——[  Index

 

0.-介绍

1.- 实例操作

2.- 原理解析

3.- 计算机取证技术

4.- 保护隐私,破解恢复的方法

---------[介绍

日常生活中,我们经常执行的操作里面肯定是有删除操作的,所以误删文件就是一个很令人头疼的问题,如果我们不小心误删了珍贵的文件怎么办?这里就结合回收站删除文件的恢复实例来说明一下数据恢复的方法!!!

---------[实例操作

首先,我比较喜欢的三款数据恢复软件分别是:
1.Recuva
2.Recover My Files
3.EasyRecovery

注:其实有很多的软件,国内外的都有,看自己喜好了。

下载 (54.75 KB)

 

2009-4-29 22:28

下载 (111.52 KB)

 

2009-4-29 22:28

下载 (47.36 KB)

 

2009-4-29 22:28

下载 (51.12 KB)

 

2009-4-29 22:28

下载 (56.71 KB)

 

2009-4-29 22:28

---------[原理解析

这里要指出的是如果只能使用Windows本身提供的工具,那么我们可以认为清空回收站之后,被删除的档已经彻底清除了。不过事实并非如此,只要有专用的硬件和软件,即使数据已经被覆盖、驱动器已经重新格式化、引导扇区彻底损坏,或者磁盘驱动器不再运转,我们还是可以恢复几乎所有的档。下面我们就来分析看看,这到底是怎么回事!

1、磁盘如何保存数据
2、Windows不能真正清除檔
3、覆盖七次才能清除的蛛丝马迹
4、被遗忘的角落

  1、磁盘如何保存数据
  要理解如何恢复已删除的数据,首先要搞清楚磁盘如何保存数据。硬盘驱动器里面有一组盘片,数据就保存在盘片的磁道(Track)上,磁道在盘片上呈同心圆分布,读/写磁头在盘片的表面移动访问硬盘的各个区域,因此文件可以随机地分布到磁盘的各个位置,同一文件的各个部分不一定要顺序存放。
  存放在磁盘上的数据以簇为分配单位,簇的大小因操作系统和逻辑卷大小的不同而不同。如果一个硬盘的簇大小是4 K,那么保存1 K的档也要占用4 K的磁盘空间。大的档可能占用多达数千、数万的簇,分散到整个磁盘上,操作系统的文件子系统负责各个部分的组织和管理。
  当前,Windows支持的硬盘文件系统共有三种。第一种是FAT,即所谓的文件分配表(File Allocation Table),它是最古老的文件系统,从DOS时×××始就已经有了。Windows 95引入了第二种文件系统,即FAT 32,Windows NT 4.0则引入了第三种文件系统NTFS。这三种文件系统的基本原理都一样,都用一个类似目录的结构来组织文件,目录结构包含一个指向文件首簇的指针,首簇的FAT入口又包含一个指向下一簇地址的指针,依此类推,直至出现文件的结束标记为止。

  2、Windows不能真正清除档
  在Windows中,如果我们用常规的办法删除一个档,档本身并未被真正清除。例如,如果我们在Windows资源管理器中删除一个文件,Windows会把档放入回收站,即使我们清空了回收站(或者不启动回收站功能),操作系统也不会真正清除文件的数据。
  Windows所谓的删除实际上只是把文件名的第一个字母改成一个特殊字符,然后把该文件占用的簇标记为空闲状态,但文件包含的数据仍在磁盘上,下次将新的档保存到磁盘时,这些簇可能被新的档使用,从而覆盖原来的数据——因此,只要不保存新的档,被删除文件的数据实际上仍旧完整无缺地保存在磁盘上。
      因此,我们可以用工具软件绕过操作系统,直接操作磁盘,恢复被删除的档。这类工具软件很多,EasyRecovery就是其中的佼佼者。
如果不小心删除了某个重要文件,想要恢复,这时千万不要覆盖它。立即停用计算机,不要再向磁盘保存任何档,包括不要把恢复工具安装到已删除文件所在的硬盘,因为任何写入磁盘的内容都有可能覆盖已删除档释放的磁盘簇。如果必须安装恢复工具,可以安装到其他硬盘分区、软盘,或者干脆拆下硬盘到另一台机器上去恢复。

     3、覆盖七次才能清除的蛛丝马迹
  如果数据已经覆盖,用通常的恢复工具就无能为力了,但这并不意味着我们绝对不能挽救丢失的数据。读取硬盘上被覆盖的数据通常有两种办法。
  读/写磁头向磁盘写入数据时,它会将磁化数据位的信号调整到某个适当的强度,但信号不是越强越好,不应超出一定的界限,以免影响相邻的数据位。由于信号强度不足以使存储媒介达到饱和的磁化状态,所以实际记录在媒介上的信号受到以前保存在同一位置的信号的影响,例如,如果原来记录的数据位是0,现在被一个 1覆盖,那么实际记录在磁盘媒介上的信号强度肯定不如原来数据位是1的强度。
  专用的硬设备能够精确地检测出信号强度的实际值,将这个值减去当前数据位的标准强度,就得到了被覆盖数据的副本。理论上,这个过程可以向前递推七次,所以如果要彻底清除文件,必须反复覆盖数据七次以上,每次都用随机生成的数据覆盖。
  第二种数据恢复技术的依据是,磁头每次读/写数据时,不可能绝对精确地定位在同一个点上,写入新数据的位置不会刚好覆盖在原来的数据上。原有数据总是会留下一些痕迹,利用专用的设备可以分析出原有数据的副本——称为影子数据。当然,如果我们反复执行覆盖操作,原有数据的痕迹也会越来越弱。
  ● 影子数据:被覆盖的数据总是与新写入的不离左右,就像人的影子总是紧跟着人,因此被覆盖的数据就称为影子数据。英文功力好的读者可以参见这篇专著:http://www.forensics-intl.com/art15.html
  通常而言,能够恢复已删除、覆盖的数据应该算是一件好事,当然,某些必须彻底清除数据的场合除外。这方面最为著名的标准是美国国防部订立的磁盘清洗规范,它要求数据必须覆盖三次:第一次用一个8位的字符覆盖,第二次用该字符的补码(0和1全反转的字符)覆盖,最后用一个随机字符覆盖。不过这个清洗方法不适用于包含高度机密信息的媒介,这类媒介必须进行消磁处理,或者销毁其物理载体。当然,对于大多数场合来说,简单的覆盖处理已经足够。

  4、被遗忘的角落
  删除和覆盖档还不能清除硬盘上的所有敏感数据,因为数据可能隐藏在某些意料之外的地方,所以档占用的每一个扇区都必须彻底清洗——所谓扇区,就是大小为512字节的数据片断,每个簇包含多个扇区。
向磁盘写入档时,档的最后一部分通常不会恰好填满最后一个扇区,这时操作系统就会随机地提取一些内存数据来填充空余区域。从内存获取的数据称为RAM Slack(内存渣滓),它可能是计算机启动之后创建、访问、修改的任何数据。另外,最后一个簇中没有用到的扇区就原封不动,即保留原来的数据,称为 Drive Slack(磁盘渣滓)。问题在于许多号称安全删除档的工具不会正确清除内存渣滓和磁盘渣滓,而这些被称为渣滓的地方却可能包含大量的敏感信息。

在 NTFS文件系统中,每个文件包含多个流,其中一个流用来保存访问权限之类的信息,另一个流用来保存真正的文件数据。除此之外,NTFS还允许额外的数据流,即ADS(Alternative Data Stream),ADS可以用来保存任何信息,最常见的用途是保存图形文件的缩略图。由于许多安全删除档的工具不能清除ADS,所以即使存放文件实际数据的流已经清除,但缩略图仍可能泄露机密。微软知识库文章319300(http://support.microsoft.com)介绍了如何防止系统创建缩略图使用的流,即删除注册键

  1. HKEY_LOCAL_MACHINE\System\Currentcontrolset\Control \Contentindex\FilterTrackers

复制代码

●ADS:ADS 这个缩写词经常用来表示活动目录服务(Active Directory Services),不过本文中ADS是指「可选数字流」,是文件主体数据之外的附属信息存储区域。就像你的公文包,包里面是正式存放物品的主空间,但包的外面还会有一二个附属小口袋便于快速取用物品,这些小口袋就相当于ADS。
  ADS已是人们熟知的隐藏数据和病毒之地,经常被计算机犯罪分子利用。但除此之外,硬盘上还有其他可以隐藏数据的区域。
  扇区是在低级格式化期间创建的,通常由硬盘制造厂完成。低级格式化工具会标记出损坏的扇区,从而避免磁盘控制器向损坏的区域写入数据。簇包含多个扇区,由高级格式化工具创建,如Windows或DOS的format命令。如果高级格式化期间发现坏扇区,整个簇被标记为坏簇,但是,坏簇里面还有好的扇区,有些人就利用这些扇区来隐藏数据。
  在老式磁盘上,数据还可以隐藏在称为扇区缝隙的地方。老式磁盘的每一个磁道都有数量相同的扇区,但外圈的磁道显然要比内圈的磁道长,有些人就利用外圈磁道上扇区之间的缝隙来保存数据。新型磁盘利用一种称为分区记录(Zoned Recording)的技术避免了这种空间浪费,它能够根据磁道的位置调整每个磁道的扇区数量。
  综上所述,我们可以说恢复数据实际上要比彻底清除数据简单。如果你不小心删除了某个重要的文件(谁都会遇到这类事情),恢复工具就是救命的稻草!!!

-----------[计算机取证技术

介绍:
计算机取证(Computer Forensics)在打击计算机和网络犯罪中作用十分关键,它的目的是要将犯罪者留在计算机中的“痕迹”作为有效的诉讼证据提供给法庭,以便将犯罪嫌疑人绳之以法。因此,计算机取证是计算机领域和法学领域的一门交叉科学,被用来解决大量的计算机犯罪和事故,包括网络***、盗用知识产权和网络欺骗等。

  1.什么是计算机取证
  从技术角度看,计算机取证是分析硬盘、光盘、软盘、Zip磁盘、U盘、内存缓冲和其他形式的储存介质以发现犯罪证据的过程,即计算机取证包括了对以磁介质编码信息方式存储的计算机证据的保护、确认、提取和归档。取证的方法通常是使用软件和工具,按照一些预先定义的程序,全面地检查计算机系统,以提取和保护有关计算机犯罪的证据。
  计算机取证主要是围绕电子证据进行的。电子证据也称为计算机证据,是指在计算机或计算机系统运行过程中产生的,以其记录的内容来证明案件事实的电磁记录。多媒体技术的发展,电子证据综合了文本、图形、图像、动画、音频及视频等多种类型的信息。与传统证据一样,电子证据必须是可信、准确、完整、符合法律法规的,是法庭所能够接受的。同时,电子证据与传统证据不同,具有高科技性、无形性和易破坏性等特点。高科技性是指电子证据的产生、储存和传输,都必须借助于计算机技术、存储技术、网络技术等,离开了相应技术设备,电子证据就无法保存和传输。无形性是指电子证据肉眼不能够直接可见的,必须借助适当的工具。易破坏性是指电子证据很容易被篡改、删除而不留任何痕迹。计算机取证要解决的重要问题是电子物证如何收集、如何保护、如何分析和如何展示。
  可以用做计算机取证的信息源很多,如系统日志,防火墙与***检测系统的工作记录、反病毒软件日志、系统审计记录、网络监控流量、电子邮件、操作系统文件、数据库文件和操作记录、硬盘交换分区、软件设置参数和文件、完成特定功能的脚本文件、Web浏览器数据缓冲、书签、历史记录或会话日志、实时聊天记录等。为了防止被侦查到,具备高科技作案技能犯罪嫌疑人,往往在犯罪活动结束后将自己残留在受害方系统中的“痕迹”擦除掉,如尽量删除或修改日志文件及其他有关记录。但是,一般的删除文件操作,即使在清空了回收站后,如果不是对硬盘进行低级格式化处理或将硬盘空间装满,仍有可能恢复已经删除的文件。
  2.如何进行计算机取证
  根据电子证据的特点,在进行计算机取证时,首先要尽早搜集证据,并保证其没有受到任何破坏。在取证时必须保证证据连续性,即在证据被正式提交给法庭时,必须能够说明在证据从最初的获取状态到在法庭上出现状态之间的任何变化,当然最好是没有任何变化。特别重要的是,计算机取证的全部过程必须是受到监督的,即由原告委派的专家进行的所有取证工作,都应该受到由其他方委派的专家的监督。计算机取证的通常步骤如下。
  (1)保护目标计算机系统。计算机取证时首先必须冻结目标计算机系统,不给犯罪嫌疑人破坏证据的机会。避免出现任何更改系统设置、损坏硬件、破坏数据或病毒感染的情况。
  (2)确定电子证据。在计算机存储介质容量越来越大的情况下,必须根据系统的破坏程度,在海量数据中区分哪些是电子证据,哪些是无用数据。要寻找那些由犯罪嫌疑人留下的活动记录作为电子证据,确定这些记录的存放位置和存储方式。
  (3)收集电子证据。
  ·记录系统的硬件配置和硬件连接情况,以便将计算机系统转移到安全的地方进行分析。
  ·对目标系统磁盘中的所有数据进行镜像备份。备份后可对计算机证据进行处理,如果将来出现对收集的电子证据发生疑问时,可通过镜像备份的数据将目标系统恢复到原始状态。
  ·用取证工具收集的电子证据,对系统的日期和时间进行记录归档,对可能作为证据的数据进行分析。对关键的证据数据用光盘备份,也可直接将电子证据打印成文件证据。
  ·利用程序的自动搜索功能,将可疑为电子证据的文件或数据列表,确认后发送给取证服务器。
  ·对网络防火墙和***检测系统的日志数据,由于数据量特别大,可先进行光盘备份,保全原始数据,然后进行犯罪信息挖掘。
  ·各类电子证据汇集时,将相关的文件证据存入取证服务器的特定目录,将存放目录、文件类型、证据来源等信息存入取证服务器的数据库。
  (4)保护电子证据
  对调查取证的数据镜像备份介质加封条存放在安全的地方。对获取的电子证据采用安全措施保护,无关人员不得操作存放电子证据的计算机。不轻易删除或修改文件以免引起有价值的证据文件的永久丢失。
  3.如何分析电子证据
  电子证据需要借助计算机的辅助程序来查看,分析电子证据的信息需要很深的专业知识,应依靠专业的取证专家。通常进行的工作包括。
  (1)借助自动取证的文本搜索工具,进行一系列的关键字搜索查找最重要的信息。
  (2)对文件属性、文件的摘要和日志进行分析,根据已经获得的文件或数据的用词、语法、写作或软件设计编制风格,推断可能的作者。
  (3)利用数据解密技术和密码破译技术,对电子介质中的被保护信息进行强行访问,获取信息。
  (4)分析Windows系统的交换文件和硬盘中未分配的空间,这些地方往往存放着犯罪嫌疑人容易忽视的证据。
  (5)对电子证据进行智能相关性分析,发掘同一事件不同证据间的联系。如分析分布式拒绝服务***证据时,可对某一时间段来自***者的IP在不同系统中留下的痕迹,按一定顺序罗列和评估其相关性。
  4.计算机取证常用工具
  计算机取证常用工具有tcpdump、Argus、NFR、tcpwrapper、sniffers、honeypot、Tripwires、 Network monitor和镜像工具等。

大家还记得FOX的经典剧集《越狱》么?在第二部中,mahone探员通过从michael的硬盘中恢复的数据得到了大量的可用资料从而使得办案事半功倍,这就是计算机取证技术的美妙之处!!!

下载 (41.21 KB)

2009-4-29 22:28

———–[保护隐私,破解恢复的方法

前面已经提到了(如果数据已经覆盖,用通常的恢复工具就无能为力了,但这并不意味着我们绝对不能挽救丢失的数据)所以我们破解恢复的方法就是这样,通过恶意的覆盖,或者是文件擦写,就可以达到这样的目的。当然,这样的功能已经通过编程实现了,具体的实现工具如下:

下载 (75.26 KB)

 

2009-4-29 22:28

下载 (67.56 KB)

 

2009-4-29 22:28

大家注意到右边的擦写标准没?这就是不同机构的擦写要求标准,一般来说我们擦写了7次后,数据恢复软件就很难在恢复文件了,如果是35次的话就更别说了,呵呵。这可以有效的防止隐私被人偷窥哦!!!!

说了这么多,亲爱的读者是否在阅读了上述的内容后学到了点什么呢?如果你能从这篇文章里学到东西,那么这文章就体现了它的价值了!!!