專利名稱:電子數(shù)據(jù)恢復(fù)方法
技術(shù)領(lǐng)域:
本發(fā)明屬于計(jì)算機(jī)領(lǐng)域��,尤其涉及一種電子數(shù)據(jù)恢復(fù)方法����。
背景技術(shù):
在信息化迅速發(fā)展的21世紀(jì),計(jì)算機(jī)技術(shù)日新月異���,與人們的日常生活息息相關(guān)�����,存儲設(shè)備數(shù)據(jù)的丟失往往能給個(gè)人����,甚至單位帶來無盡的煩惱與麻煩。而在公安領(lǐng)域�����, 這些數(shù)據(jù)也許就是案件的電子證據(jù)��。如果檢驗(yàn)人員能獲取更多計(jì)算機(jī)中的數(shù)據(jù)����,那么就更有利于案件的早日偵破,也就能向法庭提供更多可靠的證據(jù)�。這對數(shù)據(jù)取證�,特別是恢復(fù)工作就提出了更高的要求。目前��,國內(nèi)外市場上使用最為流行的數(shù)據(jù)取證恢復(fù)商業(yè)軟件有FinalData���、 EnCase.ffinHex,EasyRecovery和取證大師等�。其中���,后兩款是我國近年來自主開發(fā)的數(shù)據(jù)取證恢復(fù)軟件��,并且取證大師FM2008以其便捷�、功能強(qiáng)大等優(yōu)勢,迅速在國內(nèi)公安領(lǐng)域得以普及�。然而在利用這些軟件恢復(fù)FAT32分區(qū)格式下刪除的數(shù)據(jù)時(shí),經(jīng)常會(huì)遇到恢復(fù)出亂碼文件的現(xiàn)象�����,如圖1所示的現(xiàn)象���。人們一般都把這種現(xiàn)象解釋為該文件的數(shù)據(jù)空間已經(jīng)被其他數(shù)據(jù)所覆蓋���。但是, 在實(shí)驗(yàn)時(shí)���,剛剛被刪除的文件�,立即恢復(fù)��,也會(huì)出現(xiàn)這種現(xiàn)象����,用覆蓋來解釋就行不通了。經(jīng)過研究�����,發(fā)現(xiàn)其原因是人們對文件刪除的原理知道的還不夠徹底,以致造成錯(cuò)誤理解一些刪除的現(xiàn)象�。
發(fā)明內(nèi)容
本發(fā)明旨在克服現(xiàn)有技術(shù)的不足之處而提供一種刪除文件或文件夾數(shù)據(jù)恢復(fù)成功率高,適應(yīng)面廣��,能顯著提升電子物證鑒定效率的電子數(shù)據(jù)恢復(fù)方法����。為達(dá)到上述目的,本發(fā)明是這樣實(shí)現(xiàn)的一種電子數(shù)據(jù)恢復(fù)方法��,能夠恢復(fù)FAT32 文件系統(tǒng)丟失指針的文件���,可按如下步驟實(shí)現(xiàn)(1)打開目標(biāo)盤���,并轉(zhuǎn)到根目錄區(qū);(2)逐條掃描目錄項(xiàng)�,找到以E5開頭的目錄項(xiàng)�;(3)偏移OBH為IOH或20H,10 H表示其為一個(gè)文件夾�,20 H表示其是一個(gè)文件;同時(shí)�,偏移OBH為(FH,向下繼續(xù)尋找到該位置數(shù)據(jù)為IOH或 20H的目錄項(xiàng);(4)偏移14 15H與偏移IA IBH為文件存儲的簇號��,讀取順序?yàn)?5H14H1B H 1AH��,根據(jù)該簇號找到文件起始位置����,選擇為塊開始;(5)目錄項(xiàng)偏移IC 1 F H為文件大小(B)�����,從找到的起始位置開始向下轉(zhuǎn)移IraiEHlDHlCH個(gè)字節(jié)�����,并選擇為塊結(jié)束����;(6)將所選部分復(fù)制到指定位置。本發(fā)明還提供另一種電子數(shù)據(jù)恢復(fù)方法��,能夠恢復(fù)NTFS文件系統(tǒng)丟失指針的文件����,其可按如下步驟實(shí)現(xiàn)(1)打開目標(biāo)盤�����,轉(zhuǎn)到MFT文件區(qū)�����;(2)從30H屬性的最后兩行查看要恢復(fù)文件的文件名����;(3)若80H屬性偏移08H為01H���,找到80H屬性偏移40H的位置���, 該數(shù)據(jù)為“XYH” ; (4)讀出80H屬性偏移(40+Y+1) H (40+Y+X) H中的數(shù)據(jù)�����,記下該數(shù)據(jù)�, 此為文件起始簇號;(5) 80H屬性偏移(40+ Y) H中的數(shù)據(jù)為文件所占的簇�,單位是簇���,記下該數(shù)據(jù)�����;(6)依據(jù)文件起始扇區(qū)=(文件起始簇*8);文件結(jié)束扇區(qū)=(文件起始簇+文件所占的族)*8;轉(zhuǎn)到文件起始扇區(qū)�����,選擇塊開始��,轉(zhuǎn)到文件結(jié)束的扇區(qū)����,選擇塊結(jié)束;(7)將文件復(fù)制到指定位置����;(8 )步驟(2 )執(zhí)行完畢,若80H屬性偏移08H為OOH ����; (9 )文件內(nèi)容就在該MFT中,從80H屬性中直接讀出文件內(nèi)容��;(10)接續(xù)執(zhí)行步驟(7)�。本發(fā)明所采用的數(shù)據(jù)恢復(fù)方法與目前國內(nèi)外常用數(shù)據(jù)取證方法相比�,有著明顯的優(yōu)勢�����,極大地提升了數(shù)據(jù)恢復(fù)的可能性�,為全面客觀的完成電子物證鑒定的任務(wù)提供了保證。刪除比對實(shí)驗(yàn)的恢復(fù)結(jié)果表����。
下面結(jié)合附圖和具體實(shí)施方式
對本發(fā)明作進(jìn)一步說明。本發(fā)明的保護(hù)范圍不僅局限于下列內(nèi)容的表述���。圖1為現(xiàn)有數(shù)據(jù)恢復(fù)方法恢復(fù)后的亂碼文件示意圖�����。圖2-1為文件刪除前的原始數(shù)據(jù)���。圖2-2為文件刪除后的原始數(shù)據(jù)。圖2-3為數(shù)據(jù)恢復(fù)第197271簇的部分?jǐn)?shù)據(jù)���。圖3為數(shù)據(jù)恢復(fù)BPB部分參數(shù)信息����。圖4為數(shù)據(jù)恢復(fù)刪除前文本文件內(nèi)容����。圖5為數(shù)據(jù)恢復(fù)刪除后文本文件內(nèi)容。圖6-1為待測試的PDF文件���。圖6-2為待測試的TXT文件����。圖6-3為待測試的RAR文件�。圖6-4為待測試的DOC文件。圖6-5為待測試的PPT文件���。圖6-6為待測試的BMP文件���。圖7-1為現(xiàn)有數(shù)據(jù)恢復(fù)方法恢復(fù)后的PDF文件。圖7-2為現(xiàn)有數(shù)據(jù)恢復(fù)方法恢復(fù)后的TXT文件�。圖7-3為現(xiàn)有數(shù)據(jù)恢復(fù)方法恢復(fù)后的RAR文件。圖7-4為現(xiàn)有數(shù)據(jù)恢復(fù)方法恢復(fù)后的DOC文件�����。圖7-5為現(xiàn)有數(shù)據(jù)恢復(fù)方法恢復(fù)后的PPT文件����。圖7-6為現(xiàn)有數(shù)據(jù)恢復(fù)方法恢復(fù)后的BMP文件����。圖8-1為取證大師恢復(fù)的PDF文件��。圖8-2為取證大師恢復(fù)的TXT文件���。
4
圖8-3為取證大師恢復(fù)的RAR文件��。圖8-4為取證大師恢復(fù)的DOC文件�。圖8-5為取證大師恢復(fù)的PPT文件�。圖8-6為取證大師恢復(fù)的BMP文件。圖9-1為本發(fā)明恢復(fù)方法恢復(fù)后的PDF文件�。圖9-2為本發(fā)明恢復(fù)方法恢復(fù)后的RAR文件。圖9-3為本發(fā)明恢復(fù)方法恢復(fù)后的DOC文件���。圖9-4為本發(fā)明恢復(fù)方法恢復(fù)后的PPT文件��。圖9-5為本發(fā)明恢復(fù)方法恢復(fù)后的BMP文件�。圖9-6為本發(fā)明恢復(fù)方法恢復(fù)后的TXT文件����。圖9-7為本發(fā)明恢復(fù)測試文件131766. TXT文件內(nèi)容�。圖9-8為本發(fā)明恢復(fù)測試文件197302. TXT文件內(nèi)容�。圖10為本發(fā)明NTFS分區(qū)下恢復(fù)方法流程框圖。圖11為本發(fā)明FAT32分區(qū)下恢復(fù)方法流程框圖��。
具體實(shí)施例方式1���、數(shù)據(jù)恢復(fù)的原理。在FAT32文件系統(tǒng)中���,文件的起始簇號共由十六位字節(jié)構(gòu)成���,其中的低八位數(shù)據(jù)存儲在相對偏移1AH-1BH處,而高八位則存儲在相對偏移1AH-1BH處��?����?梢酝ㄟ^計(jì)算�,得到該文件原始數(shù)據(jù)的第一個(gè)簇號。以圖2-1����、圖2-2為例����,相對偏移1AH-1BH處的數(shù)據(jù)是“97 02”�,相對偏移1AH-1BH處的數(shù)據(jù)是“03 00”,根據(jù)數(shù)據(jù)字節(jié)是按從低到高順序存儲的原則�����, 那么該文件的起始簇號則是“00 03 02 97”����,化成十進(jìn)制便是197271。通過對簇號197291 處的數(shù)據(jù)與圖2-1的對比���,可證明該簇的數(shù)據(jù)便是該文件的首簇內(nèi)容��,見圖2-3�����。數(shù)據(jù)恢復(fù)方法一般是在FDT處查找到文件對應(yīng)的數(shù)據(jù)起始簇號��,然后根據(jù)簇號找到DATA區(qū)里的文件數(shù)據(jù)���,讀取數(shù)據(jù)并新建一個(gè)同類型的文件����,將數(shù)據(jù)存入其中��,便可成功恢復(fù)本已刪除的文件�。2、數(shù)據(jù)恢復(fù)存在的問題及解決辦法���。上述數(shù)據(jù)恢復(fù)原理并不能恢復(fù)出所有已刪除的文件,除了數(shù)據(jù)覆蓋�、數(shù)據(jù)存儲不連續(xù)等原因外,還有很重要的一個(gè)原因便是刪除文件后�,該文件還有其他改變的文件。在文件刪除原理部分�����,文件刪除后���,其對應(yīng)的FDT里的數(shù)據(jù)被修改�����。由于還有其他部分修改����,使得普通的數(shù)據(jù)恢復(fù)軟件只能恢復(fù)首字節(jié)被改為E5的文件。對于其他部分有改變的文件�,恢復(fù)出來的文件數(shù)據(jù)便是亂碼。以恢復(fù)測試文件.txt為例�����,對它的起始扇區(qū)號進(jìn)行換算�����,它刪除前后的起始扇區(qū)分別為158M32和9568����。通過BPB參數(shù)表,可以獲得該存儲器每個(gè)簇?fù)碛?個(gè)扇區(qū)����,有32 個(gè)保留扇區(qū),2個(gè)FAT�����,每個(gè)FAT有2000個(gè)扇區(qū),見圖3��。由于簇號是從DATA區(qū)開始計(jì)算���,并且從2開始計(jì)數(shù)����,那么刪除前起始簇號為 (1582432-20002-32)8+2=197302��。轉(zhuǎn)換成十六進(jìn)制則為000302B6H����。而刪除后的起始簇號為(9568-20002-32)8+2=694。
5
轉(zhuǎn)換成十六進(jìn)制則為000002B6H�����?����?上攵?,它們分別對應(yīng)的數(shù)據(jù)也不再相同���,見圖4�����、圖5�。所以,恢復(fù)出來的文本文件自然顯示的都是亂碼�����。至此問題產(chǎn)生的原因已經(jīng)找到��, 那就是��,不能只對刪除標(biāo)志進(jìn)行恢復(fù)���。解決的辦法自然就要對被刪除文件被修改的其他部分進(jìn)行恢復(fù)�����。以IT的硬盤為例����,按每個(gè)簇16個(gè)扇區(qū)計(jì)算�,它最多擁有1342177 個(gè)簇�,即 8000000H個(gè)��,高位為800H���,即十進(jìn)制的2048�����。如果從0開始對起始簇高位進(jìn)行填補(bǔ)���,一個(gè)個(gè)進(jìn)行嘗試,最多只有2049個(gè)可能性���。如果將它們一一'陜復(fù)出來���,其中必有一個(gè)數(shù)據(jù)是正確的。但人工對這2049個(gè)文件進(jìn)行篩選���,將是十分耗時(shí)的。雖然不能讓計(jì)算機(jī)自己進(jìn)行精確定位���,但還是可以讓它來幫對數(shù)據(jù)進(jìn)行篩選的����。Windows操作系統(tǒng)的大部分文件格式都有它自己的識別碼,例如�����,PDF文件的前四個(gè)數(shù)據(jù)必定是“25 50 44 46”����,即字符串“%PDF”。 顯而易見�����,通過獲取文件的類型�,然后針對該類型的識別碼,對數(shù)據(jù)進(jìn)行對比排除��,那么的恢復(fù)范圍將大大地縮減���。本發(fā)明支持Windows下的FAT32和NTFS兩類操文件系統(tǒng)����,能夠?qū)υ谶@兩類文件系統(tǒng)下的刪除文件進(jìn)行恢復(fù)。參見圖11�,對于FAT32操文件系統(tǒng),可按如下步驟實(shí)現(xiàn)S2101 打開目標(biāo)盤����,并轉(zhuǎn)到根目錄區(qū);S2102 逐條掃描目錄項(xiàng)�����,找到以E5開頭的目錄項(xiàng)�����;S2107 偏移OBH為IOH或 20H, 10 H表示其為一個(gè)文件夾����,20 H表示其是一個(gè)文件;S2103 偏移OBH為(FH����,向下繼續(xù)尋找到該位置數(shù)據(jù)為IOH或20H的目錄項(xiàng);S2108 偏移14 15H與偏移IA IBH為文件存儲的簇號���,讀取順序?yàn)?5H14H1B H 1AH,根據(jù)該簇號找到文件起始位置���,選擇為塊開始���;S2109 目錄項(xiàng)偏移IC 1 F H為文件大小(B)����,從找到的起始位置開始向下轉(zhuǎn)移 IraiEHlDHlCH個(gè)字節(jié)����,并選擇為塊結(jié)束;S2106 右鍵點(diǎn)擊選塊任意地方�����,將所選部分復(fù)制到指定位置����。參見圖10,對于NTFS操文件系統(tǒng)�,可按如下步驟實(shí)現(xiàn)Sl 101 打開目標(biāo)盤,轉(zhuǎn)到 MFT文件區(qū)���;Sl 102 從30H屬性的最后兩行查看要恢復(fù)文件的文件名���;Sl 106 :80H屬性偏移 08H為OlH ���;S1107 找到80H屬性偏移40H的位置,該數(shù)據(jù)為“XYH”;S1108 讀出80H屬性偏移(40+Υ+1)Η (40+Y+X)H中的數(shù)據(jù)�,記下該數(shù)據(jù),此為文件起始簇號�;S1109 :80H屬性偏移(40+ Y) H中的數(shù)據(jù)為文件所占的簇,單位是簇�,記下該數(shù)據(jù);SlllO 根據(jù)如下公式文件起始扇區(qū)=(文件起始簇*8);文件結(jié)束扇區(qū)=(文件起始簇+文件所占的族)*8;轉(zhuǎn)到文件起始扇區(qū)��,選擇塊開始����,轉(zhuǎn)到文件結(jié)束的扇區(qū),選擇塊結(jié)束�;S1105 將文件復(fù)制到指定位置;S1103 步驟S1102執(zhí)行完畢����,若80H屬性偏移08H為00H;S1104 文件內(nèi)容就在該MFT 中,從80H屬性中直接讀出文件內(nèi)容����;接續(xù)執(zhí)行步驟S1105���。鑒于本發(fā)明是基于Windows操作系統(tǒng)平臺,需要支持FAT32和NTFS兩種文件系統(tǒng)���,所以按照如下步驟實(shí)現(xiàn)。第一步在對磁盤進(jìn)行讀取之前�,要獲取磁盤的文件系統(tǒng);第二步獲取BPB參數(shù)�, 根據(jù)參數(shù)信息獲取根目錄起始地址等重要信息;第三步遍歷分區(qū)扇區(qū)數(shù)據(jù)�,并以二叉樹結(jié)構(gòu)存儲,其中���,節(jié)點(diǎn)的左孩子指向下一級文件����,右孩子則指向同一級文件��。FAT32和NTFS 的遍歷方法有所不同�,由于FAT32文件系統(tǒng)中文件屬性等信息是存儲在FDT中,根目錄FDT 起始扇區(qū)號可以通過公式(4.1)得到起始扇區(qū)號=DBR扇區(qū)數(shù)(32) + FAT扇區(qū)數(shù)X2+ (FDT起始簇號-》X每簇扇區(qū)數(shù)��。注意��,MBR的63個(gè)扇區(qū)屬于隱藏扇區(qū),不參與邏輯扇區(qū)運(yùn)算��;子目錄FDT起始扇區(qū)號分布在DATA區(qū)內(nèi)��,沒有固定的位置���。所以建立FAT文件系統(tǒng)二叉樹時(shí)�,以根目錄為根節(jié)點(diǎn)��,遇到子目錄時(shí)��,采用遞歸算法先進(jìn)行下一級遍歷�����。而NTFS文件系統(tǒng)��,所有文件的$MFT 項(xiàng)都統(tǒng)一存放在$MFT元文件中����,建立二叉樹時(shí),將文件一一插入父目錄下��,當(dāng)父目錄在二叉樹中尚未插入時(shí)���,則搜索父目錄的父目錄�,仍未插入,再循環(huán)追溯上一級目錄����,直至在主二叉樹中找到上一級目錄,并將其插入找到的父目錄下���,否則,插入丟失文件目錄下���。第四步將未刪除和刪除文件的相關(guān)數(shù)據(jù)分別顯示在界面的各個(gè)分塊中�����;第五步獲取用戶選中文件的相關(guān)信息��,如文件起始扇區(qū)號����、文件大小����、文件屬性等���,并進(jìn)行數(shù)據(jù)恢復(fù),恢復(fù)過程實(shí)質(zhì)就是創(chuàng)建具有相同數(shù)據(jù)文件的過程�。本發(fā)明基于MFC (Microsoft Foundation Classes,微軟基礎(chǔ)類)單文檔結(jié)構(gòu)�����,軟件界面由若干個(gè)標(biāo)簽頁構(gòu)成����。通過單擊菜單欄中的“打開磁盤”選項(xiàng),彈出一個(gè)對話框�,讓用戶選擇需要打開的磁盤。選擇“確定”后�����,軟件會(huì)自動(dòng)遍歷磁盤空間��,并進(jìn)入工作界面����。每個(gè)打開的磁盤分區(qū)的所有信息將顯示在一個(gè)單獨(dú)的標(biāo)簽頁中。每個(gè)標(biāo)簽頁劃分為左上�、右上�����、左下和右下四塊�,每個(gè)塊的大小不固定��,可以根據(jù)用戶需求自己調(diào)整���。其中��,左上部分以樹的形式顯示該分區(qū)的所有文件和文件夾;右上部分以列表的形式顯示用戶選中文件夾的所有下一級文件��,以及相關(guān)信息��,如文件擴(kuò)展名���、文件大小�、創(chuàng)建時(shí)間日期����、文件屬性,起始扇區(qū)號等����;左下部分則以對話框的形式顯示該分區(qū)的相關(guān)信息��,如序列號�����、文件系統(tǒng)�����、空間大小等����;右下部分是以十六進(jìn)制的形式顯示扇區(qū)數(shù)據(jù)����。右擊菜單有兩個(gè)選擇,第一個(gè)選項(xiàng)��,即“恢復(fù)/復(fù)制…”�����,可以對正常文件進(jìn)行復(fù)制或?qū)h除文件進(jìn)行恢復(fù)操作。第二個(gè)選項(xiàng)���,即“轉(zhuǎn)到目錄項(xiàng)”��,可以將界面右下部分顯示選中文件的登記項(xiàng)數(shù)據(jù)�����。當(dāng)然��,用戶還可以通過使用菜單欄中的“位置”選項(xiàng)��,顯示其他偏移處的數(shù)據(jù)�����,如FAT文件系統(tǒng)中的FATl和FAT2,以及FDT���。如果選擇“位置”中的“偏移量”選項(xiàng)����,那么用戶可以自定義顯示數(shù)據(jù)的偏移位置�。 這里有兩個(gè)地方需要注意,一個(gè)是可以通過Radio控件,選擇偏移相對的位置��,如開頭�、當(dāng)前位置等;另一個(gè)就是可以通過Edit控件后的Button控件���,選擇偏移值的單位����,如十六進(jìn)制或十進(jìn)制的字節(jié)����、十六進(jìn)制或十進(jìn)制的扇區(qū)等。此外�,本發(fā)明還可以通過菜單欄的“打開磁盤”下的“BPB模版”選項(xiàng),來顯示分區(qū)的BPB參數(shù)����。數(shù)據(jù)恢復(fù)軟件比對實(shí)驗(yàn)。實(shí)驗(yàn)地點(diǎn)中國刑事警察學(xué)院電子取證實(shí)驗(yàn)室����。實(shí)驗(yàn)環(huán)境Windows2000。實(shí)驗(yàn)器材U盤一個(gè)�,容量1G��。測試對象WinHex15. 1����、FinalData 2. 0����、Encase 4. 20,取證大師 2008 vl. 10. 2742,以及本發(fā)明數(shù)據(jù)恢復(fù)方法�����。實(shí)驗(yàn)前準(zhǔn)備首先在U盤根目錄下的名為“測試文件”的文件夾下存儲PDF�����、PPT����、 DOC、TXT����、RAR和BMP等六種類型的文件����。
參見圖6-1��、圖6-2�����、圖6-3�����、圖6-4�����、圖6-5及圖6-6�,將上述文件作為待測文件�。然后,通過Shift+Del組合鍵�����,將上述六個(gè)文件在操作系統(tǒng)下徹底刪除��。刪除文件后���,再通過各恢復(fù)軟件分別對他們進(jìn)行數(shù)據(jù)恢復(fù)��,并進(jìn)行對比�����。其中�,WinHehFinalDatEuEncase企業(yè)版三種軟件對六個(gè)文件的恢復(fù)全部失敗,都是不同程度的出現(xiàn)數(shù)據(jù)損壞����、亂碼等現(xiàn)象,見圖7-1 圖7-6����。另外,取證大師的恢復(fù)效果明顯優(yōu)于前三者���,但PDF文件和TXT文件恢復(fù)也失敗�����。 見圖8-1 圖8-6����。本發(fā)明則成功恢復(fù)了所有的六個(gè)文件��,見圖9-1-圖9-5�����。其中����,TXT文件則恢復(fù)出來了四個(gè)文件,包括三個(gè)亂碼文件和一個(gè)正確文件��,文件名后面的數(shù)字分別代表各自的起始簇號����,見圖9-6 圖9-8。以上所述僅為本發(fā)明的優(yōu)選實(shí)施例而已���,并不用于限制本發(fā)明����,對于本領(lǐng)域的技術(shù)人員來說��,本發(fā)明可以有各種更改和變化����。凡在本發(fā)明的精神和原則之內(nèi)�,所作的任何修改���、等同替換����、改進(jìn)等��,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)���。
8
權(quán)利要求
1.一種電子數(shù)據(jù)恢復(fù)方法����,其特征在于�����,能夠恢復(fù)FAT32文件系統(tǒng)丟失指針的文件���,按如下步驟實(shí)現(xiàn)(1)打開目標(biāo)盤��,并轉(zhuǎn)到根目錄區(qū)�;(2)逐條掃描目錄項(xiàng),找到以E5開頭的目錄項(xiàng)�����;(3)偏移OBH為IOH或20H;同時(shí)��,偏移OBH為(FH�,向下繼續(xù)尋找到該位置數(shù)據(jù)為IOH 或20H的目錄項(xiàng)��;(4)偏移14 15H與偏移IA IBH為文件存儲的簇號��,讀取順序?yàn)?5H14H1BH 1AH��, 根據(jù)該簇號找到文件起始位置���,選擇為塊開始����;(5)目錄項(xiàng)偏移IC 1F H為文件大小(B)����,從找到的起始位置開始向下轉(zhuǎn)移 IraiEHlDHlCH個(gè)字節(jié),并選擇為塊結(jié)束��;(6)將所選部分復(fù)制到指定位置。
2.一種電子數(shù)據(jù)恢復(fù)方法�,其特征在于,能夠恢復(fù)NTFS文件系統(tǒng)丟失指針的文件�,按如下步驟實(shí)現(xiàn)(1)打開目標(biāo)盤,轉(zhuǎn)到MFT文件區(qū)���;(2)從30H屬性的最后兩行查看要恢復(fù)文件的文件名���;(3)若80H屬性偏移08H為01H,找到80H屬性偏移40H的位置�,該數(shù)據(jù)為“Χ Γ;(4)讀出80H屬性偏移(40+Υ+1)Η (40+Y+X)H中的數(shù)據(jù)�����;(5)80H屬性偏移(40+ Y) H中的數(shù)據(jù)為文件所占的簇�;(6)依據(jù)文件起始扇區(qū)=(文件起始簇*8);文件結(jié)束扇區(qū)=(文件起始簇+文件所占的族)*8 ;轉(zhuǎn)到文件起始扇區(qū)����,選擇塊開始,轉(zhuǎn)到文件結(jié)束的扇區(qū)���,選擇塊結(jié)束��;(7)將文件復(fù)制到指定位置�;(8)步驟(2)執(zhí)行完畢,若80H屬性偏移08H為OOH��;(9 )文件內(nèi)容就在該MFT中�,從80H屬性中直接讀出文件內(nèi)容;(10)接續(xù)執(zhí)行步驟(7)��。
全文摘要
本發(fā)明屬于計(jì)算機(jī)領(lǐng)域�,尤其涉及一種電子數(shù)據(jù)恢復(fù)方法�����,可按如下步驟實(shí)現(xiàn):(1)打開目標(biāo)盤�����,并轉(zhuǎn)到根目錄區(qū)����;(2)逐條掃描目錄項(xiàng),找到以E5開頭的目錄項(xiàng)���;(3)偏移0BH為10H或20H�����;同時(shí)�,偏移0BH為0FH,向下繼續(xù)尋找到該位置數(shù)據(jù)為10H或20H的目錄項(xiàng)����;(4)偏移14~15H與偏移1A~1BH為文件存儲的簇號,讀取順序?yàn)?5H14H1BH1AH���;(5)偏移1C~1FH為文件大小(B)��,從找到的起始位置開始向下轉(zhuǎn)移1FH1EH1DH1CH個(gè)字節(jié)�����,并選擇為塊結(jié)束��;(6)將所選部分復(fù)制到指定位置��。本發(fā)明極大地提升了數(shù)據(jù)恢復(fù)的可能性�,為全面客觀的完成電子物證鑒定的任務(wù)提供了保證���。
文檔編號G06F11/14GK102207898SQ201110192888
公開日2011年10月5日 申請日期2011年7月11日 優(yōu)先權(quán)日2011年7月11日
發(fā)明者劉奇志, 秦玉海, 胡穎 申請人:秦玉海