2026-04-07 01:17:11 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本文是网络安全取证系列第十三篇，重点探讨数据恢复和文件内容雕刻技术。文章详细介绍了文件雕刻的基本原理（基于文件头尾标记扫描）、常见数据碎片化场景（无碎片/嵌套/双碎片/交错内容）及其恢复难度，并指出SSD因TRIM命令导致数据恢复率急剧下降的挑战。关键发现包括：HDD删除数据易恢复而SSD在Win7+系统下恢复率近零，同时提出通过多轮雕刻和空闲空间分析可提升取证效果。 综合评分： 78 文章分类： 应急响应,数据安全,网络安全,取证分析,存储安全

cover_image

网络安全取证（十三）数据恢复和文件内容雕刻（下）

祺印说信安

2026年4月4日 00:03 河南

以下文章来源于河南等级保护测评，作者铸盾安全

河南等级保护测评 .

等级保护，不只是等级测评！一起探讨更全面的等级保护制度！做对用户有真实价值的网络安全服务，等级保护测评、风险评估、网络安全培训、网络安全咨询、网络安全合规。传播网络安全知识，分享网络安全政策，共建风清气正的网络安全氛围。

| | | — | | 关注公众号回复“河南等保1028”获取“网络取证电子书”了解更多取证知识 |

网络安全取证（一）定义和概念模型

网络安全取证（二）定义和概念模型之定义

网络安全取证（三）定义和概念模型之概念模型

网络安全取证（四）定义和概念模型之概念模型

网络安全取证（五）定义和概念模型之概念模型

网络安全取证（六）定义和概念模型之取证流程

网络安全取证（七）操作系统分析

网络安全取证（八）操作系统分析之存储取证

网络安全取证（九）操作系统分析之文件系统分析

网络安全取证（十）操作系统分析之存储取证

网络安全取证（十一）操作系统分析之块设备分析

网络安全取证（十二）数据恢复和文件内容雕刻

#

《网络安全知识体系》

网络安全取证（十三）

数据恢复和文件内容雕刻

简介

数字取证科学或数字取证是应用科学工具和方法来识别，收集和分析数字（数据）工件，以支持法律诉讼。从技术角度来看，正是识别和重建相关事件序列的过程导致了目标IT的当前可观察状态。系统或（数字）伪影。随着信息技术的快速采用，数字证据的重要性与日新月异，导致数据以指数级的速度不断积累。同时，网络连接和IT系统的复杂性迅速增长，导致可能需要调查的更复杂的行为。

该知识区的主要目的是提供数字取证技术和功能的技术概述，并将其置于网络安全领域其他相关领域的更广泛视角。关于数字取证的法律方面的讨论仅限于一般原则和最佳实践，因为这些原则的应用的具体情况往往因司法管辖区而异。例如，知识区讨论了不同类型证据的可用性，但没有通过获取这些证据必须遵循的法律程序进行工作。法律&法规CyBOK知识领域讨论了与管辖权和获取，处理和提供数字证据的法律程序相关的具体问题。

内容

2 操作系统分析

2.5 数据恢复和文件内容雕刻

数据恢复工具的早期主要内容之一是“取消删除”功能，可以逆转用户删除数据的影响。最常见的情况是用户删除文件并需要撤消操作。在HDD上，这种逆转在删除后立即很容易实现-文件内容占用的存储只是被释放（标记为可用），但不会发生数据的实际破坏（清理）。

一个更困难的情况是已经使用了一段时间的HDD，并且已经被子格式化（例如，有人试图销毁证据）。通常使用的快速格式化命令具有覆盖与空文件系统相对应的一组数据结构的效果（完整格式会清理介质的内容，但可能需要数小时才能完成，因此使用频率较低）。因此，在查询这些结构后，正常的文件系统接口将报告没有文件。现实情况是，此时只有文件系统元数据被部分覆盖，并且表示文件内容的所有数据块仍然完整地存在于介质上。

与大多数其他类型的计算不同，取证计算对所有可恢复（部分）工件非常感兴趣，包括（有时特别是）已释放的工件。除非用户已采取特殊措施来安全擦除硬盘，否则在任何给定时间，介质都包含表面上已删除的可恢复应用程序项目（文件）。恢复文物的过程通常通过雕刻来完成。

文件雕刻是最古老和最常用的技术，其基本形式基于两个简单的观察：a）大多数文件格式具有特定的开始和结束标签（又名页眉和页脚）;b）文件系统强烈倾向于顺序布局以最大化吞吐量。

总之，这些产生了一个基本的恢复算法：1）顺序扫描捕获，直到找到已知的头；例如，JPEG图像总是以（十六进制）FF D8 FF报头开始；2）顺序扫描，直到找到对应的页脚；FF D9用于JPEG；3)复制中间的数据作为恢复的工件。图2说明了在文件雕刻过程中遇到的一些最常见的情况：

无碎片是最典型的情况，因为现代文件系统需要额外的努力来确保顺序布局以获得最佳性能。
嵌套内容通常是删除的结果；在本例中，在文件的初始顺序背靠背布局之后，文件B前面和后面的内容被删除并替换为A。在某些情况下，文件格式允许嵌套；例如，JPEG通常具有图像的缩略图版本，该版本也是JPEG格式。这种情况可以通过多次传递来解决——一旦B被切掉（并且其块从进一步考虑中移除），A的内容就变得连续，因此后续传递将很容易地提取它。
双碎片文件被分割成两个相邻的部分，其中另一个内容位于两者之间，这也决定了重建的难度；如果中间的内容很容易与文件的内容（例如，压缩图像中间的文本片段）区分开来，那么问题就相对容易。否则，这是模棱两可的，很难识别匹配的部分。
交错内容是嵌套的一个更复杂的版本，当使用较大的文件来填补由于删除较小的文件而产生的空白时，会发生这种情况。

这种简单的雕刻方法通常会产生大量可用的艺术品；然而，真实数据可能包含许多非典型模式，这可能导致大量重复和/或假阳性结果。一个主要原因是文件格式的设计没有考虑到雕刻，很少有健壮的内部元数据将组成部分连接在一起。有些甚至没有指定的页眉和/或页脚，这可能会导致大量误报，可能会产生比源数据大得多的结果。

松弛空间恢复。RAM和持久存储几乎总是以所选最小分配单元的倍数进行分配。因此，在分配空间的末尾，存在应用程序未使用但也不可用于其他用途的存储容量（空闲空间）。例如，如果最小分配是4KiB，并且一个文件需要14KiB，那么文件系统将分配四个4KiB块。应用程序将完全使用前三个块，但仅使用最后一个块的2KiB。这就有可能存储通过标准文件系统接口无法访问的数据，并且可以提供一种隐藏数据的简单方法。

一旦意识到在空闲空间中存储隐藏数据的潜力，就可以相对容易地识别和检查它，这是大多数调查中的标准步骤。

即将到来的挑战随着固态驱动器的容量不断增长，硬盘在操作数据存储中的比例越来越高，文件刻录的效用将随着时间的推移而降低。原因在于SSD块需要写入两次才能重用（第一次写入重置块的状态，从而启用其重用）。为了提高性能，将TRIM和UNMAP命令分别添加到ATA和SCSI命令集中；它们为文件系统提供了一种机制，以向存储设备指示哪些块需要被垃圾收集并准备好重用。

King&Vidas[31]通过实验证明，文件雕刻只能在现代固态硬盘（SSD）上的一组狭小环境下工作。具体来说，他们表明，对于一个支持TRIM的操作系统，如Windows 7和更高版本，其测试中的数据恢复率几乎普遍为零。相反，使用预TRIM操作系统（Windows XP）可以在相同的实验条件下实现近乎完美的恢复率。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：祺印说信安《网络安全取证（十三）数据恢复和文件内容雕刻（下）》