电子数据恢复软件的比较研究.doc

目 录 1 数据存储原理 2 1.1 FAT32文件系统 2 1.2 NTFS文件系统 3 2 实验基本情况 5 2.1 实验环境 5 2.2 实验对象 5 2.3 用于实验的4种数据恢复软件简介 5 2.4 实验样本 7 3 数据恢复实验及原理分析 8 3.1 对于被删除的数据的恢复 8 3.2 对于被格式化的数据的恢复 11 3.3 对于NTFS格式的磁盘下被删除的数据的恢复 15 4 对四种数据恢复软件的比较 18 4.1 四种软件对磁盘扫描位置的区别 18 4.2 扫描内容的区别 18  引 言 随着科学技术和经济的高速发展，计算机已经进入人类生活的每个方面，其中也包括犯罪活动。如在毒品交易中，一些高级的毒贩需要像其他商人一样在计算机上保留售货纪录；在大型走私活动中，走私企业也会在计算机中留下走私的证据；恐怖分子也利用计算机传递消息或进行恐怖性的袭击，基地组织就曾经通过数字水印技术交换数据或下达指令。计算机犯罪行为（如电子商务纠纷，计算机犯罪等）不断出现，一种新的证据形式——存在于计算机及相关外围设备（包括网络介质）中的电子证据，逐渐成为新的诉讼证据之一。 在计算机犯罪中，犯罪分子总会故意删除硬盘上的文件，以达到毁灭证据的目的。作为公安机关侦查部门，非常需要几款操作方便简单，性能良好的数据恢复软件恢复这些犯罪证据，为侦查提供方向，为诉讼提供证据。然而实际上笔者经常看到的情况是，大部分侦查员在数据丢失时想到了数据恢复软件，但只是慌乱地找一款软件来“试试”，自然恢复效果一般不会理想。事实上各款数据恢复软件在不同情况是有较大区别的，何时使用何种软件仍有一定讲究。本文对常见的四款数据恢复软件进行了对比评测，希望能提供各种情况下数据恢复的清晰结果，当“数据毁灭”问题发生时，侦查人员可以按图索骥，对照相应的结果找到适合当前情况的软件。 目前用于数据恢复的工具软件(以下简称：数据恢复工具或工具)有FinalData、EasyRecovery、EnCase、WinHex等，每个工具都有其优点和缺点，恢复效果也会有一定的差别。如何提高数据恢复的成功率，选择合理的工具，是电子物证检验中面临的一个问题。本文选取了公安部物证鉴定中心案件检验中常用的4种数据恢复工具(FinalData、EasyRecovery、EnCase、WinHex)进行数据恢复实验，从各个工具的功能、可操作性、数据恢复效力等方面进行比较，并给出在实际案件检验鉴定中的建议。  1 数据存储原理 一般情况下，用户访问文件是通过文件系统来实现的，在用户磁盘中存放着数据，这些数据被随机或者通过某种算法存储在用户的存储设备中，并通过文件系统将这些数据组织起来，以文件的形式提供给用户。目前存储设备中最常用的文件系统有两种，即FAT32文件系统和NTFS文件系统，接下来简要介绍一下这两种文件系统在存储文件时的基本原理。 1.1 FAT32文件系统 FAT文件系统的历史比较长，按其FAT表项位数的不同，可分为FAT12文件系统、FAT16文件系统、FAT32文件系统，FAT12文件系统一般多用于软盘，FAT16文件系统多用于较小的磁盘分区中，FAT32目前是一个使用较为广泛的文件系统。 当一个磁盘分区被格式化为FAT32文件系统时，这个分区会被分为若干个部分，其中包括引导扇区，保留扇区，FAT1，FAT2，根目录区，数据区，引导扇区分为主引导扇区MBS(masterboot sector)和分区引导扇区DBS，其主要作用就是以确定各个逻辑驱动器及其起始参数。FAT1与FAT2是完全相同的两个区域，其中主要存储的是分区的分配状态，通过FAT表可以确定分区中那些位置存储了数据，根目录区当中存储的是分区中文件的目录项，这个目录中包含了文件的一些重要属性，比如文件名(FAT32还有长文件名)、扩展名、文件大小，文件在磁盘上的起始簇号、文件的一些时间属性(比如在FATl6文件系统上的文件建立时间和日期，在FAT32文件系统上则有创建时间、修改时间、访问时间等时间属性)、文件属性等。在、Windows系统中右击文件图标，选择“属性命令可以看到这些属性。 当对存储在FAT32文件系统的分区当中的文件进行删除操作时，系统并不是完全的将这个文件删除，首先系统将文件对应的FAT表进行清空，表示原来存储该文件的扇区现在变为空状态，然后对文件的目录项的首字节进行改动，由原来用于存储文件名的首字节变为E5H，这样做的目的就是标志该文件已经被删除，对于文件在数据区中的内容则没有改动，就是这种文件存储模式让数据恢复成为可能。 在对分区进行格式化操作时，系统则对分区中的FAT表和根目录区进行全部清空，这样就标志着整个分区中现在没有任何数据，图1.1,1.2为磁盘在