日韩激情亚洲国产欧美另类激情,日韩激情亚洲国产欧美另类激情,日本一二三区中文字幕,福利一区免费观看视频,日本久久久久精品免费网站播放,日韩精品av中文字幕在线,中文字幕精品久久久久人妻红,国产午夜亚洲精品不卡在线观看,午夜一级精品久久久久蜜桃

隨著網(wǎng)絡(luò)存儲(chǔ)、云計(jì)算、物聯(lián)網(wǎng)、視頻監(jiān)控等信息技術(shù)在人們?nèi)粘９ぷ?、學(xué)習(xí)、生活中的應(yīng)用，各類(lèi)存儲(chǔ)介質(zhì)成為人們生活工作不可或缺的一個(gè)部分，海量數(shù)據(jù)存儲(chǔ)在計(jì)算機(jī)、網(wǎng)絡(luò)服務(wù)器及各種存儲(chǔ)介質(zhì)中，而一旦因各種原因?qū)е聰?shù)據(jù)丟失、毀壞，能否將其恢復(fù)就成了是否能夠挽回?fù)p失的關(guān)鍵。與此同時(shí),相關(guān)利用計(jì)算機(jī)及網(wǎng)絡(luò)制作、復(fù)制傳播色情、淫穢物品案件,網(wǎng)上詐騙、敲詐勒索、網(wǎng)絡(luò)電子傳銷(xiāo)、利用互聯(lián)網(wǎng)危害國(guó)家安全等案件逐年遞增,已折射出我國(guó)司法在打擊電子數(shù)據(jù)犯罪工作中面臨的巨大挑戰(zhàn).而打擊電子數(shù)據(jù)犯罪的有效辦法就是找到具有法律效力的證據(jù),2012年修改通過(guò)的《刑事訴訟法》和《民事訴訟法》都已將“電子數(shù)據(jù)”列為新的一類(lèi)證據(jù)，由此電子數(shù)據(jù)取證和司法鑒定在刑事、民事訴逐漸呈現(xiàn)重要作用.計(jì)算機(jī)上的資料被貪污主體人為惡意刪除,如何通過(guò)找回硬盤(pán)數(shù)據(jù)來(lái)取證;硬盤(pán)被瀆職主體敲打變形,怎樣通過(guò)提取電子數(shù)據(jù)證明其瀆職;監(jiān)控設(shè)備“昨天的肇事逃逸視頻”被“今天的常規(guī)交通畫(huà)面”覆蓋,什么技術(shù)可以將“暫不可見(jiàn)”的“逃逸證據(jù)”重見(jiàn)天日.信息時(shí)代,電子數(shù)據(jù)恢復(fù)不但應(yīng)用于人們的日常工作.生活和學(xué)習(xí)中，還成了公檢法部門(mén)破案、斷案、判案的重要一環(huán)，也成為各個(gè)行政、執(zhí)法機(jī)關(guān)最重視的一種電子數(shù)據(jù)取證與司法鑒定技術(shù)手段。

1電子數(shù)據(jù)恢復(fù)取證與司法鑒定現(xiàn)狀

目前,中國(guó)雖然通過(guò)修改《刑事訴訟法》和《民事訴訟法》.已經(jīng)將“電子數(shù)據(jù)”列為新的--類(lèi)證據(jù),但是對(duì)電子數(shù)據(jù)取證的操作規(guī)范并沒(méi)有法律規(guī)定,電子數(shù)據(jù)恢復(fù)的技術(shù)和服務(wù)標(biāo)準(zhǔn)更是缺失,公安部于2009年4月7日發(fā)布了《電子物證數(shù)據(jù)恢復(fù)檢驗(yàn)技術(shù)規(guī)范》,而該標(biāo)準(zhǔn)不適用于犯罪現(xiàn)場(chǎng)勘查,同時(shí)該規(guī)范也只是簡(jiǎn)單.地對(duì)數(shù)據(jù)恢復(fù)軟件的名稱(chēng)進(jìn)行了認(rèn)可;最高人民檢察院于2009年4月下發(fā)了《人民檢察院電子證據(jù)鑒定程序規(guī)則(試行)》,但該規(guī)則沒(méi)有涉及到電子數(shù)據(jù)恢復(fù)及其工作規(guī)范在國(guó)家標(biāo)準(zhǔn)《信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》(GB/T20988-2007)中也沒(méi)有涉及到電子數(shù)據(jù)恢復(fù).在學(xué)術(shù)研究界,對(duì)電子數(shù)據(jù)恢復(fù)取證進(jìn)行研究代表性的主要有杜江等I"]研究的公安部科技計(jì)劃創(chuàng)新項(xiàng)目:計(jì)算機(jī)取證中的數(shù)據(jù)恢復(fù)技術(shù)研究,但只針對(duì)文件系統(tǒng)分區(qū)表為損壞的情況進(jìn)行數(shù)據(jù)恢復(fù),也沒(méi)有具體恢復(fù)算法和步驟;西安電子科技大學(xué)胡躍對(duì)基于Windows平臺(tái)磁盤(pán)取證系統(tǒng)數(shù)據(jù)恢復(fù)子系統(tǒng)研究與實(shí)現(xiàn)，但只針對(duì)數(shù)據(jù)恢復(fù)取證中的碎片進(jìn)行分析，沒(méi)有將電子數(shù)據(jù)恢復(fù)取證流程規(guī)范化，也沒(méi)有法律監(jiān)督;中國(guó)政法大學(xué)沈樹(shù)強(qiáng)8對(duì)電子證據(jù)鑒定視角下的數(shù)據(jù)恢復(fù)問(wèn)題研究,但只針對(duì)電子數(shù)據(jù)恢復(fù)流程進(jìn)行了研究,沒(méi)有將司法實(shí)踐中的電子數(shù)據(jù)恢復(fù)技術(shù)和工作流程相結(jié)合，也沒(méi)有法律監(jiān)督.而各法律實(shí)務(wù)部門(mén)和第三方的電子數(shù)據(jù)司法鑒定人員一般采用

FTK,DataRecovery,FinalData等國(guó)外數(shù)據(jù)恢復(fù)軟件進(jìn)行電子數(shù)據(jù)恢復(fù)取證和司法鑒定,而中國(guó)對(duì)這些數(shù)據(jù)恢復(fù)軟件并沒(méi)有進(jìn)行資質(zhì)、合法性及其數(shù)據(jù)恢復(fù)操作規(guī)范進(jìn)行軟件測(cè)評(píng),各公安、檢察機(jī)關(guān)及第三方的電子數(shù)據(jù)司法鑒定人員往往依據(jù)行業(yè)經(jīng)驗(yàn)或自行制定的數(shù)據(jù)恢復(fù)方法進(jìn)行電子數(shù)據(jù)取證和司法鑒定,因此鑒定結(jié)論的法律效力很難得到保證,電子數(shù)據(jù)作為證據(jù)的公正性、權(quán)威性.中立性受到質(zhì)疑,這勢(shì)必造成在涉及電子數(shù)據(jù)作為證據(jù)的司法實(shí)踐中影響該類(lèi)案件的判罰尺度,不利于該類(lèi)案件的審理,甚至不利于。打擊犯罪、保護(hù)受害人.因此,基于國(guó)內(nèi)數(shù)據(jù)恢復(fù)在電子數(shù)據(jù)取證與司法鑒定訴訟案件中的應(yīng)用情況,借鑒國(guó)外數(shù)據(jù)恢復(fù)取證與司法鑒定的相關(guān)標(biāo)準(zhǔn)和程序,建立統(tǒng)一的適應(yīng)于公檢法系統(tǒng)的電子數(shù)據(jù)恢復(fù)取證與司法鑒定標(biāo)準(zhǔn)與工作流程成為一個(gè)亟待解決的問(wèn)題。

2電子數(shù)據(jù)恢復(fù)取證與司法鑒定模型

數(shù)據(jù)恢復(fù)分為邏輯類(lèi)恢復(fù)和物理類(lèi)恢復(fù)，物理類(lèi)數(shù)據(jù)恢復(fù)可通過(guò)維修法和替換法實(shí)現(xiàn)存儲(chǔ)介質(zhì)的正常識(shí)別,然后進(jìn)行物理鏡像后,便可通過(guò)邏輯類(lèi)恢復(fù)數(shù)據(jù),因此本文主要對(duì)邏輯類(lèi)數(shù)據(jù)恢復(fù)進(jìn)行研究.在數(shù)據(jù)被刪除后,如果沒(méi)有進(jìn)行覆蓋操作,可利用原有文件屬性通過(guò)對(duì)文件定位實(shí)現(xiàn)數(shù)據(jù)恢復(fù);在已知文件類(lèi)型的情況下,可利用已建立的文件特征字知識(shí)庫(kù),通過(guò)文件特征字進(jìn)行關(guān)聯(lián)快速實(shí)現(xiàn)數(shù)據(jù)恢復(fù);對(duì)于部分被覆蓋的殘留數(shù)據(jù)碎片進(jìn)行數(shù)據(jù)分析、挖掘,利用基于SVM的碎片分類(lèi)器對(duì)碎片進(jìn)行分類(lèi),再用上下文區(qū)域碎片重組算法對(duì)碎片重組,提高了數(shù)據(jù)恢復(fù)成功率.電子數(shù)據(jù)恢復(fù)取證與司法鑒定模型將理論和司法實(shí)務(wù)操作相結(jié).

合,將數(shù)據(jù)恢復(fù)的技術(shù)性和電子數(shù)據(jù)取證與司法鑒定程序的法律性相結(jié)合,從而既提高了數(shù)據(jù)恢復(fù)的效率，也提高了恢復(fù)出的電子數(shù)據(jù)的法律效力。

2.1電子數(shù)據(jù)恢復(fù)取證與司法鑒定模型

電子數(shù)據(jù)恢復(fù)取證與司法鑒定模型如圖1所示,模型按司法鑒定實(shí)務(wù)將電子數(shù)據(jù)恢復(fù)取證與司法鑒定流程分為數(shù)據(jù)恢復(fù)取證與司法鑒定委托、鑒定機(jī)構(gòu)受理、基于時(shí)間戳的多人數(shù)字簽名、數(shù)據(jù)恢復(fù)介質(zhì)的鏡像與哈希校驗(yàn)、數(shù)據(jù)恢復(fù)取證與司法鑒定、撰寫(xiě)鑒定報(bào)告、鑒定人出庭進(jìn)行證據(jù)呈堂.為保證介質(zhì)的客觀性、原始性、完整性需要有鑒定委托人、申請(qǐng)人和鑒定機(jī)構(gòu)等多人進(jìn)行數(shù)字簽名,該簽名有政法CA頒發(fā)的證書(shū)和基于時(shí)間基準(zhǔn)服務(wù)器的時(shí)間戳所形成;為了保證原始數(shù)據(jù)的再現(xiàn)性,提高證明力,數(shù)據(jù)恢復(fù)取證一般都需要對(duì)原始介質(zhì)進(jìn)行位對(duì)位鏡像和哈希校驗(yàn),然后利用鏡像進(jìn)行數(shù)據(jù)恢復(fù);對(duì)電子數(shù)據(jù)恢復(fù)取證與司法鑒定的全程實(shí)施監(jiān)督,保證數(shù)據(jù)恢復(fù)取證與司法鑒定出的電子數(shù)據(jù)在訴訟案件中的可采性力、證明力、法律效力和證據(jù)鏈的完整性.在電子數(shù)據(jù)恢復(fù)操作實(shí)務(wù)中,基于Windows平臺(tái)下的FAT和NTFS文件系統(tǒng),針對(duì)文件分區(qū)表沒(méi)有損壞的文件系統(tǒng),利用文件定位算法快速、精準(zhǔn)實(shí)現(xiàn)數(shù)據(jù)恢復(fù)取證與司法鑒定;針對(duì)大容量硬盤(pán),利用文件特征字可快速高效地恢復(fù)特定類(lèi)型的文件;針對(duì)由于犯人嫌疑人惡意將文件分成碎片隱藏文件及文件分區(qū)表?yè)p壞的情況,利用基于SVM的碎片分類(lèi)器對(duì)文檔碎片進(jìn)行分類(lèi),再利用上下文區(qū)域重組算法重組文檔碎片.電子數(shù)據(jù)恢復(fù)取證與司法鑒定操作完成后,需要鑒定機(jī)構(gòu)人員撰寫(xiě)鑒定報(bào)告,進(jìn)行證據(jù)呈堂,并在必要時(shí)出庭質(zhì)證。

2.2基于文件定位的數(shù)據(jù)恢復(fù)取證與司法鑒定，MBR(主引導(dǎo)記錄)磁盤(pán)分區(qū)是目前使用最為廣泛的一種分區(qū)結(jié)構(gòu)、所以論文主要針對(duì)MBR磁盤(pán)分區(qū)進(jìn)行文件定位數(shù)據(jù)恢復(fù).在MBR磁盤(pán)分區(qū)中,分區(qū)表占64字節(jié),而每個(gè)分區(qū)占16字節(jié),故最大可存放4個(gè)主分區(qū),當(dāng)硬盤(pán)的存儲(chǔ)容量比較大,并且需要建立更多磁盤(pán)分區(qū)時(shí),就必須使用擴(kuò)展分區(qū),用EBR(擴(kuò)展引導(dǎo)記錄)表示,MBR磁盤(pán)分區(qū)的整體結(jié)構(gòu)見(jiàn)圖2所示。

從圖2可以看出主磁盤(pán)分區(qū)通過(guò)MBR中分區(qū)表進(jìn)行定位,而擴(kuò)展分區(qū)之間通過(guò)指針結(jié)構(gòu)形成一個(gè)單向鏈表實(shí)現(xiàn)定位.在FAT16的每個(gè)分區(qū)表中包括DBR,FAT1/2,FDT和DATA,而FAT32文件系統(tǒng)的FDT

在數(shù)據(jù)區(qū).NTFS的DBR包含在$BOOT文件中,和文件有關(guān)的信息被稱(chēng)為屬性,以文件記錄的形式存放在$MFT中,NTFS文件系統(tǒng)位置結(jié)構(gòu)如圖3所示。用WinHex:t1] 對(duì)MBR磁盤(pán)分區(qū)常見(jiàn)的文件系統(tǒng)進(jìn)行分析,文件的定位算法如下:

1)通過(guò)查找MBR/EBR中的分區(qū)表信息,獲取每個(gè)分區(qū)的分區(qū)類(lèi)型和該分區(qū)的DBR起始扇區(qū)數(shù)(相對(duì)偏移地址一般為63號(hào)扇區(qū));

2)讀取DBR的BPB(相對(duì)偏移地址:0DH ,0EH-0FH,10H,11H-12H和16H-17H)分別獲取每簇扇區(qū)

數(shù)、DBR保留扇區(qū)數(shù)、FAT個(gè)數(shù)、根目錄項(xiàng)數(shù)(-般為512)和每FAT扇區(qū)數(shù);IF分區(qū)類(lèi)型為FAT32 ,則讀取DBR的BPB相對(duì)偏移地址24H-27H獲取每FAT扇區(qū)數(shù);IF分區(qū)類(lèi)型為NTFS,則讀取DBR的BPB相對(duì)偏移地址30H-37H獲取$MFT起始簇號(hào),跳轉(zhuǎn)到第4步;

3)FDT的起始扇區(qū)數(shù)= DBR起始扇區(qū)數(shù)+ DBR保留扇區(qū)數(shù)+FAT個(gè)數(shù)*每FAT包含的扇區(qū)數(shù)，FDT占用扇區(qū)數(shù)= (根目錄項(xiàng)數(shù)*32)/ 512.從FDT的起始位置查找已被刪除的文件名(第1個(gè)字節(jié)變?yōu)?/span>E5),直到找到為止,則該目錄項(xiàng)相對(duì)偏移地址1AH-1BH,1CH-1FH處的數(shù)據(jù)即為該文件在DATA區(qū)的起始簇號(hào)和大小;IF分區(qū)類(lèi)型為FAT 32,則需要將該目錄項(xiàng)相對(duì)偏移地址14H-15H(高位)、1AH-1BH(低位)兩處的數(shù)據(jù)合并作為該文件在DATA區(qū)的起始簇號(hào),因?yàn)樵?/span>DATA區(qū)中,簇從2開(kāi)始編號(hào),文件的起始扇區(qū)數(shù)= FDT的起始扇區(qū)數(shù)+FDT占用扇區(qū)數(shù)(文件系統(tǒng)為FAT32時(shí)為0)+(起始簇號(hào)-2)*每簇扇區(qū)數(shù)，跳轉(zhuǎn)到第5步;

4)FDT起始扇區(qū)數(shù)= DBR起始扇區(qū)數(shù)+ $MFT起始簇號(hào)*每簇扇區(qū)數(shù)+5* 2(5為目錄文件的記錄

號(hào),2為每個(gè)文件記錄所占的扇區(qū)數(shù)),從FDT起始位置使用Unicode編碼向下搜索已被刪除的文件名,直到找到該文件的文件記錄(30屬性的相對(duì)偏移地址42H為該文件名),從80屬性的相對(duì)偏移地址08H獲取常駐屬性,IF常駐屬性=0,則相對(duì)偏移地址10H-13H,14H-15H處的數(shù)據(jù)即為該文件大小和起始位置;ELSE相對(duì)偏移地址30H-37H,40H處字節(jié)的高4位數(shù)據(jù)即為該文件大小和DataRun起始簇號(hào),文件的起始扇區(qū)數(shù)= DBR起始扇區(qū)數(shù)+ Data Run起始簇號(hào)*每簇扇區(qū)數(shù);

5)跳轉(zhuǎn)到已刪除文件的起始扇區(qū)位置,按上步獲取的文件大小,復(fù)制該文件內(nèi)容,按原有文件類(lèi)型保存為一個(gè)新文件,即可完成數(shù)據(jù)恢復(fù)?；谖募ㄎ坏臄?shù)據(jù)恢復(fù),可精準(zhǔn)恢復(fù)被刪除的文件,NTFS文件系統(tǒng)中,不論文件是否連續(xù)存放,文件./目錄被刪除后都可通過(guò)該文件記錄找到起始簇號(hào)進(jìn)行數(shù)據(jù)恢復(fù),但當(dāng)要?jiǎng)h除的文件比較多時(shí),需要逐個(gè)恢復(fù),工作效率比較低。

2.3基于文件特征字的數(shù)據(jù)恢復(fù)取證與司法鑒定

通常要恢復(fù)的電子數(shù)據(jù)都是特定的文件格式，比如*.doc.*.xls.*.jpg.*.mpg等格式,而在司法辦

案中往往要處理很多硬盤(pán).并且容量比較大,因此為提高工作效率,可基于文件首、尾部特征掃描文件系統(tǒng)的數(shù)據(jù)區(qū),進(jìn)而確定文件的起始和結(jié)束位置.優(yōu)先快速恢復(fù)所需要的特定文件.文獻(xiàn)[5]利用word文件的頭部和尾部特征實(shí)現(xiàn)對(duì)* . doc文件的數(shù)據(jù)恢復(fù).用WinHex抓取的* .jpgl°]文件的首尾特征字如圖4、圖5所示,從圖中可以看出* . jpg文件的頭部特征字為0x FFD8FFE000104A464946 ,尾部特征字為0xFFD90000。參照上述方法可求得其他類(lèi)型文件的首、尾特征字,從而建立基于文件首、尾特征字的文件特征數(shù)據(jù)庫(kù),實(shí)現(xiàn)基于文件特征字的數(shù)據(jù)恢復(fù)取證與司法鑒定,文件特征數(shù)據(jù)庫(kù)表見(jiàn)表1所示,缺省大小為一1時(shí)表示沒(méi)有缺省大小,位置為0表示從起始向后查找,為一1表示從文件最后向前查找.當(dāng)文件不連續(xù)存儲(chǔ)時(shí),在NTFS文件系統(tǒng)中需要借助文件記錄獲取文件存儲(chǔ)后續(xù)數(shù)據(jù)塊,實(shí)現(xiàn)特定文件的數(shù)據(jù)恢復(fù)。

2.4基于文檔碎片重組的數(shù)據(jù)恢復(fù)取證與司法鑒定

在電子數(shù)據(jù)取證與司法鑒定中,由于犯罪當(dāng)事人刪除、格式化、文件交叉覆蓋等人為破壞，形成文檔碎片，導(dǎo)致許多存于文件系統(tǒng)元信息無(wú)法描述的未分配區(qū)域的電子數(shù)據(jù)無(wú)法被提取,尤其是當(dāng)文件頭被覆蓋的情況下,基于文件特征的數(shù)據(jù)恢復(fù)將無(wú)法正確地進(jìn)行數(shù)據(jù)恢復(fù). Metz等針對(duì)文檔隨機(jī)碎片問(wèn)題，提出了SmartCarving框架圖,見(jiàn)圖6所示.

該框架將文檔碎片恢復(fù)分為預(yù)處理、碎片收集和碎片重組3個(gè)階段,預(yù)處理階段主要處理被壓縮或被加密的數(shù)據(jù),排除已有文件占用的簇;碎片收集主要用于對(duì)數(shù)據(jù)塊碎片進(jìn)行分類(lèi);碎片重組是根據(jù)碎片分類(lèi)的結(jié)果,重組碎片成文件.為提高文檔數(shù)據(jù)塊分類(lèi)的正確率,有效進(jìn)行文檔重組,進(jìn)而提高數(shù)據(jù)恢復(fù)的成功率，本文在SmartCarving框架模型的基礎(chǔ)上,對(duì)碎片收集中文檔分類(lèi)和碎片重組進(jìn)行了研究,提出了基于SVM的碎片分類(lèi)器。

2.4.1 基于SVM的碎片分類(lèi)器

在碎片收集階段主要是對(duì)大量碎片進(jìn)行文件分類(lèi),目前對(duì)碎片進(jìn)行分類(lèi)主要有基于距離的分類(lèi)和基于機(jī)器學(xué)習(xí)的分類(lèi).基于距離的分類(lèi)主要是利用不同的文件類(lèi)型.其字節(jié)頻率分布度(filefingerprints)不同和連續(xù)性字節(jié)差異性的特性進(jìn)行文件分類(lèi),這種方法需要對(duì)每一個(gè)文件類(lèi)型都建立基于字節(jié)頻率統(tǒng)計(jì)的文件指紋模型，然后設(shè)定閥值，如果某個(gè)文件數(shù)據(jù)塊與某一個(gè)模型的距離低于設(shè)定的閥值,則判定為對(duì)應(yīng)的文件類(lèi)型,但該方法中很難確定一個(gè)比較理想的閥值,另外對(duì)于那些字節(jié)頻率比較相似的文件也很難正確識(shí)別.基于機(jī)器學(xué)習(xí)的分類(lèi)主要是在統(tǒng)計(jì)的基礎(chǔ)上建立機(jī)器學(xué)習(xí)模型對(duì)文件數(shù)據(jù)塊進(jìn)行分類(lèi),目前最具有泛化能力和最小容錯(cuò)率的支持向量機(jī)( supported vector machines,SVM)分類(lèi)算法的研究廣受關(guān)注,應(yīng)用與碎片分類(lèi)描述如下，本文首先利用Pearson相關(guān)系數(shù)對(duì)包含有Office系列文件.JPEG、C++源碼等文件的DFRWS 2007碎片映像數(shù)據(jù)度量碎片之間的相關(guān)性,訓(xùn)練SVM模型,公式如下:

mn是訓(xùn)練集中的碎片個(gè)數(shù),R(i)是第i個(gè)文件特征字與已知對(duì)應(yīng)文件類(lèi)標(biāo)(類(lèi)型標(biāo)準(zhǔn)值)的相關(guān)性,X...是第k個(gè)碎片的第i個(gè)特征字,X是第i個(gè)特征字的平均值,Y,,Y分別為第k個(gè)碎片的類(lèi)標(biāo)值和整個(gè)碎片的類(lèi)標(biāo)值.文件特征字包括以下幾個(gè)。

1)文件首尾部特征字;2)針對(duì)普通文本和圖片的信息熵;3)字節(jié)/字符頻率分布特征,即文件中每個(gè)字節(jié)/字符的取值范圍的統(tǒng)計(jì)特征;4)上下文連續(xù)字節(jié)變化度,即數(shù)據(jù)塊中連續(xù)字節(jié)之間的平均連續(xù)性統(tǒng)計(jì)特征由公式(1)知，|R(i)|的變化在0和1之間，值越大,表面該特征對(duì)于分類(lèi)的貢獻(xiàn)就越大.根據(jù)相關(guān)度量，利用SVM-SFS[9]方法計(jì)算每個(gè)特征字的權(quán)重，從而針對(duì)各個(gè)文件類(lèi)型建立基于SVM的多特征字分類(lèi)器。

2.4.2

碎片重組

文檔碎片重組就是對(duì)同-一類(lèi)型的碎片確定連接順序,然后組合成多個(gè)不同的文件.利用文件首部特征字和文件摘要信息(文件長(zhǎng)度、時(shí)間等文件屬性信息)可以確定文件頭碎片.而新型文件系統(tǒng)的特點(diǎn)是盡量減少碎片，因此同一個(gè)文件的碎片多以2分存在,分成3,4個(gè)甚至多個(gè)碎片的情況很少見(jiàn),并且在2分的情況下一般都是從一塊連續(xù)的區(qū)域向鄰近的區(qū)域空間擴(kuò)展存儲(chǔ).為此,本文提出了一個(gè)上下文區(qū)域碎片重組算法如下:

1)確定某個(gè)文件頭碎片所在區(qū)域的地址;

2)利用基于SVM的碎片分類(lèi)器從該區(qū)域起始地址開(kāi)始順序向后(前)查找,至到不屬于該文件類(lèi)型的碎片,則上述碎片在存儲(chǔ)介質(zhì)上的邏輯存放順序即為碎片重組的順序;

3)跳過(guò)不屬于該文件類(lèi)型的碎片,根據(jù)文件碎片頭部中的文件大小，然后利用碎片分類(lèi)器順序浮動(dòng)跳躍向后(前)查找相同類(lèi)型文件的數(shù)據(jù)碎片區(qū)域,并且該區(qū)域的大小應(yīng)該等于該文件剩余大小;

4)如果第2片區(qū)域大小小于該文件剩余大小,則有可能是碎片被分成2片以上,則重復(fù)步驟3),至到查找到該文件全部碎片至，當(dāng)出現(xiàn)大小一樣的不同碎片區(qū)域或沒(méi)有找到剩余大小的碎片區(qū)域時(shí),可利用時(shí)間相同或相近的文件特性進(jìn)行碎片關(guān)聯(lián)和重組。

3實(shí)驗(yàn)及結(jié)果分析

為了驗(yàn)證電子數(shù)據(jù)恢復(fù)取證與司法鑒定模型的工作效率,選用DFRWS2007發(fā)布的數(shù)據(jù)映像作為實(shí)驗(yàn)數(shù)據(jù)，大小為256M,該數(shù)據(jù)映像主要包括OfficeWord,Excel,PDF,BMP,JPEG等文件類(lèi)型.利用Winhex提供的腳本開(kāi)發(fā)技術(shù)和API函數(shù)[10]將模型中的算法應(yīng)用于Winhex中進(jìn)行原型實(shí)現(xiàn),然后應(yīng)用電子數(shù)據(jù)取證.與司法鑒定中常用數(shù)據(jù)恢復(fù)軟件FTK 1. 50b, Data Recovery6. 10. 07 ,Final Data 3.0對(duì)該數(shù)據(jù)映像進(jìn)行數(shù)據(jù)恢復(fù)分析比較。實(shí)驗(yàn)環(huán)境: Intel(R)Core(TM)酷睿i5 M520@2. 40GHz雙核,內(nèi)存2 G,硬盤(pán)250 G, Windows 7 Professional.根據(jù)文件類(lèi)型出現(xiàn)的概率,實(shí)驗(yàn)中從文檔和圖片兩大類(lèi)文件類(lèi)型中分別選擇了Word和JPEG文件類(lèi)型進(jìn)行數(shù)據(jù)恢復(fù)和分析,結(jié)果如表2,3所示。

從表2,3可以看出,對(duì)于Word,JPEG文件來(lái)說(shuō),電子數(shù)據(jù)恢復(fù)取證與司法鑒定模型中用到的文件定位、文件特征字和文檔碎片恢復(fù)綜合方法,無(wú)論在掃描、恢復(fù)時(shí)間上還是在恢復(fù)成功率上都比一般通用數(shù)據(jù)恢復(fù)軟件的效率要高.就數(shù)據(jù)恢復(fù)成功率上差不太多,但是在時(shí)間上則大大節(jié)省了時(shí)間,這在政法機(jī)關(guān)進(jìn)行大量數(shù)據(jù)文檔恢復(fù)時(shí)尤其如此。

結(jié)論

本文在對(duì)電子數(shù)據(jù)恢復(fù)取證與司法鑒定現(xiàn)狀進(jìn)行分析的基礎(chǔ)上,提出一種電子數(shù)據(jù)恢復(fù)取證與司法鑒定模型，該模型按電子數(shù)據(jù)司法鑒定實(shí)務(wù)將電子數(shù)據(jù)恢復(fù)取證與司法鑒定流程化和標(biāo)準(zhǔn)化,使用多人數(shù)字簽名、原始介質(zhì)位對(duì)位鏡像和哈希校驗(yàn)來(lái)提高電子數(shù)據(jù)的證明力;通過(guò)對(duì)電子數(shù)據(jù)取證與司法鑒定全程進(jìn)行流程監(jiān)管與操作監(jiān)督,保證恢復(fù)的電子數(shù)據(jù)在訴訟案件中的可采性力、證明力、法律效力和證據(jù)鏈的完整性。模型在數(shù)據(jù)恢復(fù)實(shí)踐中,基于當(dāng)前Windows平臺(tái)主要使用的FAT和NTFS文件系統(tǒng),針對(duì)文件系統(tǒng)分區(qū)表未損壞的情況，提出了文件定位算法快速恢復(fù);針對(duì)法律實(shí)務(wù)中需要恢復(fù)的特定文件類(lèi)型,提出了文件特征字算法進(jìn)行數(shù)據(jù)精準(zhǔn)、高效恢復(fù);而對(duì)于實(shí)踐中難于恢復(fù)的數(shù)據(jù)碎片,利用基于SVM的碎片分類(lèi)器對(duì)碎片進(jìn)行分類(lèi),再用上下文區(qū)域碎片重組算法對(duì)碎片重組,提高了數(shù)據(jù)恢復(fù)成功率.實(shí)驗(yàn)結(jié)果表明,該模型中所用到的數(shù)據(jù)恢復(fù)算法能夠針對(duì)實(shí)踐中不同的情況下進(jìn)行有針對(duì)性數(shù)據(jù)恢復(fù),尤其是司法實(shí)踐中遇到大量文件需要恢復(fù)時(shí)將大大節(jié)省時(shí)間,提高工作效率,這在法律實(shí)務(wù)中很可能會(huì)有很大幫助。

下一步工作將重點(diǎn)研究其他文件系統(tǒng),比如針對(duì)大容量U盤(pán)的ExFAT文件系統(tǒng)、Linux的Ext文件系統(tǒng)(包括Android手機(jī)的YAFFS文件系統(tǒng))、蘋(píng)果機(jī)的HFS+文件系統(tǒng)(包括移動(dòng)終端文件系統(tǒng)I0S);還包括其他類(lèi)型文件的特征字,豐富文件類(lèi)型特征字知識(shí)庫(kù);并進(jìn)一步尋找更有效的碎片分類(lèi)挖掘及關(guān)聯(lián)重組算法。