数据恢复与计算机取证技术.ppt

部分图片来自网络 欢迎交流与合作！ welcome to Cooperate and communicate，thanks! 联系方式（Contacts ）： NAME:戴士剑 MOBILE E-MAIL:huifu120@ * * * * * 按照传统原件的观点，电子证据原件应该是指电子数据首次固定于其上的电子设备上的原始信号。除此之外，任何由此信息转换、复制而来的电子证据均属于电子证据复制件。 这样的话，其原件只能是一堆人们无法识别的磁信号或其他信号量，人们看到的只能是电子证据的外在表现形式。这样的原件是什么样的呢？ 原件的惟一性、直观性、信息的统一性，带有书写者的个人信息。 电子信息表现为“完全一致”的符号信息，不再带有书写者的个人信息。 现在将电子信息与文书信息进行比较： 传递 发信 邮件服务器a 邮件服务器n 收信 发信者撰写信件 收信者阅读信件 邮件 ………… ………… 信息原件不可见，可脱离载体流动 为解决大多数国家要求提供原件的难题，联合国提出“功能等同法”以符合传统书面形式的要求；英美法规定，凡是数据储存在电子计算机或类似装置中，一切能用肉眼看得见的，证明能正确反映数据的印出或其他输出信号，都是原本。刘品新博士提出“拟制原件说”认为，任何直接源于该电子数据的或其他可感知输出物，只要能够准确反映该记录内容，均视为电子证据原件。 电子信息本身的特性决定了作为证据的电子数据,其原件与传统意义上的原件完全不同,且改变了传统意义上的“眼见为实耳听为虚”的认识观，其原件的非惟一性、“无痕”修改性、可脱离载体性、表现复杂且非直观性、符号化无个性性，造成了电子证据让人望而生畏的表面情况。 标准/规范（Standard /regulation）主体问题（Subjects ）程序问题（Programs）…… 法律问题（law） 技术问题（ technology ） 静态/动态（static/dynamic）被动/主动（passivite / positive ） 单机（PC） 网络（network） ★BIOS取证数据加密（data encryption）身份认证（Authorization ）病毒木马（Virus、Trojan ）信息隐藏（ Info hide ）特殊功能（special function）…… ★存储体系（storage system） Storage Network RAIDs Storage Devices File Type File System Hardware Volatile Storage Devices Overwritten ★存储网络（如NAS、SAN等）（Storage network） -硬件损坏（Hardware damage）-系统损坏（Storage system damage）-阵列信息损坏（RAID Info damage）-组件缺失（ Component miss）-信息隐藏（ Information hide ） -碎片提取（Fragment mining ）-…… ★RAID证据提取（RAID Evidence Analysis） -硬件损坏（Hardware damage）-阵列信息损坏（RAID Info damage）-组件缺失（Component miss）-信息隐藏（Info hide ） -碎片提取（Fragment mining ）-…… ★存储设备（Storage Devices） -存储设备访问（access）-访问口令（password）-数据加密（encryption）-硬件损坏（hardware damage）-信息隐藏（ Information hide） -碎片（fragments ）-…… ★文件格式（file format） -文件格式未知（file format unknown） -文件损坏数据错乱（file damage）-文件加密（ file encryptions ）-文档碎片（file fragments ）-信息隐藏（ Information hide ）-图像清晰化（Image sharpening）-………… ★文件系统紊乱（File system damage） -元数据损坏（metadata damage）-数据紊乱（data disorder）-碎片（ fragments ）-加密（ encryption ）-信息隐藏（ Information hide）-………… ★硬件损坏（Hardware Damag