轉:電子取證中AVI文件的文件雕復

電子取證中AVI文件的文件雕復

收藏本文 分享

1引言在電子取證工做中,恢復數字設備中被刪除的數據是極爲重要的工做之一,恢復數據又分依賴系統元信息的傳統數據恢復技術和不依賴系統元信息的文件雕刻。文件雕刻思想是指,在自動或最小的人工干預的條件下,從一個數字「平面」上「雕刻」出某些文件的「形狀」。這種思想的出現源於,當系統元信息不可信任或被損壞時,會致使數據區全部文件數據變得無差異以致於沒法識別,只能採用基於文件的結構特徵和內容特色的文件雕刻技術在這「無差異」數據區中「雕刻」出文件。由此,基於文件雕刻思想進行數據恢復的技術簡稱爲文件雕復。對視頻AVI文件進行取證時,常常遇到即便在無覆蓋風險的狀況下,恢復出來的視頻也是不完整的。緣由在於傳統的數據恢復技術經過系統元信息進行的數據恢復不具備數據偵測能力,一旦系統元信息不完整,即便數據仍保留在數字設備中,也沒法恢復。沒有了可依賴的系統元信息,咱們惟一能夠作的就是利用AVI文件的結構特徵和內容特色,在「無差異」的數據區中偵測每一個「未分配」的數據簇,判斷它們是否是咱們指望獲得的視頻碎片數據。在一個忽視系統元信息的環境中,如何偵測到每一個AVI文件碎片,並將它們有序銜接起來,這就是本文研究的重點。2文(本文共計5