计算机取证中的数据恢复技术综述

摘要

传统数据恢复已经有很多成熟的技术，通过分析计算机取证中数据恢复技术与传统数据恢复的关系，我们证明了在计算机取证中应用数据恢复技术的可行性，实践也证明了其有效性和重要性。本文主要在介绍和分析磁盘在FAT32和NTFS 两种不同文件系统的分区结构的前提下，在综述了各种计算机取证中基于FAT32和基于NTFS 的数据恢复技术和原理、基于闪存的数据恢复技术、基于新型存储设备SSD 固态盘的数据恢复技术。然后讨论了未来计算机取证中数据恢复技术的发展趋势和挑战，即文件碎片的重组和恢复和基于SSD 的数据恢复。相比传统数据恢复，计算机取证中的数据恢复有其自己的特点和要求，最后本文从法律角度，总结了数据恢复技术在计算机取证中应用时所需要遵循的原则和流程规范。

关键字：计算机取证、数据恢复

Abstract

Traditional data recovery has a lot of mature technologies, According to analysis the relationship between data recovery in computer forensics and traditional data recovery, feasibility of applying data recovery techniques to computer forensics has been proved,much practice also has proved its effectiveness and importance. This paper describes and analyzes the different disk partition structure respectively in the FAT32 and NTFS file systems, then reviews a variety of data recovery techniques and principles respectively based on FAT32 and NTFS, flash-based data recovery techniques, SSD-based data recovery techniques in computer forensics. Next we discuss the trends and challenges of data recovery technology in computer forensics in the future, namely restructuring and recovery of file fragmentation and SSD-based data recovery. Compared to traditional data recovery, data recovery in computer forensics has own characteristics and requirements, and finally from a legal point of view, this paper summed up the principles and process specifications that need to be followed when data recovery techniques are applied to computer forensics .

Keywords: computer forensics, data recovery

摘要 ................................................................................................................................................... I Abstract .............................................................................................................................................. I

1 引言 .............................................................................................................................................. 1

1.1 计算机取证概念 . ............................................................................................................... 1

1.2传统数据恢复技术概念 . .................................................................................................... 1

1.3 计算机取证中的数据恢复与传统数据恢复的关系 . ....................................................... 2

1.4 计算机取证中的数据恢复技术研究背景及意义 . ........................................................... 2

2 计算机取证中的数据恢复技术 . .................................................................................................. 3

2.1 基于FAT32的数据恢复 .................................................................................................... 3

2.1.1 FAT32系统中硬盘数据结构 ................................................................................... 3

2.1.2 文件删除后的恢复 . ................................................................................................ 3

2.1.3 硬盘格式化或硬盘分区后的恢复 . ........................................................................ 4

2.1.4 分区表损坏后的恢复 . .......................................................................................... 4

2.2 基于NTFS 的数据恢复...................................................................................................... 4

2.2.1 NTFS系统中硬盘数据结构 . .................................................................................... 5

2.2.2 文件删除后的恢复 . ................................................................................................ 5

2.2.3 BPB损坏后的恢复 .................................................................................................. 6

2.3 基于闪存的数据恢复 . ....................................................................................................... 6

2.4 基于SSD 的数据恢复........................................................................................................ 6

3 计算机取证中的数据恢复技术发展方向 . .................................................................................. 7

3.1 文件碎片的重组和恢复 . ................................................................................................... 7

3.2 基于SSD 的数据恢复........................................................................................................ 7

4 数据恢复在计算机取证中的应用 . .............................................................................................. 7

5 总结 .............................................................................................................................................. 7

6 参考文献....................................................................................................................................... 8

1 引言

1.1 计算机取证概念

计算机取证是指能够为法庭接受的、足够可靠和有说服力的，存在于计算机、网络、电子设备等数字设备中的电子证据进行确认、收集、保护、分析、归档及法庭出示的过程。与传统证据一样，电子证据必须是可信、准确、完整、符合法律法规的。但与传统证据相比，电子证据还具有如下特点：多媒体性；脆弱性；无形性；高科技性；人机交互性；随着计算机和电信技术的不断发展，取证步骤和程序也必须不断调整与之适应[1]。电子证据的这些特点表明计算机取证中有完全不同于传统取证的问题需要研究，所以面临不少难题，也成为信息安全领域关注的焦点。

根据取证时刻和取证对象的不同，计算机取证分为静态取证和动态取证两种。静态取证主要针对静止状态存储的电子证据，是对取证计算机、外部设备和网络中相关存储设备中的定制证据和犯罪行为痕迹进行提取、分析、识别、鉴定、保全和提交的过程，是计算机传统取证技术，主要涉及数据隐藏、硬盘克隆、密码破译、数据保护、数据恢复等技术。静态取证的关键在于及时的现场保护，通过相关的文件、日志分析工具对入侵者在系统上的遗留信息进行分析和提取。动态取证是对计算机系统或网络现场进行监视获取证据，动态分析入侵者的个人信息和攻击手段，或通过陷阱和智能追踪的方式提取实时数字证据，可以实现对取证目标的计算机犯罪相关的电子证据进行实时捕捉、定位、采集和保全。

取证模型概述了整个取证事件的全过程。文献[2]综述了基本过程取证模型、事件响应过程模型、过程抽象模型、综合数字取证模型、增强型数字过程取证模型、基于目标的层次性取证模型、基于事件的取证模型和多维计算机取证模型等，并总结了取证原则和各种取证工具。文献[1]给出了计算机取证应用模型：取证准备，使得证据具有客观性；现场勘察及证据固定，保证证据获取的合法性；数据分析及证据提取，保证数据与案件的关联性；数据呈递，保证证据对犯罪定性的有效性。从技术角度来说，计算机取证相关技术的研究主要针对证据获取技术和证据分析技术。证据获取技术中，非常重要的一个技术就是数据恢复。因为电子证据具有脆弱性的特点，容易被损坏或者修改，恢复已经删除的应用文件、日志文件、交换文件或者历史文件碎片都可能成为犯罪案件的有力证据。

1.2传统数据恢复技术概念

随着社会信息化的发展，人们对于信息的依赖性越来越高，存储在各种信息设备中的数据价值已经高于设备本身，计算机数据恢复技术应运而生。数据恢复就是把遭受破坏、或由硬件缺陷导致不可访问或不可获得、或由于误操作等各种原因导致丢失的数据还原成正常数据。当用户面对计算机系统遭受误操作、病毒侵袭硬件故障黑客攻击等事件后，数据恢复技术可以将用户的数据从各种“无法读取”的存储设备中拯救出来，从而将损失减到最小。计算机数据恢复技术主要应用于计算机周边各种存储设备，如硬盘、U 盘等，一般分为软件恢复技术和硬件恢复技术。

硬件恢复技术，是指一切由硬件损坏或失效造成的数据恢复并且涉及到硬件修理，针对的是无法进行读写操作的存储设备，尤其是硬盘。硬盘由存储数据的盘片、为读取盘片设计的其他硬件和固化于硬件和盘片上的伺服软件（即固件）等三部分组成，任何部分故障都会

导致数据无法读取。相应地，硬件恢复可分为以下3种恢复方式：

（1）硬件替代：用同型号的好的硬件替代坏的硬件从而完成恢复，如硬盘电路板的替代、控制芯片的更换等。

（2）固件修复：用硬盘专用修复工具修复硬盘固件从而恢复硬盘数据。

（3）盘片读取：在专用超净工作间内对硬盘进行开盘，取出盘片，然后用专门的数据恢复设备对其扫描，读出盘片上的数据。

软件恢复技术，指一切可以通过软件方式进行修复，不涉及硬件修理的数据恢复，主要针对可以正常进行读写操作的存储设备。软件恢复技术可以下两种方式：

（1）系统级修复技术：指操作系统不能正常启动，通过修复系统使得系统正常工作，从而恢复数据。包括对分区表及文件系统信息的修补技术，比如FAT32系统的引导扇区、FAT 表、目录表以及 UNIX 系统中的超级块等信息一旦受损或丢失，就看不到系统分区，系统中的文件就无法正常读取。

（2）文件级修复技术：针对存储介质上某个应用文件损坏，又分为损坏文件的恢复和文件碎片的提取。在文件相对完整、文件头和数据区损坏不大的情况下，可以将文件恢复；但如果文件损坏很大，数据区只残留小部分，则只能提取文件碎片，这些碎片一般存在于分区内未重复使用的部分和数据簇内的剩余部分，但只对特殊的要求才有意义。

1.3 计算机取证中的数据恢复与传统数据恢复的关系

计算机取证中的数据恢复和传统数据恢复具有很多相同点，比如说基本的数据恢复技术的原理相同，从本质上讲都是从信息存储设备中提取数据，并且操作前都需要保护目标计算机系统，避免发生任何的改变、伤害、数据破坏或者病毒感染，都需要全部或尽可能恢复特殊的文件或者数据块。所以说在计算机取证中应用数据恢复技术获取电子证据在理论上是可行的。

但由于计算机取证的特点和要求，计算机取证中的数据恢复与传统数据恢复还有很多不同之处，主要体现在以下几个方面：

（1）合法性：计算机取证是国家专有的、是公检法机关针对犯罪案件进行的重要环节，计算机取证中的电子证据必须具有合法性，而由于电子证据易被修改并不留痕迹和易受环境影响的特定，这就要求取证过程采用数据恢复技术必须符合法律规范，使用工具必须通过有关部门的认证，从而使得恢复后的数据能作为具有法律效力的证据。而传统的数据恢复，是广泛向社会服务的，不一定涉及到法律问题，可能用作商业用途，也可能仅仅是个人需求。

（2）恢复对象和结果：传统的计算机数据恢复技术恢复的数据主要是应用文件，如客户专有的word 文件、视频文件、照片文件等。客户不仅关心文件内容，还关心文件的完整性，即恢复之后保证文件可以正常使用。而在计算机取证中，恢复的对象不仅仅是应用文件还有系统文件，并且恢复结果不一定完整或可用。因为恢复出来的即使仅仅是一个时间点、某个数据偏或者几个字节，都可能成为案件的重要线索。

（3）证据原始性：传统数据恢复的目标是恢复数据可用性，并不考虑是否改变取证对象。而计算机取证中的数据恢复则要求必须保持数据的原始性，这就要求两者在方法选择上会有所不同。

（4）数据恢复难度：传统的计算机数据恢复处理的主要是由于意外事件造成的数据丢失。而计算机取证中的数据恢复针对的是犯罪发生后犯罪嫌疑人为了毁灭证据而故意破坏数据的情况，数据恢复的难度就会随着犯罪嫌疑人计算机水平提高而增加。

1.4 计算机取证中的数据恢复技术研究背景及意义

随着计算机和网络技术的快速发展，整个社会各个行业的信息化程度不断加深，与计算

机相关的犯罪案件越来越普遍发生，会给个人、社会乃至整个国家带来巨大损失。所以获取充分、可靠、有说服力的证据能有力打击计算机犯罪，所以计算机取证技术应运而生。但与计算机犯罪相关的证据大多都是电子证据，犯罪嫌疑人在实施犯罪时为了掩盖其行踪，很可能删除、破坏、修改、伪造这些电子证据而给获取有价值电子证据带来很大困难。在计算机取证中应用计算机数据恢复技术恢复被删除、破坏后的数据，可以作为取得证据和犯罪线索的一种重要手段，也因此从计算机取证发展开始到现在一直得到安全领域的广泛关注。 2 计算机取证中的数据恢复技术

2.1 基于FAT32的数据恢复

2.1.1 FAT32系统中硬盘数据结构

为了使用和管理方便，数据通常以文件形式存储在硬盘上，为了深刻理解数据恢复技术，了解文件在硬盘上的存储方式是非常有必要的。在硬盘分区的基础之上，不同的文件系统有不同的逻辑组织方式。在FAT32文件系统中，硬盘被分为主引导记录区（MBR 区）、操作系统引导区（DBR 区）、文件分配表区（FAT ）、文件目录表区（FDT ）和DATA 区等五个部分。

MBR 由分区程序生成，位于硬盘的0磁道0柱面1扇区，包括硬盘引导记录MBR 和分区表DPT ；DBR 通常位于硬盘每个分区的第0个扇区，包括一个引导程序和一个本分区的参数记录表；FAT 表示用于文件索引和定位的链式结构，有两份；FDT 紧跟第二个FAT 表之后，两者配合才能准确定位文件位置。

文件内容以簇为单位存放在DATA 区中，一个文件至少占用一个簇。当一个文件占用多个簇时，都会对应一个特定的簇号链，并存储在FAT 表中。每个文件在FDT 表中对应一个目录项（32个字节）。当读取一个文件时，系统先读取该文件对应的FDT 表中的目录项，从中获取该文件起始簇号和FAT 表入口，再从FAT 表中获取对应簇号链，然后就可以通过移动磁臂到对应簇的位置进行文件读取。所以FAT 和FDT 能帮助操作系统关联和识别DATA 区数据，否则DATA 区的数据就是没有意义的二进制代码。

2.1.2 文件删除后的恢复

删除文件只是改变文件在FAT 中的链接指向，但并不代表文件实际有效数据即DATA 区数据受到损坏，所以操作人员可以通过重新编制文件分配表来恢复数据。但是需要高度重视的一个问题就是，被删除文件所在的扇区不能被其他新文件覆盖或占用，一旦覆盖或者占用文件将很难甚至无法恢复。Windows 文件删除分为逻辑删除和物理删除两种：

（1）逻辑删除：是指将文件删除到回收站，它只是在FDT 表中将被删除文件的目录条目的第一个字节改成“E5”，作为删除标记，文件的实体数据并未完全删除，所以操作人员只需要消除删除标记就可以还原数据，Windows 自身就可以完成这样的工作。

（2）物理删除：相当于“清空回收站”，文件的目录条目被破坏，Windows 自身无法恢复文件。当文件被物理删除时，操作系统仍将FDT 中对应删除文件目录项的首字节做删除标记，同时FAT 表中对应的文件簇号链也被清零，从而使操作系统法无识别该文件，并认为该文件所在的DATA 区是未分配空间，允许写入新数据。但其实文件的实体数据并没被清除，而且FDT 表中文件的首簇号也没有损坏，所以当文件较小或者文件占用连续存储空间时，就可能将数据全部恢复出来。当然当文件占用的存储空间不是连续的时，也可以根据不同文件的数据特征判断哪些扇区是要找的文件内容。

通常的研究将文件删除或损坏后的数据恢复分为以下三个层次：

（1）基于文件目录的数据恢复

基于文件目录的数据恢复，需要根据文件系统的存储结构进行数据恢复，就是前面讲述的常规的文件逻辑或物理删除后的数据恢复。

（2）基于文件数据特征的数据恢复

当文件的目录数据损坏后，无法确定哪个数据簇属于哪个文件，而如果知道文件中若干字节内容，就可以通过关键字搜索法，在整个文件系统搜索相应字节串从而得到需恢复文件所在的数据块，将块号填入索引节点即可恢复该文件。

而恰恰各种不同类型的文件有其各自的数据特征，如Windows 事件日志的二进制文件是由若干记录单元组成，其中最前面是记录头，最后面是纪录尾，每条记录的第二个双字是特定码：4C 66 4C；Word 文档的前8个字节是特定码：D0 CF 11 E0 A1 B1 1A E1 。所以可以根据不同文件类型的数据特征从DATA 区直接恢复数据，而没有文件的完整目录信息。而这个层次上的文件数据恢复，就需要研究各种系统和应用软件生成的不同文件类型的数据特征。

尹丹在文献[6]中根据恢复对象的不同特征，分析了常规文件、Windows 事件日志以及注册表的恢复技术原理。林蔚在文献[7]中详细分析了Word 文件的内部结构和内容特征，提出了针对Word 文件的雕复技术，其中针对Word 2003提出基于内部数据流的雕复方法，不仅能恢复连续文件，在文件分片情况下效果也较好；针对Word 2007提出一种基于结构和内容的雕复方法，可以有效恢复二分片、非关键部位数据损坏或丢失的文件。

（3）残缺数据的数据恢复

电子证据是二进制编码，需要借助相应软硬件显示以表达其实际意义。当数据无法完整恢复时，相应的应用软件就无法打开文件，也就无法显示文件内容而使得恢复的部分数据没有实际价值。所以数据恢复技术还要研究数据的结构特性和编码方式，在在仅有部分数据的情况下，尽可能多地显示出其中具有实际意义的内容。

2.1.3 硬盘格式化或硬盘分区后的恢复

硬盘被格式化处理之后一般都会重新构建DBR 区中对应的操作系统引导记录，修改FAT 和FDT 表，而保留数据区中的文件数据。所以格式化也不是真正删除数据区中的数据，可以通过相应的数据恢复技术将其部分或完全恢复。而且分区处理之后，即使写入新的数据，也只是占用了分区的前部分内容，该分区剩余空间数据仍有可能被重新组织而恢复数据。当然这里指的是高级格式化，而低级格式化是与操作系统无关的物理机格式化，会将磁盘上每个扇区写“00”覆盖，完全破坏硬盘所有数据而无法恢复。

硬盘的分区操作是修改了MBR 和DBR ，绝大部分的DATA 区的数据并没有被改变，只要没有覆盖这个文件，即使 MBR 、FAT 、DIR 全部坏了，只要找到一个文件的起始簇位置，就可使用磁盘编辑软件将该文件恢复，这是许多硬盘数据能够得以修复的原因。

2.1.4 分区表损坏后的恢复

Windows 中文件管理是通过目录来完成的，而目录建立在分区基础上的。一个物理盘通过分区表（只有1个分区时可以没有分区表）将硬盘划分成若干逻辑分区（也称卷或逻辑盘），在FAT32文件系统中，分区表存放在MBR 区。当分区表损坏时，系统就不能定位逻辑盘而无法获取文件数据，但每个分区的开头有其特征，根据这些特征可以恢复分区表。

2.2 基于NTFS 的数据恢复

FAT32（以及较少使用的 FAT ）在某些早期版本的 Windows 中使用，且当前用于大多数 USB 闪存驱动器。相比FAT32，NTFS 具有很多优势：自动恢复磁盘相关错误；对较大磁盘的支持；更高的安全性等，所以随着Windows 中NTFS 文件系统的流行，基于NTFS 的数据恢复技术具有很高的研究价值。

2.2.1 NTFS系统中硬盘数据结构

NTFS 在硬盘上的结构以卷为基础，卷建立在硬盘分区基础之上。所以硬盘上仍然有MBR 区，这是不随操作系统和文件系统不同而变化的。一个硬盘可有多个卷，一个卷对应一个基本分区或扩展分区中的一个逻辑分区。这与FAT32是相同的，而且NTFS 中文件存取同样也是按簇分配，所不同的是NTFS 通过逻辑簇号（LCN ）和虚拟簇号（VCN ）来定位簇。NTFS 分区主要由分区引导区、主文件表（MFT ）和文件存储区，而且在文件存储区中部还存放了MFT 前4个甚至更多的元数据文件备份。NTFS 特点之一就是所有数据包括系统信息（如引导程序、记录整个卷的分配状态位图等）都以文件形式存储，每个文件对应一个文件记录，且文件记录以数据库形式组织：文件记录就是属性和属性值的集合，在NTFS 中称为流。

（1）分区引导区：保存了有关卷文件结构的信息及启动引导程序，主要涉及BPB 参数表。BPB 表中的参数是建立文件系统时由操作系统生成的。其中数据恢复时要用到相关参数有MFT 区域的起始簇号，每簇所占扇区数，每扇区字节数。

（2） MFT ：MFT 是NTFS 的核心，文件通过MFT 来进行定位。MFT 是一个关系数据库，有一系列文件记录组成，每个文件记录1KB 的固定大小，MFT 本身也有自己的文件记录。文件记录在MFT 中从 0开始编号，前 16个文件记录是元文件的即系统文件，这些元文件名字以 “$”开始，是隐藏文件，并且NTFS 在文件存储区还对它们进行了备份。这16个文件是NTFS 文件系统中唯一在 MFT 表中具有固定地址的文件，其他文件和目录的文件记录可以MFT 表中的存放是任意的。MFT 的第一个文件记录就是 MFT 自身，它记录着所有文件和目录的所有情况，类似FAT+FDT的功能，由于其重要性，系统专门为它准备了一个镜像文件即MFT 中的第 2个记录。

当目录的属性值存放在 MFT 表的基本文件记录中，该属性就称为常驻属性。如果一个目录的属性值太大，不能存放在一个文件记录中，那么 NTFS 将从DATA 区为该属性值分配存储空间。这些存储空间通常称为一个运行，存储在运行中的属性称为非常驻属性。非常驻属性可以有多个数据运行。

2.2.2 文件删除后的恢复

为了了解文件删除后数据恢复原理，首先我们要知道在NTFS 中文件删除时候发生了什么。当文件被删除之后，在文件记录头部中将标志字节置为00/02H，文件记录的其它属性均没有变化；对于有数据运行的文件，回收文件所占用的空间，不改变数据区(即数据运行) 的内容，只是将数据运行所占用的簇在元文件$Bitmap中对应的位均置为0。

文献[15,16]中针对NTFS 文件系统中，针对文件删除后文件记录头部的变化，提出了数据恢复的策略：通过分析MBR 和扩展纪录（EBR ）的硬盘分区表，选取NTFS 分区，获取BPB 参数从而得到MFT 起始地址，扫描MFT ，查找删除文件的文件记录，这一阶段称为磁盘分析阶段；通过分析文件记录，确定文件的数据区，这一阶段称为分区扫描阶段；最后分类对删除文件进行恢复，即数据恢复阶段。

文献[17]提出通过获取BPB 参数得到MFT 起始地址，扫描MFT ，查找删除文件的文件记录，通过分析文件记录确定文件数据区；最后对文件数据区作完整性判断，针对完整性的不同，采用不同的恢复策略。如果文件数据区完好，没有被覆盖，则在另一块盘区创建新文件，然后将删除文件的数据区内容逐个字节复制到新文件数据区。如果文件数据区被覆盖，则不能完整恢复。对于纯文本格式的文件，直接将数据区残留数据提取，复制到新文件数据区；对于特殊格式的文件，以二进制形式提取残留数据，并结合数据挖掘思想从中提取敏感信息。

如果文件数据区数据损坏或丢失，也可以像基于FAT32的数据恢复问题中提到的一样，

采用基于文件类型不同数据特征的恢复技术。

2.2.3 BPB损坏后的恢复

一般文件删除后，BPB 参数并没有损坏，所以很多删除文件的数据恢复都要依赖于BPB 参数，如果一旦BPB 参数损坏，就无法定位目录和文件，那么这些技术就会失效。所以数据恢复还包括BPB 的恢复，其恢复原理就是根据文件系统存储结构的数据特征进行恢复。

当然在NTFS 中同样也存在硬盘格式化或分区后的恢复问题等，恢复原理的基本思想都是一致的，只要数据区数据没有被删除和覆盖，都是有可能部分或完全恢复的。

2.3 基于闪存的数据恢复

目前闪存设备（如U 盘）是广大计算机用户存储和备份数据的重要载体，越来越广泛地被使用。因此针对闪存设备的数据恢复技术在计算机取证中的作用也越来越重要。闪存设备中应用了FAT32文件系统，了解和研究基于闪存的数据恢复技术原理要以深入了解和分析闪存设备的结构、存储原理和FAT 文件系统为前提，这里篇幅有限不做详细介绍。

对闪存设备来说，硬件正常工作情况下（即可以通过主控芯片正常读取逻辑数据），基于软件的闪存数据恢复与传统磁盘差别不大。但是硬件受到损坏的情况下，如果像磁盘一样使用硬件替代或固件修复，U 盘会出现现存映射表丢失现象而无法恢复数据。磁盘中逻辑地址和物理地址对应关系确定不变，所以能采用盘片读取方式进行数据恢复，而U 盘如果想通过直接读取闪存数据实现数据恢复，必须找到逻辑页和物理页映射关系，将读取的物理数据重新排列组织为逻辑数据内容。U 盘中逻辑页与物理页映射表由主控芯片自己维护与保存，而主控芯片一般也会写入部分信息到备用区，如逻辑页(块) 号。在主控芯片失效的情况下，只能通过直接读取闪存芯片，从备用区中找寻相应的逻辑页和物理页映射关系。而如果主控芯片不将相应内容写入备用区，则很难实现数据恢复。主控芯片是否将相关信息是否写入闪存芯片，可以通过对正常U 盘测试得知。

文献[18]主要考虑主控芯片将逻辑页和物理页映射关系写入备用区的情况，将针对U 盘逻辑镜像数据的恢复问题，设计了向U 盘中写入逻辑扇区号的方法，通过读取闪存物理数据进行对比分析，从而找出闪存备用区中的逻辑地址信息，成功实现U 盘逻辑镜像数据的恢复。并针对恢复后的U 盘逻辑镜像文件，在Linux 系统下利用loop 设备处理镜像数据文件的技术，充分利用Linux 中的文件系统处理功能来恢复U 盘中的正常目录和文件。这种获得U 盘逻辑页和物理页映射关系的方法需要通过对与故障U 盘的主控芯片和闪存芯片型号完全一样的额外正常U 盘，写入实验数据进行复杂的人工分析，不同的U 盘还需要相同流程的分析，耗时较长。

2.4 基于SSD 的数据恢复

SSD 固态硬盘是以固态的半导体芯片作为存储介质的大容量存储器，相比传统磁盘具有读写速度快、防震抗摔、低功耗无噪音等特点，目前广泛应用于笔记本电脑等便携式设备中。SSD 固态硬盘特有的垃圾回收和 TRIM 指令给其数据恢复带来了灾难性的后果，会导致无法进行传统的数据恢复工作，而以前通过未分配簇查找证据文件碎片的方法也无法进行。文献[19]中提到 SSD 盘在加电的情况下，即使没有外界读写操作也会自动发生变化，这也给 SSD 盘的证据保全带来巨大的技术挑战。

Belkasoft 公司基于对 SSD 固态盘取证技术的研究，推出了Evidence Center 工具[20]，通过充分利用硬件接口、操作系统和固件对TRIM 指令的兼容性情况，可以在特定环境下实现一定的SSD 固态盘数据恢复。

3 计算机取证中的数据恢复技术发展方向

3.1 文件碎片的重组和恢复

存储在计算机上的文件被删除后容易形成文件碎片。传统的取证恢复技术利用文件系统信息或者基于文件类型的数据特征利用关键字首尾匹配可以实现对连续存放的文件或者已知扇区分布情况的文件的有效恢复，而对没有关联的文件碎片恢复则很难实现。因此如何对文件碎片进行深度分析成为计算机取证研究领域中的一个重要问题。特别是对存储介质进行取证调查时，数据恢复之后可能会得到一些文件碎片，而不是完整的原始文件。目前文件碎片的重组和恢复主要遇到的挑战有：区分不同类型文件二进制数据，使得碎片重组的范围缩小；针对不同类型文件，评价当前碎片与已经确定的文件碎片之间相似度；对于复合文件，要先将其中包含的单一文件重组成功，再进一步还原成复合文件。

3.2 基于SSD 的数据恢复

如2.4中介绍，目前SSD 由于其较好的性能已经广泛使用，但其存储原理和传统磁盘存在较大差别，其特有的垃圾回收和TRIM 指令使得传统针对磁盘的数据恢复技术失效，从而给其数据恢复带来很大的挑战。所以未来SSD 必然取代磁盘，计算机取证中的数据恢复技术的研究热点必将转向针对SSD 的数据恢复。

4 数据恢复在计算机取证中的应用

在1.4节中，我们已经论述了计算机取证中的数据恢复与传统数据恢复的相同点和不同点，证明了数据恢复技术应用在计算机取证中的可行性和有效性，但是由于计算机取证中的数据恢复相比传统数据恢复的特点和要求，数据恢复技术在计算机取证中应用时必须遵守一定的原则和流程规范。

（1）计算机取证中数据恢复的原则

1）客观性原则：要求在数据恢复过程中必须真实客观，恢复出来的资料必须真实且能反映原始资料的面貌。这是和计算机取证中数据恢复的原始性特点相一致的。

2）合法性原则：计算机取证中的数据恢复必须具有合法性，所以必须遵守合法性原则。

3）及时备份原则：为了保证诉讼效率，也为了防止被恢复的硬盘或其他存储设备出现新的问题，需要对恢复设备复制副本，原始设备专人专门保管，利用复制品恢复数据。这样既可以防止恢复操作对原数据的破坏，也可以保证原始数据更强的证明力。

4）环境安全原则：既要防止外界因素（如高磁场、高温、高压等）对存储介质造成损害而影响数据的恢复，又要防止人为破坏。

5）保密原则：计算机取证中的数据恢复是为侦破案件或提供法庭证据的一种司法活动，所以整个过程必须保密。

（2）计算机取证中数据恢复的流程规范

总的来说，计算机取证中的相关原则和规定，数据恢复也要遵守。文献[21]通过研究2007年7月18日审议通过，同年10月1日开始实施的《司法鉴定程序通则》，总结了计算机取证中的数据恢复的流程规范，主要包括数据恢复的申请、委托、受理、实施活动、出具鉴定文书等5项。

5 总结

计算机取证技术越来越广泛地应用于侦破打与计算机相关的犯罪犯罪案件，而数据恢复在计算机取证中也表现出了可行性和有效性，而成为计算取证过程张的重要环节。虽然传统数据恢复已经有很多成熟的技术，但是由于计算机取证中的数据恢复有其自己的特点和特殊要求，不用直接应用，相比传统数据恢复更难，技术要求更高，需要进一步研究，以满足计算机取证中的实战要求。

现有计算机取证中数据恢复技术一般对连续分布或已知扇区分布的文件有较好的恢复效果，而很难实现没有关联的文件碎片的恢复和重组。所以对文件碎片的恢复和重组是未来计算机取证中的数据恢复领域研究的重要问题之一。另一方面，随着计算机存储介质逐渐由磁盘转向性能更好的SSD ，这给数据恢复带来了新的挑战，所以基于SSD 的数据恢复也将会成为计算机取证中数据恢复领域关注的另一个热点。

6 参考文献

[1] 任雪飞, 杨永川. 计算机取证技术综述. 取证技术研究, 2011.

[2] 胡亮, 王文博, 赵阔. 计算机取证综述. 吉林大学学报（信息科学版）, 28(4), 2010.

[3] 孙波孙, 玉芳, 张相锋等. 电子数据证据收集系统保护机制的研究与实现. 电子学报, 2004, 32(8).

[4] 金波, 陶明明. 计算机取证关键技术分析. 第二十一次全国计算机安全学术交流会论文集. 2006.

[5] 张鑫. 新型计算机取证技术的研究: [硕士学位]. 2012.

[6] 尹丹. 计算机取证中的数据恢复技术研究. 全国计算机安全学术交流论文集, 2010, 25.

[7] 林蔚. Word 文件复雕技术的研究: [硕士学位]. 杭州: 杭州电子科技大学. 2011.

郭博, 莫有权, 李庆荣等. 基于FAT32文件系统的一种计算机取证方法. 计算机应用于软件, 2010, 27(6).

[8] 游春晖, 刘乃琦, 代立松. 数据恢复技术在计算机取证系统中的应用. 成都大学学报(自然科学版), 2008, 27(2).

[9] 程优. 数据恢复技术在计算机取证系统中的应用. 电子技术与软件工程, 2014(20): 212-213.

[10] 王薇. 数据恢复与计算机取证. 电子制作, 2015(03).

[11] 黄步根. 数据恢复与计算机取证. 计算机安全, 2006(06): 79-80.

[12] 李俊莉. 数据恢复技术在计算机取证中的应用. 南阳师范学院学报, 2008, 7(9).

[13] 王笑强. 数据恢复技术成为电子取证的核心技术. 计算机安全, 2009.

[14] 吴琪. 浅析计算机犯罪取证中的数据恢复原理. 吉林公安高等专科学校学报, 2011(2).

[15] 杜江, 王石东. 计算机取证中的数据恢复技术研究. 重庆邮电大学学报(自然科学版), 2010, 22(5).

[16] 基于NTFS 文件系统的计算机取证研究: [硕士学位]. 重庆: 重庆邮电大学. 2010.

[17] 赵双峰, 费金龙, 刘楠. Windows NTFS 下数据恢复的研究与实现. 计算机工程与设计, 2008, 29(2).

[18] 易凌鹰. 基于闪存数据恢复的计算机取证技术的研究与实现: [硕士学位论文]. 北京: 北京邮电大学, 2009.

[19] 杨泽明, 刘宝旭, 许榕生. 数据取证研究现状与发展态势. 科研信息化技术与应用2015, 6(1): 3-11.

[20] URL:http://belkasoft.com/ssd-2014.

[21] 沈树强. 电子证据鉴定视角下的数据恢复问题研究: [硕士学位]. 北京: 中国政法大学, 2010.