信息网络安全
信息網絡安全
신식망락안전
NETINFO SECURITY
2013年
8期
63-66
,共4页
数据恢复%HFS+文件系统%日志%B树%索引节点%叶子节点
數據恢複%HFS+文件繫統%日誌%B樹%索引節點%葉子節點
수거회복%HFS+문건계통%일지%B수%색인절점%협자절점
data recovery%HFS+ifle system%journal%B-tree%index node%leaf node
随着MAC OS的广泛使用,MAC OS的取证技术得到了取证专家的高度重视。删除文件恢复技术一直是取证技术中的一项重要内容,HFS+文件系统作为目前MAC OS的主流文件系统,其删除文件的恢复技术更是数据恢复专家研究的重点。目前,HFS+删除文件的恢复主要是日志型数据的恢复,即基于日志中存储的B树中的叶子节点信息进行恢复。该方法具有快速、精确的特点。但是,该方法忽略了日志中存储的索引节点信息,因此恢复效果不是很理想。文章提出了一种快速、精确的HFS+删除文件的恢复技术,该技术不仅可以快速地恢复出被删除的文件,并且和现有的从日志中进行恢复的算法相比还可以恢复出更多的删除文件。
隨著MAC OS的廣汎使用,MAC OS的取證技術得到瞭取證專傢的高度重視。刪除文件恢複技術一直是取證技術中的一項重要內容,HFS+文件繫統作為目前MAC OS的主流文件繫統,其刪除文件的恢複技術更是數據恢複專傢研究的重點。目前,HFS+刪除文件的恢複主要是日誌型數據的恢複,即基于日誌中存儲的B樹中的葉子節點信息進行恢複。該方法具有快速、精確的特點。但是,該方法忽略瞭日誌中存儲的索引節點信息,因此恢複效果不是很理想。文章提齣瞭一種快速、精確的HFS+刪除文件的恢複技術,該技術不僅可以快速地恢複齣被刪除的文件,併且和現有的從日誌中進行恢複的算法相比還可以恢複齣更多的刪除文件。
수착MAC OS적엄범사용,MAC OS적취증기술득도료취증전가적고도중시。산제문건회복기술일직시취증기술중적일항중요내용,HFS+문건계통작위목전MAC OS적주류문건계통,기산제문건적회복기술경시수거회복전가연구적중점。목전,HFS+산제문건적회복주요시일지형수거적회복,즉기우일지중존저적B수중적협자절점신식진행회복。해방법구유쾌속、정학적특점。단시,해방법홀략료일지중존저적색인절점신식,인차회복효과불시흔이상。문장제출료일충쾌속、정학적HFS+산제문건적회복기술,해기술불부가이쾌속지회복출피산제적문건,병차화현유적종일지중진행회복적산법상비환가이회복출경다적산제문건。
With the wide use of MAC OS , MAC OS forensics technology got the attention of the experts. Deleted ifle recovery technology is an important technology in forensics.HFS+ifle system as the current mainstream MAC OS ifle system, its deleted ifle recovery technology is the focus of experts. Currently, the HFS+deleted ifle recovery is journal recovery, implemented based on the leaf node of the B-tree stored in journal.The method has the characteristics of fast and accurate. However, this method ignores the index node information stored in journal, thus effect of recovery is not very ideal. This paper proposes a fast and accurate HFS+deleted ifle recovery technique, the technique not only can quickly restore a deleted ifle, it also can restore more deleted ifles compared with the existing journal recovery algorithm .
