基于NTFS文件系统的计算机取证研究

摘要

信息技术的发展使得利用计算机系统作为犯罪的工具或目标的案件在司法案件中逐年增多，因此电子证据成为越来越多的诉讼证据，如何能有效地获取电子证据日益成为一个迫切需要解决的问题。BitSureI勘验取证系统是公安部的科技创新项目，它的产生正是为了解决取证中面临的各种问题。
　　 本文所讨论的BitSureI勘验取证系统属于计算机取证产品中的一种，利用专用硬件对磁介质存储设备取证，主要分为取证系统和证据的主机分析系统，取证系统的主要功能是磁盘复制功能，此功能可以确保存储介质上被提取的数据位对位的精确复制，为主机分析系统提供克隆副本，主机分析功能是对证据盘的数据进行取证分析，数据恢复模块是主机分析系统中的主要模块。
　　 本文主要研究在取证系统中，如何实现基于NTFS文件系统下的数据恢复功能以及恢复出的文件如何能满足计算机取证的各种要求，主要完成以下的工作：
　　 首先介绍了计算机取证技术的研究背景和数据恢复技术在计算机取证中的重要性，并对BitSureI工作原理和数据恢复技术进行了描述。
　　 其次，阐述了基于NTFS文件系统数据恢复模块的架构设计，通过对NTFS文件系统中MFT及其文件记录的分析，详细描述了数据恢复模块(包含磁盘分析模块，分区扫描模块，删除数据恢复模块)的实现。
　　 最后对设计的数据恢复模块进行了测试和总结，软件的功能和性能都达到了设计要求。