计算机存储介质的高速镜像方法

更新时间:2023-12-31 作者:用户投稿原创标记本站原创 点赞:5862 浏览:20371

摘 要:在计算机存储介质镜像领域内,AccessData公司的FTK Imager,X-Ways公司的WinHex,Guidance Software公司的EnCas等软件的镜像功能在取证过程中效率的表现并非处于理想,在国内的一些取证设备上表现出缓慢,甚至出现根本无法在这些设备上运行的情况,有的虽然可以运行,但对系统资源消耗极大,在取证进行的过程中就会出现异常终止的现象.本文提出的计算机存储介质镜像技术,经过试验比较,实际显示不仅可以顺畅无阻运行在国内的取证设备上,速度也比前述软件有着显著的提高,且性能卓越、可靠.

关 键 词 :计算机;存储介质;高速镜像;镜像技术;电子取证

中图分类号:TP333

计算机存储介质复制、镜像及还原是支持电子取证的有力技术手段,在电子取证工作过程中是必不可少的操作过程.随着我国计算机以及网络技术的不断发展,计算机以及网络类型的案件逐步增多,涉案存储设备容量越来越大,个人移动存储设备的使用越来越广泛,调查人员往往要面对大量的数据进行取证工作.另外,案件现场涉案人员多往往会造成硬盘多、数据量大,为了解决案件现场分析人员少、设备有限的瓶颈,便于取证人员能在案件现场及时有效的处理上述工作,如何提高计算机存储介质复制、镜像及还原速度就显得日益重要.目前相关技术蓬勃发展,相关前沿代表软件主要有AccessData公司的FTK Imager,X-Ways公司的WinHex,Guidance Software公司的EnCas,他们代表了这个行业的方向,然而,这些公司虽然都有相似设备及其系统,但其工作速度却并非符合期望,本文阐述了一种计算机存储介质的高速镜像方法,可有效解决现存问题,适用于案件现场快速分析,以及区县异地案件技术支援等工作.


1.研究方案描述

1.1 空间定义

1.1.1 定义数据获取运行空间R(简称空间R),镜像制作运行空间W1、W2......Wn,n为自然数(简称空间Wn).空间R负责从存储介质获取数据,空间Wn负责把空间R获取的数据制作成镜像.

1.1.2 定义空间R的同步因子,AR1.AR2......ARn,n为自然数;空间Wn 的同步因子,AW1,AW2.....AWn,n为自然数.同步因子分为有效态与无效态,处于有效态时,等待其的运行空间可以不作停留继续运行,处于无效态时等待其的运行空间会保持停止,不能继续运行.

1.1.3 定义独立数据空间M1,M2.....Mn,n为自然数(简称空间M),每个数据空间M的大小可以相同,也可以不同.

1.2 运行步骤

1.2.1 启动空间R,空间Wn,启动顺序无关先后.

1.2.2 首先,注意空间R,其从存储介质获取数据至空间M,完毕后做正确性检查,检查完成后等待符合条件的同步因子ARn,由于执行时间上的关系,空间R立即往下执行,执行完毕后判断AWn,对符合条件的设为有效态,不符合条件的忽略,变更数据空间M,继续重复执行上述步骤.

1.2.3 其次,关注空间Wn,由于执行时间上的关系,其进入等待符合条件的AWn,至空间R设AWn为有效态后立即往下执行,从数据空间M写数据至镜像文件,完毕后做正确性检查.然后判断ARn,落在条件区间内的设置为有效态,落在条件区间外的略过,变更数据空间M,继续重复执行上述步骤.

2.存在状况及讨论

2.1 获取数据速度大于制作镜像速度

若判断到源存储介质的获取数据速度比目标存储介质的制作镜像速度快,首先,回到空间R,先运行至判断等待同步因子ARn,由于获取数据速度大于制作镜像速度,空间R会等待符合条件的ARn,直至空间Wn把ARn设置为有效态,完毕后空间R再设置符合条件的AWn为有效态,变更数据空间M.然后继续获取数据.其次,关注空间Wn,先运行至判断等待AWn,由于制作镜像速度小于获取数据速度,符合条件的AWn这时已被设为有效态,所以空间Wn继续往下执行,从数据空间M写数据至镜像文件,做正确性检查,完毕后设置符合条件的ARn为有效态,变更数据空间M.然后再进入判断等待AWn的状态.

2.2 获取数据速度小于制作镜像速度

若判断到源存储介质的获取数据速度比目标存储介质的制作镜像速度慢,首先,回到空间R,先运行至判断等待同步因子ARn,由于获取数据速度小于制作镜像速度,符合条件的ARn这时已被设为有效态,空间R会立即往下执行,然后设置符合条件的AWn为有效态,变更数据空间M.完毕后继续获取数据,做正确性检查,进入等待ARn的状态.其次,关注空间Wn,先运行至判断等待AWn,由于制作镜像速度大于获取数据速度,空间Wn会立即往下执行,从数据空间M写数据至镜像文件,做正确性检查,完毕后设置符合条件的ARn为有效态,变更数据空间M.然后再进入判断等待AWn的状态.

2.3 获取数据速度等于制作镜像速度

若判断到源存储介质的获取数据速度与目标存储介质的制作镜像速度一致,首先,看空间R,前面运行至判断等待同步因子ARn,由于获取数据速度等于制作镜像速度,符合条件的ARn这时刚好被设为有效态,所以空间R会不做停顿执行下去,设置符合条件的AWn为有效态,变更数据空间M.完毕后继续获取数据,做正确性检查,又进入等待ARn的状态.再来看空间Wn,前面运行至判断等待AWn,由于制作镜像速度等于获取数据速度,符合条件的AWn这时刚好被设为有效态,所以空间Wn也会不做停顿立即往下运行,从数据空间M写数据至镜像文件,做正确性检查,完毕后设置符合条件的ARn为有效态,变更数据空间M.然后又进入判断等待AWn的状态.

无论镜像处于哪种情况,空间R和Wn都会重复上述步骤中的一种情况轨迹执行下去,直至根据传入的条件正确制作好镜像或在执行过程中触碰到异常情况而非常态终止.不管是常态完成镜像制作或非常态退出,都要完成结束工作.若为常态完成,则不管是空间R先完成或空间Wn先完成,都需判断是否所有空间都已完成,之后做结束动作,这时镜像才能正确有效地完成.若为非常态退出,则在空间R与空间Wn之间按照异常机制完成结束动作,安全终止业务.

3.结论

综上所述,本文阐述的计算机存储介质高速镜像方法可带来高速、卓越的计算机存储介质镜像效果,缩短工作必需时间,大幅提高相关司法取证工作人员的工作效率,提升工作能力,节省宝贵时间开支,强悍有力地支持司法工作的迅速有效展开.另外,本文采用的镜像方法在工作中几乎不耗用计算机系统内存,极大节省了有限的系统资源开支,为低端设备的有效工作提供了先决保证,其优越性相信在各种司法取证应用及其它相关领域有着广阔的市场及应用前景.