基于统计学的文件闲散区隐藏数据取证分析方法研究

该文针对文件闲散区(Fileslack)含有重要的取证信息这一特征,首先分析了文件闲散区的物理结构以及及其形成机制,然后提出了基于熵统计特征的方法,用以识别具有取证价值的文件闲散区。结合已有的取证特征模式,可以有效解决文件闲散区取证内容自动识别以及关键取证信息提取问题。实验结果表明,基于统计技术的文件闲散区取证分析方法能够有效识别该区域包含的取证数据。

基于磁盘冗余空间的数据隐藏

为保护计算机磁盘上的敏感数据,提出基于磁盘冗余空间的数据隐藏方法。该方法在分析磁盘分区策略和簇式文件系统的文件管理机制的基础上,将分散的文件簇冗余空间有机组合以存储敏感数据,并利用存储于分区策略冗余空间的数据结构来维护恢复原始数据所需数据。实验结果表明,基于磁盘冗余空间的数据隐藏方法不占用文件系统有效空间,具有隐蔽性高、系统开销小、隐藏容量与文件系统内部文件总量正相关,以及抗干扰性易受到宿主文件稳定性影响等特点。此外,当文件总量较大时,隐藏容量将十分可观,而通过选取稳定性强的文件作为宿主文件,可提高该方法的抗干扰性。