【文章內容簡介】 電子數據證據的獲取－技術性采集 硬盤被加密或變換時的恢復： 一定要反解加密算法，或找到被移走的重要扇區(qū)。 對于那些加密硬盤數據的病毒，清除時一定要選擇能恢復加密數據的可靠殺毒軟件。 電子數據證據的獲?。夹g性采集 加密文件后密碼破解： ? 采用口令破解軟件，如 zipcrack等，其原理是字典攻擊。 ? 有些軟件是有后門的，比 如 DOS 下的 WPS，Ctrl+qiubojun就是通用密碼。 電子數據證據的獲?。夹g性采集 缺乏用戶口令進入文件系統(tǒng)方法： 用軟盤啟動（也可以把盤掛接在其他 NT上），找到支持該文件系統(tǒng)結構的軟件（比如針對 NT的 NTFSDOS），利用他把密碼文件清掉、或者是 COPY出密碼檔案，用破解 軟件套字典來處理。 電子數據證據的獲?。夹g性采集 其余數據恢復策略： ? 系統(tǒng)不認硬盤 系統(tǒng)從硬盤無法啟動，從 A盤啟動也無法進入 C盤，使用 CMOS中的自動監(jiān)測功能也無法發(fā)現硬盤的存在。這種故障大都出現在連接電纜或 IDE端口上，硬盤本身故障的可能性不大，可通過重新插接硬盤電纜或者改換 IDE口及電纜等進行替換試驗，就會很快發(fā)現故障的所在。如果新接上的硬盤也不被接受，一個常見的原因就是硬盤上的主從跳線，如果一條 IDE硬盤線上接兩個硬盤設備，就要分清楚主從關系。 電子數據證據的獲取－技術性采集 其余數據恢復策略： ? CMOS引起的故障 CMOS中的硬盤類型正確與否直接影響硬盤的正常使用。現在的機器都支持 “ IDE Auto Detect‖的功能，可自動檢測硬盤的類型。當硬盤類型錯誤時，有時干脆無法啟動系統(tǒng)，有時能夠啟動，但會發(fā)生讀寫錯誤。比如 CMOS中的硬盤類型小于實際的硬盤容量，則硬盤后面的扇區(qū)將無法讀寫，如果是多分區(qū)狀態(tài)則個別分區(qū)將丟失。還有一個重要的故障原因，由于目前的 IDE都支持邏輯參數類型，硬盤可采用“ Normal,LBA,Large‖等，如果在一般的模式下安裝了數據 ,而又在 CMOS中改為其它的模式，則會發(fā)生硬盤的讀寫錯誤故障，因為其映射關系已經改變，將無法讀取原來的正確硬盤位置。 電子數據證據的獲?。夹g性采集 其余數據恢復策略： ? 主引導程序引起的啟動故障 主引導程序位于硬盤的主引導扇區(qū)，主要用于檢測硬盤分區(qū)的正確性，并確定活動分區(qū)，負責把引導權移交給活動分區(qū)的 DOS或其他操作系統(tǒng)。此段程序損壞將無法從硬盤引導，但從軟驅或光驅啟動之后可對硬盤進行讀寫。修復此故障的方法較為簡單，使用高版本 DOS的 FDISK最為方便，當帶參數 /mbr運行時，將直接更換 (重寫 )硬盤的主引導程序。實際上硬盤的主引導扇區(qū)正是此程序建立的， 硬盤主引導程序。雖然 DOS版本不斷更新，但硬盤的主引導程序一直沒有變化，從 DOS Windos 95的 DOS， 只要找到一種 DOS引導盤啟動系統(tǒng)并運行此程序即可修復。 電子數據證據的獲取－技術性采集 其余數據恢復策略： ? 分區(qū)表錯誤引發(fā)的啟動故障 分區(qū)表錯誤是硬盤的嚴重錯誤，不同的錯誤程度會造成不同的損失。如果是沒有活動分區(qū)標志，則計算機無法啟動。但從軟驅或光驅引導系統(tǒng)后可對硬盤讀寫，可通過 FDISK重置活動分區(qū)進行修復。 如果是某一分區(qū)類型錯誤，可造成某一分區(qū)的丟失。分區(qū)表的第四個字節(jié)為分區(qū)類型值，正常的可引導的大于 32MB的基本 DOS分區(qū)值為 06，而擴展的 DOS分區(qū)值是 05。很多人利用此類型值實現單個分區(qū)的加密技術，恢復原來的正確類型值即可使該分區(qū)恢復正常。 電子數據證據的獲?。夹g性采集 其余數據恢復策略： ? 分區(qū)表錯誤引發(fā)的啟動故障 分區(qū)表中還有其它數據用于記錄分區(qū)的起始或終止地址。這些數據的損壞將造成該分區(qū)的混亂或丟失，可用的方法是用備份的分區(qū)表數據重新寫回，或者從其它的相同類型的并且分區(qū)狀況相同的硬盤上獲取分區(qū)表數據。 恢復的工具可采用 NU等工具軟件，操作非常方便。當然也可采用 DEBUG進行操作，但操作繁瑣并且具有一定的風險。 電子數據證據的獲?。夹g性采集 其余數據恢復策略： ? 分區(qū)有效標志錯誤的故障 在硬盤主引導扇區(qū)中還存在一個重要的部分，那就是其最后的兩個字節(jié)： “ 55aa‖， 此字節(jié)為扇區(qū)的有效標志。當從硬盤、軟盤或光盤啟動時，將檢測這兩個字節(jié)，如果存在則認為有硬盤存在，否則將不承認硬盤。此處可用于整個硬盤的加密技術，可采用 DEBUG方法進行恢復處理。另外，當 DOS引導扇區(qū)無引導標志時，系統(tǒng)啟動將顯示為： “ Mmissing Operating System‖。 可使用 DOS系統(tǒng)通用的修復方法。 電子數據證據的獲?。夹g性采集 其余數據恢復策略： ? DOS引導系統(tǒng)引起的啟動故障 DOS引導系統(tǒng)主要由 DOS引導扇區(qū)和 DOS系統(tǒng)文件組成。系統(tǒng)文件主要包括 、 、 ， 其中 DOS的外殼文件，可用其它的同類文件替換，但缺省狀態(tài)下是 DOS啟動的必備文件。在 Windows 95攜帶的DOS系統(tǒng)中， ，是啟動 Windows必須的文件，但只啟動 DOS時可不用此文件。 DOS引導出錯時，可從軟盤或光盤引導系統(tǒng)后使用 SYS C:命令傳送系統(tǒng)，即可修復故障，包括引導扇區(qū)及系統(tǒng)文件都可自動修復到正常狀態(tài)。 電子數據證據的獲取－技術性采集 其余數據恢復策略： ? FAT表引起的讀寫故障 FAT表記錄著硬盤數據的存儲地址，每一個文件都有一組 FAT鏈指定其存放的簇地址。 FAT表的損壞意味著文件內容的丟失。慶幸的是 DOS系統(tǒng)本身提供了兩個 FAT表，如果目前使用的 FAT表損壞，可用第二個進行覆蓋修復。但由于不同規(guī)格的磁盤其 FAT表的長度及第二個 FAT表的地址也是不固定的，所以修復時必須正確查找其正確位置，一些工具軟件如 NU等本身具有這樣的修復功能，使用也非常的方便。采用 DEBUG也可實現這種操作，即采用其 m命令把第二個 FAT表移到第一個表處即可。如果第二個 FAT表也損壞了，則也無法把硬盤恢復到原來的狀態(tài)，但文件的數據仍然存放在硬盤的數據區(qū)中，可采用 CHKDSK或 SCANDISK命令進行修復，最終得到 *.CHK文件，這便是丟失 FAT鏈的扇區(qū)數據。如果是文本文件則可從中提取出完整的或部分的文件內容。 電子數據證據的獲取－技術性采集 其余數據恢復策略： ? 目錄表損壞引起的引導故障 目錄表記錄著硬盤中文件的文件名等數據，其中最重要的一項是該文件的起始簇號。目錄表由于沒有自動備份功能，所以如果目錄損壞將丟失大量的文件。一種減少損失的方法也是采用 CHKDSK或 SCANDISK程序恢復的方法，從硬盤中搜索出*.CHK文件，由于目錄表損壞時僅是首簇號丟失，每一個*.CHK文件即是一個完整的文件，把其改為原來的名字即可恢復大多數文件。 電子數據證據的獲取－技術性采集 其余數據恢復策略： ? 格式化后硬盤數據的恢復 在 DOS高版本狀態(tài)下， FORMAT格式化操作在缺省狀態(tài)下都建立了用于恢復格式化的磁盤信息，實際上是把磁盤的 DOS引導扇區(qū)、 FAT分區(qū)表及目錄表的所有內容復制到了磁盤的最后幾個扇區(qū)中 (因為后面的扇區(qū)很少使用 )，而數據區(qū)中的內容根本沒有改變。這樣通過運行 UNFORMAT命令即可恢復。另外 DOS還提供了一個 MIROR命令用于記錄當前磁盤的信息，供格式化或刪除之后的恢復使用，此方法也比較有效。 電子數據證據的獲?。夹g性采集 網絡數據獲取方法： ? Sniffer: 如： windows平臺上的 sniffer工具： xray和 sniffer pro軟件等 Linux平臺下的 TCPDump： dump the traffice on a work.，根據使用者的定義對網絡上的數據包進行截獲的包分析工具。 電子數據證據保全技術 ? 數據加密技術： ?加密就是把數據和信息轉換為不可辯識的密文的過程，使不應了解該數據和信息的人不能夠識別，欲知密文的內容，需將其轉換為明文，這就是解密過程。加密系統(tǒng)的組成 。 ?加密是在不安全的環(huán)境中實現信息安全傳輸的重要方法。 電子數據證據保全技術 ? 數據加密技術： 稱為報文，任何加密系統(tǒng)，不管形式多么復雜，至少包括以下 4個組成部分： 1 2 加密、解密裝置或算法； 用于加密和解密的鑰匙，它可以是數字、詞匯或語句 電子數據證據保全技術 傳統(tǒng)加密方法： ? 代碼加密 預先設定的一組代碼，它簡單而有效，得到了廣泛的應用。例如： 電子數據證據保全技術 傳統(tǒng)加密方法： ? 替換加密 一組字母，例如下面的一組字母之間的對應關系就構成了一個替換加密器。 A B C D…… 密文字母： L K J L…… 電子數據證據保全技術 傳統(tǒng)加密方法： ? 排列。例如： 3 1 4 5 2 6 0 電子數據證據保全技術 傳統(tǒng)加密方法： ? 密器的靈活性，可采用一次性密碼簿進行加密。密碼簿的每一頁都是不同的代碼表，可以用一頁上的代碼來加密一些詞，用后毀掉；再用另一頁的代碼加密另一些詞，直到全部的明文都被加密，破譯密文的惟一方法就是獲得一份相同的密碼簿。 電子數據證據保全技術 基于公鑰的加密算法： ? RSA ? PHP 電子數據證據保全技術 數字摘要技術： 數字摘要技術（ Digital Digest） 也稱作為安全 HASH編碼法（ SHA： Secure Hash Algorithm）。 數字摘要技術用于對所要傳輸的數據進行運算生成信息摘要，它并不是一種加密機制，但卻能產生信息的數字 指紋 ，它的目的是為了確保數據沒有被修改或變化，保證信息的完整性不被破壞。 電子數據證據保全技術 數字摘要技術的特點 ： 它能處理任意大小的信息，并對其生成固定大小的數據摘要，數據摘要的內容不可預見 對于相同的數據信息進行 HASH后，總是能得到同樣的摘要；如果數據信息被修改，進行 Hash后，其摘要必定與先前不同 HASH函數是不可逆的，無法通過生成的數據摘要恢復出源數據 電子數