电子物证中残留Word目录与文件分析.docxVIP

??

?

??

电子物证中残留Word目录与文件分析

?

?

?

?

?

??

?

?

?

陶永红，王亢（浙江警察学院，浙江杭州310053）

摘要：本文从计算机操作系统对文件管理的基奉原理出发，着重分析了FAT32文件系统中Word文字处理器使用进程中文件的存贮规律。验证了如何使用工具软件发现并恢复Word文件在磁盘上残留的临时文件、备份文件、自动恢复文档等文件及目录项。本文的观点和方法为各类案件侦察、取证提供了新的思路，对计算机电子物证的发现有一定的参考价值。

关键词：电子物证；数据存储；残留目录；数据恢复

TP393.08：A

0引言

随着信息技术的发展，近年来计算机已进入互联网时代，计算机已成为我们生活、学习、工作中必不可少的工具，也越来越多出现在犯罪现场，计算机侦查与取证技术也就成为各类案件侦查、取证工作中常用的手段。伴随计算机软硬件的迅速发展，计算机取证技术也日新月异，取证与反取证的斗争也越来越突出。比如，一些嫌疑人为了躲避侦察在文字处理过程中打印结果后放弃存盘。

Word是常用的一种文字处理器，本文从磁盘存储原理出发，在实验的基础上分析了Word在使用过程中产生的临时文件、自动恢复文件等文件的形成规律。从这些残留文件的目录项得出文件的创建时间，修改时间、访问时间、文件首地址和文件长度等重要信息，也可以使用数据恢复软件恢复这些残留文件，从而为侦察工作提供直接和间接的线索或证据，这对计算机电子物证的侦察与获取具有一定实际意义。

1硬盘的存储原理

1.1新建分区一个新的磁盘使用之前首先要对磁盘进行分区，将磁盘划分成一定的逻辑盘（如C盘、D盘、E盘），然后对分区进行格式化建立相应的文件系统（如FAT32、NTFS等），磁盘如此操作后才能存贮数据。系统通过记录在分区表中的信息对各分区进行识别与管理。磁盘分区后最前面的是主引导区记录着整个磁盘的分区的类型、大小、各逻辑盘启始和终止位置等情况。1.2FAT文件系统

逻辑盘在格式化时可选择不同的文件系统，个人计算机通用选择FAT32或NTFS文件系统。不同的文件系统在存贮数据时格式是不同的，但基本原理有相同之处。目前SD卡、CF卡、U盘较多使用FAT32文件系统。本文主要介绍在FAT32文件系统。

Windows在完成格式化逻辑盘过程中产生引导程序、文件分配表、根目录和数据区。

1.3新建文件

当一个文件保存到逻辑盘（如C盘）时，在根目录中产生一个目录项，目录项中记录着文件名、文件存贮的起始位置、文件长度、属性、时间等信息。文件本身存贮在数据区，一个文件特别是大文件存贮在数据区时不一定放在一个连续的区域，可能存放在几个不连续区域（碎片）。文件分配表记录着一个文件存贮在那几个区域（地址）。

1.4读取文件

计算机在读取一个文件时，首先到目录区城得到这个文件的目录项从目录项中得到这文件存放的起启地址，然后根据这个地址和文件分配表中的记录的各数据区块的地址就可以读取这个文件的所有数据。

1.5删除文件

Windows系统删除一个文件时只是把目录项做了删除标记，同时清空文件分配表中该文件的相应记录，而存放在数据区中的文件本身并没有删除。由于一个文件在数据区存放的可能是连续的一个数据区，也可能存放在几个不连续的数据区中。文件删除后，记录该文件实际的存放情况的分配表中数据被清零，真实的数据存放位置丢失了，这给我们能否成功恢复数据带来了不确定性。不同的数据恢复软件或同一软件提供的不同的恢复选项所采取的算法有所不同，因此我们在数据恢复实现过程中，可以试用不同的数据恢复软件，或同一软件所提供的不同选项，会达到不同的效果。

即使被删文件的数据被新的文件覆盖，还可以从残留的目录项中得到文件创建、修改和访问时间。

1.6格式化逻辑盘

Windows系统格式化逻辑盘时，格式化程序只把其文件分配表与根目录区清零（子目录在数据区，等同于文件数据被保留下来），其数据区的数据仍然存在，但是这些数据并不能为系统所认识。与文件删除不同的是格式化清空了所有的分配表，同时清空了根目录区的所有目录项。

1.7数据恢复

从上述分析得到，不管是删除还是格式化等操作，作为文件的主体数据并没有真正的删除，这就为我们数据恢复创造了条件。当然文件的删除，磁盘的格式化等操作严格的讲不是一个[]可逆的过程。数据恢复软件只是根据数据存贮原理，采用一定的算法来恢复数据的一种补救措施，由此恢复出来的数据不一定都能正常使用。通常情况下，小的文件、较新的磁盘（或碎片整理不久）、删除不久还没有被覆盖的数据被恢复成功的可能性比较大。在数据恢复实现中，应在文件丢失后第一时间停止任何操作，交给有经验的技术员恢复数据。试着选择不同软件（或同一软件的不同方法）恢复数据。提高数据恢复的成功率。

1.8文件粉碎

从文件删除