文档介绍:usb痕迹深度清除工具新型的网络痕迹深度恢复算法
摘 要:计算机使用痕迹,蕴含计算机使用者的操作统计甚至犯罪证据,提取、恢复这些数据是计算机调查取证过程的主要步骤。本文对经过对Windows 平台文件系统的分析,提出了一个基于最小内容特征的网络痕迹恢复算法,用于恢复提取计算机用户的上网统计。算法对磁盘或分区进行细粒度深度扫描,依据文件最小单位内容的特征决定怎样匹配并提取网络痕迹信息。试验结果表明,不论经过删除文件、快速格式化分区、重新分区还是重装系统等破坏操作,该算法仍然能够恢复全部残留的网络痕迹数据,可在计算机信息取证领域发挥巨大作用。
关键字:数据安全;网络痕迹恢复;最小内容特征;计算机取证;
中图分类号: 文件标识码:A DOI:/
本文著录格式:1封令宇,,2021,348: 58-62
0 引言
信息化给人类来带来了种种便利,无形之中也为不法分子利用计算机和网络等工具进行违法犯罪活动发明了条件,从中找到有力的证据是打击计算机犯罪的必定要求。1991年,在美国召开的国际计算机教授会议上首次提出了计算机取证Computer Forensics的概念,即利用计算机辨析技术,对计算机违法犯罪行为进行分析以确定罪犯及计算机证据,并据此提起诉讼。作为计算机取证最主要的步骤之一,本文关注的静态取证是在事后对存放介质中存留的数据进行提取、分析、确定,并解析成有效证据的过程12。
用户使用计算机的过程中,系统会自动统计用户使用的痕迹,比如访问网络的历史统计 3。而部分误操作,或不法分子掩盖犯罪事实的行为,会使得计算机中的痕迹数据丢失。所以,数据恢复,即恢复已被清除的数据,是对静态取证工作的有力补充。
传统数据恢复技术重视在文件系统层面对文件统计等数据结构进行检测恢复。比如业内流行的数据恢复产品Easy Recovery、Final Data、D-Recovery。这类产品普遍全部有难以抵抗文件系统损坏的缺点。同时,它们还缺乏对取证领域敏感数据恢复的功效。
为填补这些不足,本文提出了一个在Windows操作系统下,对用户网络痕迹的深度恢复算法。它基于文件最小内容特征的数据恢复思想4,使其在计算机遭遇磁盘格式化等破坏文件系统的操作后,仍然能恢复全部残留的网络痕迹。经过试验对比分析,本算法含有良好的性能,在扫描速率和数据恢复成功率上较现在有类似功效的产品含有一定的优势。
网络痕迹文件
在Windows操作系统中有多个隐藏文件,存放着大部分网络浏览统计和当地浏览统计,比如经过浏览器或其它应用程序访问过的URL地址、访问时间等信息。实际上它是一个保留了Cookies历史统计和IE暂时文件中统计内容的副本,即使在IE中清除了历史统计, 文件中的统计仍然存在。文件的这些特点,给计算机取证提供了很大的帮助。下表是各版本Windows操作系统汉字件的分布情况:5
经过定位并按其结构解析文件,就能成功提取计算机网络痕迹。反过来,只要将文件根本清除,就能阻止对网络痕迹的获取。更极端的方法是格式化等操作,这么全部旧文件将全部丢失不可见。
文件系统和传统数据恢复
想要找回文件,只能经过数据恢复技术。数据恢复,是对一切计算机相关存放设备中丢失的数据进行恢复6。而恢复,指的是对操作系统中未被覆盖擦除不过又不可见的目标数据进行提取,使之可见。文件是数据的封装器,操作系统使用文件系统来管理文件,只要摸清了文件系统的管理机制,就能够成功恢复数据。
主流的FAT327和NTFS7文件系统,全部是经过复杂数据结构来管理数据,如FAT32下记载文件入口的文件目录项和决定文件链式存放情况的文件分配表、NTFS中包含了数据属性的文件统计。当接收到文件删除命令时,文件系统出于对性能的考虑,并没有将文件的内容全部清除,而仅在文件控制结构上进行了简单的标识8,标志文件已被删除,文件占据的区域可被重新使用,此时文件的数据完好无损。所以,在文件控制结构和数据没有被覆盖的情况下,文件恢复的成功率和正确度为百分之百。这么,传统数据恢复技术,通常经过对文件控制结构的提取判定,再从中根据文件系统规则提取文件内容,达成数据恢复的目标。
传统的在文件项、文件统计等层次上的数据恢复技术有其不足。这类技术重视恢复整个文件,而在文件系统损坏、数据被覆盖的情况下文件恢复可能不根本,数据不正确。使用传统数据恢复技术,经过恢复文件来恢复网络痕迹的方法,会极大影响网络痕迹信息取证的可靠性和正确性。
2 基于最小内容特征的网络痕迹恢复算法
基于最小内容特征的恢复思想
不一样类型的文件全部有一套本身的数据组织