[发明专利]一种基于磁盘文件片段感知的计算机取证检测方法

说明书

本发明涉及一种基于磁盘文件片段感知的计算机取证检测方法，属于网络安全技术领域。本发明通过对计算机系统磁盘的工作原理、存储形式的深入剖析，以及对各种文件类型的编码特性的综合研究，基于对物理磁盘上的文件片段数据痕迹的感知，实现在文件系统受损或原始磁盘镜像中文件类型不明的情况下对多种类型磁盘文件进行有效修复，实现在文件存在分片、失序以及部分数据损坏或丢失等异常情况下，对文件的准确修复，从而提高文件修复的成功率和准确率，提升安全检查中文件取证检测的能力。

技术领域

本发明属于网络安全技术领域，具体涉及一种基于磁盘文件片段感知的计算机取证检测方法。

背景技术

信息网络技术的快速发展与大量应用极大地推动了我国军事信息系统的数字化、网络化、现代化进程。办公系统、指挥平台、信息网、态势综合处理系统、信息服务平台等不同级别、不同类型军事信息系统的研制与部署，实现了我军业务办公、指挥控制、情报处理、基础支撑等各业务领域的信息化，这些系统通过网络互联，形成体系化、网络化的军事信息系统，促进我军信息化能力不断提升，使我军在信息化作战中信息获取、存储、处理与共享，态势的分析与预测，辅助指挥决策，战场管理和武器自动控制等方面的能力得到大幅增强，极大地提升了我军武器装备作战效能，为我军建设一支信息化军队奠定坚实基础。

然而，随着网络技术的发展，网络安全攻击威胁与日俱增，给信息系统造成极大安全隐患。为保障我军信息系统安全稳定运行，需要对信息系统及计算机执行安全检查，通过对计算机基本信息、上网数据、外设连接使用数据、文件信息与操作记录进行采集与取证，实现对信息系统及计算机的安全合规性进行检测。

安全合规性检查的重要手段之一即对计算机产生和存储的文件进行采集，并在此基础上进行分析，包括开机启动文件、注册表文件、可执行文件、临时文件等多种类型。但随着计算机硬件配置的优化和提升，对取证也造成一定的技术难度。最重要的是，由于网络攻击、病毒入侵，以及有意无意删除等原因造成文件损坏，对文件采集和获取造成极大的困难。

高效地通过计算机系统信息分析和还原文件，实现数据恢复和信息获取，对于信息系统计算机取证检查具有十分重要的意义，主要体现在以下几方面：

一是，有利于快速定位和获取计算机中重要的文件数据，提高计算机取证检查的处理能力。利用计算机取证检测方法，从计算机的文件系统中快速寻找出有价值的信息，及时发现用户创建和浏览的关键信息，实现高效精确地分析和判断计算机违规使用或操作等情况。

二是，有利于提高计算机文件修复的能力和效率，减少人力和物力资源的消耗，提升安全检查总体能力。被破坏或删除的文件往往隐藏着重要的信息，开展基于文件修复的取证检测技术研究可以有效提升文件修复的时间和正确率，进而可以提高对于信息系统安全检查的能力。

传统的数据恢复技术主要利用文件系统元数据信息进行数据恢复，对磁盘上连续存放的文件有效，而在文件存在分片、失序以及部分数据损坏或丢失等异常情况下，误报率将极大增加，特别是在以下五方面情况下，传统的数据恢复技术存在极大局限：一是文件元数据损坏或丢失；二是已删除文件的元数据项未被操作系统保留或被删除；三是文件删除后的元数据项被分配给其他文件；四是数据清除等反取证技术造成文件信息获取难度加大；五是在操作系统的交换区或虚拟内存区等磁盘镜像不对文件的元数据项进行存储。

发明内容

(一)要解决的技术问题

本发明要解决的技术问题是：如何计算机取证检测方法，提升安全检查中文件取证检测的能力。

(二)技术方案

为了解决上述技术问题，本发明提供了(待补充)

(三)有益效果