當前位置:
首頁 >
技术揭秘之详解回收站删除文件恢复
發布時間:2024/4/11
42
豆豆
生活随笔
收集整理的這篇文章主要介紹了
技术揭秘之详解回收站删除文件恢复
小編覺得挺不錯的,現在分享給大家,幫大家做個參考.
|=------------------------------------------------------------------------=|
|=--------------=[技術揭秘之詳解回收站刪除文件恢復 ]=--------------------=|
|=------------------------------------------------------------------------=|
|=-----------=[ [dxl] - dxl198853[at]gmail[dot]com ]=-------------------=|
|=------------------------------------------------------------------------=|
|=--------------=[ http://hi.baidu.com/dxl198853??]=--------------------=|
|=------------------------------------------------------------------------=|
|=----------------------=[ April? ?28??2009 ]=----------------------------=|
|=------------------------------------------------------------------------=|
------[??Index
0.-介紹
1.- 實例操作
2.- 原理解析
3.- 計算機取證技術
4.- 保護隱私,破解恢復的方法
---------[介紹
日常生活中,我們經常執行的操作里面肯定是有刪除操作的,所以誤刪文件就是一個很令人頭疼的問題,如果我們不小心誤刪了珍貴的文件怎么辦?這里就結合回收站刪除文件的恢復實例來說明一下數據恢復的方法!!!
---------[實例操作
首先,我比較喜歡的三款數據恢復軟件分別是:
1.Recuva
2.Recover My Files
3.EasyRecovery
注:其實有很多的軟件,國內外的都有,看自己喜好了。
下載 (54.75 KB)
4/29/2009 22:28
下載 (111.52 KB)
4/29/2009 22:28
下載 (47.36 KB)
4/29/2009 22:28
下載 (51.12 KB)
4/29/2009 22:28
下載 (56.71 KB)
4/29/2009 22:28
---------[原理解析
這里要指出的是如果只能使用Windows本身提供的工具,那么我們可以認為清空回收站之后,被刪除的檔已經徹底清除了。不過事實并非如此,只要有專用的硬件和軟件,即使數據已經被覆蓋、驅動器已經重新格式化、引導扇區徹底損壞,或者磁盤驅動器不再運轉,我們還是可以恢復幾乎所有的檔。下面我們就來分析看看,這到底是怎么回事!
1、磁盤如何保存數據
2、Windows不能真正清除檔
3、覆蓋七次才能清除的蛛絲馬跡
4、被遺忘的角落
1、磁盤如何保存數據
要理解如何恢復已刪除的數據,首先要搞清楚磁盤如何保存數據。硬盤驅動器里面有一組盤片,數據就保存在盤片的磁道(Track)上,磁道在盤片上呈同心圓分布,讀/寫磁頭在盤片的表面移動訪問硬盤的各個區域,因此文件可以隨機地分布到磁盤的各個位置,同一文件的各個部分不一定要順序存放。
存放在磁盤上的數據以簇為分配單位,簇的大小因操作系統和邏輯卷大小的不同而不同。如果一個硬盤的簇大小是4 K,那么保存1 K的檔也要占用4 K的磁盤空間。大的檔可能占用多達數千、數萬的簇,分散到整個磁盤上,操作系統的文件子系統負責各個部分的組織和管理。
當前,Windows支持的硬盤文件系統共有三種。第一種是FAT,即所謂的文件分配表(File Allocation Table),它是最古老的文件系統,從DOS時×××始就已經有了。Windows 95引入了第二種文件系統,即FAT 32,Windows NT 4.0則引入了第三種文件系統NTFS。這三種文件系統的基本原理都一樣,都用一個類似目錄的結構來組織文件,目錄結構包含一個指向文件首簇的指針,首簇的FAT入口又包含一個指向下一簇地址的指針,依此類推,直至出現文件的結束標記為止。
2、Windows不能真正清除檔
在Windows中,如果我們用常規的辦法刪除一個檔,檔本身并未被真正清除。例如,如果我們在Windows資源管理器中刪除一個文件,Windows會把檔放入回收站,即使我們清空了回收站(或者不啟動回收站功能),操作系統也不會真正清除文件的數據。
Windows所謂的刪除實際上只是把文件名的第一個字母改成一個特殊字符,然后把該文件占用的簇標記為空閑狀態,但文件包含的數據仍在磁盤上,下次將新的檔保存到磁盤時,這些簇可能被新的檔使用,從而覆蓋原來的數據——因此,只要不保存新的檔,被刪除文件的數據實際上仍舊完整無缺地保存在磁盤上。
? ?? ?因此,我們可以用工具軟件繞過操作系統,直接操作磁盤,恢復被刪除的檔。這類工具軟件很多,EasyRecovery就是其中的佼佼者。
如果不小心刪除了某個重要文件,想要恢復,這時千萬不要覆蓋它。立即停用計算機,不要再向磁盤保存任何檔,包括不要把恢復工具安裝到已刪除文件所在的硬盤,因為任何寫入磁盤的內容都有可能覆蓋已刪除檔釋放的磁盤簇。如果必須安裝恢復工具,可以安裝到其他硬盤分區、軟盤,或者干脆拆下硬盤到另一臺機器上去恢復。
? ???3、覆蓋七次才能清除的蛛絲馬跡
如果數據已經覆蓋,用通常的恢復工具就無能為力了,但這并不意味著我們絕對不能挽救丟失的數據。讀取硬盤上被覆蓋的數據通常有兩種辦法。
讀/寫磁頭向磁盤寫入數據時,它會將磁化數據位的信號調整到某個適當的強度,但信號不是越強越好,不應超出一定的界限,以免影響相鄰的數據位。由于信號強度不足以使存儲媒介達到飽和的磁化狀態,所以實際記錄在媒介上的信號受到以前保存在同一位置的信號的影響,例如,如果原來記錄的數據位是0,現在被一個 1覆蓋,那么實際記錄在磁盤媒介上的信號強度肯定不如原來數據位是1的強度。
專用的硬設備能夠精確地檢測出信號強度的實際值,將這個值減去當前數據位的標準強度,就得到了被覆蓋數據的副本。理論上,這個過程可以向前遞推七次,所以如果要徹底清除文件,必須反復覆蓋數據七次以上,每次都用隨機生成的數據覆蓋。
第二種數據恢復技術的依據是,磁頭每次讀/寫數據時,不可能絕對精確地定位在同一個點上,寫入新數據的位置不會剛好覆蓋在原來的數據上。原有數據總是會留下一些痕跡,利用專用的設備可以分析出原有數據的副本——稱為影子數據。當然,如果我們反復執行覆蓋操作,原有數據的痕跡也會越來越弱。
● 影子數據:被覆蓋的數據總是與新寫入的不離左右,就像人的影子總是緊跟著人,因此被覆蓋的數據就稱為影子數據。英文功力好的讀者可以參見這篇專著:http://www.forensics-intl.com/art15.html。
通常而言,能夠恢復已刪除、覆蓋的數據應該算是一件好事,當然,某些必須徹底清除數據的場合除外。這方面最為著名的標準是美國國防部訂立的磁盤清洗規范,它要求數據必須覆蓋三次:第一次用一個8位的字符覆蓋,第二次用該字符的補碼(0和1全反轉的字符)覆蓋,最后用一個隨機字符覆蓋。不過這個清洗方法不適用于包含高度機密信息的媒介,這類媒介必須進行消磁處理,或者銷毀其物理載體。當然,對于大多數場合來說,簡單的覆蓋處理已經足夠。
4、被遺忘的角落
刪除和覆蓋檔還不能清除硬盤上的所有敏感數據,因為數據可能隱藏在某些意料之外的地方,所以檔占用的每一個扇區都必須徹底清洗——所謂扇區,就是大小為512字節的數據片斷,每個簇包含多個扇區。
向磁盤寫入檔時,檔的最后一部分通常不會恰好填滿最后一個扇區,這時操作系統就會隨機地提取一些內存數據來填充空余區域。從內存獲取的數據稱為RAM Slack(內存渣滓),它可能是計算機啟動之后創建、訪問、修改的任何數據。另外,最后一個簇中沒有用到的扇區就原封不動,即保留原來的數據,稱為 Drive Slack(磁盤渣滓)。問題在于許多號稱安全刪除檔的工具不會正確清除內存渣滓和磁盤渣滓,而這些被稱為渣滓的地方卻可能包含大量的敏感信息。
在 NTFS文件系統中,每個文件包含多個流,其中一個流用來保存訪問權限之類的信息,另一個流用來保存真正的文件數據。除此之外,NTFS還允許額外的數據流,即ADS(Alternative Data Stream),ADS可以用來保存任何信息,最常見的用途是保存圖形文件的縮略圖。由于許多安全刪除檔的工具不能清除ADS,所以即使存放文件實際數據的流已經清除,但縮略圖仍可能泄露機密。微軟知識庫文章319300(http://support.microsoft.com)介紹了如何防止系統創建縮略圖使用的流,即刪除注冊鍵HKEY_LOCAL_MACHINE\System\Currentcontrolset\Control \Contentindex\FilterTrackers 復制代碼●ADS:ADS 這個縮寫詞經常用來表示活動目錄服務(Active Directory Services),不過本文中ADS是指「可選數字流」,是文件主體數據之外的附屬信息存儲區域。就像你的公文包,包里面是正式存放物品的主空間,但包的外面還會有一二個附屬小口袋便于快速取用物品,這些小口袋就相當于ADS。
ADS已是人們熟知的隱藏數據和病毒之地,經常被計算機犯罪分子利用。但除此之外,硬盤上還有其他可以隱藏數據的區域。
扇區是在低級格式化期間創建的,通常由硬盤制造廠完成。低級格式化工具會標記出損壞的扇區,從而避免磁盤控制器向損壞的區域寫入數據。簇包含多個扇區,由高級格式化工具創建,如Windows或DOS的format命令。如果高級格式化期間發現壞扇區,整個簇被標記為壞簇,但是,壞簇里面還有好的扇區,有些人就利用這些扇區來隱藏數據。
在老式磁盤上,數據還可以隱藏在稱為扇區縫隙的地方。老式磁盤的每一個磁道都有數量相同的扇區,但外圈的磁道顯然要比內圈的磁道長,有些人就利用外圈磁道上扇區之間的縫隙來保存數據。新型磁盤利用一種稱為分區記錄(Zoned Recording)的技術避免了這種空間浪費,它能夠根據磁道的位置調整每個磁道的扇區數量。
綜上所述,我們可以說恢復數據實際上要比徹底清除數據簡單。如果你不小心刪除了某個重要的文件(誰都會遇到這類事情),恢復工具就是救命的稻草!!!
-----------[計算機取證技術
介紹:
計算機取證(Computer Forensics)在打擊計算機和網絡犯罪中作用十分關鍵,它的目的是要將犯罪者留在計算機中的“痕跡”作為有效的訴訟證據提供給法庭,以便將犯罪嫌疑人繩之以法。因此,計算機取證是計算機領域和法學領域的一門交叉科學,被用來解決大量的計算機犯罪和事故,包括網絡***、盜用知識產權和網絡欺騙等。
1.什么是計算機取證
從技術角度看,計算機取證是分析硬盤、光盤、軟盤、Zip磁盤、U盤、內存緩沖和其他形式的儲存介質以發現犯罪證據的過程,即計算機取證包括了對以磁介質編碼信息方式存儲的計算機證據的保護、確認、提取和歸檔。取證的方法通常是使用軟件和工具,按照一些預先定義的程序,全面地檢查計算機系統,以提取和保護有關計算機犯罪的證據。
計算機取證主要是圍繞電子證據進行的。電子證據也稱為計算機證據,是指在計算機或計算機系統運行過程中產生的,以其記錄的內容來證明案件事實的電磁記錄。多媒體技術的發展,電子證據綜合了文本、圖形、圖像、動畫、音頻及視頻等多種類型的信息。與傳統證據一樣,電子證據必須是可信、準確、完整、符合法律法規的,是法庭所能夠接受的。同時,電子證據與傳統證據不同,具有高科技性、無形性和易破壞性等特點。高科技性是指電子證據的產生、儲存和傳輸,都必須借助于計算機技術、存儲技術、網絡技術等,離開了相應技術設備,電子證據就無法保存和傳輸。無形性是指電子證據肉眼不能夠直接可見的,必須借助適當的工具。易破壞性是指電子證據很容易被篡改、刪除而不留任何痕跡。計算機取證要解決的重要問題是電子物證如何收集、如何保護、如何分析和如何展示。
可以用做計算機取證的信息源很多,如系統日志,防火墻與***檢測系統的工作記錄、反病毒軟件日志、系統審計記錄、網絡監控流量、電子郵件、操作系統文件、數據庫文件和操作記錄、硬盤交換分區、軟件設置參數和文件、完成特定功能的腳本文件、Web瀏覽器數據緩沖、書簽、歷史記錄或會話日志、實時聊天記錄等。為了防止被偵查到,具備高科技作案技能犯罪嫌疑人,往往在犯罪活動結束后將自己殘留在受害方系統中的“痕跡”擦除掉,如盡量刪除或修改日志文件及其他有關記錄。但是,一般的刪除文件操作,即使在清空了回收站后,如果不是對硬盤進行低級格式化處理或將硬盤空間裝滿,仍有可能恢復已經刪除的文件。
2.如何進行計算機取證
根據電子證據的特點,在進行計算機取證時,首先要盡早搜集證據,并保證其沒有受到任何破壞。在取證時必須保證證據連續性,即在證據被正式提交給法庭時,必須能夠說明在證據從最初的獲取狀態到在法庭上出現狀態之間的任何變化,當然最好是沒有任何變化。特別重要的是,計算機取證的全部過程必須是受到監督的,即由原告委派的專家進行的所有取證工作,都應該受到由其他方委派的專家的監督。計算機取證的通常步驟如下。
(1)保護目標計算機系統。計算機取證時首先必須凍結目標計算機系統,不給犯罪嫌疑人破壞證據的機會。避免出現任何更改系統設置、損壞硬件、破壞數據或病毒感染的情況。
(2)確定電子證據。在計算機存儲介質容量越來越大的情況下,必須根據系統的破壞程度,在海量數據中區分哪些是電子證據,哪些是無用數據。要尋找那些由犯罪嫌疑人留下的活動記錄作為電子證據,確定這些記錄的存放位置和存儲方式。
(3)收集電子證據。
·記錄系統的硬件配置和硬件連接情況,以便將計算機系統轉移到安全的地方進行分析。
·對目標系統磁盤中的所有數據進行鏡像備份。備份后可對計算機證據進行處理,如果將來出現對收集的電子證據發生疑問時,可通過鏡像備份的數據將目標系統恢復到原始狀態。
·用取證工具收集的電子證據,對系統的日期和時間進行記錄歸檔,對可能作為證據的數據進行分析。對關鍵的證據數據用光盤備份,也可直接將電子證據打印成文件證據。
·利用程序的自動搜索功能,將可疑為電子證據的文件或數據列表,確認后發送給取證服務器。
·對網絡防火墻和***檢測系統的日志數據,由于數據量特別大,可先進行光盤備份,保全原始數據,然后進行犯罪信息挖掘。
·各類電子證據匯集時,將相關的文件證據存入取證服務器的特定目錄,將存放目錄、文件類型、證據來源等信息存入取證服務器的數據庫。
(4)保護電子證據
對調查取證的數據鏡像備份介質加封條存放在安全的地方。對獲取的電子證據采用安全措施保護,無關人員不得操作存放電子證據的計算機。不輕易刪除或修改文件以免引起有價值的證據文件的永久丟失。
3.如何分析電子證據
電子證據需要借助計算機的輔助程序來查看,分析電子證據的信息需要很深的專業知識,應依靠專業的取證專家。通常進行的工作包括。
(1)借助自動取證的文本搜索工具,進行一系列的關鍵字搜索查找最重要的信息。
(2)對文件屬性、文件的摘要和日志進行分析,根據已經獲得的文件或數據的用詞、語法、寫作或軟件設計編制風格,推斷可能的作者。
(3)利用數據解密技術和密碼破譯技術,對電子介質中的被保護信息進行強行訪問,獲取信息。
(4)分析Windows系統的交換文件和硬盤中未分配的空間,這些地方往往存放著犯罪嫌疑人容易忽視的證據。
(5)對電子證據進行智能相關性分析,發掘同一事件不同證據間的聯系。如分析分布式拒絕服務***證據時,可對某一時間段來自***者的IP在不同系統中留下的痕跡,按一定順序羅列和評估其相關性。
4.計算機取證常用工具
計算機取證常用工具有tcpdump、Argus、NFR、tcpwrapper、sniffers、honeypot、Tripwires、 Network monitor和鏡像工具等。
大家還記得FOX的經典劇集《越獄》么?在第二部中,mahone探員通過從michael的硬盤中恢復的數據得到了大量的可用資料從而使得辦案事半功倍,這就是計算機取證技術的美妙之處!!!
下載 (41.21 KB)
4/29/2009 22:28
-----------[保護隱私,破解恢復的方法
前面已經提到了(如果數據已經覆蓋,用通常的恢復工具就無能為力了,但這并不意味著我們絕對不能挽救丟失的數據)所以我們破解恢復的方法就是這樣,通過惡意的覆蓋,或者是文件擦寫,就可以達到這樣的目的。當然,這樣的功能已經通過編程實現了,具體的實現工具如下:
下載 (75.26 KB)
4/29/2009 22:28
大家注意到右邊的擦寫標準沒?這就是不同機構的擦寫要求標準,一般來說我們擦寫了7次后,數據恢復軟件就很難在恢復文件了,如果是35次的話就更別說了,呵呵。這可以有效的防止隱私被人偷窺哦!!!!
說了這么多,親愛的讀者是否在閱讀了上述的內容后學到了點什么呢?如果你能從這篇文章里學到東西,那么這文章就體現了它的價值了!!!
此文來自于bbs.winos.com ? 作者為dxl198853 轉載請注明作者和出處,謝謝。
參考文獻:
1.《計算機取證技術》
2.《文件刪除原理》
|=--------------=[技術揭秘之詳解回收站刪除文件恢復 ]=--------------------=|
|=------------------------------------------------------------------------=|
|=-----------=[ [dxl] - dxl198853[at]gmail[dot]com ]=-------------------=|
|=------------------------------------------------------------------------=|
|=--------------=[ http://hi.baidu.com/dxl198853??]=--------------------=|
|=------------------------------------------------------------------------=|
|=----------------------=[ April? ?28??2009 ]=----------------------------=|
|=------------------------------------------------------------------------=|
------[??Index
0.-介紹
1.- 實例操作
2.- 原理解析
3.- 計算機取證技術
4.- 保護隱私,破解恢復的方法
---------[介紹
日常生活中,我們經常執行的操作里面肯定是有刪除操作的,所以誤刪文件就是一個很令人頭疼的問題,如果我們不小心誤刪了珍貴的文件怎么辦?這里就結合回收站刪除文件的恢復實例來說明一下數據恢復的方法!!!
---------[實例操作
首先,我比較喜歡的三款數據恢復軟件分別是:
1.Recuva
2.Recover My Files
3.EasyRecovery
注:其實有很多的軟件,國內外的都有,看自己喜好了。
下載 (54.75 KB)
4/29/2009 22:28
下載 (111.52 KB)
4/29/2009 22:28
下載 (47.36 KB)
4/29/2009 22:28
下載 (51.12 KB)
4/29/2009 22:28
下載 (56.71 KB)
4/29/2009 22:28
---------[原理解析
這里要指出的是如果只能使用Windows本身提供的工具,那么我們可以認為清空回收站之后,被刪除的檔已經徹底清除了。不過事實并非如此,只要有專用的硬件和軟件,即使數據已經被覆蓋、驅動器已經重新格式化、引導扇區徹底損壞,或者磁盤驅動器不再運轉,我們還是可以恢復幾乎所有的檔。下面我們就來分析看看,這到底是怎么回事!
1、磁盤如何保存數據
2、Windows不能真正清除檔
3、覆蓋七次才能清除的蛛絲馬跡
4、被遺忘的角落
1、磁盤如何保存數據
要理解如何恢復已刪除的數據,首先要搞清楚磁盤如何保存數據。硬盤驅動器里面有一組盤片,數據就保存在盤片的磁道(Track)上,磁道在盤片上呈同心圓分布,讀/寫磁頭在盤片的表面移動訪問硬盤的各個區域,因此文件可以隨機地分布到磁盤的各個位置,同一文件的各個部分不一定要順序存放。
存放在磁盤上的數據以簇為分配單位,簇的大小因操作系統和邏輯卷大小的不同而不同。如果一個硬盤的簇大小是4 K,那么保存1 K的檔也要占用4 K的磁盤空間。大的檔可能占用多達數千、數萬的簇,分散到整個磁盤上,操作系統的文件子系統負責各個部分的組織和管理。
當前,Windows支持的硬盤文件系統共有三種。第一種是FAT,即所謂的文件分配表(File Allocation Table),它是最古老的文件系統,從DOS時×××始就已經有了。Windows 95引入了第二種文件系統,即FAT 32,Windows NT 4.0則引入了第三種文件系統NTFS。這三種文件系統的基本原理都一樣,都用一個類似目錄的結構來組織文件,目錄結構包含一個指向文件首簇的指針,首簇的FAT入口又包含一個指向下一簇地址的指針,依此類推,直至出現文件的結束標記為止。
2、Windows不能真正清除檔
在Windows中,如果我們用常規的辦法刪除一個檔,檔本身并未被真正清除。例如,如果我們在Windows資源管理器中刪除一個文件,Windows會把檔放入回收站,即使我們清空了回收站(或者不啟動回收站功能),操作系統也不會真正清除文件的數據。
Windows所謂的刪除實際上只是把文件名的第一個字母改成一個特殊字符,然后把該文件占用的簇標記為空閑狀態,但文件包含的數據仍在磁盤上,下次將新的檔保存到磁盤時,這些簇可能被新的檔使用,從而覆蓋原來的數據——因此,只要不保存新的檔,被刪除文件的數據實際上仍舊完整無缺地保存在磁盤上。
? ?? ?因此,我們可以用工具軟件繞過操作系統,直接操作磁盤,恢復被刪除的檔。這類工具軟件很多,EasyRecovery就是其中的佼佼者。
如果不小心刪除了某個重要文件,想要恢復,這時千萬不要覆蓋它。立即停用計算機,不要再向磁盤保存任何檔,包括不要把恢復工具安裝到已刪除文件所在的硬盤,因為任何寫入磁盤的內容都有可能覆蓋已刪除檔釋放的磁盤簇。如果必須安裝恢復工具,可以安裝到其他硬盤分區、軟盤,或者干脆拆下硬盤到另一臺機器上去恢復。
? ???3、覆蓋七次才能清除的蛛絲馬跡
如果數據已經覆蓋,用通常的恢復工具就無能為力了,但這并不意味著我們絕對不能挽救丟失的數據。讀取硬盤上被覆蓋的數據通常有兩種辦法。
讀/寫磁頭向磁盤寫入數據時,它會將磁化數據位的信號調整到某個適當的強度,但信號不是越強越好,不應超出一定的界限,以免影響相鄰的數據位。由于信號強度不足以使存儲媒介達到飽和的磁化狀態,所以實際記錄在媒介上的信號受到以前保存在同一位置的信號的影響,例如,如果原來記錄的數據位是0,現在被一個 1覆蓋,那么實際記錄在磁盤媒介上的信號強度肯定不如原來數據位是1的強度。
專用的硬設備能夠精確地檢測出信號強度的實際值,將這個值減去當前數據位的標準強度,就得到了被覆蓋數據的副本。理論上,這個過程可以向前遞推七次,所以如果要徹底清除文件,必須反復覆蓋數據七次以上,每次都用隨機生成的數據覆蓋。
第二種數據恢復技術的依據是,磁頭每次讀/寫數據時,不可能絕對精確地定位在同一個點上,寫入新數據的位置不會剛好覆蓋在原來的數據上。原有數據總是會留下一些痕跡,利用專用的設備可以分析出原有數據的副本——稱為影子數據。當然,如果我們反復執行覆蓋操作,原有數據的痕跡也會越來越弱。
● 影子數據:被覆蓋的數據總是與新寫入的不離左右,就像人的影子總是緊跟著人,因此被覆蓋的數據就稱為影子數據。英文功力好的讀者可以參見這篇專著:http://www.forensics-intl.com/art15.html。
通常而言,能夠恢復已刪除、覆蓋的數據應該算是一件好事,當然,某些必須徹底清除數據的場合除外。這方面最為著名的標準是美國國防部訂立的磁盤清洗規范,它要求數據必須覆蓋三次:第一次用一個8位的字符覆蓋,第二次用該字符的補碼(0和1全反轉的字符)覆蓋,最后用一個隨機字符覆蓋。不過這個清洗方法不適用于包含高度機密信息的媒介,這類媒介必須進行消磁處理,或者銷毀其物理載體。當然,對于大多數場合來說,簡單的覆蓋處理已經足夠。
4、被遺忘的角落
刪除和覆蓋檔還不能清除硬盤上的所有敏感數據,因為數據可能隱藏在某些意料之外的地方,所以檔占用的每一個扇區都必須徹底清洗——所謂扇區,就是大小為512字節的數據片斷,每個簇包含多個扇區。
向磁盤寫入檔時,檔的最后一部分通常不會恰好填滿最后一個扇區,這時操作系統就會隨機地提取一些內存數據來填充空余區域。從內存獲取的數據稱為RAM Slack(內存渣滓),它可能是計算機啟動之后創建、訪問、修改的任何數據。另外,最后一個簇中沒有用到的扇區就原封不動,即保留原來的數據,稱為 Drive Slack(磁盤渣滓)。問題在于許多號稱安全刪除檔的工具不會正確清除內存渣滓和磁盤渣滓,而這些被稱為渣滓的地方卻可能包含大量的敏感信息。
在 NTFS文件系統中,每個文件包含多個流,其中一個流用來保存訪問權限之類的信息,另一個流用來保存真正的文件數據。除此之外,NTFS還允許額外的數據流,即ADS(Alternative Data Stream),ADS可以用來保存任何信息,最常見的用途是保存圖形文件的縮略圖。由于許多安全刪除檔的工具不能清除ADS,所以即使存放文件實際數據的流已經清除,但縮略圖仍可能泄露機密。微軟知識庫文章319300(http://support.microsoft.com)介紹了如何防止系統創建縮略圖使用的流,即刪除注冊鍵
ADS已是人們熟知的隱藏數據和病毒之地,經常被計算機犯罪分子利用。但除此之外,硬盤上還有其他可以隱藏數據的區域。
扇區是在低級格式化期間創建的,通常由硬盤制造廠完成。低級格式化工具會標記出損壞的扇區,從而避免磁盤控制器向損壞的區域寫入數據。簇包含多個扇區,由高級格式化工具創建,如Windows或DOS的format命令。如果高級格式化期間發現壞扇區,整個簇被標記為壞簇,但是,壞簇里面還有好的扇區,有些人就利用這些扇區來隱藏數據。
在老式磁盤上,數據還可以隱藏在稱為扇區縫隙的地方。老式磁盤的每一個磁道都有數量相同的扇區,但外圈的磁道顯然要比內圈的磁道長,有些人就利用外圈磁道上扇區之間的縫隙來保存數據。新型磁盤利用一種稱為分區記錄(Zoned Recording)的技術避免了這種空間浪費,它能夠根據磁道的位置調整每個磁道的扇區數量。
綜上所述,我們可以說恢復數據實際上要比徹底清除數據簡單。如果你不小心刪除了某個重要的文件(誰都會遇到這類事情),恢復工具就是救命的稻草!!!
-----------[計算機取證技術
介紹:
計算機取證(Computer Forensics)在打擊計算機和網絡犯罪中作用十分關鍵,它的目的是要將犯罪者留在計算機中的“痕跡”作為有效的訴訟證據提供給法庭,以便將犯罪嫌疑人繩之以法。因此,計算機取證是計算機領域和法學領域的一門交叉科學,被用來解決大量的計算機犯罪和事故,包括網絡***、盜用知識產權和網絡欺騙等。
1.什么是計算機取證
從技術角度看,計算機取證是分析硬盤、光盤、軟盤、Zip磁盤、U盤、內存緩沖和其他形式的儲存介質以發現犯罪證據的過程,即計算機取證包括了對以磁介質編碼信息方式存儲的計算機證據的保護、確認、提取和歸檔。取證的方法通常是使用軟件和工具,按照一些預先定義的程序,全面地檢查計算機系統,以提取和保護有關計算機犯罪的證據。
計算機取證主要是圍繞電子證據進行的。電子證據也稱為計算機證據,是指在計算機或計算機系統運行過程中產生的,以其記錄的內容來證明案件事實的電磁記錄。多媒體技術的發展,電子證據綜合了文本、圖形、圖像、動畫、音頻及視頻等多種類型的信息。與傳統證據一樣,電子證據必須是可信、準確、完整、符合法律法規的,是法庭所能夠接受的。同時,電子證據與傳統證據不同,具有高科技性、無形性和易破壞性等特點。高科技性是指電子證據的產生、儲存和傳輸,都必須借助于計算機技術、存儲技術、網絡技術等,離開了相應技術設備,電子證據就無法保存和傳輸。無形性是指電子證據肉眼不能夠直接可見的,必須借助適當的工具。易破壞性是指電子證據很容易被篡改、刪除而不留任何痕跡。計算機取證要解決的重要問題是電子物證如何收集、如何保護、如何分析和如何展示。
可以用做計算機取證的信息源很多,如系統日志,防火墻與***檢測系統的工作記錄、反病毒軟件日志、系統審計記錄、網絡監控流量、電子郵件、操作系統文件、數據庫文件和操作記錄、硬盤交換分區、軟件設置參數和文件、完成特定功能的腳本文件、Web瀏覽器數據緩沖、書簽、歷史記錄或會話日志、實時聊天記錄等。為了防止被偵查到,具備高科技作案技能犯罪嫌疑人,往往在犯罪活動結束后將自己殘留在受害方系統中的“痕跡”擦除掉,如盡量刪除或修改日志文件及其他有關記錄。但是,一般的刪除文件操作,即使在清空了回收站后,如果不是對硬盤進行低級格式化處理或將硬盤空間裝滿,仍有可能恢復已經刪除的文件。
2.如何進行計算機取證
根據電子證據的特點,在進行計算機取證時,首先要盡早搜集證據,并保證其沒有受到任何破壞。在取證時必須保證證據連續性,即在證據被正式提交給法庭時,必須能夠說明在證據從最初的獲取狀態到在法庭上出現狀態之間的任何變化,當然最好是沒有任何變化。特別重要的是,計算機取證的全部過程必須是受到監督的,即由原告委派的專家進行的所有取證工作,都應該受到由其他方委派的專家的監督。計算機取證的通常步驟如下。
(1)保護目標計算機系統。計算機取證時首先必須凍結目標計算機系統,不給犯罪嫌疑人破壞證據的機會。避免出現任何更改系統設置、損壞硬件、破壞數據或病毒感染的情況。
(2)確定電子證據。在計算機存儲介質容量越來越大的情況下,必須根據系統的破壞程度,在海量數據中區分哪些是電子證據,哪些是無用數據。要尋找那些由犯罪嫌疑人留下的活動記錄作為電子證據,確定這些記錄的存放位置和存儲方式。
(3)收集電子證據。
·記錄系統的硬件配置和硬件連接情況,以便將計算機系統轉移到安全的地方進行分析。
·對目標系統磁盤中的所有數據進行鏡像備份。備份后可對計算機證據進行處理,如果將來出現對收集的電子證據發生疑問時,可通過鏡像備份的數據將目標系統恢復到原始狀態。
·用取證工具收集的電子證據,對系統的日期和時間進行記錄歸檔,對可能作為證據的數據進行分析。對關鍵的證據數據用光盤備份,也可直接將電子證據打印成文件證據。
·利用程序的自動搜索功能,將可疑為電子證據的文件或數據列表,確認后發送給取證服務器。
·對網絡防火墻和***檢測系統的日志數據,由于數據量特別大,可先進行光盤備份,保全原始數據,然后進行犯罪信息挖掘。
·各類電子證據匯集時,將相關的文件證據存入取證服務器的特定目錄,將存放目錄、文件類型、證據來源等信息存入取證服務器的數據庫。
(4)保護電子證據
對調查取證的數據鏡像備份介質加封條存放在安全的地方。對獲取的電子證據采用安全措施保護,無關人員不得操作存放電子證據的計算機。不輕易刪除或修改文件以免引起有價值的證據文件的永久丟失。
3.如何分析電子證據
電子證據需要借助計算機的輔助程序來查看,分析電子證據的信息需要很深的專業知識,應依靠專業的取證專家。通常進行的工作包括。
(1)借助自動取證的文本搜索工具,進行一系列的關鍵字搜索查找最重要的信息。
(2)對文件屬性、文件的摘要和日志進行分析,根據已經獲得的文件或數據的用詞、語法、寫作或軟件設計編制風格,推斷可能的作者。
(3)利用數據解密技術和密碼破譯技術,對電子介質中的被保護信息進行強行訪問,獲取信息。
(4)分析Windows系統的交換文件和硬盤中未分配的空間,這些地方往往存放著犯罪嫌疑人容易忽視的證據。
(5)對電子證據進行智能相關性分析,發掘同一事件不同證據間的聯系。如分析分布式拒絕服務***證據時,可對某一時間段來自***者的IP在不同系統中留下的痕跡,按一定順序羅列和評估其相關性。
4.計算機取證常用工具
計算機取證常用工具有tcpdump、Argus、NFR、tcpwrapper、sniffers、honeypot、Tripwires、 Network monitor和鏡像工具等。
大家還記得FOX的經典劇集《越獄》么?在第二部中,mahone探員通過從michael的硬盤中恢復的數據得到了大量的可用資料從而使得辦案事半功倍,這就是計算機取證技術的美妙之處!!!
下載 (41.21 KB)
4/29/2009 22:28
-----------[保護隱私,破解恢復的方法
前面已經提到了(如果數據已經覆蓋,用通常的恢復工具就無能為力了,但這并不意味著我們絕對不能挽救丟失的數據)所以我們破解恢復的方法就是這樣,通過惡意的覆蓋,或者是文件擦寫,就可以達到這樣的目的。當然,這樣的功能已經通過編程實現了,具體的實現工具如下:
下載 (75.26 KB)
4/29/2009 22:28
大家注意到右邊的擦寫標準沒?這就是不同機構的擦寫要求標準,一般來說我們擦寫了7次后,數據恢復軟件就很難在恢復文件了,如果是35次的話就更別說了,呵呵。這可以有效的防止隱私被人偷窺哦!!!!
說了這么多,親愛的讀者是否在閱讀了上述的內容后學到了點什么呢?如果你能從這篇文章里學到東西,那么這文章就體現了它的價值了!!!
此文來自于bbs.winos.com ? 作者為dxl198853 轉載請注明作者和出處,謝謝。
參考文獻:
1.《計算機取證技術》
2.《文件刪除原理》
轉載于:https://blog.51cto.com/yangyun/161979
總結
以上是生活随笔為你收集整理的技术揭秘之详解回收站删除文件恢复的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: ASP.NET 3.5中的一个超简单的A
- 下一篇: [Regular] 2、正则表达式基础元