技术揭秘之详解回收站删除文件恢复
生活随笔
收集整理的這篇文章主要介紹了
技术揭秘之详解回收站删除文件恢复
小編覺得挺不錯(cuò)的,現(xiàn)在分享給大家,幫大家做個(gè)參考.
|=------------------------------------------------------------------------=|
|=--------------=[技術(shù)揭秘之詳解回收站刪除文件恢復(fù) ]=--------------------=|
|=------------------------------------------------------------------------=|
|=-----------=[ [dxl] - dxl198853[at]gmail[dot]com ]=-------------------=|
|=------------------------------------------------------------------------=|
|=--------------=[ http://hi.baidu.com/dxl198853??]=--------------------=|
|=------------------------------------------------------------------------=|
|=----------------------=[ April? ?28??2009 ]=----------------------------=|
|=------------------------------------------------------------------------=|
------[??Index
0.-介紹
1.- 實(shí)例操作
2.- 原理解析
3.- 計(jì)算機(jī)取證技術(shù)
4.- 保護(hù)隱私,破解恢復(fù)的方法
---------[介紹
日常生活中,我們經(jīng)常執(zhí)行的操作里面肯定是有刪除操作的,所以誤刪文件就是一個(gè)很令人頭疼的問題,如果我們不小心誤刪了珍貴的文件怎么辦?這里就結(jié)合回收站刪除文件的恢復(fù)實(shí)例來說明一下數(shù)據(jù)恢復(fù)的方法!!!
---------[實(shí)例操作
首先,我比較喜歡的三款數(shù)據(jù)恢復(fù)軟件分別是:
1.Recuva
2.Recover My Files
3.EasyRecovery
注:其實(shí)有很多的軟件,國內(nèi)外的都有,看自己喜好了。
下載 (54.75 KB)
4/29/2009 22:28
下載 (111.52 KB)
4/29/2009 22:28
下載 (47.36 KB)
4/29/2009 22:28
下載 (51.12 KB)
4/29/2009 22:28
下載 (56.71 KB)
4/29/2009 22:28
---------[原理解析
這里要指出的是如果只能使用Windows本身提供的工具,那么我們可以認(rèn)為清空回收站之后,被刪除的檔已經(jīng)徹底清除了。不過事實(shí)并非如此,只要有專用的硬件和軟件,即使數(shù)據(jù)已經(jīng)被覆蓋、驅(qū)動(dòng)器已經(jīng)重新格式化、引導(dǎo)扇區(qū)徹底損壞,或者磁盤驅(qū)動(dòng)器不再運(yùn)轉(zhuǎn),我們還是可以恢復(fù)幾乎所有的檔。下面我們就來分析看看,這到底是怎么回事!
1、磁盤如何保存數(shù)據(jù)
2、Windows不能真正清除檔
3、覆蓋七次才能清除的蛛絲馬跡
4、被遺忘的角落
1、磁盤如何保存數(shù)據(jù)
要理解如何恢復(fù)已刪除的數(shù)據(jù),首先要搞清楚磁盤如何保存數(shù)據(jù)。硬盤驅(qū)動(dòng)器里面有一組盤片,數(shù)據(jù)就保存在盤片的磁道(Track)上,磁道在盤片上呈同心圓分布,讀/寫磁頭在盤片的表面移動(dòng)訪問硬盤的各個(gè)區(qū)域,因此文件可以隨機(jī)地分布到磁盤的各個(gè)位置,同一文件的各個(gè)部分不一定要順序存放。
存放在磁盤上的數(shù)據(jù)以簇為分配單位,簇的大小因操作系統(tǒng)和邏輯卷大小的不同而不同。如果一個(gè)硬盤的簇大小是4 K,那么保存1 K的檔也要占用4 K的磁盤空間。大的檔可能占用多達(dá)數(shù)千、數(shù)萬的簇,分散到整個(gè)磁盤上,操作系統(tǒng)的文件子系統(tǒng)負(fù)責(zé)各個(gè)部分的組織和管理。
當(dāng)前,Windows支持的硬盤文件系統(tǒng)共有三種。第一種是FAT,即所謂的文件分配表(File Allocation Table),它是最古老的文件系統(tǒng),從DOS時(shí)×××始就已經(jīng)有了。Windows 95引入了第二種文件系統(tǒng),即FAT 32,Windows NT 4.0則引入了第三種文件系統(tǒng)NTFS。這三種文件系統(tǒng)的基本原理都一樣,都用一個(gè)類似目錄的結(jié)構(gòu)來組織文件,目錄結(jié)構(gòu)包含一個(gè)指向文件首簇的指針,首簇的FAT入口又包含一個(gè)指向下一簇地址的指針,依此類推,直至出現(xiàn)文件的結(jié)束標(biāo)記為止。
2、Windows不能真正清除檔
在Windows中,如果我們用常規(guī)的辦法刪除一個(gè)檔,檔本身并未被真正清除。例如,如果我們?cè)赪indows資源管理器中刪除一個(gè)文件,Windows會(huì)把檔放入回收站,即使我們清空了回收站(或者不啟動(dòng)回收站功能),操作系統(tǒng)也不會(huì)真正清除文件的數(shù)據(jù)。
Windows所謂的刪除實(shí)際上只是把文件名的第一個(gè)字母改成一個(gè)特殊字符,然后把該文件占用的簇標(biāo)記為空閑狀態(tài),但文件包含的數(shù)據(jù)仍在磁盤上,下次將新的檔保存到磁盤時(shí),這些簇可能被新的檔使用,從而覆蓋原來的數(shù)據(jù)——因此,只要不保存新的檔,被刪除文件的數(shù)據(jù)實(shí)際上仍舊完整無缺地保存在磁盤上。
? ?? ?因此,我們可以用工具軟件繞過操作系統(tǒng),直接操作磁盤,恢復(fù)被刪除的檔。這類工具軟件很多,EasyRecovery就是其中的佼佼者。
如果不小心刪除了某個(gè)重要文件,想要恢復(fù),這時(shí)千萬不要覆蓋它。立即停用計(jì)算機(jī),不要再向磁盤保存任何檔,包括不要把恢復(fù)工具安裝到已刪除文件所在的硬盤,因?yàn)槿魏螌懭氪疟P的內(nèi)容都有可能覆蓋已刪除檔釋放的磁盤簇。如果必須安裝恢復(fù)工具,可以安裝到其他硬盤分區(qū)、軟盤,或者干脆拆下硬盤到另一臺(tái)機(jī)器上去恢復(fù)。
? ???3、覆蓋七次才能清除的蛛絲馬跡
如果數(shù)據(jù)已經(jīng)覆蓋,用通常的恢復(fù)工具就無能為力了,但這并不意味著我們絕對(duì)不能挽救丟失的數(shù)據(jù)。讀取硬盤上被覆蓋的數(shù)據(jù)通常有兩種辦法。
讀/寫磁頭向磁盤寫入數(shù)據(jù)時(shí),它會(huì)將磁化數(shù)據(jù)位的信號(hào)調(diào)整到某個(gè)適當(dāng)?shù)膹?qiáng)度,但信號(hào)不是越強(qiáng)越好,不應(yīng)超出一定的界限,以免影響相鄰的數(shù)據(jù)位。由于信號(hào)強(qiáng)度不足以使存儲(chǔ)媒介達(dá)到飽和的磁化狀態(tài),所以實(shí)際記錄在媒介上的信號(hào)受到以前保存在同一位置的信號(hào)的影響,例如,如果原來記錄的數(shù)據(jù)位是0,現(xiàn)在被一個(gè) 1覆蓋,那么實(shí)際記錄在磁盤媒介上的信號(hào)強(qiáng)度肯定不如原來數(shù)據(jù)位是1的強(qiáng)度。
專用的硬設(shè)備能夠精確地檢測(cè)出信號(hào)強(qiáng)度的實(shí)際值,將這個(gè)值減去當(dāng)前數(shù)據(jù)位的標(biāo)準(zhǔn)強(qiáng)度,就得到了被覆蓋數(shù)據(jù)的副本。理論上,這個(gè)過程可以向前遞推七次,所以如果要徹底清除文件,必須反復(fù)覆蓋數(shù)據(jù)七次以上,每次都用隨機(jī)生成的數(shù)據(jù)覆蓋。
第二種數(shù)據(jù)恢復(fù)技術(shù)的依據(jù)是,磁頭每次讀/寫數(shù)據(jù)時(shí),不可能絕對(duì)精確地定位在同一個(gè)點(diǎn)上,寫入新數(shù)據(jù)的位置不會(huì)剛好覆蓋在原來的數(shù)據(jù)上。原有數(shù)據(jù)總是會(huì)留下一些痕跡,利用專用的設(shè)備可以分析出原有數(shù)據(jù)的副本——稱為影子數(shù)據(jù)。當(dāng)然,如果我們反復(fù)執(zhí)行覆蓋操作,原有數(shù)據(jù)的痕跡也會(huì)越來越弱。
● 影子數(shù)據(jù):被覆蓋的數(shù)據(jù)總是與新寫入的不離左右,就像人的影子總是緊跟著人,因此被覆蓋的數(shù)據(jù)就稱為影子數(shù)據(jù)。英文功力好的讀者可以參見這篇專著:http://www.forensics-intl.com/art15.html。
通常而言,能夠恢復(fù)已刪除、覆蓋的數(shù)據(jù)應(yīng)該算是一件好事,當(dāng)然,某些必須徹底清除數(shù)據(jù)的場(chǎng)合除外。這方面最為著名的標(biāo)準(zhǔn)是美國國防部訂立的磁盤清洗規(guī)范,它要求數(shù)據(jù)必須覆蓋三次:第一次用一個(gè)8位的字符覆蓋,第二次用該字符的補(bǔ)碼(0和1全反轉(zhuǎn)的字符)覆蓋,最后用一個(gè)隨機(jī)字符覆蓋。不過這個(gè)清洗方法不適用于包含高度機(jī)密信息的媒介,這類媒介必須進(jìn)行消磁處理,或者銷毀其物理載體。當(dāng)然,對(duì)于大多數(shù)場(chǎng)合來說,簡(jiǎn)單的覆蓋處理已經(jīng)足夠。
4、被遺忘的角落
刪除和覆蓋檔還不能清除硬盤上的所有敏感數(shù)據(jù),因?yàn)閿?shù)據(jù)可能隱藏在某些意料之外的地方,所以檔占用的每一個(gè)扇區(qū)都必須徹底清洗——所謂扇區(qū),就是大小為512字節(jié)的數(shù)據(jù)片斷,每個(gè)簇包含多個(gè)扇區(qū)。
向磁盤寫入檔時(shí),檔的最后一部分通常不會(huì)恰好填滿最后一個(gè)扇區(qū),這時(shí)操作系統(tǒng)就會(huì)隨機(jī)地提取一些內(nèi)存數(shù)據(jù)來填充空余區(qū)域。從內(nèi)存獲取的數(shù)據(jù)稱為RAM Slack(內(nèi)存渣滓),它可能是計(jì)算機(jī)啟動(dòng)之后創(chuàng)建、訪問、修改的任何數(shù)據(jù)。另外,最后一個(gè)簇中沒有用到的扇區(qū)就原封不動(dòng),即保留原來的數(shù)據(jù),稱為 Drive Slack(磁盤渣滓)。問題在于許多號(hào)稱安全刪除檔的工具不會(huì)正確清除內(nèi)存渣滓和磁盤渣滓,而這些被稱為渣滓的地方卻可能包含大量的敏感信息。
在 NTFS文件系統(tǒng)中,每個(gè)文件包含多個(gè)流,其中一個(gè)流用來保存訪問權(quán)限之類的信息,另一個(gè)流用來保存真正的文件數(shù)據(jù)。除此之外,NTFS還允許額外的數(shù)據(jù)流,即ADS(Alternative Data Stream),ADS可以用來保存任何信息,最常見的用途是保存圖形文件的縮略圖。由于許多安全刪除檔的工具不能清除ADS,所以即使存放文件實(shí)際數(shù)據(jù)的流已經(jīng)清除,但縮略圖仍可能泄露機(jī)密。微軟知識(shí)庫文章319300(http://support.microsoft.com)介紹了如何防止系統(tǒng)創(chuàng)建縮略圖使用的流,即刪除注冊(cè)鍵HKEY_LOCAL_MACHINE\System\Currentcontrolset\Control \Contentindex\FilterTrackers 復(fù)制代碼●ADS:ADS 這個(gè)縮寫詞經(jīng)常用來表示活動(dòng)目錄服務(wù)(Active Directory Services),不過本文中ADS是指「可選數(shù)字流」,是文件主體數(shù)據(jù)之外的附屬信息存儲(chǔ)區(qū)域。就像你的公文包,包里面是正式存放物品的主空間,但包的外面還會(huì)有一二個(gè)附屬小口袋便于快速取用物品,這些小口袋就相當(dāng)于ADS。
ADS已是人們熟知的隱藏?cái)?shù)據(jù)和病毒之地,經(jīng)常被計(jì)算機(jī)犯罪分子利用。但除此之外,硬盤上還有其他可以隱藏?cái)?shù)據(jù)的區(qū)域。
扇區(qū)是在低級(jí)格式化期間創(chuàng)建的,通常由硬盤制造廠完成。低級(jí)格式化工具會(huì)標(biāo)記出損壞的扇區(qū),從而避免磁盤控制器向損壞的區(qū)域?qū)懭霐?shù)據(jù)。簇包含多個(gè)扇區(qū),由高級(jí)格式化工具創(chuàng)建,如Windows或DOS的format命令。如果高級(jí)格式化期間發(fā)現(xiàn)壞扇區(qū),整個(gè)簇被標(biāo)記為壞簇,但是,壞簇里面還有好的扇區(qū),有些人就利用這些扇區(qū)來隱藏?cái)?shù)據(jù)。
在老式磁盤上,數(shù)據(jù)還可以隱藏在稱為扇區(qū)縫隙的地方。老式磁盤的每一個(gè)磁道都有數(shù)量相同的扇區(qū),但外圈的磁道顯然要比內(nèi)圈的磁道長,有些人就利用外圈磁道上扇區(qū)之間的縫隙來保存數(shù)據(jù)。新型磁盤利用一種稱為分區(qū)記錄(Zoned Recording)的技術(shù)避免了這種空間浪費(fèi),它能夠根據(jù)磁道的位置調(diào)整每個(gè)磁道的扇區(qū)數(shù)量。
綜上所述,我們可以說恢復(fù)數(shù)據(jù)實(shí)際上要比徹底清除數(shù)據(jù)簡(jiǎn)單。如果你不小心刪除了某個(gè)重要的文件(誰都會(huì)遇到這類事情),恢復(fù)工具就是救命的稻草!!!
-----------[計(jì)算機(jī)取證技術(shù)
介紹:
計(jì)算機(jī)取證(Computer Forensics)在打擊計(jì)算機(jī)和網(wǎng)絡(luò)犯罪中作用十分關(guān)鍵,它的目的是要將犯罪者留在計(jì)算機(jī)中的“痕跡”作為有效的訴訟證據(jù)提供給法庭,以便將犯罪嫌疑人繩之以法。因此,計(jì)算機(jī)取證是計(jì)算機(jī)領(lǐng)域和法學(xué)領(lǐng)域的一門交叉科學(xué),被用來解決大量的計(jì)算機(jī)犯罪和事故,包括網(wǎng)絡(luò)***、盜用知識(shí)產(chǎn)權(quán)和網(wǎng)絡(luò)欺騙等。
1.什么是計(jì)算機(jī)取證
從技術(shù)角度看,計(jì)算機(jī)取證是分析硬盤、光盤、軟盤、Zip磁盤、U盤、內(nèi)存緩沖和其他形式的儲(chǔ)存介質(zhì)以發(fā)現(xiàn)犯罪證據(jù)的過程,即計(jì)算機(jī)取證包括了對(duì)以磁介質(zhì)編碼信息方式存儲(chǔ)的計(jì)算機(jī)證據(jù)的保護(hù)、確認(rèn)、提取和歸檔。取證的方法通常是使用軟件和工具,按照一些預(yù)先定義的程序,全面地檢查計(jì)算機(jī)系統(tǒng),以提取和保護(hù)有關(guān)計(jì)算機(jī)犯罪的證據(jù)。
計(jì)算機(jī)取證主要是圍繞電子證據(jù)進(jìn)行的。電子證據(jù)也稱為計(jì)算機(jī)證據(jù),是指在計(jì)算機(jī)或計(jì)算機(jī)系統(tǒng)運(yùn)行過程中產(chǎn)生的,以其記錄的內(nèi)容來證明案件事實(shí)的電磁記錄。多媒體技術(shù)的發(fā)展,電子證據(jù)綜合了文本、圖形、圖像、動(dòng)畫、音頻及視頻等多種類型的信息。與傳統(tǒng)證據(jù)一樣,電子證據(jù)必須是可信、準(zhǔn)確、完整、符合法律法規(guī)的,是法庭所能夠接受的。同時(shí),電子證據(jù)與傳統(tǒng)證據(jù)不同,具有高科技性、無形性和易破壞性等特點(diǎn)。高科技性是指電子證據(jù)的產(chǎn)生、儲(chǔ)存和傳輸,都必須借助于計(jì)算機(jī)技術(shù)、存儲(chǔ)技術(shù)、網(wǎng)絡(luò)技術(shù)等,離開了相應(yīng)技術(shù)設(shè)備,電子證據(jù)就無法保存和傳輸。無形性是指電子證據(jù)肉眼不能夠直接可見的,必須借助適當(dāng)?shù)墓ぞ摺R灼茐男允侵鸽娮幼C據(jù)很容易被篡改、刪除而不留任何痕跡。計(jì)算機(jī)取證要解決的重要問題是電子物證如何收集、如何保護(hù)、如何分析和如何展示。
可以用做計(jì)算機(jī)取證的信息源很多,如系統(tǒng)日志,防火墻與***檢測(cè)系統(tǒng)的工作記錄、反病毒軟件日志、系統(tǒng)審計(jì)記錄、網(wǎng)絡(luò)監(jiān)控流量、電子郵件、操作系統(tǒng)文件、數(shù)據(jù)庫文件和操作記錄、硬盤交換分區(qū)、軟件設(shè)置參數(shù)和文件、完成特定功能的腳本文件、Web瀏覽器數(shù)據(jù)緩沖、書簽、歷史記錄或會(huì)話日志、實(shí)時(shí)聊天記錄等。為了防止被偵查到,具備高科技作案技能犯罪嫌疑人,往往在犯罪活動(dòng)結(jié)束后將自己殘留在受害方系統(tǒng)中的“痕跡”擦除掉,如盡量刪除或修改日志文件及其他有關(guān)記錄。但是,一般的刪除文件操作,即使在清空了回收站后,如果不是對(duì)硬盤進(jìn)行低級(jí)格式化處理或?qū)⒂脖P空間裝滿,仍有可能恢復(fù)已經(jīng)刪除的文件。
2.如何進(jìn)行計(jì)算機(jī)取證
根據(jù)電子證據(jù)的特點(diǎn),在進(jìn)行計(jì)算機(jī)取證時(shí),首先要盡早搜集證據(jù),并保證其沒有受到任何破壞。在取證時(shí)必須保證證據(jù)連續(xù)性,即在證據(jù)被正式提交給法庭時(shí),必須能夠說明在證據(jù)從最初的獲取狀態(tài)到在法庭上出現(xiàn)狀態(tài)之間的任何變化,當(dāng)然最好是沒有任何變化。特別重要的是,計(jì)算機(jī)取證的全部過程必須是受到監(jiān)督的,即由原告委派的專家進(jìn)行的所有取證工作,都應(yīng)該受到由其他方委派的專家的監(jiān)督。計(jì)算機(jī)取證的通常步驟如下。
(1)保護(hù)目標(biāo)計(jì)算機(jī)系統(tǒng)。計(jì)算機(jī)取證時(shí)首先必須凍結(jié)目標(biāo)計(jì)算機(jī)系統(tǒng),不給犯罪嫌疑人破壞證據(jù)的機(jī)會(huì)。避免出現(xiàn)任何更改系統(tǒng)設(shè)置、損壞硬件、破壞數(shù)據(jù)或病毒感染的情況。
(2)確定電子證據(jù)。在計(jì)算機(jī)存儲(chǔ)介質(zhì)容量越來越大的情況下,必須根據(jù)系統(tǒng)的破壞程度,在海量數(shù)據(jù)中區(qū)分哪些是電子證據(jù),哪些是無用數(shù)據(jù)。要尋找那些由犯罪嫌疑人留下的活動(dòng)記錄作為電子證據(jù),確定這些記錄的存放位置和存儲(chǔ)方式。
(3)收集電子證據(jù)。
·記錄系統(tǒng)的硬件配置和硬件連接情況,以便將計(jì)算機(jī)系統(tǒng)轉(zhuǎn)移到安全的地方進(jìn)行分析。
·對(duì)目標(biāo)系統(tǒng)磁盤中的所有數(shù)據(jù)進(jìn)行鏡像備份。備份后可對(duì)計(jì)算機(jī)證據(jù)進(jìn)行處理,如果將來出現(xiàn)對(duì)收集的電子證據(jù)發(fā)生疑問時(shí),可通過鏡像備份的數(shù)據(jù)將目標(biāo)系統(tǒng)恢復(fù)到原始狀態(tài)。
·用取證工具收集的電子證據(jù),對(duì)系統(tǒng)的日期和時(shí)間進(jìn)行記錄歸檔,對(duì)可能作為證據(jù)的數(shù)據(jù)進(jìn)行分析。對(duì)關(guān)鍵的證據(jù)數(shù)據(jù)用光盤備份,也可直接將電子證據(jù)打印成文件證據(jù)。
·利用程序的自動(dòng)搜索功能,將可疑為電子證據(jù)的文件或數(shù)據(jù)列表,確認(rèn)后發(fā)送給取證服務(wù)器。
·對(duì)網(wǎng)絡(luò)防火墻和***檢測(cè)系統(tǒng)的日志數(shù)據(jù),由于數(shù)據(jù)量特別大,可先進(jìn)行光盤備份,保全原始數(shù)據(jù),然后進(jìn)行犯罪信息挖掘。
·各類電子證據(jù)匯集時(shí),將相關(guān)的文件證據(jù)存入取證服務(wù)器的特定目錄,將存放目錄、文件類型、證據(jù)來源等信息存入取證服務(wù)器的數(shù)據(jù)庫。
(4)保護(hù)電子證據(jù)
對(duì)調(diào)查取證的數(shù)據(jù)鏡像備份介質(zhì)加封條存放在安全的地方。對(duì)獲取的電子證據(jù)采用安全措施保護(hù),無關(guān)人員不得操作存放電子證據(jù)的計(jì)算機(jī)。不輕易刪除或修改文件以免引起有價(jià)值的證據(jù)文件的永久丟失。
3.如何分析電子證據(jù)
電子證據(jù)需要借助計(jì)算機(jī)的輔助程序來查看,分析電子證據(jù)的信息需要很深的專業(yè)知識(shí),應(yīng)依靠專業(yè)的取證專家。通常進(jìn)行的工作包括。
(1)借助自動(dòng)取證的文本搜索工具,進(jìn)行一系列的關(guān)鍵字搜索查找最重要的信息。
(2)對(duì)文件屬性、文件的摘要和日志進(jìn)行分析,根據(jù)已經(jīng)獲得的文件或數(shù)據(jù)的用詞、語法、寫作或軟件設(shè)計(jì)編制風(fēng)格,推斷可能的作者。
(3)利用數(shù)據(jù)解密技術(shù)和密碼破譯技術(shù),對(duì)電子介質(zhì)中的被保護(hù)信息進(jìn)行強(qiáng)行訪問,獲取信息。
(4)分析Windows系統(tǒng)的交換文件和硬盤中未分配的空間,這些地方往往存放著犯罪嫌疑人容易忽視的證據(jù)。
(5)對(duì)電子證據(jù)進(jìn)行智能相關(guān)性分析,發(fā)掘同一事件不同證據(jù)間的聯(lián)系。如分析分布式拒絕服務(wù)***證據(jù)時(shí),可對(duì)某一時(shí)間段來自***者的IP在不同系統(tǒng)中留下的痕跡,按一定順序羅列和評(píng)估其相關(guān)性。
4.計(jì)算機(jī)取證常用工具
計(jì)算機(jī)取證常用工具有tcpdump、Argus、NFR、tcpwrapper、sniffers、honeypot、Tripwires、 Network monitor和鏡像工具等。
大家還記得FOX的經(jīng)典劇集《越獄》么?在第二部中,mahone探員通過從michael的硬盤中恢復(fù)的數(shù)據(jù)得到了大量的可用資料從而使得辦案事半功倍,這就是計(jì)算機(jī)取證技術(shù)的美妙之處!!!
下載 (41.21 KB)
4/29/2009 22:28
-----------[保護(hù)隱私,破解恢復(fù)的方法
前面已經(jīng)提到了(如果數(shù)據(jù)已經(jīng)覆蓋,用通常的恢復(fù)工具就無能為力了,但這并不意味著我們絕對(duì)不能挽救丟失的數(shù)據(jù))所以我們破解恢復(fù)的方法就是這樣,通過惡意的覆蓋,或者是文件擦寫,就可以達(dá)到這樣的目的。當(dāng)然,這樣的功能已經(jīng)通過編程實(shí)現(xiàn)了,具體的實(shí)現(xiàn)工具如下:
下載 (75.26 KB)
4/29/2009 22:28
大家注意到右邊的擦寫標(biāo)準(zhǔn)沒?這就是不同機(jī)構(gòu)的擦寫要求標(biāo)準(zhǔn),一般來說我們擦寫了7次后,數(shù)據(jù)恢復(fù)軟件就很難在恢復(fù)文件了,如果是35次的話就更別說了,呵呵。這可以有效的防止隱私被人偷窺哦!!!!
說了這么多,親愛的讀者是否在閱讀了上述的內(nèi)容后學(xué)到了點(diǎn)什么呢?如果你能從這篇文章里學(xué)到東西,那么這文章就體現(xiàn)了它的價(jià)值了!!!
此文來自于bbs.winos.com ? 作者為dxl198853 轉(zhuǎn)載請(qǐng)注明作者和出處,謝謝。
參考文獻(xiàn):
1.《計(jì)算機(jī)取證技術(shù)》
2.《文件刪除原理》
|=--------------=[技術(shù)揭秘之詳解回收站刪除文件恢復(fù) ]=--------------------=|
|=------------------------------------------------------------------------=|
|=-----------=[ [dxl] - dxl198853[at]gmail[dot]com ]=-------------------=|
|=------------------------------------------------------------------------=|
|=--------------=[ http://hi.baidu.com/dxl198853??]=--------------------=|
|=------------------------------------------------------------------------=|
|=----------------------=[ April? ?28??2009 ]=----------------------------=|
|=------------------------------------------------------------------------=|
------[??Index
0.-介紹
1.- 實(shí)例操作
2.- 原理解析
3.- 計(jì)算機(jī)取證技術(shù)
4.- 保護(hù)隱私,破解恢復(fù)的方法
---------[介紹
日常生活中,我們經(jīng)常執(zhí)行的操作里面肯定是有刪除操作的,所以誤刪文件就是一個(gè)很令人頭疼的問題,如果我們不小心誤刪了珍貴的文件怎么辦?這里就結(jié)合回收站刪除文件的恢復(fù)實(shí)例來說明一下數(shù)據(jù)恢復(fù)的方法!!!
---------[實(shí)例操作
首先,我比較喜歡的三款數(shù)據(jù)恢復(fù)軟件分別是:
1.Recuva
2.Recover My Files
3.EasyRecovery
注:其實(shí)有很多的軟件,國內(nèi)外的都有,看自己喜好了。
下載 (54.75 KB)
4/29/2009 22:28
下載 (111.52 KB)
4/29/2009 22:28
下載 (47.36 KB)
4/29/2009 22:28
下載 (51.12 KB)
4/29/2009 22:28
下載 (56.71 KB)
4/29/2009 22:28
---------[原理解析
這里要指出的是如果只能使用Windows本身提供的工具,那么我們可以認(rèn)為清空回收站之后,被刪除的檔已經(jīng)徹底清除了。不過事實(shí)并非如此,只要有專用的硬件和軟件,即使數(shù)據(jù)已經(jīng)被覆蓋、驅(qū)動(dòng)器已經(jīng)重新格式化、引導(dǎo)扇區(qū)徹底損壞,或者磁盤驅(qū)動(dòng)器不再運(yùn)轉(zhuǎn),我們還是可以恢復(fù)幾乎所有的檔。下面我們就來分析看看,這到底是怎么回事!
1、磁盤如何保存數(shù)據(jù)
2、Windows不能真正清除檔
3、覆蓋七次才能清除的蛛絲馬跡
4、被遺忘的角落
1、磁盤如何保存數(shù)據(jù)
要理解如何恢復(fù)已刪除的數(shù)據(jù),首先要搞清楚磁盤如何保存數(shù)據(jù)。硬盤驅(qū)動(dòng)器里面有一組盤片,數(shù)據(jù)就保存在盤片的磁道(Track)上,磁道在盤片上呈同心圓分布,讀/寫磁頭在盤片的表面移動(dòng)訪問硬盤的各個(gè)區(qū)域,因此文件可以隨機(jī)地分布到磁盤的各個(gè)位置,同一文件的各個(gè)部分不一定要順序存放。
存放在磁盤上的數(shù)據(jù)以簇為分配單位,簇的大小因操作系統(tǒng)和邏輯卷大小的不同而不同。如果一個(gè)硬盤的簇大小是4 K,那么保存1 K的檔也要占用4 K的磁盤空間。大的檔可能占用多達(dá)數(shù)千、數(shù)萬的簇,分散到整個(gè)磁盤上,操作系統(tǒng)的文件子系統(tǒng)負(fù)責(zé)各個(gè)部分的組織和管理。
當(dāng)前,Windows支持的硬盤文件系統(tǒng)共有三種。第一種是FAT,即所謂的文件分配表(File Allocation Table),它是最古老的文件系統(tǒng),從DOS時(shí)×××始就已經(jīng)有了。Windows 95引入了第二種文件系統(tǒng),即FAT 32,Windows NT 4.0則引入了第三種文件系統(tǒng)NTFS。這三種文件系統(tǒng)的基本原理都一樣,都用一個(gè)類似目錄的結(jié)構(gòu)來組織文件,目錄結(jié)構(gòu)包含一個(gè)指向文件首簇的指針,首簇的FAT入口又包含一個(gè)指向下一簇地址的指針,依此類推,直至出現(xiàn)文件的結(jié)束標(biāo)記為止。
2、Windows不能真正清除檔
在Windows中,如果我們用常規(guī)的辦法刪除一個(gè)檔,檔本身并未被真正清除。例如,如果我們?cè)赪indows資源管理器中刪除一個(gè)文件,Windows會(huì)把檔放入回收站,即使我們清空了回收站(或者不啟動(dòng)回收站功能),操作系統(tǒng)也不會(huì)真正清除文件的數(shù)據(jù)。
Windows所謂的刪除實(shí)際上只是把文件名的第一個(gè)字母改成一個(gè)特殊字符,然后把該文件占用的簇標(biāo)記為空閑狀態(tài),但文件包含的數(shù)據(jù)仍在磁盤上,下次將新的檔保存到磁盤時(shí),這些簇可能被新的檔使用,從而覆蓋原來的數(shù)據(jù)——因此,只要不保存新的檔,被刪除文件的數(shù)據(jù)實(shí)際上仍舊完整無缺地保存在磁盤上。
? ?? ?因此,我們可以用工具軟件繞過操作系統(tǒng),直接操作磁盤,恢復(fù)被刪除的檔。這類工具軟件很多,EasyRecovery就是其中的佼佼者。
如果不小心刪除了某個(gè)重要文件,想要恢復(fù),這時(shí)千萬不要覆蓋它。立即停用計(jì)算機(jī),不要再向磁盤保存任何檔,包括不要把恢復(fù)工具安裝到已刪除文件所在的硬盤,因?yàn)槿魏螌懭氪疟P的內(nèi)容都有可能覆蓋已刪除檔釋放的磁盤簇。如果必須安裝恢復(fù)工具,可以安裝到其他硬盤分區(qū)、軟盤,或者干脆拆下硬盤到另一臺(tái)機(jī)器上去恢復(fù)。
? ???3、覆蓋七次才能清除的蛛絲馬跡
如果數(shù)據(jù)已經(jīng)覆蓋,用通常的恢復(fù)工具就無能為力了,但這并不意味著我們絕對(duì)不能挽救丟失的數(shù)據(jù)。讀取硬盤上被覆蓋的數(shù)據(jù)通常有兩種辦法。
讀/寫磁頭向磁盤寫入數(shù)據(jù)時(shí),它會(huì)將磁化數(shù)據(jù)位的信號(hào)調(diào)整到某個(gè)適當(dāng)?shù)膹?qiáng)度,但信號(hào)不是越強(qiáng)越好,不應(yīng)超出一定的界限,以免影響相鄰的數(shù)據(jù)位。由于信號(hào)強(qiáng)度不足以使存儲(chǔ)媒介達(dá)到飽和的磁化狀態(tài),所以實(shí)際記錄在媒介上的信號(hào)受到以前保存在同一位置的信號(hào)的影響,例如,如果原來記錄的數(shù)據(jù)位是0,現(xiàn)在被一個(gè) 1覆蓋,那么實(shí)際記錄在磁盤媒介上的信號(hào)強(qiáng)度肯定不如原來數(shù)據(jù)位是1的強(qiáng)度。
專用的硬設(shè)備能夠精確地檢測(cè)出信號(hào)強(qiáng)度的實(shí)際值,將這個(gè)值減去當(dāng)前數(shù)據(jù)位的標(biāo)準(zhǔn)強(qiáng)度,就得到了被覆蓋數(shù)據(jù)的副本。理論上,這個(gè)過程可以向前遞推七次,所以如果要徹底清除文件,必須反復(fù)覆蓋數(shù)據(jù)七次以上,每次都用隨機(jī)生成的數(shù)據(jù)覆蓋。
第二種數(shù)據(jù)恢復(fù)技術(shù)的依據(jù)是,磁頭每次讀/寫數(shù)據(jù)時(shí),不可能絕對(duì)精確地定位在同一個(gè)點(diǎn)上,寫入新數(shù)據(jù)的位置不會(huì)剛好覆蓋在原來的數(shù)據(jù)上。原有數(shù)據(jù)總是會(huì)留下一些痕跡,利用專用的設(shè)備可以分析出原有數(shù)據(jù)的副本——稱為影子數(shù)據(jù)。當(dāng)然,如果我們反復(fù)執(zhí)行覆蓋操作,原有數(shù)據(jù)的痕跡也會(huì)越來越弱。
● 影子數(shù)據(jù):被覆蓋的數(shù)據(jù)總是與新寫入的不離左右,就像人的影子總是緊跟著人,因此被覆蓋的數(shù)據(jù)就稱為影子數(shù)據(jù)。英文功力好的讀者可以參見這篇專著:http://www.forensics-intl.com/art15.html。
通常而言,能夠恢復(fù)已刪除、覆蓋的數(shù)據(jù)應(yīng)該算是一件好事,當(dāng)然,某些必須徹底清除數(shù)據(jù)的場(chǎng)合除外。這方面最為著名的標(biāo)準(zhǔn)是美國國防部訂立的磁盤清洗規(guī)范,它要求數(shù)據(jù)必須覆蓋三次:第一次用一個(gè)8位的字符覆蓋,第二次用該字符的補(bǔ)碼(0和1全反轉(zhuǎn)的字符)覆蓋,最后用一個(gè)隨機(jī)字符覆蓋。不過這個(gè)清洗方法不適用于包含高度機(jī)密信息的媒介,這類媒介必須進(jìn)行消磁處理,或者銷毀其物理載體。當(dāng)然,對(duì)于大多數(shù)場(chǎng)合來說,簡(jiǎn)單的覆蓋處理已經(jīng)足夠。
4、被遺忘的角落
刪除和覆蓋檔還不能清除硬盤上的所有敏感數(shù)據(jù),因?yàn)閿?shù)據(jù)可能隱藏在某些意料之外的地方,所以檔占用的每一個(gè)扇區(qū)都必須徹底清洗——所謂扇區(qū),就是大小為512字節(jié)的數(shù)據(jù)片斷,每個(gè)簇包含多個(gè)扇區(qū)。
向磁盤寫入檔時(shí),檔的最后一部分通常不會(huì)恰好填滿最后一個(gè)扇區(qū),這時(shí)操作系統(tǒng)就會(huì)隨機(jī)地提取一些內(nèi)存數(shù)據(jù)來填充空余區(qū)域。從內(nèi)存獲取的數(shù)據(jù)稱為RAM Slack(內(nèi)存渣滓),它可能是計(jì)算機(jī)啟動(dòng)之后創(chuàng)建、訪問、修改的任何數(shù)據(jù)。另外,最后一個(gè)簇中沒有用到的扇區(qū)就原封不動(dòng),即保留原來的數(shù)據(jù),稱為 Drive Slack(磁盤渣滓)。問題在于許多號(hào)稱安全刪除檔的工具不會(huì)正確清除內(nèi)存渣滓和磁盤渣滓,而這些被稱為渣滓的地方卻可能包含大量的敏感信息。
在 NTFS文件系統(tǒng)中,每個(gè)文件包含多個(gè)流,其中一個(gè)流用來保存訪問權(quán)限之類的信息,另一個(gè)流用來保存真正的文件數(shù)據(jù)。除此之外,NTFS還允許額外的數(shù)據(jù)流,即ADS(Alternative Data Stream),ADS可以用來保存任何信息,最常見的用途是保存圖形文件的縮略圖。由于許多安全刪除檔的工具不能清除ADS,所以即使存放文件實(shí)際數(shù)據(jù)的流已經(jīng)清除,但縮略圖仍可能泄露機(jī)密。微軟知識(shí)庫文章319300(http://support.microsoft.com)介紹了如何防止系統(tǒng)創(chuàng)建縮略圖使用的流,即刪除注冊(cè)鍵
ADS已是人們熟知的隱藏?cái)?shù)據(jù)和病毒之地,經(jīng)常被計(jì)算機(jī)犯罪分子利用。但除此之外,硬盤上還有其他可以隱藏?cái)?shù)據(jù)的區(qū)域。
扇區(qū)是在低級(jí)格式化期間創(chuàng)建的,通常由硬盤制造廠完成。低級(jí)格式化工具會(huì)標(biāo)記出損壞的扇區(qū),從而避免磁盤控制器向損壞的區(qū)域?qū)懭霐?shù)據(jù)。簇包含多個(gè)扇區(qū),由高級(jí)格式化工具創(chuàng)建,如Windows或DOS的format命令。如果高級(jí)格式化期間發(fā)現(xiàn)壞扇區(qū),整個(gè)簇被標(biāo)記為壞簇,但是,壞簇里面還有好的扇區(qū),有些人就利用這些扇區(qū)來隱藏?cái)?shù)據(jù)。
在老式磁盤上,數(shù)據(jù)還可以隱藏在稱為扇區(qū)縫隙的地方。老式磁盤的每一個(gè)磁道都有數(shù)量相同的扇區(qū),但外圈的磁道顯然要比內(nèi)圈的磁道長,有些人就利用外圈磁道上扇區(qū)之間的縫隙來保存數(shù)據(jù)。新型磁盤利用一種稱為分區(qū)記錄(Zoned Recording)的技術(shù)避免了這種空間浪費(fèi),它能夠根據(jù)磁道的位置調(diào)整每個(gè)磁道的扇區(qū)數(shù)量。
綜上所述,我們可以說恢復(fù)數(shù)據(jù)實(shí)際上要比徹底清除數(shù)據(jù)簡(jiǎn)單。如果你不小心刪除了某個(gè)重要的文件(誰都會(huì)遇到這類事情),恢復(fù)工具就是救命的稻草!!!
-----------[計(jì)算機(jī)取證技術(shù)
介紹:
計(jì)算機(jī)取證(Computer Forensics)在打擊計(jì)算機(jī)和網(wǎng)絡(luò)犯罪中作用十分關(guān)鍵,它的目的是要將犯罪者留在計(jì)算機(jī)中的“痕跡”作為有效的訴訟證據(jù)提供給法庭,以便將犯罪嫌疑人繩之以法。因此,計(jì)算機(jī)取證是計(jì)算機(jī)領(lǐng)域和法學(xué)領(lǐng)域的一門交叉科學(xué),被用來解決大量的計(jì)算機(jī)犯罪和事故,包括網(wǎng)絡(luò)***、盜用知識(shí)產(chǎn)權(quán)和網(wǎng)絡(luò)欺騙等。
1.什么是計(jì)算機(jī)取證
從技術(shù)角度看,計(jì)算機(jī)取證是分析硬盤、光盤、軟盤、Zip磁盤、U盤、內(nèi)存緩沖和其他形式的儲(chǔ)存介質(zhì)以發(fā)現(xiàn)犯罪證據(jù)的過程,即計(jì)算機(jī)取證包括了對(duì)以磁介質(zhì)編碼信息方式存儲(chǔ)的計(jì)算機(jī)證據(jù)的保護(hù)、確認(rèn)、提取和歸檔。取證的方法通常是使用軟件和工具,按照一些預(yù)先定義的程序,全面地檢查計(jì)算機(jī)系統(tǒng),以提取和保護(hù)有關(guān)計(jì)算機(jī)犯罪的證據(jù)。
計(jì)算機(jī)取證主要是圍繞電子證據(jù)進(jìn)行的。電子證據(jù)也稱為計(jì)算機(jī)證據(jù),是指在計(jì)算機(jī)或計(jì)算機(jī)系統(tǒng)運(yùn)行過程中產(chǎn)生的,以其記錄的內(nèi)容來證明案件事實(shí)的電磁記錄。多媒體技術(shù)的發(fā)展,電子證據(jù)綜合了文本、圖形、圖像、動(dòng)畫、音頻及視頻等多種類型的信息。與傳統(tǒng)證據(jù)一樣,電子證據(jù)必須是可信、準(zhǔn)確、完整、符合法律法規(guī)的,是法庭所能夠接受的。同時(shí),電子證據(jù)與傳統(tǒng)證據(jù)不同,具有高科技性、無形性和易破壞性等特點(diǎn)。高科技性是指電子證據(jù)的產(chǎn)生、儲(chǔ)存和傳輸,都必須借助于計(jì)算機(jī)技術(shù)、存儲(chǔ)技術(shù)、網(wǎng)絡(luò)技術(shù)等,離開了相應(yīng)技術(shù)設(shè)備,電子證據(jù)就無法保存和傳輸。無形性是指電子證據(jù)肉眼不能夠直接可見的,必須借助適當(dāng)?shù)墓ぞ摺R灼茐男允侵鸽娮幼C據(jù)很容易被篡改、刪除而不留任何痕跡。計(jì)算機(jī)取證要解決的重要問題是電子物證如何收集、如何保護(hù)、如何分析和如何展示。
可以用做計(jì)算機(jī)取證的信息源很多,如系統(tǒng)日志,防火墻與***檢測(cè)系統(tǒng)的工作記錄、反病毒軟件日志、系統(tǒng)審計(jì)記錄、網(wǎng)絡(luò)監(jiān)控流量、電子郵件、操作系統(tǒng)文件、數(shù)據(jù)庫文件和操作記錄、硬盤交換分區(qū)、軟件設(shè)置參數(shù)和文件、完成特定功能的腳本文件、Web瀏覽器數(shù)據(jù)緩沖、書簽、歷史記錄或會(huì)話日志、實(shí)時(shí)聊天記錄等。為了防止被偵查到,具備高科技作案技能犯罪嫌疑人,往往在犯罪活動(dòng)結(jié)束后將自己殘留在受害方系統(tǒng)中的“痕跡”擦除掉,如盡量刪除或修改日志文件及其他有關(guān)記錄。但是,一般的刪除文件操作,即使在清空了回收站后,如果不是對(duì)硬盤進(jìn)行低級(jí)格式化處理或?qū)⒂脖P空間裝滿,仍有可能恢復(fù)已經(jīng)刪除的文件。
2.如何進(jìn)行計(jì)算機(jī)取證
根據(jù)電子證據(jù)的特點(diǎn),在進(jìn)行計(jì)算機(jī)取證時(shí),首先要盡早搜集證據(jù),并保證其沒有受到任何破壞。在取證時(shí)必須保證證據(jù)連續(xù)性,即在證據(jù)被正式提交給法庭時(shí),必須能夠說明在證據(jù)從最初的獲取狀態(tài)到在法庭上出現(xiàn)狀態(tài)之間的任何變化,當(dāng)然最好是沒有任何變化。特別重要的是,計(jì)算機(jī)取證的全部過程必須是受到監(jiān)督的,即由原告委派的專家進(jìn)行的所有取證工作,都應(yīng)該受到由其他方委派的專家的監(jiān)督。計(jì)算機(jī)取證的通常步驟如下。
(1)保護(hù)目標(biāo)計(jì)算機(jī)系統(tǒng)。計(jì)算機(jī)取證時(shí)首先必須凍結(jié)目標(biāo)計(jì)算機(jī)系統(tǒng),不給犯罪嫌疑人破壞證據(jù)的機(jī)會(huì)。避免出現(xiàn)任何更改系統(tǒng)設(shè)置、損壞硬件、破壞數(shù)據(jù)或病毒感染的情況。
(2)確定電子證據(jù)。在計(jì)算機(jī)存儲(chǔ)介質(zhì)容量越來越大的情況下,必須根據(jù)系統(tǒng)的破壞程度,在海量數(shù)據(jù)中區(qū)分哪些是電子證據(jù),哪些是無用數(shù)據(jù)。要尋找那些由犯罪嫌疑人留下的活動(dòng)記錄作為電子證據(jù),確定這些記錄的存放位置和存儲(chǔ)方式。
(3)收集電子證據(jù)。
·記錄系統(tǒng)的硬件配置和硬件連接情況,以便將計(jì)算機(jī)系統(tǒng)轉(zhuǎn)移到安全的地方進(jìn)行分析。
·對(duì)目標(biāo)系統(tǒng)磁盤中的所有數(shù)據(jù)進(jìn)行鏡像備份。備份后可對(duì)計(jì)算機(jī)證據(jù)進(jìn)行處理,如果將來出現(xiàn)對(duì)收集的電子證據(jù)發(fā)生疑問時(shí),可通過鏡像備份的數(shù)據(jù)將目標(biāo)系統(tǒng)恢復(fù)到原始狀態(tài)。
·用取證工具收集的電子證據(jù),對(duì)系統(tǒng)的日期和時(shí)間進(jìn)行記錄歸檔,對(duì)可能作為證據(jù)的數(shù)據(jù)進(jìn)行分析。對(duì)關(guān)鍵的證據(jù)數(shù)據(jù)用光盤備份,也可直接將電子證據(jù)打印成文件證據(jù)。
·利用程序的自動(dòng)搜索功能,將可疑為電子證據(jù)的文件或數(shù)據(jù)列表,確認(rèn)后發(fā)送給取證服務(wù)器。
·對(duì)網(wǎng)絡(luò)防火墻和***檢測(cè)系統(tǒng)的日志數(shù)據(jù),由于數(shù)據(jù)量特別大,可先進(jìn)行光盤備份,保全原始數(shù)據(jù),然后進(jìn)行犯罪信息挖掘。
·各類電子證據(jù)匯集時(shí),將相關(guān)的文件證據(jù)存入取證服務(wù)器的特定目錄,將存放目錄、文件類型、證據(jù)來源等信息存入取證服務(wù)器的數(shù)據(jù)庫。
(4)保護(hù)電子證據(jù)
對(duì)調(diào)查取證的數(shù)據(jù)鏡像備份介質(zhì)加封條存放在安全的地方。對(duì)獲取的電子證據(jù)采用安全措施保護(hù),無關(guān)人員不得操作存放電子證據(jù)的計(jì)算機(jī)。不輕易刪除或修改文件以免引起有價(jià)值的證據(jù)文件的永久丟失。
3.如何分析電子證據(jù)
電子證據(jù)需要借助計(jì)算機(jī)的輔助程序來查看,分析電子證據(jù)的信息需要很深的專業(yè)知識(shí),應(yīng)依靠專業(yè)的取證專家。通常進(jìn)行的工作包括。
(1)借助自動(dòng)取證的文本搜索工具,進(jìn)行一系列的關(guān)鍵字搜索查找最重要的信息。
(2)對(duì)文件屬性、文件的摘要和日志進(jìn)行分析,根據(jù)已經(jīng)獲得的文件或數(shù)據(jù)的用詞、語法、寫作或軟件設(shè)計(jì)編制風(fēng)格,推斷可能的作者。
(3)利用數(shù)據(jù)解密技術(shù)和密碼破譯技術(shù),對(duì)電子介質(zhì)中的被保護(hù)信息進(jìn)行強(qiáng)行訪問,獲取信息。
(4)分析Windows系統(tǒng)的交換文件和硬盤中未分配的空間,這些地方往往存放著犯罪嫌疑人容易忽視的證據(jù)。
(5)對(duì)電子證據(jù)進(jìn)行智能相關(guān)性分析,發(fā)掘同一事件不同證據(jù)間的聯(lián)系。如分析分布式拒絕服務(wù)***證據(jù)時(shí),可對(duì)某一時(shí)間段來自***者的IP在不同系統(tǒng)中留下的痕跡,按一定順序羅列和評(píng)估其相關(guān)性。
4.計(jì)算機(jī)取證常用工具
計(jì)算機(jī)取證常用工具有tcpdump、Argus、NFR、tcpwrapper、sniffers、honeypot、Tripwires、 Network monitor和鏡像工具等。
大家還記得FOX的經(jīng)典劇集《越獄》么?在第二部中,mahone探員通過從michael的硬盤中恢復(fù)的數(shù)據(jù)得到了大量的可用資料從而使得辦案事半功倍,這就是計(jì)算機(jī)取證技術(shù)的美妙之處!!!
下載 (41.21 KB)
4/29/2009 22:28
-----------[保護(hù)隱私,破解恢復(fù)的方法
前面已經(jīng)提到了(如果數(shù)據(jù)已經(jīng)覆蓋,用通常的恢復(fù)工具就無能為力了,但這并不意味著我們絕對(duì)不能挽救丟失的數(shù)據(jù))所以我們破解恢復(fù)的方法就是這樣,通過惡意的覆蓋,或者是文件擦寫,就可以達(dá)到這樣的目的。當(dāng)然,這樣的功能已經(jīng)通過編程實(shí)現(xiàn)了,具體的實(shí)現(xiàn)工具如下:
下載 (75.26 KB)
4/29/2009 22:28
大家注意到右邊的擦寫標(biāo)準(zhǔn)沒?這就是不同機(jī)構(gòu)的擦寫要求標(biāo)準(zhǔn),一般來說我們擦寫了7次后,數(shù)據(jù)恢復(fù)軟件就很難在恢復(fù)文件了,如果是35次的話就更別說了,呵呵。這可以有效的防止隱私被人偷窺哦!!!!
說了這么多,親愛的讀者是否在閱讀了上述的內(nèi)容后學(xué)到了點(diǎn)什么呢?如果你能從這篇文章里學(xué)到東西,那么這文章就體現(xiàn)了它的價(jià)值了!!!
此文來自于bbs.winos.com ? 作者為dxl198853 轉(zhuǎn)載請(qǐng)注明作者和出處,謝謝。
參考文獻(xiàn):
1.《計(jì)算機(jī)取證技術(shù)》
2.《文件刪除原理》
轉(zhuǎn)載于:https://blog.51cto.com/yangyun/161979
總結(jié)
以上是生活随笔為你收集整理的技术揭秘之详解回收站删除文件恢复的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: ASP.NET 3.5中的一个超简单的A
- 下一篇: 使用IPSec加强系统安全性