专利名称:未残缺jpeg文件碎片重组的方法
技术领域:
本发明涉及一种计算机硬盘或其他可移动存储介质的磁盘碎片数据的重组方法,特别是涉及一种未残缺JPEG文件碎片重组的方法。
背景技术:
随着信息技术的不断发展,计算机越来越多的参与到人们日常的工作和生活中,伴随而来的是与计算机相关的法庭案件也不断发生。因此,这种新的存在于计算机、数码产品及网络设备等的电子数据成为了诉讼中合法的证据形式之一。这些证据包括网络日志、文本、视频、图像等,然而这些电子证据却非常容易形成碎片文件(当前文件被分割成为多 个数据不连续的部分,即不是以连续存放形式的或数据残缺的文件,这样的文件称为碎片文件),在没有文件系统信息的情况下很难恢复这些文件。文件系统在存储数据到磁盘时以簇或块为单位,分散保存到整个磁盘的不同地方,在现有技术中,将这些分散保存到磁盘的不同地方一个文件的不同部分称为文件碎片,也即一个文件被分割成为多个数据不连续的部分,每个部分成为一个文件碎片。这些文件碎片会导致系统性能降低,使得运行速度下降,因而,通过传统的磁盘碎片整理程序来处理碎片,磁盘碎片整理程序可以分析硬盘中的磁盘碎片,移动并合并文件碎片,使每个文件都可以占用硬盘上单独而连续的储存空间,从而提高磁盘使用空间的使用率,提高磁盘读取文件的速度。虽然磁盘中的碎片数据通常是不完整、易被覆盖和易被忽略的,但往往是司法取证中须提取的关键数据,在一些案件的处理过程中具有至关重要的作用。特别是,当磁盘的文件索引丢失或未分配使用的扇区中有隐藏的数据时,如何依据法律的要求提取碎片数据,并进行分析与重构,为起诉提供证据,为法庭重现犯罪行为是当前亟须解决的问题。因此,需要一种针对磁盘碎片数据的重组的方法,为司法裁决过程提供非常重要的信息。
发明内容
本发明所要解决的技术问题在于,针对现有技术的不足提供一种用以重组JPEG文件碎片数据的方法,即一种未残缺JPEG文件碎片重组的方法。本发明所要解决的技术问题是通过如下技术方案实现的一种未残缺JPEG文件碎片重组方法,包括以下步骤步骤I :在存储介质上提取并确定出JPEG文件碎片数据;步骤2 :获得JPEG文件头信息,并根据所述JPEG文件头信息对所述JPEG文件碎片数据按照JPEG的文件类型进行解码,得到多个待分析的JPEG文件碎片数据块;步骤3 :利用相似度模型的公式(I)得到两个数据块的相似度,根据相似度将相邻的数据块连接起来形成JPEG文件;
Ciiffpix = ^Rd2+Gd2+Bd2 ^ (I)其中,别为两个相邻数据块边缘的像素R、G、B之间的差值,其中,diffpix为边缘像素的相似度;步骤4 :利用每个数据块的MCU差异度也打_判断该数据块是否属于当前的JPEG文件,如果不属于,删除,如果属于,则保留,保留下来的连接在一起的多个数据块组成了一个完整的JPEG文件。本发明在磁盘的文件索引丢失 或未分配使用的扇区中有隐藏的数据时,可应用本发明提供的未残缺JPEG文件碎片重组的方法得到完整的JPEG文件,使其成为起诉所需要的证据。下面结合附图和具体实施例对本发明的技术方案进行详细地说明。
图I为本发明JPEG文件碎片重组的方法总体流程图;图2为图I中步骤S107的详细流程图。
具体实施例方式数据块指文件系统中存放数据的最小单元,如扇区或扇区的整数倍,具体是多少,与文件系统有关,一般为文件系统分配数据的最小单元,如NTFS的数据块即为簇,本发明中提到的分析数据都是以数据块的形式存放。图I为本发明JPEG文件碎片重组的方法总体流程图,如图I所示,步骤SlOl,数据预处理在开始重组JPEG文件碎片之前要进行准备工作,在将要调查分析的存储设备上,对其进行镜像处理。针对所获得的镜像文件,将所述镜像文件中的数据所在的扇区中的每个扇区号存入分析数据库,建立扇区分析列表。步骤S102,碎片选择首先,针对所获得的镜像文件,采用传统数据恢复的方法(例如,利用文件系统信息进行恢复),获得能够成功恢复的数据。然后选择每个成功恢复的数据所在扇区号,将其从所述扇区分析列表中剔除;其次,利用文件自身格式信息,采用头尾信息截取、文件内部信息验证的方法进一步抽取在存储介质上连续存放的数据,获得这些数据所在扇区编号,将其从所述扇区分析列表中剔除;而后,再采用相对稳定的数据类型分类方法,剔除相关无用扇区编号,所述相关无用扇区包括由可打印字符组成的扇区、空数据扇区(全O、或全I)等。在本发明所采用的方法中,运用了排除法,将可成功恢复的数据所在扇区的编号和连续存放的数据所在扇区的编号及一些无用的扇区的编号在扇区列表中剔除,则剩下扇区中的数据将包括待重组的JPEG文件的碎片数据。步骤S103,获取JPEG文件头信息从扇区分析列表中搜索JPEG的文件头信息所在的扇区编号,从而获取JPEG文件头信息。具体地,由于特征码FFD8为JPEG文件开始标记,因此,搜索到以特征码FFD8开始的扇区,即可以得到所有的JPEG文件头所在扇区编号。得到JPEG文件头所在扇区编号后,解码放在FFD8开始的文件头部分的数据,即可以得到JPEG文件头信息,所述文件头信息包括哈弗曼编码表、抽样率等。
步骤S104,根据获得的JPEG文件头信息,获得JPEG文件的量化表、哈弗曼编码表等解码JPEG文件数据所需的信息。步骤S105,根据JPEG文件头信息的量化表、哈弗曼编码表,将步骤S102得到的数据按照JPEG文件类型进行解码,获得多个待分析JPEG文件碎片数据块。步骤S106,对步骤4中得到的待分析JPEG文件碎片的数据块进行相似度比较和连接利用相似度模型得到两个数据块的相似度,并且根据相似度将相邻的数据块连接。由于一个JPEG文件碎片数据块由多个像素组成,在分析待分析JPEG文件碎片数据块的相似度时,只需要匹配两个相邻待分析JPEG文件碎片数据块的边缘像素的相似程
度即可,具体地,通过相似度模型公式(I)
权利要求
1.ー种未残缺JPEG文件碎片重组方法,其体征在于包括以下步骤 步骤I :在存储介质上提取并确定出JPEG文件碎片数据; 步骤2 :获得JPEG文件头信息,井根据所述JPEG文件头信息对所述JPEG文件碎片数据按照JPEG的文件类型进行解码,得到多个待分析的JPEG文件碎片数据块; 步骤3 :利用相似度模型的公式⑴得到两个数据块的相似度,根据相似度将相邻的数据块连接起来形成JPEG文件;
2.如权利要求I所述的未残缺JPEG文件碎片重组方法,其特征在于 步骤4中的利用每个数据块的MCU差异度diff_判断该数据块是否属于当前的JPEG文件具体包括以下步骤 步骤41,通过公式(2)计算该数据块的MCU的差异度diff_,
3.如权利要求2所述的未残缺JPEG文件碎片重组方法,其特征在干所述阀值δ+、阀值δ —为通过实验确定的预设值。
4.如权利要求I或2或3所述的未残缺JPEG文件碎片重组方法,其特征在于在步骤I中,具体包括如下步骤 步骤11,对将要调查分析的存储设备进行镜像处理,得到镜像文件; 步骤12,针对所获得的镜像文件,将所述镜像文件中的数据所在扇区中的每个扇区号存入ー分析数据库,建立扇区分析列表; 步骤13,从所述扇区分析列表中剔除能够成功恢复的数据所在扇区的编号、连续存放的数据所在扇区的编号及无用的扇区的编号,剩下扇区中的数据为包括待重组的JPEG文件的碎片数据。
5.如权利要求4所述的未残缺JPEG文件碎片重组方法,其特征在于 步骤2中的JPEG文件头信息通过以下步骤获得 步骤21,在扇区分析列表中搜索以特征码FFD8开始的扇区,得到所有的JPEG文件头所在扇区编号; 步骤22,解码JPEG文件头部分的数据,得到所述JPEG文件头信息。
6.如权利要求4所述的未残缺JPEG文件碎片重组方法,其特征在于还包括步骤5 步骤5,将完整的重组JPEG文件的扇区编号存入一数据库。
全文摘要
本发明公开了一种未残缺JPEG文件碎片重组方法,首先,在存储介质上提取并确定出JPEG文件碎片数据;然后获得JPEG文件头信息,并根据所述JPEG文件头信息对所述JPEG文件碎片数据按照JPEG的文件类型进行解码,得到多个待分析的JPEG文件碎片数据块;之后,利用相似度模型得到两个数据块的相似度,根据相似度将相邻的数据块连接起来形成JPEG文件;最后利用每个数据块的MCU差异度diffmcu判断该数据块是否属于当前的JPEG文件,如果不属于,删除,如果属于,则保留,保留下来的连接在一起的多个数据块组成了一个完整的JPEG文件。通过上述方法可以准确地将文件碎片重组为完整的JPEG文件。
文档编号G06F17/30GK102682024SQ201110062119
公开日2012年9月19日 申请日期2011年3月11日 优先权日2011年3月11日
发明者刘宝旭, 杨泽明, 肖腾 申请人:中国科学院高能物理研究所