本发明专利技术属于计算机领域,尤其涉及一种电子数据恢复方法,可按如下步骤实现:(1)打开目标盘,并转到根目录区;(2)逐条扫描目录项,找到以E5开头的目录项;(3)偏移0BH为10H或20H;同时,偏移0BH为0FH,向下继续寻找到该位置数据为10H或20H的目录项;(4)偏移14~15H与偏移1A~1BH为文件存储的簇号,读取顺序为15H14H1BH1AH;(5)偏移1C~1FH为文件大小(B),从找到的起始位置开始向下转移1FH1EH1DH1CH个字节,并选择为块结束;(6)将所选部分复制到指定位置。本发明专利技术极大地提升了数据恢复的可能性,为全面客观的完成电子物证鉴定的任务提供了保证。
【技术实现步骤摘要】
本专利技术属于计算机领域,尤其涉及一种。
技术介绍
在信息化迅速发展的21世纪,计算机技术日新月异,与人们的日常生活息息相关,存储设备数据的丢失往往能给个人,甚至单位带来无尽的烦恼与麻烦。而在公安领域, 这些数据也许就是案件的电子证据。如果检验人员能获取更多计算机中的数据,那么就更有利于案件的早日侦破,也就能向法庭提供更多可靠的证据。这对数据取证,特别是恢复工作就提出了更高的要求。目前,国内外市场上使用最为流行的数据取证恢复商业软件有FinalData、 EnCase.ffinHex,EasyRecovery和取证大师等。其中,后两款是我国近年来自主开发的数据取证恢复软件,并且取证大师FM2008以其便捷、功能强大等优势,迅速在国内公安领域得以普及。然而在利用这些软件恢复FAT32分区格式下删除的数据时,经常会遇到恢复出乱码文件的现象,如图1所示的现象。人们一般都把这种现象解释为该文件的数据空间已经被其他数据所覆盖。但是, 在实验时,刚刚被删除的文件,立即恢复,也会出现这种现象,用覆盖来解释就行不通了。经过研究,发现其原因是人们对文件删除的原理知道的还不够彻底,以致造成错误理解一些删除的现象。
技术实现思路
本专利技术旨在克服现有技术的不足之处而提供一种删除文件或文件夹数据恢复成功率高,适应面广,能显著提升电子物证鉴定效率的。为达到上述目的,本专利技术是这样实现的一种,能够恢复FAT32 文件系统丢失指针的文件,可按如下步骤实现(1)打开目标盘,并转到根目录区;(2)逐条扫描目录项,找到以E5开头的目录项;(3)偏移OBH为IOH或20H,10 H表示其为一个文件夹,20 H表示其是一个文件;同时,偏移OBH为(FH,向下继续寻找到该位置数据为IOH或 20H的目录项;(4)偏移14 15H与偏移IA IBH为文件存储的簇号,读取顺序为15H14H1B H 1AH,根据该簇号找到文件起始位置,选择为块开始;(5)目录项偏移IC 1 F H为文件大小(B),从找到的起始位置开始向下转移IraiEHlDHlCH个字节,并选择为块结束;(6)将所选部分复制到指定位置。本专利技术还提供另一种,能够恢复NTFS文件系统丢失指针的文件,其可按如下步骤实现(1)打开目标盘,转到MFT文件区;(2)从30H属性的最后两行查看要恢复文件的文件名;(3)若80H属性偏移08H为01H,找到80H属性偏移40H的位置, 该数据为“XYH” ; (4)读出80H属性偏移(40+Y+1) H (40+Y+X) H中的数据,记下该数据, 此为文件起始簇号;(5) 80H属性偏移(40+ Y) H中的数据为文件所占的簇,单位是簇,记下该数据;(6)依据文件起始扇区=(文件起始簇*8);文件结束扇区=(文件起始簇+文件所占的族)*8;转到文件起始扇区,选择块开始,转到文件结束的扇区,选择块结束;(7)将文件复制到指定位置;(8 )步骤(2 )执行完毕,若80H属性偏移08H为OOH ; (9 )文件内容就在该MFT中,从80H属性中直接读出文件内容;(10)接续执行步骤(7)。本专利技术所采用的数据恢复方法与目前国内外常用数据取证方法相比,有着明显的优势,极大地提升了数据恢复的可能性,为全面客观的完成电子物证鉴定的任务提供了保证。删除比对实验的恢复结果表。 附图说明下面结合附图和具体实施方式对本专利技术作进一步说明。本专利技术的保护范围不仅局限于下列内容的表述。图1为现有数据恢复方法恢复后的乱码文件示意图。图2-1为文件删除前的原始数据。图2-2为文件删除后的原始数据。图2-3为数据恢复第197271簇的部分数据。图3为数据恢复BPB部分参数信息。图4为数据恢复删除前文本文件内容。图5为数据恢复删除后文本文件内容。图6-1为待测试的PDF文件。图6-2为待测试的TXT文件。图6-3为待测试的RAR文件。图6-4为待测试的DOC文件。图6-5为待测试的PPT文件。图6-6为待测试的BMP文件。图7-1为现有数据恢复方法恢复后的PDF文件。图7-2为现有数据恢复方法恢复后的TXT文件。图7-3为现有数据恢复方法恢复后的RAR文件。图7-4为现有数据恢复方法恢复后的DOC文件。图7-5为现有数据恢复方法恢复后的PPT文件。图7-6为现有数据恢复方法恢复后的BMP文件。图8-1为取证大师恢复的PDF文件。图8-2为取证大师恢复的TXT文件。4图8-3为取证大师恢复的RAR文件。图8-4为取证大师恢复的DOC文件。图8-5为取证大师恢复的PPT文件。图8-6为取证大师恢复的BMP文件。图9-1为本专利技术恢复方法恢复后的PDF文件。图9-2为本专利技术恢复方法恢复后的RAR文件。图9-3为本专利技术恢复方法恢复后的DOC文件。图9-4为本专利技术恢复方法恢复后的PPT文件。图9-5为本专利技术恢复方法恢复后的BMP文件。图9-6为本专利技术恢复方法恢复后的TXT文件。图9-7为本专利技术恢复测试文件131766. TXT文件内容。图9-8为本专利技术恢复测试文件197302. TXT文件内容。图10为本专利技术NTFS分区下恢复方法流程框图。图11为本专利技术FAT32分区下恢复方法流程框图。具体实施例方式1、数据恢复的原理。在FAT32文件系统中,文件的起始簇号共由十六位字节构成,其中的低八位数据存储在相对偏移1AH-1BH处,而高八位则存储在相对偏移1AH-1BH处。可以通过计算,得到该文件原始数据的第一个簇号。以图2-1、图2-2为例,相对偏移1AH-1BH处的数据是“97 02”,相对偏移1AH-1BH处的数据是“03 00”,根据数据字节是按从低到高顺序存储的原则, 那么该文件的起始簇号则是“00 03 02 97”,化成十进制便是197271。通过对簇号197291 处的数据与图2-1的对比,可证明该簇的数据便是该文件的首簇内容,见图2-3。数据恢复方法一般是在FDT处查找到文件对应的数据起始簇号,然后根据簇号找到DATA区里的文件数据,读取数据并新建一个同类型的文件,将数据存入其中,便可成功恢复本已删除的文件。2、数据恢复存在的问题及解决办法。上述数据恢复原理并不能恢复出所有已删除的文件,除了数据覆盖、数据存储不连续等原因外,还有很重要的一个原因便是删除文件后,该文件还有其他改变的文件。在文件删除原理部分,文件删除后,其对应的FDT里的数据被修改。由于还有其他部分修改,使得普通的数据恢复软件只能恢复首字节被改为E5的文件。对于其他部分有改变的文件,恢复出来的文件数据便是乱码。以恢复测试文件.txt为例,对它的起始扇区号进行换算,它删除前后的起始扇区分别为158M32和9568。通过BPB参数表,可以获得该存储器每个簇拥有8个扇区,有32 个保留扇区,2个FAT,每个FAT有2000个扇区,见图3。由于簇号是从DATA区开始计算,并且从2开始计数,那么删除前起始簇号为 (1582432-20002-32)8+2=197302。转换成十六进制则为000302B6H。而删除后的起始簇号为(9568-20002-32)8+2=694。5转换成十六进制则为000002B6H。可想而知,它们分别对应的数据也不再相同,见图4、图5。所以,恢复出来的文本文件自然显示的都是乱码。至此问题产生的原因已本文档来自技高网...
【技术保护点】
1.一种电子数据恢复方法,其特征在于,能够恢复FAT32文件系统丢失指针的文件,按如下步骤实现:(1)打开目标盘,并转到根目录区;(2)逐条扫描目录项,找到以E5开头的目录项;(3)偏移0BH为10H或20H;同时,偏移0BH为0FH,向下继续寻找到该位置数据为10H或20H的目录项;(4)偏移14~15H与偏移1A~1BH为文件存储的簇号,读取顺序为15H14H1BH1AH,根据该簇号找到文件起始位置,选择为块开始;(5)目录项偏移1C~1FH为文件大小(B),从找到的起始位置开始向下转移1FH1EH1DH1CH个字节,并选择为块结束;(6)将所选部分复制到指定位置。
【技术特征摘要】
【专利技术属性】
技术研发人员:秦玉海,胡颖,刘奇志,
申请(专利权)人:秦玉海,
类型:发明
国别省市:89
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。