2014电子物证大纲 下载本文

第二章 电子物证检验基础知识

学习目的和要求:熟悉有关计算机硬件基础知识、计算机中的信息编码、硬盘存储结构、计算机常见操作系统、数据库基础、加密解密技术基础、数据完整性校验相关知识,掌握计算机网络基础知识。

第一节计算机硬件基础

一、计算机的主要硬件设备

1.CPU:中央处理器(CentralProcessingUnit,又称微处理器),是微型计算机的核心,由运算器和控制器两部分组成。CPU运算速度是决定计算机系统性能的重要指标。

2.主板:英文是MainBoard,也称为MotherBoard或SystemBoard。一般是一块矩形电路板,上面布满了各种电子元件、插槽和接口等,是CPU、内存、显卡及各种扩展卡的载体。

3.内存储器:简称为内存,又称为主存储器。内存用于存放当前计算机正在执行的程序和数据,数据必须调入内存后才能由CPU调用和执行,它的容量和处理速度直接决定了电脑数据传输的快慢。微型计算机的内存包括RAM(RandomAccessMemory,随机存取存储器)和ROM(ReadOnlyMemory,只读存储器)两部分。

4.硬盘:由涂有磁性材料的合金圆盘组成,是计算机中最重要的外部存储设备。 5.输入输出设备:常用的输入设备有键盘、鼠标、手写板和扫描仪等。常用的输出设备有显示器、打印机和绘图仪等。

6.其他外部设备。如网卡、显卡、声卡、MODEM、光驱等等。 二、常见的硬盘接口类型 1.IDE接口:IDE(IntegratedDriveElectronics,电子集成驱动器)是一种广泛应用于ISA(EISA)总线微机系统的硬盘接口,使用电缆直接连接硬盘(最多2个)与主板,其优点在于价格便宜和易于安装。IDE代表着硬盘的一种类型,如ATA、UltraATA、DMA、UltraDMA等接口都属于IDE硬盘。

2.SCSI接口:SCSI(SmallComputerSystemInterface,小型计算机系统接口)必须配置SCSI适配器及相应驱动程序,其接口硬盘速度很快,具有应用范围广、多任务、带宽大、CPU占用率低以及热插拔等优点,但价格较高且安装不便,主要应用于中、高端服务器和高档工作站中。

3.SATA接口:SATA(SerialAdvancedTechnologyAttachment,串行集成设备电路),使用SATA接口的硬盘又叫串口硬盘,是未来PC机硬盘的趋势。SerialATA采用串行连接方式,具备了更强的纠错能力,在很大程度上提高了数据传输的可靠性。串行接口还具有结构简单、支持热插拔的优点。

4.SAS接口:SAS(SerialAttachedSCSI),即串行SCSI接口,是新一代的SCSI技术,和现在流行的SerialATA(SATA)硬盘相同,都是采用串行技术以获得更高的传输速度。这种接口的设计是为了改善存储系统的效能、可用性和扩充性,SAS的接口技术可以向下兼容SATA。同时,和传统并行SCSI接口比较起来,SAS不仅在接口速度上得到显著提升,而且可以实现更长的连接距离、提高抗干扰能力、显著改善机箱内部的散热情况等等。

5.光纤通道:光纤通道(FiberChannel)最初是专门为网络系统设计的,但随着存储系统对速度的需求,才逐渐应用到硬盘系统中,它的出现大大提高了多硬盘系统的通信速度。光纤通道的主要特性有:热插拔性、高速带宽、远程连接、连接设备数量大等。

9

第二节计算机存储介质基础

一、计算机中的信息编码

在计算机中,各种信息都是以二进制编码的形式存在的,不论是文字、图形、声音、动画还是电影等各种信息,在计算机中都是以0和1组成的二进制代码表示的,计算机之所以能区别这些信息的不同,是因为它们采用的编码规则不同。

计算机存储信息的最小单位是一个二进制数位(Binarydigit,简称bit)。最基本的存储单元由8个二进制位组成,称为Byte(字节)。一个字节可存放一个字符。在计算机中,字节是一个不可分割的基本存储单元。在实际应用中,还经常使用KB(KiloByte,千字节)、MB(MegaByte,兆字节)、GB(GigaByte)、TB(Terabyte)作为存储信息容量的单位。

(一)数值数据编码

计算机中采用二进制数(Binary)进行运算,二进制数书写时位数较长,在常用的转换中为了计算方便,还会用到八进制(Octal)、十进制(Decimal)、十六进制(Hexadecimal)的计数方法,通常用最后一个字母来标识数制。例如36D、10101B、76O、5AH分别标识十进制、二进制、八进制、十六进制。

(二)常用的字符编码

由于电子邮件、文本、网页中会采用各种字符编码。了解常用的字符编码,可以帮助我们通过关键字的特定编码,查询存储设备中是否存在需要的信息,以准确快速地完成电子物证检验工作。

1.ASCII码。国际通用的ASCII码(AmericanStandardCodeforInformationInterchange,美国信息交换标准代码),是单字节编码,每个ASCII码以1个字节(Byte)储存。ASCII字符集包括英文字母、阿拉伯数字和标点符号等字符。

2.ANSI编码。为了扩充ASCII编码,以用于显示本国的语言,不同的国家和地区制定了不同的标准,由此产生了GB2312、BIG5、GBK、JIS等编码标准。这些使用2个字节来代表一个字符的编码方式,称为ANSI编码,又称为“MBCS(Muilti-Bytes Charecter Set,多字节字符集)”。

3.Unicode编码。不同ANSI编码之间互不兼容,当信息在国际间交流时,同一个编码值,在不同的编码体系里代表着不同的字,这样就容易造成混乱,导致了Unicode码的诞生。其中每个语言下的ANSI编码,都有一套一对一的编码转换器,Unicode变成所有编码转换的中间介质。所有的编码都有一个转换器可以转换到Unicode,而Unicode也可以转换到其他所有的编码。

Unicode(统一码、万国码、标准万国码),是由一个名为Unicode学术学会(Unicode Consortium)的机构制订的字符编码系统,支持现今世界各种不同语言的书面文本的交换、处理及显示,是计算机业界的一种标准。Unicode是基于通用字符集(Universal Character Set)的标准来发展。Unicode还在不断扩增,每个新版本插入更多新的字符。Unicode是字符集,具有UTF-8、UTF-16、UTF-32等多种字符编码方案。

此外,计算机中的信息编码还有用于网络传输的应用编码,如Base64、Quoted-Printable(简称QP)、BinHex等。

二、硬盘存储原理

从硬盘生产厂商出品的硬盘是不能直接写入数据的,必须首先对其进行以下3个步骤的初始化工作后才能使用:(1)硬盘的低级格式化(由专用软件完成);(2)硬盘的分区;(3)硬盘的高级格式化。

(一)硬盘的内部结构

硬盘的内部结构主要由读写磁头、盘片、主轴、磁头控制器、电机、接口及其他附件组

10

成,其中磁头盘片组件是构成硬盘的核心,它封装在硬盘的净化腔体内。

一块硬盘存取数据的工作完全依靠读写磁头来进行的,盘片是硬盘存储数据的载体。一块硬盘中的每张盘片都配有一个读写磁头,而这些磁头又连接在同一个传动机构上。磁头加电后在高速旋转的磁盘表面上0.1~0.3μm的地方移动,读取磁盘的数据。

盘体从物理的角度分为磁面(Side)、磁道(Track)、柱面(Cylinder)与扇区(Sector)等4个结构。磁面也就是组成盘体各盘片的上下两个盘面,第一个盘片的第一面为0磁面,下一个为1磁面;第二个盘片的第一面为2磁面,以此类推??。磁道也就是在格式化磁盘时盘片上被划分出来的许多同心圆。最外层的磁道为0道,并向着磁面中心增长。

(二)硬盘的分区

要想使用硬盘存储数据,首先要将其进行分区,划分成一定的逻辑区域,然后通过对分区进行格式化建立相应的文件系统后,才能在分区内进行数据的存储。

1.什么是分区

所谓分区,就是把一整块硬盘根据使用需要,分成不同的区域来存放数据,以加块读写数据的时间。

系统通过记录在分区表(或磁盘标签)中的分区信息对各个分区进行识别与管理,如果这些信息损坏,就会表现为分区不可见,数据丢失。

因使用环境不同,分区的管理方式会有所不同,也因而出现了各种不同的分区体系,如DOS分区体系、Apple分区体系、BSD分区体系、GPT分区体系等。

2.硬盘分区类型

对于FAT和NTFS文件系统,硬盘上的分区可以划分为主分区和扩展分区两种类型。主分区用来存放操作系统的引导记录(在该主分区的第一扇区)和操作系统文件;扩展分区一般用来存放数据和应用程序。一个硬盘可以被分为1-4个分区,最多能有4个主分区。如果有扩展分区,则最多可以有3个主分区。一般只有一个扩展分区,它可以被划分成多个逻辑驱动器。

3.硬盘分区工具

硬盘的分区可由DOS外部命令Fdisk,或专用工具软件如BootManager、DM、PartitionMagic完成。

4.硬盘分区的功能

从数据管理的观点看,对硬盘进行分区的主要功能是在硬盘的0柱面、0磁头、1扇区上建立主引导记录(MasterBootRecord,MBR)及分区信息表。计算机(PC机)通电后,主板基本输入输出系统(BIOS)检测完硬件后,首先读硬盘的主引导扇区。如主引导扇区被破坏,系统(BIOS)的任务受阻,PC机就无法启动硬盘中的操作系统。

硬盘主引导扇区512字节依次由4个部分组成:

(1)主引导程序:它负责从活动分区中装载并运行系统的引导程序;

(2)出错信息数据区:引导出错时显示的错误信息。主引导程序和出错信息共占446字节;

(3)分区表:存放4个主分区信息,每个分区表项16个字节,共64个字节; (4)结束标志55AA:主引导记录结束标志,2个字节。 (三)高级格式化 1.高级格式化的作用 硬盘建立分区后,使用前必须对每一个分区进行高级格式化,格式化后的硬盘才能使用。用FORMAT指令格式化硬盘后,在FAT文件系统中会在每一个逻辑盘上建立DBR、FAT、DIR、DATA四个部分。

DBR:(DOSBootRecord,操作系统引导记录区),包括一个引导程序和本分区参数记录

11

表。BPB参数块记录着本分区的起始扇区、结束扇区、文件存储格式、硬盘介质描述符。根目录大小、FAT个数、分配单元的大小等重要参数。

FAT:(FileAllocationTables,文件分配表),紧接在DBR之后,其大小由本分区的大小及文件分配单元的大小决定。由于FAT记录了访问文件的基本信息,因此对干文件管理非常重要。为了数据安全起见,FAT一般做两个,第二FAT为第一FAT的备份。

DIR:(BootDirectory,根目录区),紧接FAT表之后,记录着根目录下每个文件或目录的起始单元、文件或目录属性等等。

DATA:即硬盘数据区,占用硬盘的绝大部分空间,所有的用户数据,包括各种类型的文件数据都保存在该区内。

2.高级格式化工具

硬盘高级格式化可由DOS外部命令Format,或专用工具软件如DM、PartitionMagic完成。

(四)文件系统 1.什么是文件系统

文件系统是操作系统对数据进行存储与管理的方式,是为了长久地存储和访问数据而为用户提供的一种基于文件和目录的存储机制。

在使用硬盘存储数据前,分区必须经过格式化后才可以使用,格式化的过程就是在分区内建立一定的文件系统的过程。

2.常见文件系统类型

根据目前流行的操作系统来看,常见的文件系统有FAT16、FAT32、NTFS、Ext2/Ext3、UFS等。

FAT16文件系统:这是MS-DOS和最早期的Windows95操作系统中使用的文件系统。它采用16位的文件分配表,磁盘利用效率低。

FAT32文件系统:这种文件系统采用32位的文件分配表,对磁盘的管理能力大大增强,提高磁盘利用率。Windows95、Windows98、WindowsMe、Windows2000以及WindowsXP都支持这种文件系统。

NTFS文件系统:它的优点是安全性和稳定性方面非常出色,在使用中不易产生文件碎片,并且能对用户的操作进行记录,通过对用户权限进行非常严格的限制,使每个用户只能按照系统赋予的权限进行操作,充分保护了系统与数据的安全。Windows2000、WindowsNT、以及WindowsXP都支持这种文件系统。

Ext2/Ext3文件系统:这是Linux中使用最多的一种文件系统,它是专门为Linux设计的,拥有最快的速度和最小的CPU占用率。

UFS文件系统:这几乎是所有UNIX类型操作系统所使用的文件系统。它存在很多的变种,并应用于不同的操作系统中。如HP-UX、NetBSD、AppleOSX、SunSolaris等。

(五)Windows下硬盘的管理

在Windows下,一个完整的硬盘管理包括五部分,它们是:MBR、DBR、FAT、DIR区和DATA区。

对于用户来说,直接访问数据区,只能看到一些枯燥的二进制代码,它们的真正意义要依靠操作系统和特定应用程序如数据库系统才能够得到正确表达。Windows操作系统进行文件管理的原理如下:系统发送信息给硬盘,首先由MBR获得,MBR根据自身的引导记录将命令传达给DirectoryEntry,DirectoryEntry查找到相应的文件索引信息,提出存储位置的信息,根据FAT表的位置指向,定位在相应的磁盘区域,将磁盘表面的数据读取出来。

(六)数据删除与恢复的基本原理 1.Windows系统的文件删除与恢复

12