢復技術、IBM-AIX JFS2文件系統數據恢復高端技術、Vmware虛擬機數據恢復技術、Oracle數據庫修復技術、蘋果mac數據恢復技術等)獨樹一幟，在數據恢復行業中具有明顯的優勢，達思科技承接的其他公司無法恢復的疑難案例不計其數。

　　專注手機數據恢復與取證技術

　　達思科技專注智能手機數據恢復與取證技術，在智能手機邏輯數據提取與分析技術、智能手機數據刪除數據恢復技術、邏輯級手機取證分析、物理級手機數據恢復與取證技術、智能手機特殊應用(app)數據恢復與取證分析等方面具有明顯的技術優勢。

　　數據恢復實訓室全面開花

　　達思科技數據恢復實訓室解決方案是中高等職業院校的首選，成功案例包括北京勞動保障職業學院、北京政法職業學院、北京商貿學校、北京經濟管理職業學院、北京信息職業技術學院等中高職院校均采用達思數據恢復實訓室，并且開設數據恢復專業課程。達思數據恢復實訓室開啟了校企合作，協助學校開設數據恢復實驗課程，達思數據恢復專家走進課堂，親自講解數據恢復核心技術，為學生提供豐富的實訓技術，深受學生喜愛!

　　涉密單位數據恢復與取證實驗室獲好評

　　達思科技為公檢法軍等涉密單位開發了不少具有針對性的專業數據恢復與取證設備，如：達思數據恢復文件系統級專用機、達思數據恢復企業級應用專用機、達思智能手機數據恢復與取證專業版、達思數碼復印機硬盤敏感信息檢查系統等，是涉密單位和科研院所必備的數據恢復與取證裝備。

　　數據恢復與取證實驗室成功案例有天津市國家保密局數據恢復實驗室項目、總裝備部裝甲兵工程學院數據恢復實驗室項目、中央和國家機關涉密載體銷毀中心數據恢復項目、總參某研究所數據恢復實驗室項目等。

　　達思數據恢復培訓，只講真技術，創業者的首選

　　達思數據恢復培訓已經經歷了10年的歷程，截止到2015年12月，累計培訓學員超過6000名，達思數據恢復培訓中高級班、取證班等，主要面向數據恢復公司創業者、涉密單位的技術人員、公檢法軍技術骨干、高校計算機系教師等。目前中高級學員累計超過150人。參加達思數據恢復中高級培訓是真正掌握數據恢復技術的最佳選擇。

　　達思科技 中國數據恢復與取證真專家!熱線：4007000017

　　微信號：woocs

　　長按識別二維碼關注

　　專注數據恢復與取證技術、互聯網

　　電話咨詢：400-700-0017

　　投稿：woocs@qq.com