數(shù)碼復(fù)印機(jī)數(shù)據(jù)恢復(fù)系統(tǒng)設(shè)計(jì)

薛兵 張有為 孫雪凱 葛芳麗

摘要

數(shù)碼復(fù)印機(jī)失泄密已對(duì)我國信息安全保密工作造成嚴(yán)重威脅。數(shù)碼復(fù)印機(jī)品牌型號(hào)種類繁多復(fù)雜，給數(shù)據(jù)恢復(fù)與電子取證工作帶來極大困難。為解決數(shù)碼復(fù)印機(jī)取證中的數(shù)據(jù)恢復(fù)技術(shù)難題，該文以數(shù)據(jù)存儲(chǔ)理論為基礎(chǔ)，設(shè)計(jì)開發(fā)了數(shù)碼復(fù)印機(jī)數(shù)據(jù)恢復(fù)系統(tǒng)，給出了數(shù)碼復(fù)印機(jī)數(shù)據(jù)恢復(fù)系統(tǒng)的總體框架，研究了數(shù)碼復(fù)印機(jī)數(shù)據(jù)恢復(fù)系統(tǒng)的實(shí)現(xiàn)技術(shù)。研制的數(shù)碼復(fù)印機(jī)數(shù)據(jù)恢復(fù)系統(tǒng)經(jīng)過大量實(shí)驗(yàn)分析，能夠有效恢復(fù)復(fù)印機(jī)中存儲(chǔ)的圖像數(shù)據(jù)文件，為數(shù)碼復(fù)印機(jī)檢查取證提供有力幫助。

【關(guān)鍵詞】復(fù)印機(jī) 失泄密 數(shù)據(jù)恢復(fù) 取證文件系統(tǒng)

1引言

數(shù)碼復(fù)印機(jī)、網(wǎng)絡(luò)打印機(jī)因使用監(jiān)管不當(dāng)造成的重大失泄密事件己屢見不鮮，己然成為企事業(yè)單位失泄密的“重災(zāi)區(qū)”，這給國家造成了不可預(yù)估的損失，我國信息安全工作面臨前所未有的挑戰(zhàn)。目前針對(duì)數(shù)碼復(fù)印機(jī)的安全管控和保密檢查技術(shù)還很薄弱，缺乏行之有效的檢查技術(shù)和手段，開發(fā)一款操作方便、成熟穩(wěn)定的恢復(fù)檢查產(chǎn)品迫在眉睫，數(shù)碼復(fù)印機(jī)數(shù)據(jù)恢復(fù)系統(tǒng)應(yīng)運(yùn)而生。它能夠?qū)?fù)印機(jī)存儲(chǔ)介質(zhì)中存儲(chǔ)的數(shù)據(jù)文件進(jìn)行恢復(fù)，為公檢法部門偵破案件、企事業(yè)單位處理違規(guī)操作和泄密行為提供有力幫助。

數(shù)據(jù)存儲(chǔ)是數(shù)據(jù)以某種格式記錄在計(jì)算機(jī)內(nèi)部或外部存儲(chǔ)介質(zhì)上。數(shù)碼復(fù)印機(jī)通過掃描、復(fù)印的數(shù)據(jù)文件保存在復(fù)印機(jī)存儲(chǔ)介質(zhì)上。復(fù)印機(jī)存儲(chǔ)介質(zhì)中保存的數(shù)據(jù)文件主要有圖像文件和日志文件兩種。在復(fù)印機(jī)取證中主要是針對(duì)數(shù)碼復(fù)印機(jī)中圖像文件的恢復(fù)取證。通過市場(chǎng)調(diào)研發(fā)現(xiàn)，出于數(shù)據(jù)保存的長(zhǎng)久性、穩(wěn)定性及成本因素的考慮，市面上帶存儲(chǔ)功能的數(shù)碼復(fù)印機(jī)均采用了傳統(tǒng)機(jī)械硬盤作為存儲(chǔ)介質(zhì)。但是不同品牌的數(shù)碼復(fù)印機(jī)為了確保其自身數(shù)據(jù)不被竊取，在操作系統(tǒng)的使用、文件系統(tǒng)的選取和存儲(chǔ)數(shù)據(jù)的壓縮方式上都不盡相同。針對(duì)不同的文件系統(tǒng)的復(fù)印機(jī)存儲(chǔ)介質(zhì)，該文提出研制一種數(shù)碼復(fù)印機(jī)數(shù)據(jù)恢復(fù)系統(tǒng)，對(duì)數(shù)碼復(fù)印機(jī)的存儲(chǔ)介質(zhì)進(jìn)行深度掃描，實(shí)現(xiàn)數(shù)據(jù)信息的恢復(fù)。通過實(shí)驗(yàn)驗(yàn)證該系統(tǒng)性能穩(wěn)定，在實(shí)際應(yīng)用中取得良好的效果。

2數(shù)碼復(fù)印機(jī)數(shù)據(jù)恢復(fù)系統(tǒng)架構(gòu)設(shè)計(jì)

數(shù)碼復(fù)印機(jī)數(shù)據(jù)恢復(fù)系統(tǒng)采用模塊化設(shè)計(jì)，主要有數(shù)據(jù)提取模塊、人機(jī)交互模塊、數(shù)據(jù)庫模塊、數(shù)據(jù)分析模塊組成，系統(tǒng)的整體結(jié)構(gòu)示意圖如圖1所示。人機(jī)交互界面封裝了所有人機(jī)交互及輸入輸出的功能，其中包括系統(tǒng)登錄、任務(wù)創(chuàng)建、關(guān)鍵字編輯、數(shù)據(jù)提取、日志分析、報(bào)告生成和歸檔導(dǎo)出等核心功能，通過友好的交互環(huán)境實(shí)現(xiàn)底層功能的透明化，由交互界面根據(jù)用戶的任務(wù)配置數(shù)據(jù)通過控制耦合模式驅(qū)動(dòng)中央控制程序?qū)崿F(xiàn)復(fù)印機(jī)存儲(chǔ)文件的提取，并將文件信息存儲(chǔ)在中央數(shù)據(jù)庫中。

不同品牌的數(shù)碼復(fù)印機(jī)在文件系統(tǒng)的選取和存儲(chǔ)數(shù)據(jù)的壓縮方式上都不盡相同。因此，在對(duì)存儲(chǔ)數(shù)據(jù)進(jìn)行解析之前一定要對(duì)其存儲(chǔ)格式、硬盤文件系統(tǒng)進(jìn)行解析，為存儲(chǔ)內(nèi)容的正確恢復(fù)提供基礎(chǔ)。設(shè)定好復(fù)印機(jī)硬盤品牌、型號(hào)，系統(tǒng)能夠智能選取與之相對(duì)應(yīng)數(shù)據(jù)解析算法，若硬盤內(nèi)數(shù)據(jù)文件為計(jì)算機(jī)能夠識(shí)別的格式，中央控制程序直接將數(shù)據(jù)存儲(chǔ)在數(shù)據(jù)庫;若硬盤內(nèi)數(shù)據(jù)文件不能夠被計(jì)算機(jī)正常識(shí)別，中央控制程序就會(huì)調(diào)用格式轉(zhuǎn)化算法將數(shù)據(jù)文件轉(zhuǎn)換成計(jì)算機(jī)能夠識(shí)別的文件格式再存儲(chǔ)到數(shù)據(jù)庫。通過數(shù)據(jù)分析模塊進(jìn)行敏感信息識(shí)別，提取圖像文件中對(duì)用戶有用的信息進(jìn)行取證。

3數(shù)碼復(fù)印機(jī)數(shù)據(jù)恢復(fù)系統(tǒng)功能實(shí)現(xiàn)

3.1文件系統(tǒng)解析

數(shù)碼復(fù)印機(jī)硬盤的文件系統(tǒng)常見的有FAT、EXT、UFS、XFS等格式。拆解數(shù)碼復(fù)印機(jī)硬盤加電加載至磁盤編輯工具Winhex根據(jù)其第一個(gè)扇區(qū)信息判斷其文件系統(tǒng)類型，文件系統(tǒng)類型確定后，根據(jù)相其文件系統(tǒng)的數(shù)據(jù)結(jié)構(gòu)和存儲(chǔ)方法進(jìn)行解析。將數(shù)碼復(fù)印機(jī)存儲(chǔ)硬盤數(shù)據(jù)清零，加載至數(shù)碼復(fù)印機(jī)待其正常工作后進(jìn)行數(shù)據(jù)文件存儲(chǔ)，在數(shù)碼復(fù)印機(jī)硬盤分區(qū)內(nèi)尋找發(fā)生變化的文件夾。即是數(shù)據(jù)信息的存儲(chǔ)位置。

判定數(shù)據(jù)信息的存儲(chǔ)位置后，進(jìn)而判定數(shù)據(jù)文件是否為Windows系統(tǒng)加載下正常識(shí)別的圖像文件。常見的正常加載識(shí)別的圖像文件格式有JPG、PNG、TIFF、PDF。對(duì)于那些不能正常識(shí)別的圖像文件，就需要進(jìn)行文件格式的破解和轉(zhuǎn)換，轉(zhuǎn)換成Windows系統(tǒng)下可以正常識(shí)別的圖像文件。

3.2文件特征匹配

Windows系統(tǒng)下僅能加載數(shù)碼復(fù)印機(jī)FAT格式的文件系統(tǒng)，而數(shù)碼復(fù)印機(jī)的文件系統(tǒng)因品牌型號(hào)的不同而不同。針對(duì)文件系統(tǒng)格式己知的文件系統(tǒng)，應(yīng)用文件系統(tǒng)解析的方法對(duì)數(shù)碼復(fù)印機(jī)硬盤中存儲(chǔ)數(shù)據(jù)的區(qū)域進(jìn)行數(shù)據(jù)恢復(fù)。對(duì)于文件系統(tǒng)未知的數(shù)碼復(fù)印機(jī)，我們提出采用基于文件特征匹配的數(shù)據(jù)恢復(fù)算法。基于文件特征匹配的數(shù)據(jù)恢復(fù)算法是采用文件特征與磁盤分區(qū)深度掃描相結(jié)合的方法。

根據(jù)數(shù)據(jù)文件的文件頭特征信息和文件尾特征信息在數(shù)碼復(fù)印機(jī)硬盤磁盤中進(jìn)行恢復(fù)掃描，為了提高搜索效率，我們以扇區(qū)為單位進(jìn)行搜索。在掃描過程中首先將每個(gè)扇區(qū)的頭部信息進(jìn)行目標(biāo)文件頭特征信息進(jìn)行匹配，如果在某一扇區(qū)匹配到文件頭特征信息，這就確定了這一文件的起始位置。同理根據(jù)文件尾特征信息進(jìn)行搜索匹配確定文件結(jié)束位置。將開始位置與結(jié)束位置之間的數(shù)據(jù)信息進(jìn)行截取即是一個(gè)完整的數(shù)據(jù)文件。

3.3數(shù)據(jù)管理

數(shù)碼復(fù)印機(jī)數(shù)據(jù)恢復(fù)系統(tǒng)工作過程中，需要對(duì)數(shù)碼復(fù)印機(jī)硬盤內(nèi)的大量的數(shù)據(jù)信息進(jìn)行存取和處理。基于文件系統(tǒng)進(jìn)行存儲(chǔ)，可以實(shí)現(xiàn)數(shù)據(jù)的長(zhǎng)期保存，用戶直接按文件名訪問，按記錄進(jìn)行存取。但這需要耗費(fèi)大量的I/O，就會(huì)造成數(shù)據(jù)的冗余度變大，數(shù)據(jù)的共享性和獨(dú)立性就會(huì)較差。而采用數(shù)據(jù)庫管理系統(tǒng)可以實(shí)現(xiàn)數(shù)據(jù)的整體化和結(jié)構(gòu)化，這樣就可以很好地解決基于文件系統(tǒng)進(jìn)行數(shù)據(jù)管理時(shí)出現(xiàn)的問題。采用數(shù)據(jù)庫系統(tǒng)管理數(shù)據(jù)，數(shù)據(jù)和應(yīng)用程序相互獨(dú)立，通過事務(wù)調(diào)度與并發(fā)控制，可以有效地對(duì)數(shù)據(jù)進(jìn)行讀寫、查詢，實(shí)現(xiàn)數(shù)據(jù)的共享，數(shù)據(jù)的共享性高。同時(shí)借助于數(shù)據(jù)庫管理系統(tǒng)提供的數(shù)據(jù)性保護(hù)、完整性檢查和數(shù)據(jù)庫恢復(fù)等安全機(jī)制，可確保系統(tǒng)具有較好的性能。

數(shù)碼復(fù)印機(jī)數(shù)據(jù)恢復(fù)系統(tǒng)是一種用于偵查取證的數(shù)據(jù)恢復(fù)系統(tǒng)，對(duì)數(shù)據(jù)的真實(shí)性、完整性、一致性、存取和處理速率要求較高，該系統(tǒng)選用SQLite數(shù)據(jù)庫組建一個(gè)微型數(shù)據(jù)庫管理系統(tǒng)對(duì)數(shù)碼復(fù)印機(jī)硬盤內(nèi)采集到的數(shù)據(jù)進(jìn)行管理。

3.4數(shù)據(jù)恢復(fù)實(shí)現(xiàn)

應(yīng)用程序的開發(fā)基于Visual Studi02017集成開發(fā)環(huán)境，C#為其編程開發(fā)語言。數(shù)據(jù)恢復(fù)實(shí)現(xiàn)過程有：

3.4.1任務(wù)創(chuàng)建

創(chuàng)建任務(wù)設(shè)定被測(cè)試數(shù)碼復(fù)印機(jī)的品牌和型號(hào)，創(chuàng)建工作目錄，用于存放數(shù)碼復(fù)印機(jī)數(shù)據(jù)恢復(fù)系統(tǒng)提取到的數(shù)據(jù)文件。

3.4.2關(guān)鍵字編輯

關(guān)鍵字編輯設(shè)定敏感關(guān)鍵詞語，數(shù)碼復(fù)印機(jī)數(shù)據(jù)恢復(fù)系統(tǒng)提取數(shù)據(jù)完畢后，進(jìn)行光學(xué)字符識(shí)別，將圖像文件的文字信息進(jìn)行提取，與關(guān)鍵詞進(jìn)行匹配，匹配成功的即可以定位至要尋找的文件。

3.4.3報(bào)告查看

任務(wù)執(zhí)行完畢后，系統(tǒng)會(huì)進(jìn)行數(shù)據(jù)分析，將匹配成功的文件進(jìn)行高亮顯示，并生成一份結(jié)果報(bào)告，便于執(zhí)法人員進(jìn)行查看。

4實(shí)驗(yàn)驗(yàn)證與結(jié)果分析

為測(cè)試該文研制的數(shù)碼復(fù)印機(jī)數(shù)據(jù)恢復(fù)系統(tǒng)的性能，分別對(duì)佳能、東芝、夏普三個(gè)品牌共計(jì)9個(gè)型號(hào)的數(shù)碼復(fù)印機(jī)硬盤進(jìn)行數(shù)據(jù)恢復(fù)測(cè)試。

4.1測(cè)試環(huán)境

采用數(shù)據(jù)恢復(fù)專用機(jī)搭建測(cè)試環(huán)境，該機(jī)處理器為Intel（R）Core（TM） i5-4460;主頻為3.2HZ;內(nèi)存RAM為8GB;操作系統(tǒng)為64位Windows 7旗艦版SP1。安裝數(shù)碼復(fù)印機(jī)數(shù)據(jù)恢復(fù)系統(tǒng)，配置其正常運(yùn)行所需要的環(huán)境。

4.2恢復(fù)硬盤類型

東芝數(shù)碼復(fù)印機(jī)硬盤3塊，文件系統(tǒng)為EXT3格式;柯美數(shù)碼復(fù)印機(jī)硬盤3塊，文件系統(tǒng)為FAT格式;夏普數(shù)碼復(fù)印機(jī)硬盤3塊，文件系統(tǒng)未知。3個(gè)品牌共計(jì)9塊復(fù)印機(jī)硬盤，標(biāo)號(hào)1-9，依次貼上標(biāo)簽。具體信息見表1。

4.3實(shí)驗(yàn)

首先利用磁盤格式化工具將數(shù)碼復(fù)印機(jī)硬盤進(jìn)行格式化處理，清除數(shù)碼復(fù)印機(jī)硬盤內(nèi)原有信息，排除干擾信息源，之后將數(shù)碼復(fù)印機(jī)硬盤依次加載至相對(duì)應(yīng)的數(shù)碼復(fù)印機(jī)，確保每一臺(tái)數(shù)碼復(fù)印機(jī)正常工作后，對(duì)每一臺(tái)數(shù)碼復(fù)印機(jī)依次掃描存儲(chǔ)標(biāo)記編號(hào)1-100的100張樣本圖片，在每一臺(tái)數(shù)碼復(fù)印機(jī)面板上檢查確認(rèn)其己成功存儲(chǔ)100張樣本數(shù)據(jù)，對(duì)每一臺(tái)數(shù)碼復(fù)印機(jī)進(jìn)行標(biāo)號(hào)1-10的10張樣本數(shù)據(jù)刪除操作，然后將數(shù)碼復(fù)印機(jī)硬盤拆卸準(zhǔn)備進(jìn)行數(shù)據(jù)恢復(fù)。通過硬盤只讀接口將數(shù)碼復(fù)印機(jī)硬盤與搭建好測(cè)試環(huán)境的數(shù)據(jù)恢復(fù)專用機(jī)相連接，測(cè)試裝置如圖3所示。

創(chuàng)建測(cè)試任務(wù)依次對(duì)編號(hào)1-9的數(shù)碼復(fù)印機(jī)硬盤進(jìn)行數(shù)據(jù)恢復(fù)，記錄實(shí)驗(yàn)結(jié)果，如表2所說，測(cè)試結(jié)果如圖4所示。數(shù)碼復(fù)印機(jī)數(shù)據(jù)恢復(fù)系統(tǒng)任務(wù)執(zhí)行完畢后，會(huì)彈窗提示提取文件總數(shù)及恢復(fù)文件總數(shù)。方便用戶知曉數(shù)據(jù)文件的恢復(fù)情況。文件提取完畢后，系統(tǒng)會(huì)對(duì)提取到的圖像文件進(jìn)行光學(xué)字符識(shí)別，進(jìn)行關(guān)鍵詞匹配，匹配到的關(guān)鍵詞系統(tǒng)就會(huì)對(duì)其進(jìn)行紅色高亮顯示。

表2是9塊數(shù)碼復(fù)印機(jī)硬盤數(shù)據(jù)恢復(fù)測(cè)試的實(shí)驗(yàn)結(jié)果，從表2可以看出數(shù)碼復(fù)印機(jī)數(shù)據(jù)恢復(fù)系統(tǒng)可以完整地恢復(fù)這9臺(tái)數(shù)碼復(fù)印機(jī)硬盤中存儲(chǔ)的90張樣本數(shù)據(jù)，但對(duì)于刪除的10張數(shù)據(jù)，文件系統(tǒng)已知的數(shù)碼復(fù)印機(jī)硬盤只要數(shù)據(jù)未被覆蓋可以通過文件系統(tǒng)解析將刪除的數(shù)據(jù)恢復(fù)出來，文件系統(tǒng)未知的數(shù)碼復(fù)印機(jī)硬盤通過文件特征匹配可以將數(shù)據(jù)進(jìn)行恢復(fù)，數(shù)碼復(fù)印機(jī)數(shù)據(jù)恢復(fù)系統(tǒng)的恢復(fù)成功率在80%以上，可見該數(shù)碼復(fù)印機(jī)數(shù)據(jù)恢復(fù)系統(tǒng)性能優(yōu)異，穩(wěn)定性很高。

5結(jié)語

針對(duì)復(fù)印機(jī)取證難的技術(shù)問題，該文給出了數(shù)碼復(fù)印機(jī)數(shù)據(jù)恢復(fù)系統(tǒng)的設(shè)計(jì)框架，研究了數(shù)據(jù)恢復(fù)中的文件特征匹配、文件系統(tǒng)解析和數(shù)據(jù)管理技術(shù)，并在數(shù)碼復(fù)印機(jī)數(shù)據(jù)恢復(fù)系統(tǒng)的實(shí)現(xiàn)中得以應(yīng)用。經(jīng)過實(shí)驗(yàn)分析證明研制的數(shù)碼復(fù)印機(jī)數(shù)據(jù)恢復(fù)系統(tǒng)性能優(yōu)異，能夠有效對(duì)數(shù)碼復(fù)印機(jī)存儲(chǔ)介質(zhì)中存儲(chǔ)的數(shù)據(jù)信息進(jìn)行恢復(fù)，該系統(tǒng)的研究為數(shù)碼復(fù)印機(jī)取證提供幫助，為我國的信息安全和保密檢查工作發(fā)揮重要作用。

參開文獻(xiàn)

[1]劉偉，數(shù)據(jù)恢復(fù)技術(shù)深度揭秘[M].電子工業(yè)出版社，2010 （05）.

[2]趙雙峰，費(fèi)金龍，劉楠，武東英.WindowsNTFS下數(shù)據(jù)恢復(fù)的研究與實(shí)現(xiàn)[J].計(jì)算機(jī)工程與設(shè)計(jì)，2008 （02）： 306-308+332.

[3]黃步根，數(shù)據(jù)恢復(fù)與計(jì)算機(jī)取證[J].計(jì)算機(jī)安全.2006 （06）： 79-80.

[4]劉晉，任洪敏，胡巍，陳天倫，沈俞超.EXT2文件系統(tǒng)格式化程序的設(shè)計(jì)與實(shí)現(xiàn)[J].西華大學(xué)學(xué)報(bào).自然科學(xué)版.2 012 （02）：256-278

[5]文光斌.數(shù)據(jù)恢復(fù)技術(shù)的發(fā)展前景、技術(shù)層次及常用方法[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2005 （05）：74-76.

[6]楊明極，陳方縣，吳學(xué)君，嵌入式系統(tǒng)中SD卡的FAT32文件系統(tǒng)的設(shè)計(jì)[J].電聲技術(shù)，2010，34 （04）：36-39.