電子取證中AVI檔案的檔案雕復
收藏本文 
分享 1引言在電子取證工作中,恢復數字裝置中被刪除的資料是極為重要的工作之一,恢復資料又分依賴系統元資訊的傳統資料恢復技術和不依賴系統元資訊的檔案雕刻。檔案雕刻思想是指,在自動或最小的人工干預的條件下,從一個數字“平面”上“雕刻”出某些檔案的“形狀”。這種思想的出現源於,當系統元資訊不可信任或被損壞時,會導致資料區所有檔案資料變得無差別以至於無法識別,只能採用基於檔案的結構特徵和內容特點的檔案雕刻技術在這“無差別”資料區中“雕刻”出檔案。由此,基於檔案雕刻思想進行資料恢復的技術簡稱為檔案雕復。對視訊AVI檔案進行取證時,經常遇到即使在無覆蓋風險的情況下,恢復出來的視訊也是不完整的。原因在於傳統的資料恢復技術通過系統元資訊進行的資料恢復不具有資料偵測能力,一旦系統元資訊不完整,即使資料仍保留在數字裝置中,也無法恢復。沒有了可依賴的系統元資訊,我們唯一可以做的就是利用AVI檔案的結構特徵和內容特點,在“無差別”的資料區中偵測每個“未分配”的資料簇,判斷它們是不是我們期望得到的視訊碎片資料。在一個忽視系統元資訊的環境中,如何偵測到每個AVI檔案碎片,並將它們有序銜接起來,這就是本文研究的重點。2文(本文共計5