计算机取证的信息收集与数据还原

摘要

随着信息技术的不断发展，利用计算机或以计算机为目标的犯罪动越来越多，造成的危害也越来越大。如何最大限度地获取计算机犯罪相关的电子证据，如何恢复遭到破坏的关键证据，将犯罪分子绳之以法，已成为司法和计算机科学领域中亟待解决的新课题。计算机取证是打击计算机犯罪的有力工具及手段，为了提高打击计算机犯罪的能力，需要对计算机取证领域进行深入的研究，不但需要开发切实有效的取证工具，也需要对计算机取证领域的取证定义、取证标准、取证程序等进行研究。 本论文对计算机取证信息搜集和数据还原进行了研究主要内容包括： 1． 对计算机取证技术的产生，发展，现状和趋势做出了总结性描述。 2． 研究了当前最为流行的操作系统NTFS系统的组成和结构。对磁盘的分区结构进行了解释说明，然后着重说明了NTFS文件系统下的MFT表、文件和目录的结构构成与存储组织，NTFS常驻属性和非常驻属性等。 3． 在研究了NTFS文件系统的基础上，给出了数据删除恢复的设计原理，并开发实现了文件恢复系统和磁盘格式化恢复系统，尽可能多的恢复计算机上的删除数据。并解决了实际使用过程中发现的特定文件名显示异常的问题。 4． 分析了计算机上操作痕迹的来源，设计和开发了计算机历史痕迹的取证系统，整合多种取证技术，全面提取系统信息。 5． 通过Lucene搜索技术，集成删除恢复信息和操作痕迹收集信息，开发统一管理和查询平台，改变了在日常工作中不得不交替使用多种数据恢复软件和信息搜集软件，既不方便又极易出错这一现象。使取证工作更方便和快捷。