基于文件结构的改进In-Place File Carving方法

Improved In-Place File Carving Method Based On File Structure

下载PDF

导出

摘要针对现有文件雕复方法存在的文件恢复误报率较高的问题,提出基于文件结构的现场文件雕复方法。该方法在传统现场雕复方法的基础上,结合各类型文件的物理结构信息,利用通用框架对文件类型进行识别,并基于文件结构对所得文件进行筛选和恢复。实验结果表明,与现有雕复工具相比,该方法能够有效减少误报率,提升文件恢复效果。 In view of the problem of high file recovery false positive rate in the existing file carving method,this paper proposes an in-place file carving method based on file structure.Based on the traditional in-place file carving method,this method combines the physical structure information of each type of file,uses the general framework to identify the file type,and filters and restores the obtained file based on the file structure.The experimental results show that compared with the existing carving tools,this method can effectively reduce the false positive rate and improve the file recovery effect.

作者杨忠信张平 YANG Zhongxin;ZHANG Ping(Information Engineering University, Zhengzhou 450001, China)

机构地区信息工程大学

出处《信息工程大学学报》 2019年第5期576-581,596,共7页 Journal of Information Engineering University

关键词现场文件雕复数据恢复文件结构误报 in-place file carving data recovery file structure false positive

分类号 TP309.3 [自动化与计算机技术—计算机系统结构]

引文网络
相关文献

参考文献2

1张海平,林蔚,徐明.Word 2007文件雕复方法研究[J].杭州电子科技大学学报（自然科学版）,2012,32(3):49-52. 被引量：4
2赵双峰,费金龙,刘楠,武东英.Windows NTFS下数据恢复的研究与实现[J].计算机工程与设计,2008,29(2):306-308. 被引量：32

二级参考文献12

1黄步根.数据恢复与计算机取证[J].计算机安全,2006(6):79-80. 被引量：19
2Mark Russinovich,David A Solomon.Inside Microsoft Windows 2000[M].US:Microsoft Press,2004.
3Richard Russon, Yuval Fledel. NTFS documentation [DB/OL]. http://www.linux-ntfs.org/content/view/104/43/.
4Nikolai Bezroukov.Windows NTFS file system intemals[EB/ OL] .http://www.so ftpanorama.org/Intemals/Filesystems/ntfs. shtml.
5Gary Nebbett.Windows NT/2000 native API reference[M].US: Sams,1999.
6NTFS Research Group.Disk scan for deleted entries[DB/OL]. http://www.ntfs.com/disk-scan.htm.
7Mikus N. An analysis of disc carving techniques [ D ]. Monterey: Naval Postgraduate School,2005.
8Richard GGIII, Vassil Roussev. Scalpel: A frugal high performance file carver [ EB/OL]. http://www, dfrws, org/2005/ proceedings/richard_scalpel, pdf, 2005 - 01 - 01.
9PhotoRec G P L. TeskDisk [ CP/DK]. http://www, cgsecurity, org/wiki/Main_Page, 2008 -01 -01.
10Fu Z. Forensic investigation of OOXML format documents L J J. Digital Investigation, 2011, (8) : 48 -55.

共引文献34

1章华,刘乃琦,郭建东.基于孩子兄弟树的FAT32文件删除恢复算法[J].计算机应用研究,2009,26(3):1116-1118. 被引量：6
2张博,陈瑜.关于NTFS文件系统的几个问题[J].硅谷,2009,2(18):62-63. 被引量：1
3张羽,吴瑞.保密检查中关键文件的行为特征分析方法研究[J].保密科学技术,2011(8):57-61.
4李盛,朱秀云,韩杰,尹春社.电子物证检验中常用数据恢复工具对比研究[J].刑事技术,2008,33(4):24-27. 被引量：4
5杨华,高福兵,王旭辉.浅析NTFS管理磁盘数据的基本结构[J].重庆工商大学学报（自然科学版）,2009,26(4):346-349. 被引量：1
6张娜,冯云鹏.Windows FAT32和NTFS下的数据恢复研究[J].信息技术,2010,34(5):162-164. 被引量：9
7胡敏,杨吉云,姜维.Windows下基于文件特征的数据恢复算法[J].计算机应用,2011,31(2):527-529. 被引量：13
8徐国天.NTFS系统下“小文件”取证软件的设计与实现[J].信息网络安全,2011(8):38-40. 被引量：10
9张明旺.基于NTFS文件系统的数据恢复技术[J].福建电脑,2012,28(5):81-82. 被引量：8
10李晓慧,李战怀,张晓,李兆虎.云存储环境下文件系统伸缩性研究[J].计算机与现代化,2012(10):107-110.

1童乐安.阻止文件恢复的利器[J].电脑爱好者,2019,0(24):30-30.
2本刊编辑部.本刊投稿方式[J].中华实验眼科杂志,2020,38(5):432-432.
3上市公司并购重组融资方式选择影响因素分析[J].行政事业资产与财务,2020(5):72-74. 被引量：3
4Xiao-nan LIAO,Xin-xin REN,Chen-yang LIU.Application of Autologous Costal Cartilage Scaffold in Reconstruction of Microtia Ear[J].Chinese Journal of Plastic and Reconstructive Surgery,2019,1(3):24-27.
5乔楠.基于U盘FAT32分区格式的数据恢复的研究[J].数码世界,2020,0(2):50-50. 被引量：1
6付净,聂方超,刘虹,张海燕,王泽恒.化工企业安全管理体系评估指标集的构建及实证分析[J].安全与环境工程,2020,27(1):126-132. 被引量：17
7杨少鹏,陈佳,冯中华.基于“软能力”的操作系统可信增强与恢复技术[J].通信技术,2020,53(4):986-992.

信息工程大学学报

2019年第5期

浏览历史

内容加载中请稍等...

基于文件结构的改进In-Place File Carving方法

参考文献2

二级参考文献12

共引文献34

相关作者

相关机构

相关主题

浏览历史