基于Windows平台磁盘取证系统数据恢复子系统研究与实现

摘要

随着信息技术的发展，计算机犯罪、信息泄密和入侵事件时常发生，计算机取证技术作为对抗计算机犯罪的关键技术应运而生，对电子证据的保护和对丢失信息的重现越来越受到人们的关注。如果一旦数据被删除或被破坏，并且数据具有被恢复的价值和必要，那么只有通过数据恢复技术得到实现。当前的数据恢复技术主要分为传统的基于文件系统元信息的恢复技术和新兴的文件雕复技术。
　　本文首先对传统的基于文件系统元信息的恢复技术和新兴的文件雕复技术的当前研究现状、理论和方法以及各自的优点和缺点进行了全面介绍和总结。同时指出，现有的文件雕复技术仍存在局限性及面临挑战。本文在深入研究SmartCarving框架模型前提下，提出了基于支持向量机改进数据块分类器的算法和基于数据块上下文的检测算法，并通过设置实验和对实验结果进行分析总结证明，该思路提高了对文件碎片进行文件类型鉴别的正确率，同时降低了误报率。
　　其次，结合当前各种数据恢复技术，本文设计并实现了基于Windows磁盘取证系统数据恢复子系统的原型系统，在此基础上对子系统的功能、总体框架、主要流程和子系统中各个组件和子模块的设计与实现进行了详细讲解。
　　最后，通过将本文的子系统与当前主流的数据恢复软件 Easyrecovery和Finaldata的对比，完成了原型系统的测试和验证工作，从而证明本文的文件雕复系统具有单位时间处理数据量大和雕复正确文件数最大的优势，对计算机磁盘取证工作有更好的支持。
　　综上，本文立足于研究Windows平台下磁盘取证系统中的文件恢复原理和关键技术，最终设计和实现文件恢复原型系统。一方面，作为取证系统的关键子系统，可以结束我国的计算机取证工作严重地依赖国外产品的历史，有力地推动我国计算机取证事业的发展；另外一方面，本文的数据恢复子系统可以作为独立的文件恢复软件，能够有效地解决现实生活中出现的磁盘中文件丢失问题，为计算机使用者提供一个方便实用的工具。

目录

封面

声明

中文摘要

英文摘要

目录

第一章 绪 论

1.1 研究背景

1.2 国内外研究现状

1.3 论文研究的目的和意义

1.4 论文的主要工作和组织结构安排

第二章 Windows文件恢复技术和相关理论

2.1 传统的基于文件系统元信息的文件恢复理论和方法

2.2 文件碎片

2.3 取证系统中的新兴的文件恢复技术——文件雕复技术

2.4 文件雕复技术的框架模型——SmartCarving

2.5 文件雕复技术的发展趋势

2.6 本章小结

第三章 系统中的关键算法和理论研究

3.1 改进文件碎片分类器

3.2 基于数据块上下文的检测算法

3.3 本章小结

第四章 系统设计与实现

4.1 文件恢复子系统概述

4.2 文件恢复子系统总体框架

4.3 文件恢复子系统主处理流程

4.4 文件恢复子系统中各子模块设计与实现

4.5 本章小结

第五章 系统测试和验证

5.1 原型系统运行效果

5.2 传统恢复引擎的正确性

5.3 文件雕复引擎的性能与正确性

5.4 本章小结

第六章 总结与展望

6.1 本文总结

6.2 展望

致谢

参考文献

攻硕期间取得的研究成果