论电子物证的鉴定_图文

1、 山东警察学院学报 20 年第 5期 08 每个扇 区包括 5 2字节 的数据 和一些 其他信 息 .一个 扇 区 1 有两个 主要部分 : 即存储数据地点的标识符和存储数据 的数 据段 , 图 1 如 6所示 . 程序 的主要任务是 , MB 当 R将 系统控 制权交给它时 , 判断本 分 区根 目录前两 个 文 件是 不 是 操作 系统 的 引导 文 件. 以 D S为例 , O 即是 I . Y O S S和 MS O .Y .低版 本 的 D S要 D SS S O 求这两个文件必须是 前两个 文件 , 即位 于根 目录的起始 处 , 占用最初的两个 目录项 , 高版 本的 已没有这

2、个 限制 .另外 , Widw 与 D S是一个家族 , 以 Widw 也沿用这 种管 理 no s O 所 no s 方式 , 只是文件名不一样 .如果确定存在 , 就把 I . Y 读 人 O SS 内存 , 并把控制 权交 给 I . Y .B B参数 块记 录着 本分 区 O SS P 的起 始扇 区 , 结束扇 区, 文件 存储格式 , 盘介 质描述符 , 硬 根 目录大小 ,A F T个数 , 配单元大 小等 重要参数 . 分 在 D R之后就是 F T区.同一个 文件 的数 据并不 一定 B A 完整地存放在磁 盘 的一个 连续 的 区域 内, 往会 分 成若 干 往 段, 像一

3、条链子一样存放 .这种存储方式称 为文件 的链 式存 储.硬盘上的文件 常 常要 进行 创建 , 删除 , 长 , 短等 操 增 缩 作.这样 的操作做得越多 , 盘上 的文件就可能被分得 越零碎 ( 每段 至少是 1簇 .但 是 , 由于硬 盘上 保存 着段 与段 之 间 的连接信息( F T , 即 A 操作系统在 读取文 件时 , 总是 能够准 确地找到各段 的位置并 正确读 出.因为是 以簇 为单位 进行 分配 的, 因此 , 每个文件 的最后一簇 都可 能有未 被完 全利用 图 l 扇 区 结构 6 的空 间( 为尾 簇空 间 这 个尾簇 空 间通常 会有 还没 被覆 称 , 硬盘在

4、存储数据之前 , 一般需 经过低级格式化 , 区 , 分 高 级格式化这三个步骤 之后才 能使用 .其作 用是在 物理硬 盘 上建立 一定 的数 据逻 辑结 构 , 于 F T Fl Al a o a 对 A ( i l ct nT e o i be文件分配表 l, 文件系统 , 一般将 硬盘分 为五个区域 , 分别 为主引导记 录区 , S弓 导记 录区, DO I 文件分配 表区 , 文件 目录 盖 的信息可供调查取证使用 . 为实现文件的链式存储 , 硬盘 上必 须准确地记录哪些簇 已经被文件 占用 , 还必须 为每个 已经被 占用的簇 指明存储后 继 内容 的下一个簇 的簇 号 , 对

5、一个 文件 的最后 一簇 , 则要 指 明本簇无后继簇 , 些都 由 F T表 来保 存.表 中有 很多 表 这 A 项, 每项记录一个簇 的信 息 .由于 F T对 于文 件管 理 的重 A 要性 , 所以 F T有一个备份 , A 即在原 F T的后面再建一个 同 A 样的F T A .初形 成 的 F T中 , 有 项都 标 明 为 占用 A 所 未 . 表 区和数据 区, 通过这五 个区域 的配合 , 实现对 数据 的存储 与管理 . 2 硬盘数据存储 区域 . 对 于 F T文件系统 , 盘上 的数据 按 照其不 同 的特点 A 硬 和作用大致可分为 5部分 : R 区, B MB

6、D R区, A F T区, I D R区 和DT A A区.其 中, R 由分区软 件创 建 , D R区, A MB 而 B FT 区 ,I D R区和 D T A A区由高级格式化程序创 建.文件 系统 写 入 数据 时只是改 写相 应的 F T区 , I A D R区和 D T A A区.也 正 如果磁盘有局部损 坏 , 式化程序 会检测 出损 坏 的簇 , 相 格 在 应 的项 中标为 坏簇 以后 存储 文件 时就不 会 再使 用这 个 , 簇 .F T的项数与对应分 区上 的总簇数相 当 , A 每一项 占用 的 字节数也 与总簇数 相适应 , 因为其 中需要存放簇 号.F T的 A

7、 格式 有多种 , 最为常见 的是 F T 6和 F T 2 A 1 A1 A 3 .F T 6是指文 是这 5个 区域共 同作用 , 才使整个硬盘 的管理有条不紊 .下 面对这 5个 区域分别进行介绍 . MB R区即主引导记 录 区 , 于整个 硬 盘 的 0磁 道 0柱 位 面 1扇 区.在 总共 52字节 的主 引导扇 区 中, R的引 导 1 MB 件分 配表使用两个字节 即 1 6位表示 一个 簇 .由于 1 6位分 配表最 多只能 管理 6 3 ( 2的 1 55 6 即 6次方 个簇 , 每个簇 而 的存储 空间 最 大 只有 3 K , 以在 使 用 F T 6管 理硬 盘

8、2B所 AI 时 , 个 分 区 的 最 大 存 储 容 量 就 只 有 6 56 3 K 每 53 2 B: 2 MB, 1 M8 也就是常说的 2 B.现在的硬 盘容量 越来越 大 , G 由 于 F T 6对硬盘 分 区 的容 量 限制 , 以 , 硬盘 容 量 超 过 A1 所 当 2 B之后 , G 用户 只能将硬 盘划 分成 多 个 2 B的 分区后 才 能 G 程 序占用其 中的前 4 6个 字 节 , 4 随后 的 6 4个 字 节 为 D T P ( i a io al, Ds P rtnTbe 硬盘分 区表 最后的两个字节 5 A k ti , 5A 是 MB R的有效 结

9、束 标志 . 由它 们共 同构成 硬盘 主 引导 记 录, 也称主引导扇 区.有 时硬盘 主引导记 录专 指 M R的引 B 导程序 , 本文 中对硬盘主引导记录 和硬盘主 引导扇 区不作 区 分. 正常使用.为此微 软公司从 Widw9 O R n o s5 S 2版本 开始使 用 F T 2标 准 , A3 即使用 3 2位表示 一个 簇 的文件分 配表 来管 理 硬盘文件 , 这样 系统就 能为 文件分 配多达 4 9 9 79 ( 2 24 6 2 6 即 的3 2次方 个簇 , 以在簇 同样 为 3 K 所 2 B时 , 个分 区容 量 每 最 大 可 达 18 B 以上 . 2T

10、D R D SB o R cr B ( O ot eod 区是操 作系统 引导 记录 区.第 一 个 D R总是位 于硬盘 0柱 1面 1扇 区. B 是操 作系统可 以 直接访 问的第一个 扇 区.它包 括一 个引导程 序 和一个被 称 为 B B BO aa ee Bok 的本 分 区参 数记 录表 .引导 P ( I SP rm t l r c 8 6 D R( i co , I Dr t y 也称 文 件 目录表 F T,i i c r a e r D Fl Dr t yT e eo be 区是根 目录区 , l 紧接 着第 二 F T表 ( A 即备份 的 F T表 A 刘 品新 ,

11、 戴士 剑 : 电子 物证 的鉴 定 论 之后 , 记录着根 目录下每个文件 ( 目录 的起 始单元 , 文件属 性等信息 .定位 文件 位 置时 , 操作 系 统根 据 DR 中的起 始 I 此, 如果 一 个 N F T S的 卷 提 示 未 格 式 化 , 能 并 未 破 坏 可 ￥MF 依据 B B的各 字段 的意思是 可以重建 B B的 . T, P P 3 从硬盘中恢复和提取数据 . 单元 , 结合 F T表就 可确定 文件 在硬 盘 中的具 体位 置 和大 A 小. 数据恢复工作是一种系统性很强 的工作 , 实际操作 中的 情况千差万别 , 需要把它们作为一个 整体 , 从宏观上

12、把握 . 如果只是 MB R损坏 , 接使 用 ds/ R 复 主引 直 F i MB 恢 k 导记 录 , 重新启动系统 , 切正常.一般 很少 遇到纯 MB 一 R损 坏 的情 况 , 大都是连 同分 区表 , 甚至其他数据一同遭到破坏. 分 区损 坏的情况 下 , 都是先恢复好分 区.如果仅仅 是分 D T A A区是真正意义上的数据存储 的地方 , 于 D R区 位 I 之后 , 占据硬盘上的大部分空间 . 这 5个区域在硬盘逻辑分 区上 的排列如 图 1 7所示 . ! ! ! 竺 : l l l 图 1 各 区域 在 分 区上 的 位 置 关 系 7 区损坏 , 恢复分区后就可以直

13、接看到文件 .分 区恢复既 可以 手 工完成 , 也可 以部分 的使 用工 具来 协助 完成 , D sMa 如 i n k 就是这类工具 中的代表 .不过工具毕竟 能力有 限 , 有些甚 至 其 中, R一 般 占用 6 MB 3个 扇 区 ( 际 只 占用 1个 扇 实 区 D R占用 3 ;B 2个 扇 区 ( 际只 占用 第 1和第 6两个 扇 实 区 , 1 区起作用 , 6扇 区为第一扇 区的备份 F T = 第 扇 第 ;A 1 F T ,A A 2 F T的长度为 变长 , 随分 区大小 , 每簇扇 区数 的变化 而变化 ; I D R在早期 的系统 中是 固定 长度 的 ,

14、3 扇 区 , 为 2个 由于每个 文件 目录项 占用 3 个 字节 , 以, 目录下最 多只 2 所 根 能有 5 2项 ( 1 文件 和 目录总和 软 盘只有 12项 , , 1 超过 这个 数就不能再 在根 目录下建 立文件 或 目录.在 F T 2中为 了 A3 突破这个 限制 , 目录采用 和子 目录一样 的方式 来管 理 , 根 称 会造成 逻辑 锁 象 , 现 因此 , 想做 好这 份工 作 , 要 只依 靠使 用工具是远远不够 的. F T, B A D R和 D T A A的恢 复 , 需根 据实 际进行 操作 .当 前鉴定实践表明 , 除极 少数情 况和专 业清除 外 ,

15、绝大多 数 电 子物证 中的数据通过鉴定工作都是可 以恢复 的. ( 三 数据分析技术 数据分析技术 , 就是分 析存储 介质 中 的数 据信 息 , 括 包 正常文件内容和残 留文件 内容 .数据 分析 涉及 到计 算机 等 多个 学科 的知识 , 如存储 技术 , 文件 系统 , 网络 技术 , 字签 数 名技术 , 密码学 , 分析学 , 心理学等等学科 .它不仅要分 析关 键 资料 , 还要分析关键资料 的产生 , 存储 与消亡过程 , 析数 分 据 资料 背后 的人 的行 为 , 以重建案发过程 . 为根 目录文件 , 其就没有这 个限制 了 , 当然也 就不再 有单 独 的根 目录

16、, 而成为 D T 的一部分 .并 且 . 目录文 件并不 AA . 根 一 定紧跟在 F T之后 , A 可以位于 D T A A区的任意位置 . 除 了最常用 的 F T文件 系 统外 , A 比较 常用 的文件 系统 还有 N F T S系统.N F T S是新技 术文件 系统 ( e eh ooy N w T cnl g Fl S s m i yt 的英文缩写 , e e 主要 用在 Widw T系统 中.与 no sN 目 , 前 数据分析多采用工具与技术人员的操作相结合 的 方式进行 , 名 分析 工 具包 括 E C S WI I X, N 知 N A E, N- A 6等 ,

17、I E 这些工具都得到 了很 多政府 的认 可 , 在实践 中大量运用 . 考文献 参 家弘. 1何 电子证据 法研 究 . M 北京 : 法律 出版 社 ,0 2 20 . 6 63. 2 F T相 比, T S A N F 具有许多新 的特性 , 如容错性 , 安全性 , 文件 压缩( o rs C mpes 和磁盘配额 ( i uts 等 .N F Ds Q oa k T S的引导 扇区与 F T的引导扇区作用相 同 , MB A 由 R引导 至活动 分 区 的 D R, B 再由 D R引导操 作系统 .对 于 Widw T 20 / B n o sN / 00 X / 0 3 由 D R调入 N L R, 由 N L R调入 系统 内核 . P20 , B TD 再 TD 在 NF T S卷上 , 随在 B B后 的数据字段形成一个 扩展 跟 P BB P .这些字段 中的数据使得 Nl 能够 在启动 过程 中找到 tr d 主文件 表 3MF Mat i al T( s rFl T b .在 N F e e e T S卷上 , ￥MF T 2 刘品新. 网络时代侦查模式 的转 变