10、人工智能时代的数字取证技术解析

人工智能时代的数字取证技术解析

1. 数据隐藏与安全删除

在数字取证领域，数据隐藏是一个常见的问题。有些数据可能被隐藏起来，而“安全删除”（也称为数据擦除技术）可以用来处理这些隐藏数据。该技术会用零、预定义模式或随机数据覆盖未分配空间，旨在销毁驱动器所有扇区上的电子数据，包括松弛空间，以此消除敏感文件，从而增加调查难度。另外，还可以将包含隐藏数据的可用扇区添加到“坏扇区”列表，把数据隐藏在“坏扇区”中。文件系统通常会跟踪坏扇区，并使用“滑动”或“重映射”来更改逻辑块地址（LBA）映射，跳过有缺陷的扇区，或将有缺陷的扇区重新定位到备用扇区。

2. 从删除文件中恢复数据的方法

2.1 数据雕刻与文本收集

通过专业工具（如 WinHex）和技术，可以从删除的文件中恢复数据。“数据/文件雕刻”是数字取证中用于在不借助创建待检索文件的文件系统的情况下，从磁盘驱动器中提取数据的过程。通过数据雕刻，可以从无文件信息的未分配数据点中恢复文件和片段，这在目录项或主文件表（MFT）损坏、丢失或无法使用时非常有用。
使用 WinHex 进行数据雕刻的操作步骤如下：
1. 导航到“工具”。
2. 选择“磁盘工具”。
3. 点击“按类型恢复文件”。

要从硬盘驱动器中提取 ASCII/Unicode 字符，可以使用“收集文本”实用程序。该实用程序可以收集电子邮件、文档、已查看和下载到 PC 的网页列表，以及曾经是文件一部分的松弛空间和空闲空间中的剩余文本。使用 WinHex 从磁盘驱动器中提取文本的操作步骤为：导航“选择工具”并选择“收集文本”。

2.2 元数据类别分析

元数据