【文章內(nèi)容簡(jiǎn)介】 電子數(shù)據(jù)證據(jù)的獲?。夹g(shù)性采集 硬盤被加密或變換時(shí)的恢復(fù)： 一定要反解加密算法，或找到被移走的重要扇區(qū)。 對(duì)于那些加密硬盤數(shù)據(jù)的病毒，清除時(shí)一定要選擇能恢復(fù)加密數(shù)據(jù)的可靠殺毒軟件。 電子數(shù)據(jù)證據(jù)的獲取－技術(shù)性采集 加密文件后密碼破解： ? 采用口令破解軟件，如 zipcrack等，其原理是字典攻擊。 ? 有些軟件是有后門的，比 如 DOS 下的 WPS，Ctrl+qiubojun就是通用密碼。 電子數(shù)據(jù)證據(jù)的獲取－技術(shù)性采集 缺乏用戶口令進(jìn)入文件系統(tǒng)方法： 用軟盤啟動(dòng)（也可以把盤掛接在其他 NT上），找到支持該文件系統(tǒng)結(jié)構(gòu)的軟件（比如針對(duì) NT的 NTFSDOS），利用他把密碼文件清掉、或者是 COPY出密碼檔案，用破解 軟件套字典來處理。 電子數(shù)據(jù)證據(jù)的獲?。夹g(shù)性采集 其余數(shù)據(jù)恢復(fù)策略： ? 系統(tǒng)不認(rèn)硬盤 系統(tǒng)從硬盤無法啟動(dòng)，從 A盤啟動(dòng)也無法進(jìn)入 C盤，使用 CMOS中的自動(dòng)監(jiān)測(cè)功能也無法發(fā)現(xiàn)硬盤的存在。這種故障大都出現(xiàn)在連接電纜或 IDE端口上，硬盤本身故障的可能性不大，可通過重新插接硬盤電纜或者改換 IDE口及電纜等進(jìn)行替換試驗(yàn)，就會(huì)很快發(fā)現(xiàn)故障的所在。如果新接上的硬盤也不被接受，一個(gè)常見的原因就是硬盤上的主從跳線，如果一條 IDE硬盤線上接兩個(gè)硬盤設(shè)備，就要分清楚主從關(guān)系。 電子數(shù)據(jù)證據(jù)的獲取－技術(shù)性采集 其余數(shù)據(jù)恢復(fù)策略： ? CMOS引起的故障 CMOS中的硬盤類型正確與否直接影響硬盤的正常使用?，F(xiàn)在的機(jī)器都支持 “ IDE Auto Detect‖的功能，可自動(dòng)檢測(cè)硬盤的類型。當(dāng)硬盤類型錯(cuò)誤時(shí)，有時(shí)干脆無法啟動(dòng)系統(tǒng)，有時(shí)能夠啟動(dòng)，但會(huì)發(fā)生讀寫錯(cuò)誤。比如 CMOS中的硬盤類型小于實(shí)際的硬盤容量，則硬盤后面的扇區(qū)將無法讀寫，如果是多分區(qū)狀態(tài)則個(gè)別分區(qū)將丟失。還有一個(gè)重要的故障原因，由于目前的 IDE都支持邏輯參數(shù)類型，硬盤可采用“ Normal,LBA,Large‖等，如果在一般的模式下安裝了數(shù)據(jù) ,而又在 CMOS中改為其它的模式，則會(huì)發(fā)生硬盤的讀寫錯(cuò)誤故障，因?yàn)槠溆成潢P(guān)系已經(jīng)改變，將無法讀取原來的正確硬盤位置。 電子數(shù)據(jù)證據(jù)的獲取－技術(shù)性采集 其余數(shù)據(jù)恢復(fù)策略： ? 主引導(dǎo)程序引起的啟動(dòng)故障 主引導(dǎo)程序位于硬盤的主引導(dǎo)扇區(qū)，主要用于檢測(cè)硬盤分區(qū)的正確性，并確定活動(dòng)分區(qū)，負(fù)責(zé)把引導(dǎo)權(quán)移交給活動(dòng)分區(qū)的 DOS或其他操作系統(tǒng)。此段程序損壞將無法從硬盤引導(dǎo)，但從軟驅(qū)或光驅(qū)啟動(dòng)之后可對(duì)硬盤進(jìn)行讀寫。修復(fù)此故障的方法較為簡(jiǎn)單，使用高版本 DOS的 FDISK最為方便，當(dāng)帶參數(shù) /mbr運(yùn)行時(shí)，將直接更換 (重寫 )硬盤的主引導(dǎo)程序。實(shí)際上硬盤的主引導(dǎo)扇區(qū)正是此程序建立的， 硬盤主引導(dǎo)程序。雖然 DOS版本不斷更新，但硬盤的主引導(dǎo)程序一直沒有變化，從 DOS Windos 95的 DOS， 只要找到一種 DOS引導(dǎo)盤啟動(dòng)系統(tǒng)并運(yùn)行此程序即可修復(fù)。 電子數(shù)據(jù)證據(jù)的獲?。夹g(shù)性采集 其余數(shù)據(jù)恢復(fù)策略： ? 分區(qū)表錯(cuò)誤引發(fā)的啟動(dòng)故障 分區(qū)表錯(cuò)誤是硬盤的嚴(yán)重錯(cuò)誤，不同的錯(cuò)誤程度會(huì)造成不同的損失。如果是沒有活動(dòng)分區(qū)標(biāo)志，則計(jì)算機(jī)無法啟動(dòng)。但從軟驅(qū)或光驅(qū)引導(dǎo)系統(tǒng)后可對(duì)硬盤讀寫，可通過 FDISK重置活動(dòng)分區(qū)進(jìn)行修復(fù)。 如果是某一分區(qū)類型錯(cuò)誤，可造成某一分區(qū)的丟失。分區(qū)表的第四個(gè)字節(jié)為分區(qū)類型值，正常的可引導(dǎo)的大于 32MB的基本 DOS分區(qū)值為 06，而擴(kuò)展的 DOS分區(qū)值是 05。很多人利用此類型值實(shí)現(xiàn)單個(gè)分區(qū)的加密技術(shù)，恢復(fù)原來的正確類型值即可使該分區(qū)恢復(fù)正常。 電子數(shù)據(jù)證據(jù)的獲?。夹g(shù)性采集 其余數(shù)據(jù)恢復(fù)策略： ? 分區(qū)表錯(cuò)誤引發(fā)的啟動(dòng)故障 分區(qū)表中還有其它數(shù)據(jù)用于記錄分區(qū)的起始或終止地址。這些數(shù)據(jù)的損壞將造成該分區(qū)的混亂或丟失，可用的方法是用備份的分區(qū)表數(shù)據(jù)重新寫回，或者從其它的相同類型的并且分區(qū)狀況相同的硬盤上獲取分區(qū)表數(shù)據(jù)。 恢復(fù)的工具可采用 NU等工具軟件，操作非常方便。當(dāng)然也可采用 DEBUG進(jìn)行操作，但操作繁瑣并且具有一定的風(fēng)險(xiǎn)。 電子數(shù)據(jù)證據(jù)的獲?。夹g(shù)性采集 其余數(shù)據(jù)恢復(fù)策略： ? 分區(qū)有效標(biāo)志錯(cuò)誤的故障 在硬盤主引導(dǎo)扇區(qū)中還存在一個(gè)重要的部分，那就是其最后的兩個(gè)字節(jié)： “ 55aa‖， 此字節(jié)為扇區(qū)的有效標(biāo)志。當(dāng)從硬盤、軟盤或光盤啟動(dòng)時(shí)，將檢測(cè)這兩個(gè)字節(jié)，如果存在則認(rèn)為有硬盤存在，否則將不承認(rèn)硬盤。此處可用于整個(gè)硬盤的加密技術(shù)，可采用 DEBUG方法進(jìn)行恢復(fù)處理。另外，當(dāng) DOS引導(dǎo)扇區(qū)無引導(dǎo)標(biāo)志時(shí)，系統(tǒng)啟動(dòng)將顯示為： “ Mmissing Operating System‖。 可使用 DOS系統(tǒng)通用的修復(fù)方法。 電子數(shù)據(jù)證據(jù)的獲取－技術(shù)性采集 其余數(shù)據(jù)恢復(fù)策略： ? DOS引導(dǎo)系統(tǒng)引起的啟動(dòng)故障 DOS引導(dǎo)系統(tǒng)主要由 DOS引導(dǎo)扇區(qū)和 DOS系統(tǒng)文件組成。系統(tǒng)文件主要包括 、 、 ， 其中 DOS的外殼文件，可用其它的同類文件替換，但缺省狀態(tài)下是 DOS啟動(dòng)的必備文件。在 Windows 95攜帶的DOS系統(tǒng)中， ，是啟動(dòng) Windows必須的文件，但只啟動(dòng) DOS時(shí)可不用此文件。 DOS引導(dǎo)出錯(cuò)時(shí)，可從軟盤或光盤引導(dǎo)系統(tǒng)后使用 SYS C:命令傳送系統(tǒng)，即可修復(fù)故障，包括引導(dǎo)扇區(qū)及系統(tǒng)文件都可自動(dòng)修復(fù)到正常狀態(tài)。 電子數(shù)據(jù)證據(jù)的獲?。夹g(shù)性采集 其余數(shù)據(jù)恢復(fù)策略： ? FAT表引起的讀寫故障 FAT表記錄著硬盤數(shù)據(jù)的存儲(chǔ)地址，每一個(gè)文件都有一組 FAT鏈指定其存放的簇地址。 FAT表的損壞意味著文件內(nèi)容的丟失。慶幸的是 DOS系統(tǒng)本身提供了兩個(gè) FAT表，如果目前使用的 FAT表?yè)p壞，可用第二個(gè)進(jìn)行覆蓋修復(fù)。但由于不同規(guī)格的磁盤其 FAT表的長(zhǎng)度及第二個(gè) FAT表的地址也是不固定的，所以修復(fù)時(shí)必須正確查找其正確位置，一些工具軟件如 NU等本身具有這樣的修復(fù)功能，使用也非常的方便。采用 DEBUG也可實(shí)現(xiàn)這種操作，即采用其 m命令把第二個(gè) FAT表移到第一個(gè)表處即可。如果第二個(gè) FAT表也損壞了，則也無法把硬盤恢復(fù)到原來的狀態(tài)，但文件的數(shù)據(jù)仍然存放在硬盤的數(shù)據(jù)區(qū)中，可采用 CHKDSK或 SCANDISK命令進(jìn)行修復(fù)，最終得到 *.CHK文件，這便是丟失 FAT鏈的扇區(qū)數(shù)據(jù)。如果是文本文件則可從中提取出完整的或部分的文件內(nèi)容。 電子數(shù)據(jù)證據(jù)的獲取－技術(shù)性采集 其余數(shù)據(jù)恢復(fù)策略： ? 目錄表?yè)p壞引起的引導(dǎo)故障 目錄表記錄著硬盤中文件的文件名等數(shù)據(jù)，其中最重要的一項(xiàng)是該文件的起始簇號(hào)。目錄表由于沒有自動(dòng)備份功能，所以如果目錄損壞將丟失大量的文件。一種減少損失的方法也是采用 CHKDSK或 SCANDISK程序恢復(fù)的方法，從硬盤中搜索出*.CHK文件，由于目錄表?yè)p壞時(shí)僅是首簇號(hào)丟失，每一個(gè)*.CHK文件即是一個(gè)完整的文件，把其改為原來的名字即可恢復(fù)大多數(shù)文件。 電子數(shù)據(jù)證據(jù)的獲?。夹g(shù)性采集 其余數(shù)據(jù)恢復(fù)策略： ? 格式化后硬盤數(shù)據(jù)的恢復(fù) 在 DOS高版本狀態(tài)下， FORMAT格式化操作在缺省狀態(tài)下都建立了用于恢復(fù)格式化的磁盤信息，實(shí)際上是把磁盤的 DOS引導(dǎo)扇區(qū)、 FAT分區(qū)表及目錄表的所有內(nèi)容復(fù)制到了磁盤的最后幾個(gè)扇區(qū)中 (因?yàn)楹竺娴纳葏^(qū)很少使用 )，而數(shù)據(jù)區(qū)中的內(nèi)容根本沒有改變。這樣通過運(yùn)行 UNFORMAT命令即可恢復(fù)。另外 DOS還提供了一個(gè) MIROR命令用于記錄當(dāng)前磁盤的信息，供格式化或刪除之后的恢復(fù)使用，此方法也比較有效。 電子數(shù)據(jù)證據(jù)的獲?。夹g(shù)性采集 網(wǎng)絡(luò)數(shù)據(jù)獲取方法： ? Sniffer: 如： windows平臺(tái)上的 sniffer工具： xray和 sniffer pro軟件等 Linux平臺(tái)下的 TCPDump： dump the traffice on a work.，根據(jù)使用者的定義對(duì)網(wǎng)絡(luò)上的數(shù)據(jù)包進(jìn)行截獲的包分析工具。 電子數(shù)據(jù)證據(jù)保全技術(shù) ? 數(shù)據(jù)加密技術(shù)： ?加密就是把數(shù)據(jù)和信息轉(zhuǎn)換為不可辯識(shí)的密文的過程，使不應(yīng)了解該數(shù)據(jù)和信息的人不能夠識(shí)別，欲知密文的內(nèi)容，需將其轉(zhuǎn)換為明文，這就是解密過程。加密系統(tǒng)的組成 。 ?加密是在不安全的環(huán)境中實(shí)現(xiàn)信息安全傳輸?shù)闹匾椒ā? 電子數(shù)據(jù)證據(jù)保全技術(shù) ? 數(shù)據(jù)加密技術(shù)： 稱為報(bào)文，任何加密系統(tǒng)，不管形式多么復(fù)雜，至少包括以下 4個(gè)組成部分： 1 2 加密、解密裝置或算法； 用于加密和解密的鑰匙，它可以是數(shù)字、詞匯或語(yǔ)句 電子數(shù)據(jù)證據(jù)保全技術(shù) 傳統(tǒng)加密方法： ? 代碼加密 預(yù)先設(shè)定的一組代碼，它簡(jiǎn)單而有效，得到了廣泛的應(yīng)用。例如： 電子數(shù)據(jù)證據(jù)保全技術(shù) 傳統(tǒng)加密方法： ? 替換加密 一組字母，例如下面的一組字母之間的對(duì)應(yīng)關(guān)系就構(gòu)成了一個(gè)替換加密器。 A B C D…… 密文字母： L K J L…… 電子數(shù)據(jù)證據(jù)保全技術(shù) 傳統(tǒng)加密方法： ? 排列。例如： 3 1 4 5 2 6 0 電子數(shù)據(jù)證據(jù)保全技術(shù) 傳統(tǒng)加密方法： ? 密器的靈活性，可采用一次性密碼簿進(jìn)行加密。密碼簿的每一頁(yè)都是不同的代碼表，可以用一頁(yè)上的代碼來加密一些詞，用后毀掉；再用另一頁(yè)的代碼加密另一些詞，直到全部的明文都被加密，破譯密文的惟一方法就是獲得一份相同的密碼簿。 電子數(shù)據(jù)證據(jù)保全技術(shù) 基于公鑰的加密算法： ? RSA ? PHP 電子數(shù)據(jù)證據(jù)保全技術(shù) 數(shù)字摘要技術(shù)： 數(shù)字摘要技術(shù)（ Digital Digest） 也稱作為安全 HASH編碼法（ SHA： Secure Hash Algorithm）。 數(shù)字摘要技術(shù)用于對(duì)所要傳輸?shù)臄?shù)據(jù)進(jìn)行運(yùn)算生成信息摘要，它并不是一種加密機(jī)制，但卻能產(chǎn)生信息的數(shù)字 指紋 ，它的目的是為了確保數(shù)據(jù)沒有被修改或變化，保證信息的完整性不被破壞。 電子數(shù)據(jù)證據(jù)保全技術(shù) 數(shù)字摘要技術(shù)的特點(diǎn) ： 它能處理任意大小的信息，并對(duì)其生成固定大小的數(shù)據(jù)摘要，數(shù)據(jù)摘要的內(nèi)容不可預(yù)見 對(duì)于相同的數(shù)據(jù)信息進(jìn)行 HASH后，總是能得到同樣的摘要；如果數(shù)據(jù)信息被修改，進(jìn)行 Hash后，其摘要必定與先前不同 HASH函數(shù)是不可逆的，無法通過生成的數(shù)據(jù)摘要恢復(fù)出源數(shù)據(jù) 電子數(shù)