1. Trang chủ
  2. » Luận Văn - Báo Cáo

Phòng chống và điều tra tội phạm máy tính đề tài recovering deleted files and deleted partitions

25 164 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 25
Dung lượng 1,45 MB

Nội dung

Phòng chống và điều tra tội phạm máy tính đề tài recovering deleted files and deleted partitions

BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT MÃ PHỊNG CHỐNG ĐIỀU TRA TỘI PHẠM MÁY TÍNH Đề tài: Recovering Deleted Files and Deleted Partitions Ngành: Công nghệ thơng tin Chun ngành: An tồn thơng tin Giáo viên hướng dẫn : Hồng Thanh Nam Đơn vị cơng tác : Khoa An tồn thơng tin - HVKTMM Hà Nội, tháng năm 2018 rẻereregagga BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT MÃ PHÒNG CHỐNG ĐIỀU TRA TỘI PHẠM MÁY TÍNH Đề tài: Recovering Deleted Files and Deleted Partitions Lớp: L02 Giáo viên hướng dẫn : Hồng Thanh Nam Đơn vị cơng tác : Khoa An tồn thơng tin - HVKTMM Nhận xét giáo viên ………………………………………………………………… ………………………………………………………………… ………………………………………………………………… ………………………………………………………………… ………………………………………………………………… ………………………………………………………………… ………………………………………………………………… ………………………………………………………………… ………………………………………………………………… ………………………………………………………………… ………………………………………………………………… ………………………………………………………………… ………………………………………………………………… ………………………………………………………………… ………………………………………………………………… ………………………………………………………………… ………………………………………………………………… ………………………………………………………………… ………………………………………………………………… ………………………………………………………………… Xác nhận giáo viên MỤC LỤC DANH MỤC TỪ VIẾT TẮT Từ viết tắt MFT NTFS FAT Tên đầy đủ Master File Table New Technology File System CHƯƠNG 1: RECOVERING DELETED FILES 1.1 Giới thiệu chung 1.1.1 Khái niệm Khơi phục tệp xóa q trình mà điều tra viên đánh giá trích xuất tệp xóa khỏi thiết bị lưu trữ trả tệp ngun vẹn 1.1.2 Điều xảy tệp tin bị xóa? Khi tập tin bị xóa, hệ điều hành đánh dấu tên tập tin MFT với ký tự đặc biệt cho biết tập tin bị xóa Máy tính nhìn vào cụm chiếm đóng tập tin trống rỗng tận dụng không gian để lưu trữ tập tin Chữ tên tập tin thay mã byte hex E5h Trường mục MFT đánh dấu mã đặc biệt NTFS Các cụm tương ứng FAT đánh dấu khơng sử dụng 1.1.3 Các cách xóa tệp tin Xóa tệp cách di chuyển tệp khỏi hệ thống tệp máy tính Lý xóa tệp là: - Giải phóng dung lượng ổ đĩa - Xóa liệu trùng lặp không cần thiết để tránh nhầm lẫn - Xóa thơng tin nhạy cảm, khơng khả dụng cho người khác - Người dùng xóa tệp theo nhiều cách khác nhau: Bằng cách nhấp chuột phải vào tập tin chọn Delete từ phím Menu Chọn tập tin bấm Delete Shift + Delete bàn phím Bằng cách kéo thả tệp vào biểu tượng Thùng rác Từ lệnh menu số chức khác phần mềm thứ Bằng vi-rút máy tính … 1.1.4 Thùng rác Window Khi tệp bị xóa, gửi vào thùng rác, nơi thùng rác dọn Click Restore thùng rác cho phép bạn khôi phục liệu đến vị trí ban đầu Sau thùng rác dọn sạch, liệu vị trí ban đầu ổ đĩa cứng khoảng thời gian Dữ liệu biến hệ điều hành ghi đè vị trí ban đầu tệp Dữ liệu xóa từ phương tiện lưu động thiết bị USB không lưu trữ thùng rác 1.1.5 Recyle Hidden Folder Thư mục ($Recycle.Bin) chứa tệp bị xóa khỏi My Computer/This PC, Windows Explorer, số ứng dụng Windows Thông thường thư mục ẩn phân vùng Để hiển thị nó, ta phải chọn Show hidden files, folders, and drives bỏ chọn Hide protected operating system files Folder Options Hình 1.1 Giao diện Folder Option Hệ điều hành Windows theo dõi tệp người dùng gửi đến Thùng rác cách tạo tệp Info tạm thời Khi tệp thư mục bị xóa đường dẫn đầy đủ, bao gồm tên tệp gốc, lưu trữ tệp ẩn đặc biệt có tên "Info" thư mục Recycled Tệp xóa đổi tên, sử dụng cú pháp sau: D . Khơng có giới hạn kích thước cho thùng rác Vista phiên sau Windows phiên cũ bị giới hạn tối đa 3.99 GB; mục lớn dung lượng lưu trữ thùng rác lưu trữ thùng rác 1.2 Phục hồi tệp tin Mac OS Trong Mac OS X, xóa liệu do: - Khơi phục tệp xóa - Sử dụng phím Shift + Del - Nhiễm virus Trojan - Tắt hệ thống bất ngờ - Sự cố phần mềm phần cứng Khơi phục tệp tin xóa Phương pháp 1: Khi tệp bị xóa từ Mac khơng thực bị xóa, thay vào lấy khỏi thư mục tập tin thư mục Phân bổ khơng gian phân bổ cho tệp, khơng gian giải phóng cấp phát để lưu trữ số tệp khác Tập tin bị xóa di chuyển tới thư mục ‘‘Trash’’ Mac Chọn file, nhấp chuột phải nhấn vào khôi phục tùy chọn để khơi phục tệp xóa Phương pháp 2: Nếu bạn xóa tập tin, mà bỏ qua "Thùng rác", tập tin lấy cách sử dụng kỹ thuật phục hồi liệu Time Machine chương trình tiện ích MacOS giúp phục hồi liệu Kiểm tra "Time Machine" thư mục tiện ích Đưa vào thông tin thời gian cần thiết quay ngược thời gian vào thư mục nơi tệp bạn có mặt Chọn tệp tệp thay thư mục gốc Ngay thư mục Sao lưu chứa tệp vơ tình xóa Phương pháp 3: Nếu phương pháp trước khơng phục hồi tệp xóa, sử dụng phần mềm bên thứ ba (phục hồi tệp làm trống từ thùng rác) Một số công cụ phần mềm giúp bạn khơi phục tệp xóa Mac bao gồm: Data rescue FileSalvage REMO Recover (MAC) Pro MacKeeper Stellar Phoenix Mac Data Recovery 1.3 Phục hồi tệp tin Linux Trong Linux, tệp bị xóa cách sử dụng /bin/rm đĩa Hệ thống tệp mở rộng thứ hai (extz) thường sử dụng hầu hết hệ thống Linux Thiết kế hệ thống tệp ext2 liệu ẩn vài nơi Chạy tiến trình giữ tập tin mở sau loại bỏ tập tin Các nội dung tập tin đĩa khơng gian khơng khai thác chương trình khác Lưu ý tập tin thực thi tự xóa, nội dung lấy từ /proc memory image; lệnh "cp/proc/$PID/exe/tm/ tạo tệp /tmp 1.4 Một số phần mềm khôi phục tệp tin Recover My Files Recover My Files phục hồi liệu phần mềm, phục hồi tập tin làm trống từ Windows Recycle Bin, bị định dạng ổ đĩa cứng, virus Trojan, tắt hệ thống bất ngờ, phần mềm lỗi Hình 1.2 Giao diện Recover My File EASEUS Data Rcovery Wizard EASEUS Data Recovery Wizard cung cấp giải pháp khơi phục liệu tồn diện cho người dùng máy tính để khơi phục liệu bị mất phân vùng hỏng hóc, lỗi phần mềm, nhiễm vi-rút tắt máy bất ngờ Hình 1.3 Giao diện EASEUS Data Rcovery Wizard - Khơi phục tập tin bị xóa bị làm trống từ Recycle Bin - Phục hồi tập tin sau định dạng ngẫu nhiên, cài đặt lại Windows - Khôi phục đĩa sau xảy cố ổ đĩa cứng - Khôi phục tài liệu văn phòng, ảnh, hình ảnh, video, nhạc, email, v.v - Khôi phục từ ổ đĩa cứng, ổ USB, thẻ nhớ, thẻ nhớ, thẻ máy ảnh, zip, đĩa mềm nhớ khác phương tiện truyền thông PC INSPECTOR File Recovery PC INSPECTOR File Recovery chương trình khơi phục liệu hỗ trợ FAT 12/16/32 tệp tin hệ thống NTFS 10 Hình 1.4 Giao diện PC INSPECTOR File Recovery - Tính năng: Tìm phân vùng tự động, khu vực khởi động FAT bị xóa bị hỏng Khơi phục tệp dấu ngày gốc Hỗ trợ lưu tệp khôi phục ổ đĩa mạng Khôi phục tệp, mục nhập tiêu đề khơng khả dụng Recuva Recuva khơi phục file xóa bạn từ máy tính từ máy tính windows, thùng rác, thẻ máy ảnh kỹ thuật số, người dùng MP3 11 Hình 1.5 Giao diện Recuva - Tính năng: Phục hồi tập tin máy tính bạn Phục hồi từ đĩa bị hư hỏng định dạng Khôi phục email xóa Khơi phục tài liệu Word chưa lưu Xóa an tồn tập tin bạn muốn xóa vĩnh viễn 12 DiskDigger DiskDigger chương trình phục hồi tập tin bị từ ổ đĩa cứng, thẻ nhớ, ổ đĩa USB flash Hình 1.6 Giao diện DiskDigger Các tính chính: • Chương trình có khả tìm kiếm nhiều loại tập tin với nhiều định dạng khác như: hình ảnh, video, file nhạc, tài liệu đặc biệt hiển thị nội dung tìm thấy qt thời gian thực • Có thể xem trước nội dung hầu hết định dạng tập tin tìm thấy mà khơng cần phải khơi phục xem trước tập tin quét • Hoạt động hoàn toàn độc lập với hệ thống tập tin Chương trình qt qua liệu thơ để phục hồi liệu • Có khả khơi phục phần liệu bị ghi đè • Sau hoạt động xong chương trình khơng để lại dấu vết tập tin tạm sinh phần mềm khác • Làm việc với thiết bị lưu trữ ổ đĩa với tất định dạng (FAT12, FAT16, FAT32, NTFS, ext3 ) 13 Hình 1.7 Giao diện Handy Recovery Handy Recovery Handy Recovery phần mềm khôi phục liệu thiết kế để khôi phục tập tin vơ tình xóa từ đĩa cứng thẻ nhớ Handy Recovery thiết kế với công cụ mạnh mẽ việc hỗ trợ người sử dụng phục hồi hay khơi phục file bị xóa nhầm lẫn hay virut cơng cách nhanh chóng Handy Recovery hỗ trợ định dạng sau: • Hệ thống tập tin: NTFS / NTFS + EFS, FAT 12/16/32, HFS / HFS + • Thẻ nhớ: CF / SM / SD Ưu điểm: • Lưu hình ảnh đĩa • Lưu trạng thái ổ đĩa để phục hồi tương lai • Khôi phục tập tin từ phân vùng định dạng Nhược điểm: • Khơng có nhiều tùy chọn cấu hình Stellar Phoenix Windows Data Recovery Nó phục hồi liệu bị tình cờ, định dạng ổ đĩa cứng, hệ điều hành ứng dụng liên quan đến cố, nhiễm virus / phần mềm độc hại Stellar Phoenix Windows Data Recovery phục hồi: 14 • • • • Tài liệu bị xóa / định dạng / bị mất, bảng tính, PowerPoint Tệp / thư mục từ phân vùng định dạng xóa Ảnh, hình ảnh, video, tệp nhạc Xóa email từ Microsoft Outlook Outlook Express Hình 1.7 Giao diện Stellar Phoenix Windows Data Recovery Mac File Recovery Mac File Recovery thực quét nhanh chóng ổ đĩa Mac bị hỏng để xác định vị trí tập tin xóa, phân vùng định dạng bị hỏng Nó phục hồi liệu từ phân vùng Mac bị xóa, bị hỏng định dạng 15 Hình 1.8 Giao diện Mac File Recovery Kernel Recovery for Macintosh công cụ phần mềm khôi phục liệu tệp xóa từ hệ điều hành Macintosh Hình 1.9 Giao diện Kernel Recovery for Macintosh 16 Boomerang Data Recovery Software Boomerang Data Recovery Software for MacOS X phục hồi tệp, thư mục, tài liệu bị xóa vơ tình, phân vùng bị bị hỏng, khối lượng RAID, thẻ máy ảnh / flash, v.v Tính năng, đặc điểm: • Khơi phục hồn chỉnh đĩa khơng gắn kết định dạng • Tái tập hợp volume RAID giúp khôi phục liệu quan trọng nhiệm vụ bạn • Qt tồn đĩa khơi phục tệp tài liệu xóa Hình 1.10 Giao diện Boomerang Data Recovery Software VirtualLab VirtualLab phần mềm phục hồi tập tin xóa, hư hỏng tích, đĩa định dạng, iPod chí ảnh Nó thực quét toàn ổ đĩa để định vị phân vùng tệp bị 17 Hình 1.11 Giao diện VirtualLab R-Studio for Linux R-Studio for Linux phục hồi tệp đã: • Đã xóa khỏi máy tính khỏi Trash • Bị hỏng vi-rút, điện tắt máy đột ngột • Mất từ đĩa định dạng lại thành hệ thống tệp hệ thống tệp khác • Bị hư hại Hình 1.12 Giao diện R-Studio for Linux 18 Quick Recovery for Linux Quick Recovery for Linux phần mềm khôi phục phân vùng Linux nâng cao, phục hồi liệu từ ổ đĩa Ext2, Ext3 bị hỏng, bị xóa bị hỏng, hệ điều hành Linux Hình 1.13 Giao diện Quick Recovery for Linux Kernel for Linux Data Recovery Kernel for Linux Data Recovery phục hồi liệu bị lý sau: • • • • • Tham nhũng khối mơ tả nhóm Bảng siêu khối bảng inode bị hỏng Cấu trúc phân vùng bị hỏng bị xóa Tắt hệ thống khơng cách Xóa tập tin 19 Hình 1.14 Giao diện Kernel for Linux Data Recovery TestDisk for Linux TestDisk thiết kế chủ yếu để phục hồi phân vùng bị / làm cho đĩa không khởi động khởi động lại triệu chứng gây phần mềm bị lỗi, loại bỏ loại virus lỗi người Hình 1.15 Giao diện Kernel for Linux Data Recovery 20 CHƯƠNG 2: RECOVERING DELETED PARTITIONS 2.1 Disk Partition Disk Partition không gian xác định đĩa cứng để lưu trữ liệu (chẳng hạn tệp tài liệu) cho hệ thống lưu trữ tất tệp cần thiết để khởi động Windows Disk Partition có tên; thường chữ dấu hai chấm (C :) Nhiệm vụ Disk Partition: • Tách hệ điều hành khỏi tệp liệu • Chạy nhiều hệ điều hành từ đĩa • Tạo phân vùng độc lập Các phân vùng khác không bị hỏng với phân vùng bị phá hủy • Sắp xếp liệu hợp lý • Đảm bảo máy tính chạy nhanh 2.2 Deletion of Partition Người dùng hệ thống vơ tình xóa phân vùng hữu ích: • Vơ tình xóa phân vùng Partition Manager / Disk Management • Vơ tình xóa phân vùng tiến trình cài đặt Windows Điều xảy phân vùng bị xóa? • Tất liệu phân vùng xóa ổ đĩa logic bị • Xóa phân vùng đĩa động xóa tất ổ đĩa động đĩa, dẫn đến đĩa bị hư hỏng Khi phân vùng ổ đĩa cứng bị xóa, khơng có nghĩa xóa tất thứ, phân vùng đánh dấu cách phân vùng thiết lập Phân vùng xóa phục hồi khơng bị xóa hồn tồn, cách sử dụng phần mềm để thiết lập lại tham số 21 2.3 Phục hồi phân vùng xóa - Phục hồi phân vùng xóa q trình điều tra viên đánh giá truy xuất phân vùng xóa - Phục hồi giúp khôi phục phân vùng bị vơ tình virut, cố phần mềm phá hoại - Phục hồi phân vùng giúp khôi phục tất liệu quan trọng bị sau vơ tình phân vùng Phương án 1: + Khởi động lại hệ thống đĩa CD cài đặt Window hệ thống + Nhấn phím tương ứng liệt kê hình để vào BIOS Trong BIOS kiểm tra trình đơn “ưu tiên khởi động” “thứ tự khởi động” để đặt đĩa CD thiết bị khởi động + Khởi động lại hệ thống cho phép Window bắt đầu cài đặt + Chấp nhận tất lựa chọn để cài đặt window chọn “Repair “thay “Install” + Bây hình giống Dos xuất hiện, gõ “fixboot” ấn Enter để khởi động lại hệ thống kiểm tra phân vùng khôi phục lại hay chưa Phương án 2: + Sử dụng phần mềm để phục hồi phân vùng bên thứ để phục hồi ổ đĩa + Chạy trương trình làm theo hướng dẫn để khôi phục phân vùng + Sau khôi phục, chép tệp khỏi ổ đĩa phục hồi phân vùng ổ đĩa khác, điều giúp file an toàn + Phần mềm phục hồi phân vùng bao gồm: - active@ partition recovery for window, acronis recovery e 2.4 Một số phần mềm khôi phục phân vùng Active @ Partition Recovery cho Window Active @ partition recovery cho window phục hồi phân vùng bị xóa bị hư hỏng nằm ổ đĩa liệu, ổ cứng kèm theo, ổ USB gắn thẻ nhớ Acronis Recovery Expert Acronis recovery expert phân vùng liệu công cụ phục hồi đĩa sửa chữa kết lỗi nhân, phần cứng lỗi phần mềm, công virus phá hoại xâm nhập hacker Nó phục hồi phân vùng bị xóa bị 22 - Các tính năng: khơi phục phân vùng bị xóa bị ổ đĩa cứng khởi động từ đĩa CD, DVD, đĩa flash USB ổ cứng USB Diskinternals Partition Recovery Diskinternals Partition Recovery hổ trợ vô số hệ thống tập tin phục hồi liệu phân vùng bị FAT12 ,FAT16, FAT 32, VFAT, NTFS, NTFS4, NTFS 5, EXT2 EXT3 NTFS Partition Data Recovery Phục hồi liệu Doctor cho window NTFS phục hồi liệu tệp tin thư mục bị bị ghi đè, xóa định dạng, bị hư hỏng, bị hỏng hệ điều hành window7, vista, xp, NT2000 2003 2008 , phương tiện lưu trữ khác GetdataBack - Bảng phân vùng ổ đĩa cứng, ghi khởi động, FAT/MFT thư mục gốc bị mất/ hư hỏng - Dữ liệu bị virus công - Drive định dạng - Fdisk chạy - Mất điện gây cố hệ thống - Tệp bị lỗi phần mềm tình cờ xóa Easeus Partition Recovery Easeus phần mềm phục hồi phân vùng cho ổ cứng.nó thiết kế để phục hồi phân vùng xóa bị ổ đĩa cứng Advanced disk recovery Advanced disk recovery: quét hệ thống để tìm tệp tin thư mục xóa phục hồi chúng Ổ đĩa cứng, phân vùng, thiết bị bên ngồi trí đĩa CD DVD qt để tìm tệp phục hồi Tính đặc biệt: - Sử dụng bảng tệp tệp chữ kí để xác định tệp xóa - Khơi phục liệu xóa từ phân vùng thiết bị bên ngồi Power data recovery: Power data recovery phục hồi liệu xóa từ Windows recycle bin; khơi phục liệu bị phân vùng định dạng bị xóa; khơi phục liệu từ ổ đĩa cứng bị hỏng, nhiễm virus, tắt hệ thống không mong muốn lỗi phần mềm 23 KẾT LUẬN Khi ta nhấn delete file chuyển vào thùng rác, chế vật lí khơng di chuyển đâu mà hồn tồn Nó quy ước máy tính "đây file bị xố khơng phải liệu cần dùng", quy ước Cũng thùng rác nhà, vứt thứ không cần dùng đến , để đến đầy nghi ngờ vứt nhầm thứ vào, ta "bới rác" tìm lại Khi rác đầy ta khơng vứt nhầm thứ vào, ta đổ rác Vậy ta xoá file thùng rác (Recycle Bin) ? Dữ liệu đâu ? Thực tế chẳng đâu mà hoàn toàn nguyên vẹn địa vật lí, nơi mà ghi trước Xố file thực chất hình thức mục index Khi xóa file Recycle Bin, khơng thể nhìn thấy file nữa, giá trị mục index MFT bị thay đổi máy tính hiểu "À, file khơng cần hiển thị ghi đè thơng tin khác lên nó" Đây lại quy ước mà thơi, kể xóa Recycle Bin liệu nằm nguyên vẹn ổ cứng bị GHI ĐÈ Nhưng điều khơng có nghĩa xóa file xong, ghi đè liệu khác lên hồn tồn mà cần đảm bảo liệu vị trí liệu cũ Hoặc thay ghi đè file lên ta dùng phần mềm để ghi toàn bit vào địa MFT đánh dấu xóa 24 TÀI LIỆU THAM KHẢO [1] BaiTapLon_AT11/Module 10 [2] https://tathanh.net/2018/08/17/phuc-hoi-du-lieu-de-hay-kho-2/ 25 ...rẻereregagga BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT MÃ PHÒNG CHỐNG VÀ ĐIỀU TRA TỘI PHẠM MÁY TÍNH Đề tài: Recovering Deleted Files and Deleted Partitions Lớp: L02 Giáo viên hướng dẫn : Hoàng Thanh... khơi phục file xóa bạn từ máy tính từ máy tính windows, thùng rác, thẻ máy ảnh kỹ thuật số, người dùng MP3 11 Hình 1.5 Giao diện Recuva - Tính năng: Phục hồi tập tin máy tính bạn Phục hồi từ đĩa... CHƯƠNG 1: RECOVERING DELETED FILES 1.1 Giới thiệu chung 1.1.1 Khái niệm Khôi phục tệp xóa q trình mà điều tra viên đánh giá trích xuất tệp xóa khỏi thiết bị lưu trữ trả tệp nguyên vẹn 1.1.2 Điều xảy

Ngày đăng: 06/06/2019, 10:15

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w