关键词
白雅楠,徐国天,程斌.基于$UpCase元文件的RAID5磁盘阵列重组方法研究[J].警察技术,2021,(6):47-51
基于$UpCase元文件的RAID5磁盘阵列重组方法研究
  
DOI:
中文关键词:  RAID5  数据重组  NTFS  数据取证  $UpCase元文件
英文关键词:
基金项目:
作者单位
白雅楠 新疆警察学院
中国刑事警察学院 
徐国天 中国刑事警察学院 
程斌 公安部第三研究所 
摘要点击次数: 13
全文下载次数: 4
中文摘要:
      针对电子数据取证中RAID5磁盘阵列重组问题,提出一种基于$UpCase元文件的RAID5磁盘阵列重组方法。公安机关在办理涉服务器案件时,经常会遇到犯罪嫌疑人蓄意破坏、异常关闭服务器等情况,若服务器采用RAID5磁盘阵列存储数据,这些破坏行为会造成阵列配置信息丢失,公安机关在进行取证前必须对磁盘阵列进行数据重组。介绍了在对未知磁盘序列的RAID5磁盘阵列进行取证分析时,通过$UpCase元文件的特点,确定磁盘阵列中数据条带大小,并归纳总结了利用MBR、DBR及条带大小等已知信息计算$MFT元文件在成员盘中起始位置的方法,通过数据块与校验块的位置确定磁盘次序,实现磁盘重组,进而读取数据完成取证分析。该方法通过$UpCase元文件判断数据块信息,再利用计算结果快速定位$MFT元文件,与现有方法相比,能够大幅度节省全盘搜索时间,提升数据重组效率。
英文摘要:
      
查看全文    下载PDF阅读器
关闭