超级会员免费看
数字犯罪调查与生物识别技术解析
1. 数字证据分析
在数字犯罪调查中,对数字证据的分析至关重要,尤其是基于数字媒体的分析,这可能是法医分析中最棘手的形式之一,其结果可能决定案件的成败。
1.1 隐藏数据的查找
在处理存储媒体时,首要任务是查找隐藏数据。数据可以隐藏在多个地方,调查人员有责任找到这些地方。以下是一些常见的隐藏数据的位置和方式:
- 删除文件 :在Windows平台上,文件被删除时,目录条目的第一个字符会变为西格玛(σ)字符(十六进制值为E5),文件分配表(FAT)中的条目也会变为零,表示该扇区未使用。但Windows系统不会移除已删除文件簇中的数据,只是将其标记为可重新分配。因此,只要文件簇未被覆盖,就有可能恢复已删除的文件。可以使用DOS程序如UNERASE和UNDELETE尝试恢复,而Norton Disk Editor更为有效。
- 隐藏文件 :数据隐藏是法医分析中极具挑战性的方面。可以使用特殊软件将分区标记为隐藏,使操作系统无法访问。也可以通过设置分区表和引导记录的起始位置来创建隐藏区域。此外,操作系统会隐藏一些文件和文件名,尤其是系统文件。不同操作系统隐藏和显示隐藏文件的方式不同,例如在Linux中,在文件名前加句点可将文件隐藏,使用“ls -a”命令可显示所有文件。
- 空闲空间 :磁盘簇中已分配但未使用的空间称为空闲空间。DOS和Windows文件系统使用固定大小的簇,即使实际存储的数据小于簇大小,也会为文件保留整个簇,从而产生空闲空间。空闲空间可能包含恶意代码或隐藏的机密文件,因此需要软件工具来检查。
-
订阅专栏 解锁全文
扫一扫
20
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
