基于取证需要的数据恢复的特点探析.pdfVIP

第十八届全国信息保密学术会议(IS2008)论文集 基于取证需要的数据恢复的特点探析 刘建宇昝或弘 北京航天飞行控制中心 摘要：本文基于计算机取证对数据恢复技术的特殊要求，初步探讨了不同 层次上的软件数据恢复，-分析了计算机取证中数据恢复的特殊性，为信息安全事 件的调查提供了技术手段。 关键词：数据恢复计算机取证痕迹 1 引言 信息技术与网络技术的飞速发展，为人们工作提高了效率和生活质量。与此 同时，以计算机信息系统为对象和工具的各类新型信息安全事件越来越多，比如 非法截获信息、传播计算机病毒、利用计算机技术伪造篡改信息、利用木马程序 盗取敏感信息及其他非法活动。对于信息安全事件的调查计算机取证是一项非常 有效的手段，它能够收集电子证据，重构违规现场，为违规事件的调查提供有效 的证据，而数据恢复是计算机取证的核心技术。 2基于文件数据恢复及其分类 数据恢复技术是计算机取证系统中最重要的技术，不管是窃取计算机中的数 据，还是用计算机来进行攻击活动，都会在计算机中留下了痕迹。一般的计算机 操作人员不会对所留下的证据进行销毁，我们可以很容易追踪这样的犯罪活动， 提取其犯罪证据。而计算机高