一种Office文件数据分片识别、排序、重组及修复方法

doi:10.3969/j.issn.1671-1122.2019.09.006

信息网络安全 ›› 2019, Vol. 19 ›› Issue (9): 26-30.doi: 10.3969/j.issn.1671-1122.2019.09.006

一种Office文件数据分片识别、排序、重组及修复方法

徐国天

中国刑事警察学院网络犯罪侦查系,辽宁沈阳 110854

收稿日期:2019-07-15 出版日期:2019-09-10 发布日期:2020-05-11
作者简介:
作者简介：徐国天（1978—）,男,辽宁,副教授,硕士,主要研究方向为网络安全。
基金资助:
辽宁省自然科学基金[20180550841,2015020091];中央高校基本科研业务费[3242017013];公安部理论及软科学研究计划[2016LLYJXJXY013];公安部技术研究计划[2016JSYJB06];辽宁省社会科学规划基金[L16BFX012]

A Method of Office Data Fragmentation Recognition, Sorting, Reorganization and Repair

Guotian XU

Cyber Crime Investigation Department, Criminal Investigation Police University of China,Shenyang Liaoning 110854, China

Received:2019-07-15 Online:2019-09-10 Published:2020-05-11

摘要/Abstract

摘要：

恢复被删除的涉案Office文档对调查取证工作有重要意义。当被删除的Office文件数据分为多段存储在磁盘内,且MFT记录被覆盖时,现有数据恢复工具无法有效恢复被删除的数据。针对这一问题,文章提出一种Office文件数据分片识别、排序、重组及修复方法。根据Office文件尾部目录区数据定位全部数据分片,确定分片排列次序,重组Office文件,并对受损数据分片进行修复。实践证明,该方法可有效恢复2007以上版本Office文档,在Office文件数据恢复方面优于X-way等恢复工具采用的首尾特征值恢复方法,可以达到更优的恢复效果。

关键词: Office数据分片, 识别, 排序, 重组, 修复

Abstract:

Restoring deleted office documents is of great significance to the investigation and evidence collection. When the deleted office file data is stored on disk in multiple segments and MFT records are overwritten, the existing data recovery tools can not effectively recover the deleted data. In order to solve this problem, this paper proposes a method of office data fragmentation recognition, sorting, reorganization and repair. According to the data in the catalog area at the end of the Office file, locate all data fragments, determine the order of fragmentation, reorganize the Office file, and repair the damaged data fragments. Practice has proved that the method proposed in this paper can effectively restore the version of Office documents above 2007.

Key words: Office data fragmentation, recognition, sorting, reorganization, repair

中图分类号:

TP309

徐国天. 一种Office文件数据分片识别、排序、重组及修复方法[J]. 信息网络安全, 2019, 19(9): 26-30.

Guotian XU. A Method of Office Data Fragmentation Recognition, Sorting, Reorganization and Repair[J]. Netinfo Security, 2019, 19(9): 26-30.

图/表 2

参考文献 16

[1]	DICKEMAN D. Advanced Data Carving[EB/OL]. The DFRW 2006 Data Caving Challege, , 2007-7-15.
[2]	WEI Yingjie.Archive File Carving Research[D]. Hangzhou: Hangzhou Dianzi University, 2011.
	卫英杰. 归档文件雕复研究[D].杭州:杭州电子科技大学,2011.
[3]	Wikipedia. Kolmogorov Complexity[EB/OL]. , 2008-10-15.
[4]	MO Chen, NING Zheng, MING Xu, et al. Validation Algorithms Based on Content Characters and Internalstructure: the PDF File carving method[EB/OL]. , 2018-7-15.
[5]	GARFINKEL S. CarvingContiguous and Fragmented Files with Fast Object Validation[EB/OL]. , 2018-7-15.
[6]	DONG Shule.On the Design and Research of JPEG Document Carving Technology[D]. Hangzhou: Hangzhou Dianzi University, 2009.
	董书乐. 试论JPEG文件雕复技术的设计与研究[D].杭州:杭州电子科技大学,2009.
[7]	LIN Wei.Research on Word File Carving Technology[D]. Hangzhou: Hangzhou Dianzi University, 2009.
	林蔚. Word文件雕复技术研究[D].杭州:杭州电子科技大学,2009.
[8]	CHEN Mo.A Method of Word File Carving Based on Content Feature[J]. Computer Applications and Software, 2010, 27(1): 100-102, 126.
	陈默. 一种基于内容特征的Word文件雕复方法[J].计算机应用与软件,2010,27(1):100-102,126.
[9]	ZHANG Wu.Research on Text Content Recovery Technology for Damaged or Fragmented Ooxml Documents[D]. Hangzhou: Hangzhou Dianzi University, 2014.
	张武. 损坏或分片Ooxml文档的文本内容恢复技术研究[D].杭州:杭州电子科技大学,2014.
[10]	SCOTT Hand, LIN Zhiqiang, GU Guofei. Bin-Carver: Automatic Recovery of Binary Executable Files[EB/OL]. , 2018-7-15.
[11]	PARK B, PARK J, LEE S. Data Concealment and Detection in Microsoft Office 2007 Files[EB/OL]. , 2018-7-15.
[12]	KORNBLUM J. Identifying Almost Identical Files Using Context Triggered Piecewise Hashing[EB/OL]. , 2018-7-15.
[13]	GARFINKEL S L, MCCARRIN M. Hash-based Carving: Searching Media for Complete Files and File Fragments with Sector Hashing and Hashdb[EB/OL]. , 2018-7-15.
[14]	JEONG D, LEE S. Study on the Tracking Revision History of MS Word Files for Forensic Investigation[EB/OL]. , 2018-7-15.
[15]	BREITINGER F, KANG H, LEE S. Towards Syntactic Approximate Matching-a pre-processing Experiment[EB/OL]. , 2018-7-15.
[16]	HALVANI O, WINTER C, PFLUG A. Authorship Verification for Different Languages, Genres and Topics[EB/OL]., 2018-7-15.

一种Office文件数据分片识别、排序、重组及修复方法

A Method of Office Data Fragmentation Recognition, Sorting, Reorganization and Repair

RichHTML

PDF (PC)

可视化

摘要/Abstract

引用本文

使用本文

图/表 2

参考文献 16

相关文章 15

编辑推荐

Metrics

本文评价

[1]	荆涛, 万巍. 面向属性迁移状态的P2P网络行为分析方法研究[J]. 信息网络安全, 2020, 20(1): 16-25.
[2]	郭敏, 曾颖明, 于然, 吴朝雄. 基于对抗训练和VAE样本修复的对抗攻击防御技术研究[J]. 信息网络安全, 2019, 19(9): 66-70.
[3]	张富友, 王琼霄, 宋利. 基于生物特征识别的统一身份认证系统研究[J]. 信息网络安全, 2019, 19(9): 86-90.
[4]	葛新瑞, 崔巍, 郝蓉, 于佳. 加密云数据上支持可验证的关键词排序搜索方案[J]. 信息网络安全, 2019, 19(7): 82-89.
[5]	陈良臣, 高曙, 刘宝旭, 卢志刚. 网络加密流量识别研究进展及发展趋势[J]. 信息网络安全, 2019, 19(3): 19-25.
[6]	陈良国, 阮树骅, 陈兴蜀, 罗永刚. 一种面向网络安全分析的高速流重组优化方案[J]. 信息网络安全, 2019, 19(11): 82-90.
[7]	王旭东, 余翔湛, 张宏莉. 面向未知协议的流量识别技术研究[J]. 信息网络安全, 2019, 19(10): 74-83.
[8]	张小红, 张佳琦. 基于帧时隙的RFID系统迫零预编码防碰撞算法研究[J]. 信息网络安全, 2018, 18(2): 34-39.
[9]	孙子文, 李富. 基于HMM与D-S证据理论的手势身份认证方法[J]. 信息网络安全, 2018, 18(10): 17-23.
[10]	段桂华, 申卓祥, 申东杰, 李智. 一种基于特征提取的有效下载链接识别方案研究[J]. 信息网络安全, 2018, 18(10): 31-36.
[11]	段大高, 谢永恒, 盖新新, 刘占斌. 基于神经网络的微博虚假消息识别模型[J]. 信息网络安全, 2017, 17(9): 134-137.
[12]	欧阳志友, 孙孝魁. 基于梯度提升模型的行为式验证码人机识别[J]. 信息网络安全, 2017, 17(9): 143-146.
[13]	马国峻, 李凯, 裴庆祺, 詹阳. 一种社交网络中细粒度人脸隐私保护方案[J]. 信息网络安全, 2017, 17(8): 26-32.
[14]	蒋卓键, 伍淳华, 夏铭. 云系统中多层次用户分类方法研究与实现[J]. 信息网络安全, 2017, 17(8): 69-75.
[15]	闵祥参, 张雪锋. 一种新的云计算指纹中心点定位算法研究[J]. 信息网络安全, 2017, 17(7): 59-65.