计算机硬件及网络网络与信息安全计算机取证技术

课题背景 计算机犯罪简述 计算机取证概念、原则与步骤 国外计算机取证应用现状 国内计算机取证应用现状 取证过程与方法 展望-随着社会信息化、网络化大潮的推进，随着社会信息化、网络化大潮的推进，社会生活中的计算机犯罪由最初的社会生活中的计算机犯罪由最初的“小小荷才露尖尖角荷才露尖尖角”到目前的层出不穷，举到目前的层出不穷，举不胜举，因此，电子数据证据的法律效不胜举，因此，电子数据证据的法律效力正在成为学界关注的焦点。力正在成为学界关注的焦点。-MooreMoore定律：每定律：每1818个月相同价格的集成电路个月相同价格的集成电路的处理能力就会加倍。的处理能力就会加倍。IntelIntel研制出研制出 纳米纳米 晶体管晶体管 摩尔定律摩尔定律将被推翻将被推翻硅芯片晶体密度提百倍硅芯片晶体密度提百倍 摩尔定律摩尔定律再用再用2020年年CSDN-CSDN-英特尔即将启用远紫外技术英特尔即将启用远紫外技术 摩尔定律摩尔定律再再获新发展获新发展 -由最初的手动编制二进制代码到汇编语言、由最初的手动编制二进制代码到汇编语言、高级语言、面向对象的概念、软件工程高级语言、面向对象的概念、软件工程到到UMLUML建模技术，软件开发日益呈现工程建模技术，软件开发日益呈现工程化、自动化趋势，软件的应用范围日益化、自动化趋势，软件的应用范围日益拓展，已成为社会生活重要组成部分。拓展，已成为社会生活重要组成部分。-：互联网在中国的发展互联网在中国的发展 CNNICCNNIC的统计的统计:我们的网民总量截至我们的网民总量截至20022002年年7 7月为月为45804580万，上网计算机数量为万，上网计算机数量为16131613万台，万台，CNCN下注册的域名数量是下注册的域名数量是126146126146个。个。WWWWWW站点数（包站点数（包括括.CNCN、.COM.COM、.NET.NET、.ORG.ORG下的网站）大下的网站）大约约293213293213个。个。-Computer related crimeComputer related crime or or computer aimed computer aimed crimecrime？广义说：计算机犯罪广义说：计算机犯罪通常是指所有涉及通常是指所有涉及计算机的犯罪。如：计算机的犯罪。如：欧洲经济合作与发展组织的专家认为欧洲经济合作与发展组织的专家认为:“在自在自动数据处理过程中任何非法的、违反职业道德动数据处理过程中任何非法的、违反职业道德的、未经过批准的行为都是计算机犯罪。的、未经过批准的行为都是计算机犯罪。”我国刑法学者有人认为我国刑法学者有人认为:“凡是故意或过失不凡是故意或过失不当使用计算机致使他人受损失或有受损失危险当使用计算机致使他人受损失或有受损失危险的行为的行为,都是计算机犯罪。都是计算机犯罪。”-狭义说：计算机犯罪狭义说：计算机犯罪通常是对计算机资产本身通常是对计算机资产本身进行侵犯的犯罪。例如：进行侵犯的犯罪。例如：瑞典的私人保密权法规定瑞典的私人保密权法规定:“未经过批准建立和保存未经过批准建立和保存计算机私人文件计算机私人文件,非法窃取电子数据处理记录或非法篡非法窃取电子数据处理记录或非法篡改、删除记录侵犯个人隐私的行为都是计算机犯罪。改、删除记录侵犯个人隐私的行为都是计算机犯罪。”我国有学者认为我国有学者认为,“计算机犯罪是指利用计算机操作计算机犯罪是指利用计算机操作所实施的危害计算机信息系统所实施的危害计算机信息系统(包括内存数据及程序包括内存数据及程序)安全的犯罪行为安全的犯罪行为”-折衷说：计算机本身在计算机犯罪中以折衷说：计算机本身在计算机犯罪中以“犯罪工具犯罪工具”或或“犯罪对象犯罪对象”的方式出现的方式出现,这一概念注重的是计算机这一概念注重的是计算机本身在犯罪中的作用。如：本身在犯罪中的作用。如：德国学者施奈德认为德国学者施奈德认为:“计算机犯罪指的是利用电子计算机犯罪指的是利用电子数据处理设备作为作案工具的犯罪行为或者把数据处数据处理设备作为作案工具的犯罪行为或者把数据处理设备当作作案对象的犯罪行为。理设备当作作案对象的犯罪行为。”我国学者认为我国学者认为:“计算机犯罪是以计算机为工具或以计算机犯罪是以计算机为工具或以计算机资产为对象的犯罪行为。计算机资产为对象的犯罪行为。”-犯罪形式的隐蔽性犯罪形式的隐蔽性 计算机犯罪一般不受时间和地点限制计算机犯罪一般不受时间和地点限制,可以通可以通过网络大幅度跨地域远程实现过网络大幅度跨地域远程实现,其罪源可来自其罪源可来自全球的任何一个终端全球的任何一个终端,随机性很强。随机性很强。计算机犯罪黑数高。计算机犯罪黑数高。-犯罪主体和手段的智能性犯罪主体和手段的智能性 计算机犯罪的各种手段中计算机犯罪的各种手段中,无论是无论是“特洛依特洛依木马术木马术”,还是还是“逻辑炸弹逻辑炸弹”,无一不是凭借高无一不是凭借高科技手段实施的科技手段实施的,而熟练运用这些手段并实现而熟练运用这些手段并实现犯罪目的的则是具有相当丰富的计算机技术知犯罪目的的则是具有相当丰富的计算机技术知识和娴熟的计算机操作技能的专业人员。识和娴熟的计算机操作技能的专业人员。-复杂性复杂性 犯罪主体的复杂性。犯罪主体的复杂性。犯罪对象的复杂性。犯罪对象的复杂性。-跨国性跨国性网络冲破了地域限制，计算机犯罪呈国际化趋势。因特网网络冲破了地域限制，计算机犯罪呈国际化趋势。因特网络具有络具有“时空压缩化时空压缩化”的特点，当各式各样的信息通过因的特点，当各式各样的信息通过因特网络传送时，国界和地理距离的暂时消失就是空间压缩特网络传送时，国界和地理距离的暂时消失就是空间压缩的具体表现。这为犯罪分了跨地域、跨国界作案提供了可的具体表现。这为犯罪分了跨地域、跨国界作案提供了可能。犯罪分子只要拥有一台联网的终端机，就可以通过因能。犯罪分子只要拥有一台联网的终端机，就可以通过因特网到网络上任何一个站点实施犯罪活动。而且，可以甲特网到网络上任何一个站点实施犯罪活动。而且，可以甲地作案，通过中间结点，使其他联网地受害。由于这种跨地作案，通过中间结点，使其他联网地受害。由于这种跨国界、跨地区的作案隐蔽性强、不易侦破，危害也就更大。国界、跨地区的作案隐蔽性强、不易侦破，危害也就更大。-匿名性匿名性 罪犯在接受网络中的文字或图像信息罪犯在接受网络中的文字或图像信息的过程是不需要任何登记，完全匿名，的过程是不需要任何登记，完全匿名，因而对其实施的犯罪行为也就很难控制。因而对其实施的犯罪行为也就很难控制。罪犯可以通过反复匿名登录，几经周折，罪犯可以通过反复匿名登录，几经周折，最后直奔犯罪目标，而作为对计算机犯最后直奔犯罪目标，而作为对计算机犯罪的侦查，就得按部就班地调查取证，罪的侦查，就得按部就班地调查取证，等到接近犯罪的目标时，犯罪分子早已等到接近犯罪的目标时，犯罪分子早已逃之夭夭了。逃之夭夭了。-损失大，对象广泛，发展迅速，涉及面广损失大，对象广泛，发展迅速，涉及面广 计算机犯罪始于六十年代，七十年代迅速增计算机犯罪始于六十年代，七十年代迅速增长，八十年代形成威胁。美国因计算机犯罪造长，八十年代形成威胁。美国因计算机犯罪造成的损失已在千亿美元以上，年损失达几十亿，成的损失已在千亿美元以上，年损失达几十亿，甚至上百亿美元，英、德的年损失也达几十亿甚至上百亿美元，英、德的年损失也达几十亿美元。美元。我国从我国从19861986年开始每年出现至少几起或几十年开始每年出现至少几起或几十起计算机犯罪，到起计算机犯罪，到19931993年一年就发生了上百起，年一年就发生了上百起，近几年利用计算机计算机犯罪的案件以每年近几年利用计算机计算机犯罪的案件以每年30%30%的速度递增，其中金融行业发案比例占的速度递增，其中金融行业发案比例占61%61%，平均每起金额都在几十万元以上，单起犯罪案平均每起金额都在几十万元以上，单起犯罪案件的最大金额高达件的最大金额高达14001400余万元，每年造成的直余万元，每年造成的直接经济损失近亿元。接经济损失近亿元。-持获利和探秘动机居多持获利和探秘动机居多 全世界每年被计算机犯罪直接盗走的资金达全世界每年被计算机犯罪直接盗走的资金达2020亿美元。我国亿美元。我国20012001年发现的计算机作案的经济年发现的计算机作案的经济犯罪已达犯罪已达100100余件，涉及金额达余件，涉及金额达17001700万元，在万元，在整个计算机犯罪中占有相当的比例。整个计算机犯罪中占有相当的比例。各种各样的个人隐私、商业秘密、军事秘密等各种各样的个人隐私、商业秘密、军事秘密等等都成为计算机犯罪的攻击对象。侵害计算机等都成为计算机犯罪的攻击对象。侵害计算机信息系统的更是层出不穷。信息系统的更是层出不穷。-低龄化和内部人员多低龄化和内部人员多 我国对某地的金融犯罪情况的调查，犯罪的年龄在我国对某地的金融犯罪情况的调查，犯罪的年龄在3535岁岁以下的人占整个犯罪人数的比例：以下的人占整个犯罪人数的比例：19891989年是年是69.9%69.9%，19901990年是年是73.2%73.2%，19911991年是年是75.8%75.8%。其中年龄最小的只。其中年龄最小的只有有1818岁。岁。此外，在计算机犯罪中犯罪主体中内部人员也占有相当此外，在计算机犯罪中犯罪主体中内部人员也占有相当的比例。据有关统计，计算机犯罪的犯罪主体集中为的比例。据有关统计，计算机犯罪的犯罪主体集中为金融、证券业的金融、证券业的“白领阶层白领阶层”，身为银行或证券公司，身为银行或证券公司职员而犯罪的占职员而犯罪的占78%78%，并且绝大多数为单位内部的计算，并且绝大多数为单位内部的计算机操作管理人员；从年龄和文化程度看，集中表现为机操作管理人员；从年龄和文化程度看，集中表现为具有一定专业技术知识、能独立工作的大、中专文化具有一定专业技术知识、能独立工作的大、中专文化程度的年轻人，这类人员占程度的年轻人，这类人员占83%83%，案发时最大年龄为，案发时最大年龄为3434岁。岁。-巨大的社会危害性巨大的社会危害性 网络的普及程度越高，计算机犯罪的危害也就网络的普及程度越高，计算机犯罪的危害也就越大，而且计算机犯罪的危害性远非一般传统越大，而且计算机犯罪的危害性远非一般传统犯罪所能比拟，不仅会造成财产损失，而且可犯罪所能比拟，不仅会造成财产损失，而且可能危及公共安全和国家安全。据美国联邦调查能危及公共安全和国家安全。据美国联邦调查局统计测算，一起刑事案件的平均损失仅为局统计测算，一起刑事案件的平均损失仅为20002000美元，而一起计算机犯罪案件的平均损失美元，而一起计算机犯罪案件的平均损失高达高达5050万美元。据计算机安全专家估算，近年万美元。据计算机安全专家估算，近年因计算机犯罪给总部在美国的公司带来的损失因计算机犯罪给总部在美国的公司带来的损失为为25002500亿美元亿美元。-非法侵入计算机信息系统罪。非法侵入计算机信息系统罪。刑法第刑法第285285条规定条规定,违反国家规定违反国家规定,侵入国侵入国有事务、国防建设、尖端科学技术领域的计算有事务、国防建设、尖端科学技术领域的计算机信息系统的机信息系统的,处三年以下有期徒刑或者拘役。处三年以下有期徒刑或者拘役。-破坏计算机信息系统罪。破坏计算机信息系统罪。这一行为刑法第这一行为刑法第286286条概括为破坏计算机信息系条概括为破坏计算机信息系统罪。主要表现为统罪。主要表现为:故意对计算机信息系统功能进行删除、修改、增加、故意对计算机信息系统功能进行删除、修改、增加、干扰干扰,造成计算机信息系统不能正常运行造成计算机信息系统不能正常运行,后果严重的后果严重的行为行为;故意对计算机信息系统中存储处理或者传输的数据故意对计算机信息系统中存储处理或者传输的数据和应用程序进行删除、修改、增加的操作和应用程序进行删除、修改、增加的操作,后果严重后果严重的行为的行为;故意制作、传播计算机病毒等破坏性程序故意制作、传播计算机病毒等破坏性程序,影响计影响计算机系统正常运行算机系统正常运行,后果严重的行为。后果严重的行为。-刑法第刑法第287287条规定了利用计算机实施金融条规定了利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密诈骗、盗窃、贪污、挪用公款、窃取国家秘密罪。利用计算机实施盗窃的行为纳入盗窃罪定罪。利用计算机实施盗窃的行为纳入盗窃罪定罪处罚的范围罪处罚的范围,从而使盗窃罪更具信息时代的从而使盗窃罪更具信息时代的特征。特征。如盗窃电子资金如盗窃电子资金,不法分子往往利用电子资金不法分子往往利用电子资金过户系统过户系统,例如定点销售系统例如定点销售系统()、自、自动存取款机动存取款机()自动化票据交换所自动化票据交换所()、电子身份证系统等提供的便利、电子身份证系统等提供的便利,使用使用计算机技术通过网络修改电子资金帐目计算机技术通过网络修改电子资金帐目,窃取窃取电子资金。电子资金。-数据欺骗数据欺骗非法篡改输入非法篡改输入/输出数据获取个人利益输出数据获取个人利益,是最普是最普通最常见的计算机犯罪活动。发生在金融系统通最常见的计算机犯罪活动。发生在金融系统的此种计算机犯罪多为内外勾结的此种计算机犯罪多为内外勾结,串通作案串通作案,由由内部人员修改数据内部人员修改数据,外部人员提取钱款。外部人员提取钱款。-意大利香肠术意大利香肠术侵吞存款利息余额侵吞存款利息余额,积少成多的一种作案手段积少成多的一种作案手段,是金融系统计算机犯罪的典型类型。这种方法是金融系统计算机犯罪的典型类型。这种方法很像偷吃香肠一样很像偷吃香肠一样,每次偷吃一小片并不引起每次偷吃一小片并不引起人们的注意人们的注意,但是日积月累的数目也是相当可但是日积月累的数目也是相当可观。此类案件在国内外均有发现观。此类案件在国内外均有发现,因为只有修因为只有修改计算机程序才能达到其犯罪目的改计算机程序才能达到其犯罪目的,故多为直故多为直接接触程序的工作人员所为。目前国内多数为接接触程序的工作人员所为。目前国内多数为局域网管理银行帐目而产生此类犯罪局域网管理银行帐目而产生此类犯罪,因此因此,要要警惕采用此手段作案的罪犯。警惕采用此手段作案的罪犯。-特洛依木马特洛依木马“特洛依木马特洛依木马”来源于古希腊传说来源于古希腊传说,相传希相传希腊人为了攻陷特洛依城腊人为了攻陷特洛依城,在城外故意抛下一个在城外故意抛下一个木马并假装撤退木马并假装撤退,特洛依人将木马拖回城内后特洛依人将木马拖回城内后,埋伏在木马内的希腊士兵就打开城门埋伏在木马内的希腊士兵就打开城门,里应外里应外合而将特洛依城攻陷。它是表面上来看是正常合而将特洛依城攻陷。它是表面上来看是正常合适的合适的,但在内部却隐藏秘密指令和非法程序但在内部却隐藏秘密指令和非法程序段的程序的代名词。段的程序的代名词。“特洛依木马特洛依木马”就是用来就是用来表示以软件程序为基础进行欺骗和破坏的方法。表示以软件程序为基础进行欺骗和破坏的方法。-冒名顶替冒名顶替利用别人口令利用别人口令,窃用计算机谋取个人私利的做窃用计算机谋取个人私利的做法。在机密信息系统和金融系统中法。在机密信息系统和金融系统中,罪犯常以罪犯常以此手法作案。单用户环境多为内部人员所为此手法作案。单用户环境多为内部人员所为,网络系统则可能为非法渗透。由于人们普遍存网络系统则可能为非法渗透。由于人们普遍存在猎奇心理在猎奇心理,对别人加密程序对别人加密程序,总想解密一睹总想解密一睹,因此用户口令应注意保密和更新因此用户口令应注意保密和更新,且最好不用且最好不用容易破译的口令密码容易破译的口令密码,如电话号码、出生日期、如电话号码、出生日期、人名缩写等。人名缩写等。-清理垃圾清理垃圾从计算机系统周围废弃物中获取信息的一种从计算机系统周围废弃物中获取信息的一种方法。由此带来损失的例子并不罕见方法。由此带来损失的例子并不罕见,提醒计提醒计算机用户不要随便处理所谓废弃物算机用户不要随便处理所谓废弃物,因为其中因为其中可能含有不愿泄漏的信息资料。可能含有不愿泄漏的信息资料。-逻辑炸弹逻辑炸弹指插入用户程序中的一些异常指令编码指插入用户程序中的一些异常指令编码,该代该代码在特定时刻或特定条件下执行破坏作用码在特定时刻或特定条件下执行破坏作用,所所以称为逻辑炸弹或定时炸弹。以称为逻辑炸弹或定时炸弹。-任何材料要成为证据，均需具备三性：任何材料要成为证据，均需具备三性：客观性客观性 关联性关联性 合法性合法性-计算机取证专业资深人士计算机取证专业资深人士Judd Robins:Judd Robins:计算机取证不过是简单地将计算机调查和分析计算机取证不过是简单地将计算机调查和分析技术应用于对潜在的、有法律效力的证据的确技术应用于对潜在的、有法律效力的证据的确定与获取上。定与获取上。-一家专业的计算机紧急事件响应和计一家专业的计算机紧急事件响应和计算机取证咨询公司：算机取证咨询公司：计算机取证包括了对以磁介质编码信息方式计算机取证包括了对以磁介质编码信息方式存储的计算机证据的保护、确认、提取和归档。存储的计算机证据的保护、确认、提取和归档。-一篇综述文章给出了如下的定义：一篇综述文章给出了如下的定义：计算机取证是使用软件和工具，按照一些预计算机取证是使用软件和工具，按照一些预先定义的程序全面地检查计算机系统，以提取先定义的程序全面地检查计算机系统，以提取和保护有关计算机犯罪的证据。和保护有关计算机犯罪的证据。-综合：综合：计算机取证是指对能够为法庭接受的、足计算机取证是指对能够为法庭接受的、足够可靠和有说服性的，存在于计算机和相关外够可靠和有说服性的，存在于计算机和相关外设中的电子证据的确认、保护、提取和归档的设中的电子证据的确认、保护、提取和归档的过程。过程。-计算机数据无时无刻不在改变；计算机数据无时无刻不在改变；计算机数据不是肉眼直接可见的，必须借助适计算机数据不是肉眼直接可见的，必须借助适当的工具；当的工具；搜集计算机数据的过程，可能会对原始数据造搜集计算机数据的过程，可能会对原始数据造成很严重的修改，因为打开文件、打印文件等成很严重的修改，因为打开文件、打印文件等一般都不是原子操作；一般都不是原子操作；电子证据问题是由于技术发展引起的，因为计电子证据问题是由于技术发展引起的，因为计算机和电信技术的发展非常迅猛，所以取证步算机和电信技术的发展非常迅猛，所以取证步骤和程序也必须不断调整以适应技术的进步。骤和程序也必须不断调整以适应技术的进步。-法律的制定：法律的制定：自自19761976年的年的Federal Rules of EvidenceFederal Rules of Evidence起，美起，美国出现了如下一些法律解决由电子证据带来的问题：国出现了如下一些法律解决由电子证据带来的问题：The Economic Espionage Act of 1996:The Economic Espionage Act of 1996:处理商业机密处理商业机密窃取问题窃取问题 The Electronic Communications Privacy Act of The Electronic Communications Privacy Act of 1986:1986:处理电子通信的窃听问题处理电子通信的窃听问题 The Computer Security Act of 1987(Public Law The Computer Security Act of 1987(Public Law 100-235):100-235):处理政府计算机系统的安全问题处理政府计算机系统的安全问题-取证技术：取证技术：逐渐走向自动化、智能化，政府与各专业逐渐走向自动化、智能化，政府与各专业机构均投入巨大人力、物力开发计算机取证专机构均投入巨大人力、物力开发计算机取证专用工具。用工具。-用于电子数据证据获取的工具：用于电子数据证据获取的工具：如如Higher Ground Software Inc.Higher Ground Software Inc.的软件的软件Hard Hard Drive Mechanic Drive Mechanic 可用于从被删除的、被格式可用于从被删除的、被格式化的和已被重新分区的硬盘中获取数据。化的和已被重新分区的硬盘中获取数据。NTINTI公司的公司的GetFreeGetFree可从活动的可从活动的Windows SwapWindows Swap分区分区中恢复数据，该公司的软件中恢复数据，该公司的软件GetSlackGetSlack可自动搜可自动搜集系统中的文件碎片并将其写入一个统一的文集系统中的文件碎片并将其写入一个统一的文件。件。-用于电子数据证据保全的工具：用于电子数据证据保全的工具：Guidance Software Guidance Software公司生产的硬件设备公司生产的硬件设备FastblocFastbloc可用可用于于WindowsWindows操作系统下计算机媒质内容的快速镜像，操作系统下计算机媒质内容的快速镜像，NTINTI的软件系统的软件系统CRCMd5CRCMd5可用于在计算机犯罪调查过程中可用于在计算机犯罪调查过程中保护已搜集来的电子证据，保证其不被改变，也可以保护已搜集来的电子证据，保证其不被改变，也可以用于将系统从一台计算机迁移到另一台计算机时保障用于将系统从一台计算机迁移到另一台计算机时保障系统的完整性。该公司的软件系统的完整性。该公司的软件SEIZEDSEIZED可用于保证用户可用于保证用户无法对正在被调查的计算机或系统进行操作。无法对正在被调查的计算机或系统进行操作。-用于电子数据证据分析的工具：用于电子数据证据分析的工具：这类工具中最著名的是这类工具中最著名的是NTINTI公司的软件系统公司的软件系统Net Net Threat AnalyzerThreat Analyzer。该软件使用人工智能中的该软件使用人工智能中的模式识别技术，分析模式识别技术，分析SlackSlack磁盘空间、未分配磁盘空间、未分配磁盘空间、自由空间中所包含的信息，研究交磁盘空间、自由空间中所包含的信息，研究交换文件、缓存文件、临时文件及网络流动数据，换文件、缓存文件、临时文件及网络流动数据，从而发现系统中曾发生过的从而发现系统中曾发生过的EmailEmail交流、交流、InternetInternet浏览及文件上传下载等活动，提取出浏览及文件上传下载等活动，提取出与生物、化学、核武器等恐怖袭击、炸弹制造与生物、化学、核武器等恐怖袭击、炸弹制造及性犯罪等相关的内容。该软件在美国及性犯罪等相关的内容。该软件在美国9.119.11事事件的调查中起到了很大的作用。件的调查中起到了很大的作用。-用于电子数据证据归档的工具：用于电子数据证据归档的工具：如如NTINTI公司的软件公司的软件NTI-DOCNTI-DOC可用于自动记录电子数可用于自动记录电子数据产生的时间、日期及文件属性。据产生的时间、日期及文件属性。-结论：结论：针对计算机取证的全部活动而言，美国的各研究针对计算机取证的全部活动而言，美国的各研究机构与公司所开发的工具主要覆盖了电子数据机构与公司所开发的工具主要覆盖了电子数据证据的获取、保全、分析和归档的过程，各研证据的获取、保全、分析和归档的过程，各研究机构与公司也都在进一步优化现有的各种工究机构与公司也都在进一步优化现有的各种工具，提高利用工具进行电子证据搜集、保全、具，提高利用工具进行电子证据搜集、保全、鉴定、分析的可靠性和准确度，进一步提高计鉴定、分析的可靠性和准确度，进一步提高计算机取证的自动化和智能化。但目前还没有能算机取证的自动化和智能化。但目前还没有能够全面鉴定电子数据证据设备来源、地址来源、够全面鉴定电子数据证据设备来源、地址来源、软件来源的工具。软件来源的工具。-我国的计算机普及与应用起步较晚，有关计算机取证的我国的计算机普及与应用起步较晚，有关计算机取证的研究与实践工作也仅有研究与实践工作也仅有1010年的历史，相关的法律法规年的历史，相关的法律法规仍很不完善，学界对计算机犯罪的研究也主要集中于仍很不完善，学界对计算机犯罪的研究也主要集中于计算机犯罪的特点、预防对策及其给人类带来的影响。计算机犯罪的特点、预防对策及其给人类带来的影响。目前法庭案例中出现的计算机证据都比较简单，多是目前法庭案例中出现的计算机证据都比较简单，多是文档、电子邮件、程序源代码等不需特殊工具就可以文档、电子邮件、程序源代码等不需特殊工具就可以取得的信息。但随着技术的进步，计算机犯罪的水平取得的信息。但随着技术的进步，计算机犯罪的水平也在不断提高，目前的计算机取证技术己不能满足打也在不断提高，目前的计算机取证技术己不能满足打击计算机犯罪、保护网络与信息安全的要求，自主开击计算机犯罪、保护网络与信息安全的要求，自主开发适合我国国情的、能够全面检查计算机与网络系统发适合我国国情的、能够全面检查计算机与网络系统的计算机取证的工具与软件已经迫在眉睫。的计算机取证的工具与软件已经迫在眉睫。-尽早搜集证据，并保证其没有受到任何破坏尽早搜集证据，并保证其没有受到任何破坏必须保证必须保证“证据连续性证据连续性”（有时也被称为（有时也被称为“chain of chain of custodycustody”），），即在证据被正式提交给法庭时，必须能够说明即在证据被正式提交给法庭时，必须能够说明在证据从最初的获取状态到在法庭上出现状态之间的任何变在证据从最初的获取状态到在法庭上出现状态之间的任何变化，当然最好是没有任何变化。化，当然最好是没有任何变化。整个检查、取证过程必须是受到监督的，也就是说，由原告委派整个检查、取证过程必须是受到监督的，也就是说，由原告委派的专家所作的所有调查取证工作，都应该受到由其它方委派的专家所作的所有调查取证工作，都应该受到由其它方委派的专家的监督。的专家的监督。-在取证检查中，保护目标计算机系统，避免发生任何在取证检查中，保护目标计算机系统，避免发生任何的改变、伤害、数据破坏或病毒感染。的改变、伤害、数据破坏或病毒感染。搜索目标系统中的所有文件。包括现存的正常文件，搜索目标系统中的所有文件。包括现存的正常文件，已经被删除但仍存在于磁盘上（即还没有被新文件覆已经被删除但仍存在于磁盘上（即还没有被新文件覆盖）的文件，隐藏文件，受到密码保护的文件和加密盖）的文件，隐藏文件，受到密码保护的文件和加密文件。文件。全部（或尽可能）恢复发现的已删除文件。全部（或尽可能）恢复发现的已删除文件。-最大程度地显示操作系统或应用程序使用的隐藏文最大程度地显示操作系统或应用程序使用的隐藏文件、临时文件和交换文件的内容。件、临时文件和交换文件的内容。如果可能并且如果法律允许，访问被保护或加密文件如果可能并且如果法律允许，访问被保护或加密文件的内容。的内容。-分析在磁盘的特殊区域中发现的所有相分析在磁盘的特殊区域中发现的所有相关数据。特殊区域至少包括下面两类：关数据。特殊区域至少包括下面两类：所谓的未分配磁盘空间所谓的未分配磁盘空间虽然目前没有被使用，但虽然目前没有被使用，但可能包含有先前的数据残留。可能包含有先前的数据残留。文件中的文件中的“slackslack”空间空间如果文件的长度不是簇长如果文件的长度不是簇长度的整数倍，那么分配给文件的最后一簇中，会有未度的整数倍，那么分配给文件的最后一簇中，会有未被当前文件使用的剩余空间，其中可能包含了先前文被当前文件使用的剩余空间，其中可能包含了先前文件遗留下来的信息，可能是有用的证据。件遗留下来的信息，可能是有用的证据。-打印对目标计算机系统的全面分析结果，然后给出分打印对目标计算机系统的全面分析结果，然后给出分析结论：系统的整体情况，发现的文件结构、数据、析结论：系统的整体情况，发现的文件结构、数据、和作者的信息，对信息的任何隐藏、删除、保护、加和作者的信息，对信息的任何隐藏、删除、保护、加密企图，以及在调查中发现的其它的相关信息。密企图，以及在调查中发现的其它的相关信息。给出必需的专家证明。给出必需的专家证明。-注：注：如上计算机取证原则及步骤都是基于一种静态的视点，如上计算机取证原则及步骤都是基于一种静态的视点，即事件发生后对目标系统的静态分析。随着计算机犯即事件发生后对目标系统的静态分析。随着计算机犯罪技术手段的提高，这种静态的视点已经无法满足要罪技术手段的提高，这种静态的视点已经无法满足要求，发展趋势是将计算机取证结合到入侵检测等网络求，发展趋势是将计算机取证结合到入侵检测等网络安全工具和网络体系结构中，进行动态取证。整个取安全工具和网络体系结构中，进行动态取证。整个取证过程将更加系统并具有智能性，也将更加灵活多样。证过程将更加系统并具有智能性，也将更加灵活多样。-数据获取技术包括：数据获取技术包括：对计算机系统和文件的安全获取技术，避免对原始介对计算机系统和文件的安全获取技术，避免对原始介质进行任何破坏和干扰；质进行任何破坏和干扰；对数据和软件的安全搜集技术；对磁盘或其它存储介对数据和软件的安全搜集技术；对磁盘或其它存储介质的安全无损伤备份技术；质的安全无损伤备份技术；对已删除文件的恢复、重建技术；对已删除文件的恢复、重建技术；-数据获取技术包括：数据获取技术包括：对磁盘空间、未分配空间和自由空间中包含的信息的对磁盘空间、未分配空间和自由空间中包含的信息的发掘技术；发掘技术；对交换文件、缓存文件、临时文件中包含的信息的复对交换文件、缓存文件、临时文件中包含的信息的复原技术；原技术；计算机在某一特定时刻活动内存中的数据的搜集技术；计算机在某一特定时刻活动内存中的数据的搜集技术；网络流动数据的获取技术等。网络流动数据的获取技术等。-数据分析技术：在已经获取的数据流或信息流中数据分析技术：在已经获取的数据流或信息流中寻找、匹配关键词或关键短语是目前的主要数寻找、匹配关键词或关键短语是目前的主要数据分析技术，具体包括：据分析技术，具体包括：文件属性分析技术；文件属性分析技术；文件数字摘要分析技术；文件数字摘要分析技术；日志分析技术；日志分析技术；-数据分析技术：数据分析技术：根据已经获得的文件或数据的用词、语法和写作（编根据已经获得的文件或数据的用词、语法和写作（编程）风格，推断出其可能的作者的分析技术；程）风格，推断出其可能的作者的分析技术；发掘同一事件的不同证据间的联系的分析技术；发掘同一事件的不同证据间的联系的分析技术；数据解密技术；数据解密技术；密码破译技术；密码破译技术；对电子介质中的被保护信息的强行访问技术等。对电子介质中的被保护信息的强行访问技术等。-计算机取证技术进一步与信息安全技术相结合。计算机取证技术进一步与信息安全技术相结合。在网络协议设计过程中考虑到未来取证的需要，为潜在网络协议设计过程中考虑到未来取证的需要，为潜在的取证活动保留充足信息。（如在的取证活动保留充足信息。（如 Recursive Recursive session token protocol used in computer session token protocol used in computer forensics and TCP tracebackforensics and TCP traceback）取证工具的开发往往结合人工智能、机器学习、神经取证工具的开发往往结合人工智能、机器学习、神经网络和数据挖掘技术。网络和数据挖掘技术。-关于数据恢复原理：关于数据恢复原理：微机系统，大多采用微机系统，大多采用FATFAT、FAT32FAT32或者或者NTFSNTFS三种文件系统。以三种文件系统。以FATFAT文件系统为例，数据文件写到基于该系统的磁盘上以后，会文件系统为例，数据文件写到基于该系统的磁盘上以后，会在目录入口和在目录入口和FATFAT表中记录相应信息。目录入口保留我们通常表中记录相应信息。目录入口保留我们通常通过资源管理器等工具能看到的文件信息，如文件名称、大通过资源管理器等工具能看到的文件信息，如文件名称、大小、类型等，它还保留了该文件在小、类型等，它还保留了该文件在FATFAT表（表（File Allocation File Allocation Table Table 文件分配表）中相应记录项的地址；而文件分配表）中相应记录项的地址；而FATFAT表记录了该表记录了该文件在磁盘上所占用的各个实际扇区的位置。当我们从磁盘文件在磁盘上所占用的各个实际扇区的位置。当我们从磁盘上删除一个文件（并从上删除一个文件（并从WindowsWindows提供的回收站中清除，下同）提供的回收站中清除，下同）后，该文件在目录入口中的信息就被清除了，在后，该文件在目录入口中的信息就被清除了，在FATFAT表中记录表中记录的该文件所占用的扇区也被标识为空闲，但其实这时保存在的该文件所占用的扇区也被标识为空闲，但其实这时保存在磁盘上的实际数据并未被真正清除；只有当其他文件写入，磁盘上的实际数据并未被真正清除；只有当其他文件写入，有可能使用该文件占用的扇区时（因为它们已被标识为空有可能使用该文件占用的扇区时（因为它们已被标识为空闲），该文件才会被真正覆盖掉。闲），该文件才会被真正覆盖掉。-文件被删除或系统被格式化时的恢复：文件被删除或系统被格式化时的恢复：一般的来说，文件删除仅仅是把文件的首字节，改为一般的来说，文件删除仅仅是把文件的首字节，改为E5HE5H，而而并并 不破坏本身，因此可以恢复。但由于对不连续文件要恢复不破坏本身，因此可以恢复。但由于对不连续文件要恢复文件文件 链，由于手工交叉恢复对一般计算机用户来说并不容易，链，由于手工交叉恢复对一般计算机用户来说并不容易，用工具处理，如可用用工具处理，如可用Norton UtilitiesNorton Utilities，可以用他来查找。可以用他来查找。另外，另外，RECOVERNT RECOVERNT 等工具，都是等工具，都是 恢复的利器。特别注意的是，恢复的利器。特别注意的是，千万不要在发现文件丢失后，在千万不要在发现文件丢失后，在 本机安装什么恢复工具，你本机安装什么恢复工具，你可能恰恰把文件覆盖掉了。特别是可能恰恰把文件覆盖掉了。特别是 你的文件在你的文件在C C盘的情况下，盘的情况下，如果你发现主要文件被你失手清掉了如果你发现主要文件被你失手清掉了 ，（比如你按，（比如你按SHIFTSHIFT删删除），你应该马上直接关闭电源，用软盘除），你应该马上直接关闭电源，用软盘 启动进行恢复或把启动进行恢复或把硬盘串接到其他有恢复工具的机器处理。误格硬盘串接到其他有恢复工具的机器处理。误格 式化的情况可式化的情况可以用等工具处理。以用等工具处理。-文件损坏时的恢复文件损坏时的恢复:一般的说，恢复文件损坏需要清楚的了解文件的结构，不是一般的说，恢复文件损坏需要清楚的了解文件的结构，不是很很 容易的事情，而这方面的工具也不多。不过一般的说，文容易的事情，而这方面的工具也不多。不过一般的说，文件如果件如果 字节正常，不能正常打开往往是文件头损坏。就文件字节正常，不能正常打开往往是文件头损坏。就文件恢复举几个恢复举几个 简单例子。简单例子。类型类型 特征特征 处理处理 ZIPZIP、TGZTGZ等压缩包无法解压等压缩包无法解压 ZIPZIP文件损坏的情况下可以用一个名为文件损坏的情况下可以用一个名为ZIPFIXZIPFIX的工具的工具 处理。处理。-文件损坏时的恢复文件损坏时的恢复:自解压文件无法解压自解压文件无法解压 可能是可执行文件头损坏，可以用对应压缩工具按一可能是可执行文件头损坏，可以用对应压缩工具按一般般 压缩文件解压。压缩文件解压。DBFDBF文件死机后无法打开文件死机后无法打开 典型的文件头中的记录数与实际不匹配了，把文件头典型的文件头中的记录数与实际不匹配了，把文件头中中 的记录数向下调整。的记录数向下调整。-硬盘被加密或变换时的恢复：硬盘被加密或变换时的恢复：一定要反解加密算法，或找到被移走的重要扇区。一定要反解加密算法，或找到被移走的重要扇区。对于那些加密硬盘数据的病毒，清除时一定要选择能对于那些加密硬盘数据的病毒，清除时一定要选择能恢复加密数据的可靠杀毒软件。恢复加密数据的可靠杀毒软件。-加密文件后密码破解：加密文件后密码破解：采用口令破解软件，如采用口令破解软件，如zipcrackzipcrack等，其原理是字典攻等，其原理是字典攻击。击。有些软件是有后门的，比有些软件是有后门的，比 如如DOS DOS 下的下的WPSWPS，Ctrl+qiubojunCtrl+qiubojun就是通用密码。就是通用密码。-缺乏用户口令进入文件系统方法：缺乏用户口令进入文件系统方法：用软盘启动（也可以把盘挂接在其他用软盘启动（也可以把盘挂接在其他NTNT上），找到支上），找到支持该文件系统结构的软件（比如针对持该文件系统结构的软件（比如针对 NTNT的的NTFSDOSNTFSDOS），），利用他把密码文件清掉、或者是利用他把密码文件清掉、或者是COPYCOPY出密码档案，用出密码档案，用破解破解 软件套字典来处理。软件套字典来处理。-其余数据恢复策略：其余数据恢复策略：系统不认硬盘系统不认硬盘 系统从硬盘无法启动，从系统从硬盘无法启动，从A A盘启动也无法进入盘启动也无法进入C C盘，盘，使用使用CMOSCMOS中的自动监测功能也无法发现硬盘的存在。中的自动监测功能也无法发现硬盘的存在。这种故障大都出现在连接电缆或这种故障大都出现在连接电缆或IDEIDE端口上，硬盘本端口上，硬盘本身故障的可能性不大，可通过重新插接硬盘电缆或者身故障的可能性不大，可通过重新插接硬盘电缆或者改换改换IDEIDE口及电缆等进行替换试验，就会很快发现故口及电缆等进行替换试验，就会很快发现故障的所在。如果新接上的硬盘也不被接受，一个常见障的所在。如果新接上的硬盘也不被接受，一个常见的原因就是硬盘上的主从跳线，如果一条的原因就是硬盘上的主从跳线，如果一条IDEIDE硬盘线硬盘线上接两个硬盘设备，就要分清楚主从关系。上接两个硬盘设备，就要分清楚主从关系。-其余数据恢复策略：其余数据恢复策略：CMOSCMOS引起的故障引起的故障 CMOSCMOS中的硬盘类型正确与否直接影响硬盘的正常使用。现在的中的硬盘类型正确与否直接影响硬盘的正常使用。现在的机器都支持机器都支持“IDE Auto DetectIDE Auto Detect”的功能，可自动检测硬盘的的功能，可自动检测硬盘的类型。当硬盘类型错误时，有时干脆无法启动系统，有时能类型。当硬盘类型错误时，有时干脆无法启动系统，有时能够启动，但会发生读写错误。比如够启动，但会发生读写错误。比如CMOSCMOS中的硬盘类型小于实中的硬盘类型小于实际的硬盘容量，则硬盘后面的扇区将无法读写，如果是多分际的硬盘容量，则硬盘后面的扇区将无法读写，如果是多分区状态则个别分区将丢失。还有一个重要的故障原因，由于区状态则个别分区将丢失。还有一个重要的故障原因，由于目前的目前的IDEIDE都支持逻辑参数类型，硬盘可采用都支持逻辑参数类型，硬盘可采用“Normal,LBA,LargeNormal,LBA,Large”等，如果在一般的模式下安装了数据等，如果在一般的模式下安装了数据,而又在而又在CMOSCMOS中改为其它的模式，则会发生硬盘的读写错误故中改为其它的模式，则会发生硬盘的读写错误故障，因为其映射关系已经改变，将无法读取原来的正确硬盘障，因为其映射关系已经改变，将无法读取原来的正确硬盘位置。位置。-其余数据恢复策略：其余数据恢复策略：主引导程序引起的启动故障主引导程序引起的启动故障 主引导程序位于硬盘的主引导扇区，主要用于检测硬盘分区的正主引导程序位于硬盘的主引导扇区，主要用于检测硬盘分区的正确性，并确定活动分区，负责把引导权移交给活动分区的确性，并确定活动分区，负责把引导权移交给活动分区的DOSDOS或其他操作系统。此段程序损坏将无法从硬盘引导，但从软或其他操作系统。此段程序损坏将无法从硬盘引导，但从软驱或光驱启动之后可对硬盘进行读写。修复此故障的方法较驱或光驱启动之后可对硬盘进行读写。修复此故障的方法较为简单，使用高版本为简单，使用高版本DOSDOS的的FDISKFDISK最为方便，当带参数最为方便，当带参数/mbrmbr运运行时，将直接更换行时，将直接更换(重写重写)硬盘的主引导程序。实际上硬盘的硬盘的主引导程序。实际上硬盘的主引导扇区正是此程序建立的，主引导扇区正是此程序建立的，FDISK.EXEFDISK.EXE之中包含有完整的之中包含有完整的硬盘主引导程序。虽然硬盘主引导程序。虽然DOSDOS版本不断更新，但硬盘的主引导程版本不断更新，但硬盘的主引导程序一直没有变化，从序一直没有变化，从DOS 3.xDOS 3.x到到Windos 95Windos 95的的DOSDOS，只要找到一只要找到一种种DOSDOS引导盘启动系统并运行此程序即可修复。引导盘启动系统并运行此程序即可修复。-其余数据恢复策略：其余数据恢复策略：分区表错误引发的启动故障分区表错误引发的启动故障 分区表错误是硬盘的严重错误，不同的错误程度会造成不同分区表错误是硬盘的严重错误，不同的错误程度会造成不同的损失。如果是没有活动分区标志，则计算机无法启动。但的损失。如果是没有活动分区标志，则计算机无法启动。但从软驱或光驱引导系统后可对硬盘读写，可通过从软驱或光驱引导系统后可对硬盘读写，可通过FDISKFDISK重置活重置活动分区进行修复。动分区进行修复。如果是某一分区类型错误，可造成某一分区的丢失。分区表如果是某一分区类型错误，可造成某一分区的丢失。分区表的第四个字节为分区类型值，正常的可引导的大于的第四个字节为分区类型值，正常的可引导的大于3232MBMB的基的基本本DOSDOS分区值为分区值为0606，而扩展的，而扩展的DOSDOS分区值是分区值是0505。很多人利用此。很多人利用此类型值实现单个分区的加密技术，恢复原来的正确类型值即类型值实现单个分区的加密技术，恢复原来的正确类型值即可使该分区恢复正常。可使该分区恢复正常。-其余数据恢复策略：其余数据恢复策略：分区表错误引发的启动故障分区表错误引发的启动故障 分区表中还有其它数据用于记录分区的起始或终止地址。这分区表中还有其它数据用于记录分区的起始或终止地址。这些数据的损坏将造成该分区的混乱或丢失，可用的方法是用些数据的损坏将造成该分区的混乱或丢失，可用的方法是用备份的分区表数据重新写回，或者从其它的相同类型的并且备份的分区表数据重新写回，或者从其它的相同类型的并且分区状况相同的硬盘上获取分区表数据。分区状况相同的硬盘上获取分区表数据。恢复的工具可采用恢复的工具可采用NUNU等工具软件，操作非常方便。当然也可等工具软件，操作非常方便。当然也可采用采用DEBUGDEBUG进行操作，但操作繁琐并且具有一定的风险。进行操作，但操作繁琐并且具有一定的风险。-其余数据恢复策略：其余数据恢复策略：分区有效标志错误的故障分区有效标志错误的故障 在硬盘主引导扇区中还存在一个重要的部分，那就是其最后在硬盘主引导扇区中还存在一个重要的部分，那就是其最后的两个字节：的两个字节：“5555aaaa”，此字节为扇区的有效标志。当从硬盘、此字节为扇区的有效标志。当从硬盘、软盘或光盘启动时，将检测这两个字节，如果存在则认为有软盘或光盘启动时，将检测这两个字节，如果存在则认为有硬盘存在，否则将不承认硬盘。此处可用于整个硬盘的加密硬盘存在，否则将不承认硬盘。此处可用于整个硬盘的加密技术，可采用技术，可采用DEBUGDEBUG方法进行恢复处理。另外，当方法进行恢复处理。另外，当DOSDOS引导扇引导扇区无引导标志时，系统启动将显示为：区无引导标志时，系统启动将显示为：“Mmissing Mmissing Operating SystemOperating System”。可使用可使用DOSDOS系统通用的修复方法。系统通用的修复方法。-其余数据恢复策略：其余数据恢复策略：DOSDOS引导系统引起的启动故障引导系统引起的启动故障 DOSDOS引导系统主要由引导系统主要由DOSDOS引导扇区和引导扇区和DOSDOS系统文件组成。系统系统文件组成。系统文件主要包括文件主要包括IO.SYSIO.SYS、MSDOS.SYSMSDOS.SYS、COMMAND.COMCOMMAND.COM，其中其中COMMAND.COMCOMMAND.COM是是DOSDOS的外壳文件，可用其它的同类文件替换，的外壳文件，可用其它的同类文件替换，但缺省状态下是但缺省状态下是DOSDOS启动的必备文件。在启动的必备文件。在Windows 95Windows 95携带的携带的DOSDOS系统中，系统中，MSDOS.SYSMSDOS.SYS是一个文本文件，是启动是一个文本文件，是启动WindowsWindows必须必须的文件，但只启动的文件，但只启动DOSDOS时可不用此文件。时可不用此文件。DOSDOS引导出错时，可引导出错时，可从软盘或光盘引导系统后使用从软盘或光盘引导系统后使用SYS C:SYS C:命令传送系统，即可修命令传送系统，即可修复故障，包括引导扇区及系统文件都可自动修复到正常状态。复故障，包括引导扇区及系统文件都可自动修复到正常状态。-其余数据恢复策略：其余数据恢复策略：FATFAT表引起的读写故障表引起的读写故障 FATFAT表记录着硬盘数据的存储地址，每一个文件都有一组表记录着硬盘数据的存储地址，每一个文件都有一组FATFAT链指定其存放链指定其存放的簇地址。的簇地址。FATFAT表的损坏意味着文件内容的丢失。庆幸的是表的损坏意味着文件内容的丢失。庆幸的是DOSDOS系统本身提系统本身提供了两个供了两个FATFAT表，如果目前使用的表，如果目前使用的FATFAT表损坏，可用第二个进行覆盖修复。表损坏，可用第二个进行覆盖修复。但由于不同规格的磁盘其但由于不同规格的磁盘其FATFAT表的长度及第二个表的长度及第二个FATFAT表的地址也是不固定的，表的地址也是不固定的，所以修复时必须正确查找其正确位置，一些工具软件如所以修复时必须正确查找其正确位置，一些工具软件如NUNU等本身具有这样等本身具有这样的修复功能，使用也非常的方便。采用的修复功能，使用也非常的方便。采用DEBUGDEBUG也可实现这种操作，即采用也可实现这种操作，即采用其其m m命令把第二个命令把第二个FATFAT表移到第一个表处即可。如果第二个表移到第一个表处即可。如果第二个FATFAT表也损坏了，表也损坏了，则也无法把硬盘恢复到原来的状态，但文件的数据仍然存放在硬盘的数据则也无法把硬盘恢复到原来的状态，但文件的数据仍然存放在硬盘的数据区中，可采用区中，可采用CHKDSKCHKDSK或或SCANDISKSCANDISK命令进行修复，最终得到命令进行修复，最终得到*.CHKCHK文件，这文件，这便是丢失便是丢失FATFAT链的扇区数据。如果是文本文件则可从中提取出完整的或部链的扇区数据。如果是文本文件则可从中提取出完整的或部分的文件内容。分的文件内容。-其余数据恢复策略：其余数据恢复策略：目录表损坏引起的引导故障目录表损坏引起的引导故障 目录表记录着硬盘中文件的文件名等数据，其中最重要的一目录表记录着硬盘中文件的文件名等数据，其中最重要的一项是该文件的起始簇号。目录表由于没有自动备份功能，所项是该文件的起始簇号。目录表由于没有自动备份功能，所以如果目录损坏将丢失大量的文件。一种减少损失的方法也以如果目录损坏将丢失大量的文件。一种减少损失的方法也是采用是采用CHKDSKCHKDSK或或SCANDISKSCANDISK程序恢复的方法，从硬盘中搜索出程序恢复的方法，从硬盘中搜索出*.CHKCHK文件，由于目录表损坏时仅是首簇号丢失，每一个文件，由于目录表损坏时仅是首簇号丢失，每一个*.CHKCHK文件即是一个完整的文件，把其改为原来的名字即可恢文件即是一个完整的文件，把其改为原来的名字即可恢复大多数文件。复大多数文件。-其余数据恢复策略：其余数据恢复策略：格式化后硬盘数据的恢复