达思数据恢复◢技术在计算机取证中的应用

　　信息技术的发展使计算机犯罪活动日益猖獗，取证技术越来越受到人们的关注和重视。现实中嫌疑人反侦察意识加强，数据很容易被篡改和销毁，使取证工作变得困难。如何迅速正确的对丢失的数据进行数据恢复和修复成了取证工作的重点。除了依靠取证软件和数据恢复软件进行数据恢复和提取，还需要取证人员掌握数据恢复基本原理，从而更准确的提取电子证据。

　　数据恢复，即将遭受破坏的数据还原为正常数据的过程。数据恢复分为三个层次：基于文件系统的数据恢复、基于文件数据特征的数据恢复和残缺数据的数据︻恢复。

　　基于文件系统的数据恢复是较为常用的数据恢复技术，常规的数据恢复软件比如R-Studio(加拿大R-TT出品)、D-Recovery(达思科技出品)、EasyRecovery(美国ontrack出品)等都是基于这一原理，通过解析文件系统，读取分区，再读取目录，根据目录提取∮数据。

　　而当文件系统遭到破坏，已经无法识别有效的分区信息，或者目录信息被全部清空的情况下，就需要按照文件的数据特√征来恢复数据。

　　不同类型的文件都有一定的数据特征，比如每个数据文件都有一个文件头，同一类型的文件头是一样的，可以根据不同文件类型的文件特征从数据区直接扫描恢复文件数据。比如，DOC 文档前八个字节数据是十六进制数 d0cf 11 e0a1b11ae1，PNG 文件前八个字节十六进制数是 89 50 4e 47 0d 0a 1a 0a。如下图

　　word文件修复：

　　图1 DOC文件头

　　PNG文件修复：

　　图2 PNG文件头

　　对于采用文件特征搜索方式恢复回来的文件，如果文件不大，刚好在文件系统分配的一个簇里面，则这个文件可以完美恢复的概率高达95%以上。但是如果文件大小超过了一个簇或一个存储单位，则文件头或文件尾被破坏，文件打不开的情况就非常多了。这种情况下必须采用残缺数据恢复技术，也就是国外常称为数据雕刻的恢复技术。

　　此外，硬盘中有一些特殊区域，比如未分配空间，目前虽然没有被使用，但可能含有先前的数据残留;文件中的“Slack”空间，即文件有效数据的结束位置到最后一个数据库的最末端位置之间的存储空间。如果文件长度不是簇长度的整数倍，在文件最后一簇中，会有一些剩余空间，可能包含先前文件的残留数据。对这些特殊区域恢复出的数据或者信息片段，也是需要用到文件雕刻技术来恢复的。

　　在实际的计算机取证中，使用达思公司研制的D-Recovery企业版，可解决大部分文件系统▓级的数据恢复问题。操作步骤也很简单，真正复杂和具有挑战性的是文件级的数据恢复与修复工作，用达思公司提供的一些Ψ工具，也可解决这类难题。

　　如文件头被篡改的情况下，无论使用R-Studio还是EasyRecovery，要么是识别不了这些文件，要么是识别错误，得到的文件打不开。比如，我们将一个pdf文件：“测试.pdf”改后缀名为“测试.jpg”，通过RStudio加载，如下图

　　图3 用RStudio读取

　　用Winhex按照jpg格式查找，无法找到。这种情况下，需要检查提取文件的文件名和文件头的匹配情况，如若不匹配，按照文件头而不是文件名来打开文件。对于文件内容被破坏，可针对〓不同文件类型，采用有针对性的雕刻修复。比如DOC文件头被破坏，清零，该文档无法打开。

　　文件报错图4 文档无法打开

　　这种情况下，需要进行二进制编辑，用编辑器打开要雕刻的文档，在文件头处回写“D0 CF 11 E0 A1 B1 1A E1”，对文件进○行修复。修复doc文件

　　图5 修复DOC文档

　　文档可正常打开，见下图。

　　word文件修复成功图6 文档正常打开

　　对于一些图片文件，可根据特征进行雕刻修复，JPEG、PNG、TIFF等文件，是分块压缩的，如果获得了部分数据，可以构造数据结构，使找到的这部分数据可读。

　　关于达思科技

　　达思科技，国家级高新技术企业，天津市国家保密局涉密载体数据恢复唯一协作单位，数据恢复行业著名品牌，在国内乃至全亚洲数据恢复技术领先!

　　达思科技的全称是达思凯瑞技术(北京)有限公司，成立于2007年8月，注册资金1500万元。

　　达思科技是一家以数据恢复与取证技术研发为核心的国家级高新技术企业，公司拥有自主知识产权的数据恢复与取证软件30多种。公司下设研发中心、数据恢复与取证服务部、服务器RAID数据恢复应急中心等。

　　数据恢复技术优势明显

　　达思科技是一家真正掌握数据恢复核心技术的企业，尤其在Unix及Linux大型存储设备的数据恢复方面(包括EXT3文件系统删除数据、UFS文件系统数据恢复、XFS文件系统数据恢复技术、IBM-AIX JFS2文件系统数据恢复高端技术、Vmware虚拟机数据恢复技术、Oracle数据库修复技术、苹果mac数据恢复技术等)独树一帜，在数据恢复行业中具有明显的优势，达思科技承接的其他公司无法恢复的疑难案例不计其数。

　　专注手机数据↙恢复与取证技术

　　达思科技专注智能手机数据恢复与取证技术，在智能手机逻辑数据提取与分析技术、智能手机数据删除数据恢复技术、逻辑级手机取证分析、物理级手机数据恢复与取证技术、智能手机特殊应用(app)数据恢复与取证分析等方面具有明显的技术优势。

　　数据恢复实训室全面开花

　　达思科技数据恢复实训室解决方案是中高等职业院校的首选，成功案」例包括北京劳动保障职业学院、北京政法职业学院、北京商贸学校、北京经济管理职业学院、北京信息职业技术学院等中高职院校均采用达思数据恢复实训室，并且开设数据恢复专业课程。达思数据恢复实训室开启了校企合作，协助学校开设数据恢复实验课程，达思数据恢复专家走进课堂，亲自讲解数据恢复核心技术，为学生提供丰富的实训技术，深受学生喜爱!

　　涉密单位数据恢复与取证实验室获好评

　　达思科技为公检法军等涉密单位开发了不少具有针对性的专业数据恢复与取证设备，如：达思数据恢复文件系统级专用机、达思数据恢复企业级应用专用机、达思智能手机数据恢复与取证专业版、达思数码复印机硬盘敏感信息检查系统等，是涉密单位和科研院所必备的数据恢复与取证装备。

　　数据恢复与取证实验室成功案例有天津市国家保密局数据恢复实验室项目、总装备部装甲兵工程学院数据恢复实验室项目、中央和国家机关涉密载体销毁中心数据恢复项目、总参某研究所数据恢复实验室项目等。

　　达思数据恢复培训，只讲真技术，创业者的首选

　　达思数据恢复培训已经经历了10年的历程，截止到2015年12月，累计培训学员超过6000名，达思数据恢复培训中高级班、取证班等，主要面向数据恢复公司创业者、涉密单位的技术人员、公检法军技术骨干、高校计算机系教师等。目前中高级学员累计超过150人。参加达思数据恢复中高级培训是真正掌握数据恢复技术的最佳选择。

　　达思科技中国数据恢复与取证真专家!热线：4007000017

　　微信号：woocs

　　长按识别二维码关注

　　专注数据恢复与取证技术、互联网

　　电话咨询：400-700-0017

　　投稿：woocs@qq.com