随着计算机取证的难度的不断增加，相关取证技术也必须得到及时的更新升级。基于此，本文就计算机取证的信息收集与数据还原进行分析，首先介绍了计算机取证的一般步骤，进一步对取证过程中的信息收集与数据还原做重点介绍，希望通过探究获得计算机取证技术的创新发展途径。 在网络技术飞速发展的重要时刻，计算机系统与网络安全问题，受到了社会各界的广泛关注，在享受科技便利的同时，不得不加大对科技安全的深入研究。在计算机网络犯罪规模逐渐扩大的不良背景之下，计算机取证的应用已经成为打击犯罪的重要途径。因此，深入研究计算机取证相关技术，尤其是其中的信息收集与数据还原部分，不断提升技术水平，对维护社会的稳定与和谐具有重要意义。 

　　1 计算机取证的一般步骤 

　　1.1 计算机数据特点及取证标准 

　　计算机取证所针对的主要对象，就是计算机数据。计算机数据是计算机系统在运行期间所产生的，基于计算机系统运行本身的多样性、复杂性与广泛性，可将其划分为开放性计算机系统、嵌入式计算机系统和计算机通信系统，不同计算机系统所产生的数据类型也有所差异。因此，在计算机取证过程中，必须明确取证对象的确切信息，才能保证取证过程的顺利、有效、快速进行。 

　　针对计算机数据证据的高科技性、隐蔽性、客观性、脆弱易逝性、开放性、人机交互性等特点，要有效制定计算机取证标准，包括客观性标准、关联性标准和证据来源合法性标准。其中，客观性标准，就是要保证计算机证据必须是客观存在的东西，证据内容必须具备客观性、证据的存在形式也必须是客观。计算机证据一般存储在计算机当中，这些电子数据本身是客观存在的，但它们存在的形式，还不符合证据采用的相关标准；将计算机数据通过显示器显示出来，或利用打印机打印出来，将其在法庭上呈现出来，这时的计算机数据，就具备了证据的客观表现形成，也就实现了计算机取证的目的。 

　　而关联性标准，就是在取证过程中，必须保证需要证明的事实与取证对象之间的关联关系，充分利用这种关联规则，进而提取犯罪行为之间的关联特征，对证明案情具有实际意义。另外，计算机取证过程中，要保证数据证据符合合法性标准，包括证据主体合法、證据形式合法以及证据程序合法。 

　　1.2 计算机取证步骤 

　　（1）保护可疑计算机；在计算机取证过程中，要明确可疑计算机当中，可能存在的数据证据范围，进而对其实时有效的保护措施。一般来说，计算机证据都会存在于一些闲散的文件空间、Windows交换文件当中，在正式取证之前，要避免发生重新启动、程序运行等操作，杜绝数据证据由于操作不当导致被重写或覆盖的危险。 

　　（2）获取证据；获取潜在的数字证据，这种操作的意义与拍摄犯罪现场、提取血样、采集指纹等类似，在无法直接指出有用的证据时，先获取可能隐含证据的全部信息，再对这些信息进行分析处理，提取出有效的数据证据[1]。例如，计算机系统当中的进程信息、日志文件、网络操作记录等，这些信息都较为繁杂，但其中往往隐藏着重要的线索或证据，必须对其进行全面获取。 

　　（3）证据传输；对于计算机取证过程中的证据传输，要保证证据不会在传输过程中发生损坏，一旦计算机数据部分受损，造成数据不可读现象，那么他的取证价值也就不复存在。 

　　（4）证据备份；在对数据证据进行分析处理时，需要确保备份的数据证据与原始证据是相同的，可先为备份证据生成一个散列码，便于鉴别备份证据的可信度。 

　　（5）分析证据；就是从大量的数据信息当中，获取有效的数字证据需要充分利用数据处理技术，尽可能地将计算机系统当中，被删除的文件、隐藏文件、交换文件、临时文件以及加密文件等，恢复、转换成为可读状态；并通过重建网络等方式，分析入侵过程，提取入侵证据等。需要注意的是，这些处理过程要在备份证据上进行，有效保证原始证据的完整性。 

　　（6）提交证据；这时计算机取证的最后一个部分，就是将分析处理得到的计算机数据证据，呈交法庭。在这一过程中，必须使用证据监督链，杜绝证据监管出现漏洞，为辩护律师提供可乘之机，同时，也有利于向法庭证明证据的可信度。 

　　1.3 计算机取证的特点 

　　上述文章中提到计算机数据证据的高科技性、隐蔽性、客观性、脆弱易逝性、开放性、人机交互性等特点 ，同时还具有及时性、无破坏性、和受监督性等特点，确实要想尽早地搜集证据，而保证证据完整不受破坏，就要保证在计算机取证的过程中，保持及时性、无破坏性。而受监督性是指原告委派的专家的整个检查和取证工作，都应该受到由其它方委派的专家的监督。 

　　2 计算机取证中的信息收集 

　　2.1 计算机取证的定义 

　　计算机取证即对计算机入侵与犯罪，进行证据获取、保存、分析和出示，它是一个对受侵计算机系统进行扫描和破解，以对入侵事件进行重建的过程。计算机取证对计算机和网络犯罪的作用至关重要，执着证据真实、可靠、完整和符合法律法规的原则，它被用于解决现代社会中出现的许多计算机和网络犯罪活动。 

　　2.2 文件检索 

　　计算机取证过程中的信息收集，可借助Lucene来实现。Lucene是一个基于Java的全文信息检索工具包，需要注意的是，Lucene并不是一个完整的搜索应用程序，它的主要作用是为相关应用程序，提供索引与搜索功能。在计算机证据取证过程中，利用具有Lucene功能的应用程序，能够为文本类型的数据建立索引，接下来只要将索引的目标数据格式，转化成为文本格式，便能对文档进行索引与搜索[2]。例如，对HTML、PDF格式的文档来说，将其转换成文本格式之后，获取转化后的内容交给Lucene，然后将事先创建好的索引文件，保存到磁盘或内存当中，在索引文件当中输入查询条件，即可获得相应信息。这种文件检索方式的优势，就是不会受到目标文件格式的限制，Lucene几乎能够适用于所有的搜索应用程序。Lucene全文索引与传统的数据库模糊查询相比，优势如下：　　2.3 文件分析 

　　构建文件分析模块，获取Cookies所在文件夹当中的所有文件，进而对文件进行详细的分析与状态提取，最终获得有效信息呈现给用户。 

　　关于Cookies文件分析，其流程如下图所示。正常来说，Cookies的存在未知，与计算机所应用的浏览器有关，如：应用Netscape Navigator的计算机，Cookies一般存在于名为“Cookies.txt”的文件当中。Cookies的文件当中，包含网站的名字、入口、时间期限以及其他附加信等，还能记录用户的域名、计算机型号、访问时间以及操作系统与浏览器的类型，也能获取得到特定网点的历史浏览记录[3]。利用自动寻找Cookies文件夹的方式，获取其中可提炼的内容，能够显著提升计算机取证与分析效率。 

　　2.4 文件数据的相关性分析 

　　文件系统用于存储数据，供计算机系统访问。文件系统中的数据通常以文件目录和文件的形式存放于树状结构中。文件系统通常以元数据描述每个文件的信息。当识别案件中各类数据关联时，可以用节点来表示在他们曾经逗留的地点、所使用过的电子邮件和IP地址、财务交易、用过的电话号码，这有助于确定节点之间是否存在值得关注的联系。例如在一个大规模的诈骗案调查中，通过把个人与组织之间的活动关系进行连线，可以显示出资金转账关系，从而揭露出诈骗案件中最活跃的实体。 

　　3 计算机取证中的数据还原 

　　3.1 被删除数据的还原 

　　在计算机取证过程中，由于取证不及时等原因，可能会造成部分数据被删除或被损坏，这种状态下，就必须对其事实一定的挽救措施，实现被删除数据的还原恢复。 

　　针对数据的还原与恢复，可设计数据恢复模块。首先，设计系统引导信息结构，对磁盘数据进行操作，确定磁盘存储结构信息，明确硬盘分区表之后，即可顺利调用MBR，获得存储结构信息。读入磁盘当中的主引导记录，也就是将相关数据读入到硬盘分区表当中，由此获得计算机系统的分区信息。 

　　其次，设计MFT项的存储结构，利用MFT主控文件表的“定位”能力，明确文件的存储位置。MFT主控文件由一系列的文件记录构成，因此会包含文件的全部属性。 

　　再次，搜索MFT主文件表，只有明确MFT的起始位置，才能实现被删除文件的有效恢复。参考如下图所示的磁盘分区结构，在定位NTFS文件的过程中，MFT的逻辑簇号代表的是一个重要字段[4]。MBR的主分区表1，指向的是主分区1的分区引导扇区；在这一区域中的前512个字节，形成了DBR区。明确这一结构之后，从MBR开始，定位引导分区，找到BPB，继续通过其中的MFT逻辑簇号找到MFT。 

　　图1 磁盘分区结构示意图 

　　第四，在计算机磁盘上，逐條搜索被删除的文件，即逐条读入MFT。将系统磁盘上的被删除文件读入内存，从中提取文件的起始簇号，进而恢复特定文件。在恢复完成之后，可将其保存到一个新的磁盘当中，避免损坏原有文件。 

　　3.2 被格式化磁盘的还原 

　　磁盘被格式化后，其中的数据不可避免地会受到破坏，也会造成大量数据信息丢失。对比于还原被删除的稳健，对被格式化的磁盘进行恢复处理难度更大，格式化磁盘，不仅会清理到其中的存储结构，还会在磁盘当中形成新的数据引导区，也会在一定程度上造成FAT的格式化，或标注过的逻辑坏道，这些结构变化，必然会导致一些数据的消失。因此，对被格式化的磁盘进行还原处理，需要从全新的角度进行考虑。就现阶段的技术水平来看，对被格式化的磁盘进行恢复，受到多种技术限制，实现效果往往不佳，就数据量恢复的角度来看，最终的恢复效果，与文件系统本身、物理存储方式以及恢复方式等有关。 

　　当用户想要通过操作格式化了一个NTFS卷时，程序依据指令做出的反应，就是清空BITMAP元数据的内容，同时清空根目录当中的索引。在清除过程中，一些相关联的地方也会受到一定的影响，但需要注意的是，即便文件都被删除，其MFT、除根目录的数据索引还依旧存在，而NTFS的MFT中记载着所有的文件信息，这就为磁盘文件的整体还原提供了可能[5]。只要数据没有被覆盖，那么在NTFS下，将被格式化的磁盘全部还原的可能性，能够达到100%，在计算机取证过程中，要重视这一数据还原途径。 

　　针对NTFS格式化的恢复与还原，在NTFS文件系统当中，需要明确$MFT包含了全部的文件信息数据库，而$MFT中的每一个文件，都至少包含着一个MFT记录，在这些记录当中，包含了相关文件的全部信息。当NTFS被格式化后，虽然文件都被删除，其MFT、除根目录的数据索引还依旧存在，由此可见，找到$MFT的存储位置，就可以依据MFT中的文件存储信息，实现对被格式化磁盘文件的恢复。 

　　在相关还原模块设计过程中，其中的关键功能点需要给予重视，主控文件表的扫描，也就是对MFT的扫描，是搜索文件的关键，只有通过MFT，才能利用其中存储的文件属性，准确查找到文件的基本信息。主文件表的扫描，要从逻辑驱动器的MFT表入手，获得MFT项之后，将其存储到NTFS_MFT_FILE结构中。在系统当中，设置被删除文件容器和被删除目录容器，将扫描到的文件对应存储到相应的容器当中。 

　　另外，查找文件信息也是还原模块中的一个关键功能点，其主要作用就是提取被删除文件的信息，同时，也可以对目录文件进行有效判断。在读入的MFT记录当中，存在多种信息，包括0x30属性和0x80属性，其中，0x30属性主要是指文件/目录名，而0x80属性指的是目录索引和文件数据，需要注意的是，0x80属性不会存在于目录文件当中。若读出的MFT表示相关文件已经被格式化，进一步恢复需要将其读入到对应容器中。 

　　在计算机取证过程中，以文件的存储结构为依据，针对性的实施恢复策略，进行相应的还原操作，能够将被毁数据最大程度还原，获得有价值的信息，为证实相关实践做出有效贡献。 

　　4 结束语 

　　综上所述，对计算机取证的信息收集与数据还原进行分析，有利于提升计算机取证相关技术与工作的水平和效率。通过相关分析，能够进一步明确计算机取证的有效应用，对打击犯罪、维护社会秩序的重要价值，综合提升技术水平，充分发挥技术价值，能够有效实现计算机取证的时代意义。因此，紧随时代的发展，将有效的、快速的计算机取证，广泛应用到打击高科技犯罪的工作当中，有效解决该领域现阶段所面临的众多技术难题。