摘 要: | 为了逃脱公安机关的打击,犯罪分子经常将计算机上的犯罪数据信息彻底删除,或将分区甚至整个硬盘进行格式化操作,从而使得重要的犯的罪证据丢失,给案件的取证带来极大的困难。因此,如何迅速准确的在计算机上恢复出犯罪证据,成为切实打击犯罪的一个关键因素。本文通过对NTFS文件系统结构的详细介绍,重点分析了NTFS文件系统的主文件表MFT、文件记录的结构和文件的几个关键属性(即文件名,标准信息,数据流等),从计算机取证角度探讨NTFS文件系统下访问文件(夹)的方法,研究NTFS文件系统下文件和文件夹的操作痕迹,并在此基础上提出了一种基于NTFS文件系统的数据恢复算法。该算法通过分析NTFS文件系统的结构,将待取证的数据分为3类,采取不同的策略进行处理,通过数据恢复技术恢复被删除的数据并在此基础上实现计算机取证。
|