不留后患，删除文件要彻底

昨天我用某数据恢复软件找回闪盘中的数据时，竞意外到了自己在半个月前删掉的银行账目信息表。要是闪盘落到了歹人手里……，想想我都后怕。看来想要不留后惠，在删除文件时必须彻彻底底才行!     

Windows缩略图缓存文件的分析和取证

尽管缩略图文件在Windows系统中一直存在,但是它的数据结构一直少有人关注。缩略图文件作为保存图形文件的重要数据的数据库,在计算机取证中具有重要作用。文章通过对不同Windows系统下的缩略图文件的结构进行解析,阐述如何利用缩略图文件来恢复数据和获取关键证据。     

文件的删除与反删除

你是不是曾经错误地删除了想保存的文件?实际上这并不要紧,因为我们拥有相当大的回旋余地。     

数据恢复与计算机取证

现阶段,人类社会逐渐进入到信息化时代发展阶段,再加之计算机技术和网络技术的迅猛发展,为人们创造了更多的便捷服务。但是,由于网络环境中存在的不安全隐患,使得很多不法人员进行了很多违法行为,给社会公众以及相关企业造成了重大的经济损失,严重破坏了社会的安定和谐。因此,为了有效防止这些计算机网络犯罪事件的发生,只有在计算机系统中获取有效的证据,才会给犯罪者一个沉重的打击。但是,大部分的数字证据存在着易损坏、修改的特点,一般需要采取相应的数据恢复技术进行取证。为此,笔者就对数据恢复技术在计算机取证工作中的应用进行了研究讨论,并得出以下相关结论,以供参考交流。     

对数据恢复与计算机取证的分析

计算机取证中的数据恢复由于其特殊性,特别是在法律和技术上的特殊内容和要求,使其存在一定的局限性和难点,虽然与普通数据恢复在原理上相同,但还是有很大的不同。本文分析了数据恢复及其方法,计算机取证中数据恢复的特点和难点,数据恢复在计算机取证中的应用,为以后的计算机取证的公正合法性提供参考。     

Windows 8计算机取证与安全机制分析

随着微软新一代操作系统Windows 8的普及,计算机取证调查人员将在实际工作中越来越多的遇到安装Windows 8操作系统的检材.文章主要对Windows 8操作系统给计算机取证带来的新变化及其本身的安全机制进行了简要分析.     

Windows系统下Prefetch文件取证方法初探

在电子数据取证中对痕迹的提取和分析是非常重要的一项工作,通过对应用程序运行痕迹的提取,可以分析出用户的行为特征,对计算机取证具有重要的意义。Prefetch(简称P F)是微软Wi n d o w s操作系统用来存放系统预读信息的一种文件,该文件中包含可执行文件的名称、所调用DLL文件列表(Unicode)、路径、运行次数和最后一次运行时间等信息。由于PF文件格式没有官方的文档描述,在不同Windows系统下结构也有区别,而且国内目前对Windows10下压缩型PF文件的研究较少。文章主要研究了Windows操作系统下的几种PF文件格式,提出了一种针对Prefetch文件取证的方法,通过提取并分析应用程序的运行痕迹,为案件的侦破提供重要的线索。     

新型智能终端取证技术研究

随着移动互联网的广泛应用,智能手机、平板等新型智能终端设备在各种各样的违法犯罪活动中开始扮演越来越重要的角色,从涉案手机中提取的数据常常包含与违法犯罪行为相关的重要线索和证据。然而,移动智能终端设备不断提升的安全设计可能使得取证人员无法从设备中提取数据,给电子数据取证鉴定工作提出了新的挑战。本文详细分析当前主流的iOS、Android和Windows Phone等平台下的移动设备的安全机制,研究了主要的安全机制破解和取证技术及其在目前电子数据取证工作中的应用。最后,对未来面向新型移动智能终端电子数据取证技术研究发展方向进行了探讨。     

虚拟机文件取证分析

介绍VMware Workstation软件常见的虚拟机磁盘文件结构及其含义,提出一种符合司法要求的虚拟机文件取证方法。通过直接扫描虚拟机文件,依据虚拟硬盘分区文件类型的存储结构定位虚拟机磁盘文件的虚拟主机的相应扇区,获取证据。以虚拟硬盘分区文件系统NTFS为例进行说明,探讨在虚拟机下进行计算机取证的策略。     

Windows 8回收站取证分析

在计算机取证过程中,对于删除文件的分析常常提供有价值的信息。知道在哪里找到被删除文件并且能够理解文件被删除过程中产生的元数据,这是一个合格的计算机取证人员必备的素质。本文对Window 8系统的回收站与传统的Windows XP系统的回收站的相似点和不同点进行了对比分析,并详细说明了Windows 8系统回收站的工作细节,以期为计算机取证人员提供帮助。     

UNIX系统取证分析方法①

UNIX作为目前最常用的主流操作系统之一,研究UNIX系统的取证分析方法具有非常重要的现实意义。本文首先介绍从UNIX系统中获取易失性数据的方法,然后介绍获取被入侵UNIX机器上的硬盘数据,建立取证映像（forensic image）,然后进行取证分析的具体步骤和方法。     

针对Windows7系统的计算机取证问题分析

最新的个人操作系统Windows 7给用户提供了更稳定的系统性能和更安全的操作环境,但同时也对计算机取证工作带来新的问题。针对Windows 7系统,从注册表分析、数据保护与破解、网络浏览和文档编辑等角度入手,分析了计算机取证涉及的多类问题及其解决方法,能够更好地指导计算机取证工作。     

Android系统删除数据恢复方法研究

随着移动通信技术的发展和应用的推广,手机犯罪成为新的犯罪趋势,手机取证是打击该类犯罪的一个有效手段。直接调用API方法不能恢复Android手机数据,现有方法存在无法恢复删除数据部分被覆盖的问题。为此,通过分析Android系统SQLite数据库的文件结构和数据记录的寻址方式,提出一种Android系统删除数据恢复方法,即探测估算预提取数据所在表的每个Type字段,提取恢复删除数据,结合尽最大努力恢复方法,针对删除数据部分被覆盖的情况,讨论其恢复的可能性并进行获取。在Android手机模拟器上进行验证,结果表明,该方法能成功恢复删除数据,与传统方法相比,在不影响信息提取精确度的前提下,提高了删除数据的恢复率。     

面向IaaS云服务基础设施的电子证据保全与取证分析系统设计

随着云技术在计算机网络领域的广泛应用,云环境下的安全审计与电子取证需求也日益迫切。由于云取证与传统计算机取证在取证环境、证据获取及证据分析方面有较大区别,目前尚缺乏有效的针对云的电子取证方法及技术手段,云系统作为一种信息系统,其可审计性得不到保证。文章设计了一套新的云取证系统,面向IaaS云服务的基础设施,通过采集终端对云系统中虚拟机进行监控并主动采集证据,同时将采集到的证据集中存放于一处,取证系统实时取证、证据集中保全的特性可以有效应对云环境下证据易失、证据提取困难的特点,达到高效取证。     

Windows系统中Prefetch信息的提取与分析

在Windows系统的Prefetch文件夹中存在大量的预读取文件,这些文件中实际上记录了具有一定取证价值的信息。文章试图通过运用一些分析工具来发现和提取文件中所包含的内容。     

基于KPCR结构的Windows物理内存分析方法

介绍了计算机在线取证方式的优势,总结了目前国外在计算机物理内存分析的研究现状及其存在的不足,在此基础上提出了一种新的Windows物理内存分析方法——基于KPCR结构的物理内存分析方法。与传统的物理内存方法相比,这种方法更为可靠,适用范围更广,具有很高的实用价值。