主管:中华人民共和国司法部
主办:司法鉴定科学研究院
ISSN 1671-2072  CN 31-1863/N
中国司法鉴定

›› 2015 ›› Issue (1): 62-66.

• 鉴定实践 • 上一篇    下一篇

基于“连带效应”和“过期日志”的EXT3文件系统数据恢复方法研究

徐国天   

  1. 中国刑事警察学院
  • 收稿日期:2014-06-04 修回日期:2014-12-19 出版日期:2015-01-15 发布日期:2015-01-15
  • 通讯作者: 徐国天
  • 基金资助:

    公安部应用创新计划项目《疑难骨关节损伤成伤机制的法医学研究》

  1. China Criminal Police College
  • Received:2014-06-04 Revised:2014-12-19 Published:2015-01-15 Online:2015-01-15

摘要: 目的 EXT3文件系统是大多数Linux主机的默认硬盘分区格式,研究EXT3文件系统的数据恢复方法对公安机关的电子数据鉴定工作有重要意义。方法 详细分析了“复制”、“删除”动作产生的日志记录,研究了EXT3日志记录的“连带效应”,深入分析了“过期日志”结构,设计了事务链式存储结构、inode编号链式存储结构和用于恢复文件的有限状态机。结果 恢复软件可以直接运行在Linux主机上,通过扫描日志文件完成恢复。结论 经过大量实际测试,软件可以有效恢复EXT3文件系统中的被删数据。

关键词:

中图分类号: