[发明专利]一种基于内容的Zip文件雕复方法

说明书

技术领域

本发明属于信息安全与计算机应用技术领域，涉及一种Zip文件恢复方法，特别是一种对磁盘中已经删除，相关文件系统元信息遭到破坏时的Zip文件恢复方法。

背景技术

随着计算机和网络技术的不断发展，计算机取证技术渐渐成为打击高科技犯罪的关键技术手段之一。打击计算机犯罪的关键是如何将犯罪者留在计算机中的“痕迹”作为有效的诉讼证据提供给法庭，以便将犯罪者绳之以法。此过程涉及的技术就是计算机取证技术。计算机取证学作为设计计算机、刑事侦查学和法学领域的交叉学科，受到了越来越多的关注。而数据恢复技术则是计算机取证中的核心技术之一。数据恢复技术主要依赖于文件系统元信息和特定的文件头（Header）、尾（Footer）结构技术。基于文件系统元信息和特定文件头尾结构的恢复技术往往只能恢复在磁盘上连续存放的文件。此外，当前数据恢复技术面临反计算机取证技术的考验越来越严峻。文件雕复就是针对这些情况而提出的一种数据恢复技术，它从表面上无结构的二进制数据流（即原始磁盘映像）中试图恢复、重构文件，而不依赖于源磁盘映像的文件系统；也即是说雕复是一个不依赖于文件系统分配信息的从磁盘映像中抽取出文件的过程。

目前，国内外在此领域的研究刚刚起步。国内还没有比较成熟的文件雕复软件，目前比较著名的文件雕复软件均为国外产品如Easy Recovery，Recover My Files等，这些商业软件虽然支持大量的不同种类文件，但是效果都不理想。具体表现为恢复的正确率低，产生大量的假肯定。Zip文件作为最常用的压缩文件之一，其优点主要在于：（1）普及率高，跨平台，不需要安装专门的解压工具就可以读取文件信息，大部分在Internet上共享的都是zip压缩文件。（2）压缩速度快，利于文件打包，不仅可以缩小原有文件体积便于携带，同时可以保证文件的安全性。

目前，zip文件雕复的基本技术依然是利用文件系统和文件类型的特有信息（File type-specific information）来恢复文件。文件类型最基本的特征的是Header和Footer，因此可以把这种基本技术称为Header-Footer Carving。Header指示文件的开始数据快，Footer表示文件的结束数据块，两者之间的数据即是该文件内容。基于Header-Footer的雕复技术,在处理Zip文件雕复问题时，仅能解决在磁盘上连续存放的情况，并且由于Zip文件的文件头和文件尾不容易精确定位，传统的Header-Footer Carving并不能得到很好的结果，目前用于学术研究的一些雕复工具如：Foremost，Scalpel，PhotoRec等在实际磁盘的测试中由于采用了类似的雕复技术，虽然在假肯定率上比商业软件有所降低，但由于只能恢复连续存放的文件，因此仍不能得到让人满意的效果。

发明内容

本发明的目的是在于克服现有技术中的不足，针对Zip文件结构的独特性，提供一种Zip文件雕复方法，特别是一种对磁盘中已经删除，相关文件系统元信息遭到破坏时的Zip文件恢复方法。能面向数据恢复和计算机勘查、侦破、取证工作的需要，对用户计算机中的Zip文件进行恢复，从而可以对Zip文件进行取证分析，寻找犯罪证据。

本发明的方法具体步骤如下：

步骤(1)根据用户输入信息定位到需进行文件雕复操作的磁盘分区，通过使用系统API函数获取磁盘分区的必要信息，所述的必要信息包括磁盘分区的大小、扇区数和簇数目；

步骤(2)利用Zip文件中对应于Zip File Header，Central Directory和End Central  Directory的三个魔数特征字符串，对整个磁盘分区进行扫描，查找Zip文件中Zip File Header，Central Directory和End Central  Directory在磁盘分区上的位置，并将这三类位置信息分别保存至数组A、数组B和数组C中；

步骤(3)对数组A和数组B中位置信息所对应的数据块进行预处理，具体是：通过每一数据块中文件名字段存放的文件名来排除非Zip数据块，并删除非Zip数据块在数组中的位置信息；