浅谈数据恢复-精品·公开课件.pptVIP

浅谈数据恢复 应用于计算机取证 中科院高能物理研究所 郑捷文 硬盘数据恢复 硬盘数据的分布 硬盘分区实例 硬盘末尾的不可分配空间 可恢复数据的位置 未分区空间 未分配的磁盘空间 被标记为坏区的空间 未分区空间中的数据 文件系统未分配空间中的数据 从交换文件中寻找信息 Windows在物理内存不足时用硬盘虚拟 将内存中的暂时无用的数据写入到硬盘 待需要使用时再从硬盘读入 上述过程用到的文件称为交换文件 用拔电源的方法关机 如果shutdown，交换文件是空的 从交换文件中寻找信息（2） 交换文件中包含大量关机前的现场信息 加密文件的解密版本 当时曾经阅读过的文档 交换文件位置： Windows 95/98/Me Windows目录 Windows NT/2000/XP/2003 系统分区根目录pagefile.sys 休眠文件hiberfil.sys有同样价值 示例：交换文件中的信息 从运行中的系统上提取交换文件 系统禁止读取交换文件内容 Windows 2000以上可以利用sleuth kit来提取 ./fls -f ntfs \\\\.\\e:|grep pagefile.sys ./icat -f ntfs “\\\\.\\e:” (入口点数字) pagefile.img 分析FileSlack File Slack实例 分区表修复工具testdisk /i