原创力文档- 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
- 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
NTFS格式存储设备数据恢复方法研究.pdf
剐 技术 2015年 第40卷 第1期
ForensicScienceandTechnology ·论 著 ·
DOI:10.16467/j.1008—3650.2015.01.012
NTFS格式存储设备数据恢复方法研究
徐 国天
(中国刑事警察学院网络犯罪侦查系,沈阳110854)
M ethodsforFileRecoveryonNTFSFileSystem
XUGuo-tian(DepartmentofNetworkCHminalInvestigation,NationalPoliceUniversityofChina,Shenyang110854chin)
ABSTRACT:ObjectiveInpractice.suchsituationsareoftenencounteredthatthefileshavenotbeenrestoredbecauseofthe
incorrectrecoverytoolsand/orvariedrestoringmethods.Inthispape~ threedatarecovery modesusedwithNTFS storage
devicewereallalyzedandtheireffectsweretestedandcompared.M ethodsForthesameNTFSstoragedevice.weusedNTFS
loginspection softwaredevelopedfrom previousresearchtotesttherecoverychoicebasedonNTFSlogfile,utilizedthe
quickscanfunctionofFinalDatatotesttherecoverychoicebasedonMFT-andusedtheufU scanfunctionofFina1Datato
testtherecovery choicebasedoncharacteristicvalue.Finallywecomparedtheeffectofthethreechoicesandanalyzedtheir
recovery principles.ResultsTherecovery choicesbasedonNTFSlogfileandMFTcouldobtaincomprehensiveinofrmation
butwerenotsuitableforfilesdeleted1ongbefore.ThoughtherecoverychoicebasedOHcharacteristicvalueplayedpooreffect
onrestoringeitherthenon—contiguousfilesorthefilenamesandfile.creatingtime,itcouldrestorethefilesdeletedlongbefore
albeittimeconsuming.ConclusionsThreemethodscanbeappliedincaseworkwiththeirintegrativeutilization.
KEYWORDS:digita1forensics;NTFS;$LogFile;MFT;characteristicvalue;restoration
摘要 :目的 研究NTFS存储设备的3种数据恢复方式,测试、比较不同方式的恢复效果,促进电子物证检验
工作。方法 本文针对 同一NTFS存储设备,分别使 自行设计的NTFS日志检验软件测试基于NTFS日志文件
的恢复方式,使用FinalData的快速扫描功能测试基于MFT记录的恢复方式,使用FinalData的完整扫描功能
测试基于文件 头部存储特征值的恢复方式,比较 3种方式的恢复效果,分析各 自的恢复原理。结果 基于NTFS
日志和MFT记录的方式恢复出的信息较全,用时较短 ,但不适合恢复较长时间之前删除的文件。基于文件头
部存储特征值的方式可恢复较长时间前删除的文件,但用时长,不能恢复文件名、创建时间等信息,也不能有
效恢复离散存储的文件。结论 结合 实际情况、综合运用3种方式可有效恢复数据。
关键词 :电子物证 ;NTFS;日志 ;MFT;特征值 ;恢复
中图分类号 :DF793.
您可能关注的文档
- 1,2-二苯氧基乙烷合成工艺研究.pdf
- 110kV开关站接地引下线的热稳定校核分析.pdf
- 130m2烧结机配加工艺粉焦适宜比例的试验研究.pdf
- 16QAM解调算法及其在HSDPA中的应用.pdf
- 1978令我刻骨铭心的那场高考.pdf
- 1例断指再植术后反复血管危象24次的护理.pdf
- 20%中长链脂肪乳注射液制备工艺研究.pdf
- 2003-2013年甘肃省审定的小麦品种述评.pdf
- 2012-2013年小麦应用新美洲星示范试验研究.pdf
- 2012年世界铸件产量统计.pdf
- OBS分片机制中分片比例的性能分析.pdf
- ON LOCAL STRUCTURAL STABILITY OF ONE-DIMENSIONAL SHOCKS IN RADIATION HYDRODYNAMICS.pdf
- Oracle数据库备份与恢复技术探索.pdf
- p21基因在小鼠胚胎发育过程中的表达.pdf
- P2P技术在IPTV中的应用.pdf
- P2P文件共享框架中激励机制的研究.pdf
- PACU交班指引单的设计与应用.pdf
- PACU护士工作中保护手部皮肤完整性的操作细节浅析.pdf
- Pb、Cd 单一及复合胁迫在小麦幼苗中的富集特征.pdf
- PCI9052在多功能CAN适配卡中的应用研究.pdf
文档评论(0)