基于EXT4文件系统的数据恢复方法研究

研究EXT4文件系统中删除文件的恢复方法对计算机取证工作有重要意义。文章研究了在EXT4文件系统中通过日志中的备份信息进行数据恢复的方法。采用了实例式研究方法,分析了EXT4文件系统中extent树的构成,分析了文件被删除之后extent树的变化,研究了通过inode编号定位inode结点所在数据块的方法,研究了通过日志恢复被删除文件的方法。文章得出的结论是在日志文件和删除数据未被完全覆盖的情况下,可以通过日志有效恢复EXT4文件系统中被删除的文件。文章的研究成果可以应用在公安机关的电子数据鉴定工作中,也可用于公安院校的《电子物证检验》课程教学。     

基于EXT3系统的文件内容操作痕迹提取软件设计

EXT3文件系统是大多数Linux主机的默认硬盘分区格式,EXT3格式的硬盘中可能存储了大量涉案文件,识别出嫌疑人对这些涉案文件内容执行的增、删、改操作行为,提取出被修改的相关数据对公安机关的调查、取证工作有重要意义。文章对不同类型文件的操作痕迹进行了分析;介绍了EXT3日志文件的基本结构;研究了从日志中提取出文件名称和inode结点信息的方法;提出了基于inode编号链表的操作痕迹提取方法;设计了用于痕迹提取的状态转换机。设计的操作痕迹提取软件可以直接运行在Linux主机上,通过扫描日志文件完成痕迹提取,经过大量实际测试,软件可以有效提取EXT3文件系统中未被覆盖的操作痕迹。     

基于EXT3文件系统的数据库文件恢复与检验软件的开发

文章介绍了一种通过日志恢复EXT3文件系统下被删除Oracle数据文件的方法,研究了通过数据页存储特征恢复与检验Oracle数据文件的方法,介绍了基于EXT3的Oralce数据文件恢复与检验软件的总体执行流程图。该软件可以根据日志文件中保存的地址指针定位被删除文件散布在硬盘分区中的具体数据,进而将它们恢复成一个完整的数据库文件,该软件还可以根据Oracle数据页的存储特征最大限度地提取分布在硬盘分区上的数据页碎片,将这些数据页组合成一个文件,再利用自行开发的检验软件从中检验出有效的数据记录。     

基于闪存特性的EXT4文件系统读写性能优化研究

Android智能手机普遍采用闪存作为本地存储介质,这导致使用的EXT4文件系统存在读写性能损耗问题,间接影响了应用程序的使用体验,在分析性能损耗原因的基础上,提出一种针对EXT4文件系统日志功能优化方法。首先对EXT4文件系统日志功能进行研究,分析其如何维护日志数据,对比传统磁盘及闪存的不同特性提出性能损耗问题产生的原因,并给出解决方法,优化EXT4日志数据存取流程,以EXT4事务状态作为依据主动删除无用的日志数据,在不破坏原有日志功能的基础上,减少闪存设备垃圾回收过程中不必要的数据拷贝。通过对比实验证明,该方法能够提升Android手机中Ext4文件系统约11.8%的读写性能。     

HFS+删除文件恢复技术

随着MAC OS的广泛使用,MAC OS的取证技术得到了取证专家的高度重视。删除文件恢复技术一直是取证技术中的一项重要内容,HFS+文件系统作为目前MAC OS的主流文件系统,其删除文件的恢复技术更是数据恢复专家研究的重点。目前,HFS+删除文件的恢复主要是日志型数据的恢复,即基于日志中存储的B树中的叶子节点信息进行恢复。该方法具有快速、精确的特点。但是,该方法忽略了日志中存储的索引节点信息,因此恢复效果不是很理想。文章提出了一种快速、精确的HFS+删除文件的恢复技术,该技术不仅可以快速地恢复出被删除的文件,并且和现有的从日志中进行恢复的算法相比还可以恢复出更多的删除文件。     

XENIX系统误删文件的恢复

在XENIX系统中，常因使用rm命令而不慎将文件误删的情况，只要没人使用系统建立新文件，删除的文件是可以恢复的。因为rm命令只是把文件在文件系统中的i节点（inode）信息清除，而文件的正文信息与数据信息占据的磁盘块还未被清理。XENIX文件系统有如下结构当文件被删除时，其占据的磁盘块被依次压栈到空闲块索引表（freeblocklist）的顶部。索引表位于文件系统超级专用块（superblock）的2号块首端，我们只要从索引表里找出这些块号，填入i节点区内，重构文件的i节点，可使被删除的文件得以恢复。下面以scoxenixVrelease2．3．2的根文…     

Linux日志文件系统研究

与传统的文件系统相比,日志文件系统可以在系统崩溃后快速地恢复,提高系统的高可用性。论文主要研究了日志技术及linux下的日志文件系统:EXT3、ReiserFS、XFS和JFS,并用测试工具PostMark和Bonnie++对它们进行了性能分析。     

基于孩子兄弟树的 FAT32 文件删除恢复算法

针对由主观或客观因素造成计算机中数据丢失的情况,提出一种Windows FAT32文件系统下基于孩子兄弟树的数据删除恢复算法。 介绍FAT32文件系统和孩子兄弟树,详细阐述了如何基于孩子兄弟树重建FAT32文件系统的目录树,快速搜索到被删除文件的目录项,并通过分析文件删除前后目录项中属性值的变化来恢复被删除的文件。     

存储介质上电子证据的发现和提取技术

计算机存储介质中数据存储基于文件系统,文件系统以文件目录为基础,文件目录建立在分区上.Windows操作系统下最常用的文件系统是FAT文件系统和NTFS文件系统,格式化可以改变分区的类型或参数,需要加以恢复;文件操作可能留下操作过程的痕迹,可能删除文件.需要研究操作痕迹的发现和提取方法,恢复删除的数据,提供法庭证据.     

基于NMEA 0183的GPS设备轨迹恢复方法

针对GPS设备的轨迹恢复问题,由于传统的文件恢复方法依赖于系统元信息,一旦元信息受损、不可读或重新分配等原因就会恢复失败。借助文件雕复的思想提出一种基于NMEA 0183协议的GPS设备轨迹恢复方法,可以在系统元信息不可用的前提下恢复出GPS设备上的轨迹日志数据。首先利用轨迹数据的特征从镜像中定位到所有属于NMEA日志的数据块。再根据日志数据在时间和空间上的局部连续性以及日志的结构特征设计一个判别器,对所有已定位的数据块使用重组算法恢复出日志。最后再根据相应的格式对恢复出的日志进行解析,重构出被删除的行车轨迹。实验结果表明,在数据镜像完整、系统元信息不可用、日志文件高度分片、日志数据部分覆写的情况下恢复率能够保持在99%以上,并且能够兼容不同簇大小的文件系统。     

NTFS系统下“小文件”取证软件的设计与实现

文章介绍了通过MFT文件记录恢复＂小文件＂的方法,介绍了＂小文件＂恢复需要解决的乱码问题和多次删除数据的恢复问题,介绍了＂小文件＂取证软件的总体执行流程图和测试情况。该软件可以自动扫描NTFS系统的$MFT元文件,从$MFT元文件中依次找出每个包含＂小文件＂数据的MFT记录,如果某个MFT记录包含可以恢复的数据,则将其恢复出来。     

EXT2文件系统分析

Linux由于其源代码的开放性而得到越来越广泛的认同,针对其文件系统的编程成为其中最普遍最核心的应用。通过分析Linux文件系统源代码,给出了EXT2文件系统的硬盘布局,详细论述了超级块、组描述符、I节点、目录结构等与EXT2文件系统相关的数据结构,着重分析这些结构中的核心数据项以及它们之间的关系,并从编程的角度归纳了这些结构在文件系统中的作用。     

Windows可安装文件系统应用研究

由于Windows操作系统的源代码非开放性,其文件系统的工作机制并不为人们所熟悉。通过分析Windows2000/XP的可安装文件系统IFS以及如何利用IFS机制编制文件驱动程序来使Windows2000/XP支持新的文件系统,着重给出了如何在Windows操作系统下编制文件驱动程序来支持LinuxEXT2文件系统的思路和具体方法。     

Linux EXT4文件系统分析

介绍EXT4文件系统的原理和数据结构,重点与EXT3文件系统做了比较,通过分析WRITE操作来解释EXT4文件系统的工作,为用户选择Linux内核提供参考。     

FAT32下有效数据快速恢复方法

针对来自客观设备失败和主观数据破坏,提出一种数据快速恢复方案。当文件系统未损坏或损坏不严重时,只选取文件分配表(FAT)表项中有价值的内容实现数据快速还原;如果破坏严重(或出于计算机取证需要),则可以从整个物理硬盘的所有空间(包括操作系统中不可见区域)里最大限度提取出用户的有效数据信息。根据FAT32文件系统中数据存储与删除机理,通过扫描FAT表中未分配空间,以文件头部特征码所在扇区的簇号和残存目录项中文件大小两个参数确定文件的存储空间进而恢复;探讨了复合文档结构,给出了根据文档存储规范和数据流标识提取有效信息方法。实验表明,该方案可以简单、高效地恢复被删除的数据。     

NTFS系统存储介质上文件操作痕迹分析

计算机用户通过文件系统存取数据，文件和文件夹的操作(如增加、删除、修改)会在存储介质上留下痕迹，这些痕迹与文件系统有关。NTFS文件系统以簇为单位分配和回收外存空间，通过主文件表来进行管理。文章从计算机取证角度探讨NTFS文件系统下访问文件(夹)的方法，研究NTFS文件系统下文件和文件夹的操作痕迹，并与FAT文件系统中的痕迹进行比较。