数据恢复技术剖析

涂敏 钟海峰 江西警察学院 南昌市 330100

0 数据恢复技术国内外现状

随着信息技术的发展，计算机案件在电子数据取证工作中的比重越来越大，司法鉴定人员发现，许多证据在案件发生时已经被删除，导致执法部门不易获取到犯罪人员作案的证据。数据恢复产品成为电子数据取证及鉴定工作必不可少的工具。目前国内外已经研发出来不少相关的产品，国内主要有Easy Discovery Disk Genius、Final Data等；国外相关主要产品有：R-Studio、DiskRecovery、MediaRescue pro、D-Recovery for MS SQL Server、CDRoller等。

计算机取证是使用软件和工具，按照一些预先定义的程序，全面地检查计算机系统，以提取和保护有关计算机犯罪的证据。在国外，尤其在美国等网络技术发达国家，打击计算机犯罪有着二三十年的历史，在计算机取证发面积累了一定的经验，出现了许多专门的计算机取证部门，实验室和咨询服务公司，目前，美国50%以上的司法机关建立了自己的计算机取证实验室。针对计算机取证的全部活动而言，美国等国家的各研究机构与公司所开发的工具主要覆盖了电子数据证据的捕获取、分析和呈现的过程。随着网络科技的发展,针对这3部分的取证工具和技术也在突飞猛进。

0.1 数据捕获工具

1）X-ways Forensics。

X-Ways Forensics是为计算机取证分析人员提供的功能强大的捕获数据工具。X-Ways Forensics包含W inHex软件的所有基本功能和一些新增的特有功能。如:①磁盘复制和镜像;②可检查RAW原始数据镜像文件中的完整目录结构,支持分段保存的镜像文件;③内置对RAID 0、RAID 5和动态磁盘的处理和恢复察看并获取物理RAM和虚拟内存中的运行进程;④可对特定文件类型恢复(从FileSig导入上百种文件特征标识);⑤数据擦除功能,可彻底清除存储介质中数据,对磁盘或镜像文件处理,收集残留空间、空余空间、分区空隙中的信息;⑥简单地检测并分析ADS(NTFSAlternate Data Streams)。

2）GetSlack。用于捕获未分配的数据。

3）GetTime。用于捕获分散的文件。

0.2 数据分析工具

NFD (NuixForensicDesktop)是个不可多得的数据分析工具,它将关注点放在电子邮件及办公文档的分析处理上,不仅能直接搜索、察看电子邮件和附件内容,更可以通过图形方式展示不同用户之间的信件联络关系。

0.3 数据呈现工具

JFAV (JavaForensicAnalysisViewer)取证工具克服了现在数字取证的局限,使用高级信息建模技术,并使用功能强大的图形可视化的用户界面,即3D可视化技术进行数据管理。这个工具可在任何取证工具中使用XML(eXtensible Markup Language)交换电子数据,使用XML语言存储数据,再将这些数据形成三维图像进行观察、分析。

0.4 集成取证工具

1）TCT (The Coronors' Toolkit)

TCT是Earthlink网络的Dan Farmer和IBM公司WietseVenema研究员为了协助计算机取证而设计的工具包,可用来找回被删除的数据和取得系统中所有文件的属性信息。它有4个主要组成部分:

Grave-Robber,Unrm&Lazarus, Mactime和一组小工具( file, ils, icat等)。

Grave-Robber是TCT中支持其他程序运行的框架。通过调用其他子程序找到文件、程序和网络信息等有用的数据,同时避免对原始数据的破坏,并能保存和输出取证结果。

Unrm&lazarus用来恢复被删除的数据。unrm程序通过把所有处于空闲状态数据块的内容都按字节拷贝到取证软件的数据空间,以防止对原始数据的破坏。Lazarus用来整理由unrm找回的未知结构数据,以方便用户阅读和操作。

Mactime用于读取并且报告系统中所有文件的MAC时间,为取证人员了解程序的调用以及敏感文件的访问和改变时间提供帮助。

这些小工具可由grave-robber调用执行,也可自己单独使用。如, file用来确定文件是文本文件还是二进制程序; ils用来显示被删除的索引节点的原始资料; icat用于取得特定的索引节点对应的文件内容等。

2）EnCase

Encase被称为是唯一的完全集成的基于Windows界面的取证应用程序,其功能包括:数据浏览、搜索、磁盘浏览、数据预览、建立案例、建立证据文件和保存案例等。

EnCase是用C++编写的容量大约为1 MByte的程序,可以调查W indows, Macintosh, Linux,Unix或DOS机器的硬盘,把硬盘中的文件镜像成只读的证据文件,所以可以防止调查人员因修改数据而使其成为无效的证据。为了确定镜像数据与原始数据相同, EnCase将计算机CRC校验码和MD5哈希值进行比较。EnCase对硬盘驱动镜像后重新组织文件结构,采用Windows GUI显示文件的内容,允许调查员使用多个工具完成多个任务。

3）ForensicX

ForensicX主要运行于Linux环境,是以收集数据及分析数据为主要目的的工具。它与配套的硬件组成专门工作平台。利用Linux支持多种文件系统的特点,提供在不同的文件系统中自动装配映像的能力,能发现分散空间的数据,分析Unix系统是否含有木马程序。其中的Webtrace可以自动搜索互联网上的域名,为网络取证进行必要的收集工作,新版本有识别隐藏文件的工具。

4）Forensic Toolkit(FTK)

FTK功能包括:可创建映像、察看注册表、执行案件调查、数据分析、解密文件、破解密码以及创建报告。

最近几年，国内逐渐意识到计算机取证技术的重要性，各高校及研究机构开始从事计算机取证相关的研究和实践。其中中科院主攻取证机的研发，浙江大学和复旦大学在取证技术、吉林大学在网络逆向追踪、电子科技大学在网络欺骗、北京航空航天大学在入侵诱骗模型等方面展开了研究工作。各研究机构与公司也都在进一步优化现有的各种工具，提高利用工具进行电子证据搜集、保全、鉴定、分析的可靠性和准确度，进一步提高计算机取证的自动化和智能化，但目前还没有能够全面鉴定电子数据证据设备来源、地址来源、软件来源的工具。

但是这些产品目前都存在许多不足，如产品功能不全面，产品恢复的成功率不高，自动化程度低，使用不方便，不支持远程数据恢复等等。

1 数据恢复技术的需求分析

未来几年，国内对电子数据恢复技术的需求将呈现大幅度的增长，表现在：

1）数据恢复技术将随着电子数据取证需求的增长而得到进一步应用。

2012年3月，全国人大通过了刑诉法修正案，“电子证据”正式写入刑诉法，且根据民诉法修正案草案，“电子证据”也有望列入民诉法。电子证据入法，表明电子数据取证及鉴定业务将呈现快速增长的趋势，数据恢复产品作为电子数据取证产品的重要组成部分，将具有良好的市场应用前景。

2）数据恢复技术对保障公安系统的信息安全也将发挥重要作用。

对于公安部门而言，由于内部信息化系统的广泛建设，各种网络设备、计算机设备和存储介质的大量使用，越来越多的日常办公和案件信息都以电子数据的形式存储在各种电子设备里。由于电子数据具有容易删除和被修改的特性，同时电子设备在使用过程中也会出现不同情况的损坏。当数据丢失或损坏，或者使用人员无意将使用的数据损坏时，都急需对数据进行恢复处理。数据恢复产品在公安业务中具有广泛的应用前景与市场需求。

3）作为信息安全产品，电子数据恢复技术可以作为信息安全保障手段的一项重要内容，是有效保障电子信息安全的最后一条防线。

数据恢复技术研究，将丰富信息安全保障技术的研究内容，对保障信息安全具有一定的积极作用。

2 数据恢复技术发展趋势

目前，数据恢复技术朝着全面、深度的方向发展。针对不连续块数据，着重研究其成功率和恢复效率；支持的范围更广，涉及各类智能移动终端、RAID磁盘和各种操作系统等；应用模式更灵活，要求数据恢复产品能够通过网络实现数据的远程恢复，并具有较高的自动化程度。

2.1 文档碎片数据的快速恢复技术

针对电子文档的损坏及删除后数据碎片的恢复，国内当前主要采用基于连续块的数据恢复技术，该技术对不连续块数据的恢复率较低。基于编码规则的文档数据恢复技术，以文档数据的有效编码为特征，以文档编码规则和组合规则为条件，采用回溯递推方法寻找所有数据块，采用分特征分数据段索引方法来提高检索效率；另外采用层叠匹配规则方法来定位有效数据块，逐一进行数据块的检索过滤，提取存储介质中属于有效编码的数据块以恢复各种文档，具有文档识别率高，搜索速度快的特点。该项技术可有效恢复已丢失文件签名或文件结束字符等特征的文档数据文件，及未被其他文件覆盖的各种文字信息，并且能够发现已损坏文档的碎片，并从存储介质中自动提取，具有较高的文档恢复成功率。

2.2 智能移动终端闪存芯片的数据碎片恢复技术

由于手机、平板电脑等智能移动终端采用各种均衡写入算法以及垃圾回收和坏块管理技术，导致难以解析和恢复闪存芯片镜像的碎片数据。智能移动终端闪存芯片的数据碎片恢复技术针对物理层碎片研发了基于地址映射表、基于引导扇区搜索和冗余数据分析等多种重组分析算法，将闪存芯片数据分析环境转化为标准数据分析环境，在此技术基础上可恢复闪存芯片里文档、图片、视频等各类数据碎片；针对逻辑层碎片，根据特有的逻辑数据编码特征，建立数据查找的编码特征库、数据解析的解码特征库、逻辑碎片恢复的解码特征库，对镜像数据进行分段分块索引，再根据编码特征库查找数据段和数据碎片，并根据解码特征库进行解析，达到碎片恢复的效果，恢复过程不依赖于闪存芯片的文件系统格式。

2.3 Sqlite数据库删除数据重组技术

Sqlite数据库被广泛应用在计算机及各种智能终端上，主要存放通信产生的数据。针对聊天、邮件、短信等删除数据，现有碎片恢复软件通常采用索引恢复技术，当头部索引被覆盖或者存在伪索引的情况，该技术就无法正常恢复数据。数据重组技术提供了一种全新的删除记录的结构重组方法，通过基于删除记录二元组信息上的通用关键点特征和Sqlite多记录空闲链表节点的记录元组划分方法，利用记录关键节点合并和分离算法，识别真伪关键点，并且自适应消除关键点碎片，以提高空闲链表节点多记录划分的准确性和全面性；并引入变长滑动窗口机制和子滑动窗口机制来重组删除记录。这种机制能够自动判断记录是否为碎片，准确定位索引和内容，进而实现删除记录的重组。此项技术的提出，可有效应用于IOS、Android、Windows、Linux、Unix等平台，解决了Sqlite删除数据的取证问题。

3 小结

近年来，随着计算机应用的普及，以计算机及网络为工具的犯罪形式开始成为信息时代威胁人们生命、财产安全的新毒瘤。由于作案手法的隐蔽性、多样性等特点，公安取证人员从现场直接提取的“作案痕迹”无法成为有利证据，必须借助高科技取证技术以提取存储于或隐藏于计算机内的数字证据，从而实现再现作案现场的目的。

在实际情况中，许多电子数据经常被人为删除或损坏，导致执法部门不易获取到犯罪人员的作案证据，执法人员必须借助数据恢复技术才能对删除或损坏的数据进行恢复。近年来，数据恢复技术在公安机关侦查高科技犯罪案件中越来越得到广泛应用，已经成为电子数据取证技术的重要组成部分。

[1]蒋平,黄淑华,杨莉莉.数字取证[M].中国人民公安大学出版社,2007.

[2]丁丽萍,王永吉.计算机取证的相关法律技术问题研究.软件学报,2005,16(2):260～275

[3]Noblet, M., Pollit, M.Recovering and Examining Computer Forensic Evidence Forensic Science Communications,2000,2(4):9～18

[4]Reilly, D..Cloud Computing: Pros and Cons for ComputerForensic Investigations, International Journal of Multimedia and Image Processing (IJMIP2011), vol.1,pp.26-34.

[5]Dykstra, J..Acquiring Forensic Evidence from Infrastructure-as-a-Service Cloud Computing: Exploring and Evaluating Tools, Trust, and Techniques, DFRWS,2012, 156～162

[6]Delport, W., Olivier, M.S., and Kohn, M., Isolating a Cloud Instance for a Digital Forensic Investigation,2011 Information Security for South Africa, 2011, 87～94

[7]Sasa Mrdovic, Alvin Huseinovic, Ernedin Zajko.Combining Static and Live Digital Forensic Analysis in Virtual Environment, ICAT, 2009, 1～6

[8]钟琳，许榕生，虚拟机文件取证分析，计算机工程，2010，36(8)，p.76～78

[9]冯国登，张敏.云计算安全研究[J].软件学报2011，22（1）：71～83.

[10]张有东，曾庆凯，王建东.网络协同取证计算研究[J].计算机学报.2010，3（33）：504～513.