2.1.5 数据恢复及电子取证

2.1.5  数据恢复及电子取证

在数据恢复和电子取证的过程中,经常需要对卷进行分析。在分区表结构正常的情况下,可以使用自动分析软件对整个磁盘或磁盘的镜像进行分析。但有时候,分区表会遭到破坏,或者文件系统出现问题,自动分析软件无法正确地解释出数据内容,这时就需要我们进行手工分析。

另外,我们不只需要对现在存在的分区结构及文件系统进行分析,还需要对磁盘的整个布局结构进行详细分析,以寻找出所有曾经可能存在的分区及文件系统。因为我们所需要的数据也许并不是由现有的分区及文件系统进行管理的,而是很有可能存在于以前的分区布局及文件系统中。而且,并不是磁盘上的所有扇区都被分配给分区和文件系统使用,而是会有若干数量的保留及隐藏扇区。在这部分扇区中,很有可能保留有存在于以前的文件系统上的数据,也有可能被有意用于隐藏一些敏感的数据内容。

在分析的过程中,一般是首先根据某些特征找到分区表,再根据分区表中提供的分区起始位置、分区大小等信息确定一个卷所在的位置。然后根据卷内的管理信息确定其文件系统类型、管理方式等,进而提取出有用的数据。如果分区表已经被破坏,就要首先根据磁盘上的文件系统信息或其他残留分区信息重建分区表,然后再进行后续的工作。

比较麻烦的是,如果卷是由磁盘上的多个不连续的空间组成,甚至是由多个磁盘上的多个不连续空间组成,则需要仔细分析这些空间之间的相互关系,分析它们是以怎样的布局结构存在的,进而将其重新组合在一起,形成一个完整的卷结构,以便提取出有用的数据。比较典型的是RAID(即阵列),因为不同的厂商会采用不同的方式对阵列成员盘间的关系进行描述,而这种描述方法通常是保密的,所以很多时候我们不得不根据散布于各个磁盘上的文件系统的一些特征去分析、"猜测"并验证各个成员盘在阵列中的布局关系,这就需要我们对文件系统有个全面的了解。