CN104751076A - 一种恢复磁盘数据的方法 - Google Patents
一种恢复磁盘数据的方法 Download PDFInfo
- Publication number
- CN104751076A CN104751076A CN201510179206.XA CN201510179206A CN104751076A CN 104751076 A CN104751076 A CN 104751076A CN 201510179206 A CN201510179206 A CN 201510179206A CN 104751076 A CN104751076 A CN 104751076A
- Authority
- CN
- China
- Prior art keywords
- file
- bunch
- data
- free
- free area
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
本发明提供了一种恢复磁盘数据的方法,该方法包括:将数据区划分为以簇为单位的逻辑结构,每个簇与文件分配表内的一个簇项对应;查找存在簇空闲区的宿主文件,利用文件系统中存在的多个宿主文件来共同隐藏数据;将宿主文件空闲簇的簇号组成簇号队列,将目标文件经过无损压缩和加密后存储于磁盘中的具有连续空闲区的分区空闲区内,通过查找所述簇号队列来顺序恢复被隐藏数据。提出了一种恢复磁盘数据的方法,利用相对于操作系统透明的磁盘空闲空间进行数据隐藏,具有较高的安全性和时间效率,不受主机和宿主文件类型的影响。
Description
技术领域
本发明涉及磁盘数据管理,特别涉及一种恢复磁盘数据的方法。
背景技术
随着互联网与黑客技术的发展,针对计算机用户敏感数据的攻击事件频繁发生,造成了难以估量的损失。除了可能被远程恶意用户攻击,计算机用户存储在磁盘中敏感数据也有被其他本地用户窥探、窃取甚至破坏的危险。为了保证敏感数据的安全,人们对数据进行加密来隐藏数据本身所蕴含的信息,然而随着取证技术的发展,加密数据很容易被取证工具所发现,很难保证加密数据不被破解和修改。相比加密技术,信息隐藏技术把数据存储在介质的空闲区域内,使得被隐藏数据很难被发现,从而保证了数据的安全。现有技术中的隐藏方法,需要修改已有文件系统的某些数据结构,会改变宿主文件在磁盘中的位置,并产生一定数量的文件碎片,这显然影响了原有的直接数据的存储和读取。
因此,针对相关技术中所存在的上述问题,目前尚未提出有效的解决方案。
发明内容
为解决上述现有技术所存在的问题,本发明提出了一种恢复磁盘数据的方法,利用磁盘中的空闲区进行信息隐藏和恢复,包括:
在文件系统中将数据区划分为以簇为单位的逻辑结构,每个簇与文件分配表内的一个簇项对应;
查找存在簇空闲区的宿主文件,根据宿主文件的末尾簇内的空闲扇区数量进行分类,利用文件系统中存在的多个宿主文件来共同隐藏数据;
将宿主文件空闲簇的簇号按隐藏顺序组成簇号队列,将目标文件经过无损压缩和加密后存储于磁盘中的具有连续空闲区的分区空闲区内,通过查找所述簇号队列来顺序恢复被隐藏数据。
优选地,所述查找存在簇空闲区的宿主文件,进一步包括:
文件系统由分区引导记录区、文件分配表、文件目录表和数据区构成,每个逻辑分区都有一个分区引导记录区,用于系统引导、记录分区信息及文件分配表信息,文件分配表保存数据区各簇的使用情况信息,管理文件占用空间及空闲区,在分区引导记录区中指出文件目录表起始簇地址,文件目录表包含了每一个文件的目录项,记录了对应文件的名字、属性、建立或最后修改的时间以及文件在磁盘上存储的起始位置,数据区用于存储不同文件类型的数据;所述文件系统通过簇链来管理文件,当需要访问一个文件时,首先通过文件名从文件目录表对应目录项中找到该文件的起始簇号;其次利用起始簇号从文件分配表中找到下一个簇的簇号,直到出现文件结束标志为止;最后通过将文件对应簇链中的簇号转换成扇区号对文件进行定位和访问;当文件的大小不是簇大小整数倍时,在用于存储该文件的最后一个簇中产生空闲区,获取最后一个簇中所有空闲扇区组成的空闲区,将文件系统中所有簇的空闲区共同组成的空间作为簇空闲区;所述簇包含2n个扇区,其中n为正整数,存在簇空闲区的宿主文件的空闲扇区数量在1至(2n-1)之间,即根据末尾簇内的空闲扇区数量分为(2n-1)类。
优选地,所述恢复被隐藏数据进一步包括:
首先,读取分区空闲区中的文件空闲簇目录表,对比该列表整体的冗余校验值是否与该表最后4位数值一致,通过对比结果来验证该列表的完整性,若验证通过,即可从中获取宿主文件空闲簇列表;
其次,将簇号转换成扇区号来定位对应隐藏数据,然后按照文件空闲簇列表中的队列顺序,依次从相应扇区内读取隐藏数据,即可获得加密压缩数据,通过对比加密压缩数据的冗余校验值是否与文件空闲簇列表中对应数值一致来判断加密压缩数据的完整性;
最后,对加密压缩数据进行解压缩和解密,即可得到原始隐藏数据。
本发明相比现有技术,具有以下优点:
提出了一种恢复磁盘数据的方法,利用相对于操作系统透明的磁盘空闲空间进行数据隐藏,具有较高的安全性和时间效率,不受主机和宿主文件类型的影响。
附图说明
图1是根据本发明实施例的恢复磁盘数据的方法的流程图。
具体实施方式
下文与图示本发明原理的附图一起提供对本发明一个或者多个实施例的详细描述。结合这样的实施例描述本发明,但是本发明不限于任何实施例。本发明的范围仅由权利要求书限定,并且本发明涵盖诸多替代、修改和等同物。在下文描述中阐述诸多具体细节以便提供对本发明的透彻理解。出于示例的目的而提供这些细节,并且无这些具体细节中的一些或者所有细节也可以根据权利要求书实现本发明。
本发明的一方面提供了一种恢复磁盘数据的方法,在解析磁盘分区及簇文件系统的基础上,寻找相对于操作系统透明的磁盘空闲区,然后利用该空闲区来隐藏数据。图1是根据本发明实施例的恢复磁盘数据的方法流程图。
磁盘中包含着大量的扇区,其中大部分被磁盘管理数据结构(如磁盘分区表)、文件系统所使用。除此之外,在磁盘中仍存在一定数量的空闲扇区由于某些原因未被使用,将这些扇区所组成的空间为磁盘空闲区,并根据产生原因将磁盘空闲区分为分区空闲区和簇文件空闲区。
本发明采用主引导记录进行磁盘分区。磁盘由主引导记录、主分区和扩展分区组成。其中,主引导记录位于磁盘的第一个扇区,存储着启动代码和磁盘分区表,记录着磁盘本身的相关信息。启动代码作用是检查磁盘分区表是否正确,并且在BIOS工作完成以后负责操作系统的引导工作。磁盘分区表的作用是记录主分区和扩展分区的起始扇区位置、分区大小等基本信息。
扩展分区和主分区均由主引导记录结构管理。与主分区不同的是,扩展分区在理论上可以划分为无数个逻辑分区,每一个逻辑分区都有一个和主引导记录类似的扩展引导记录,扩展引导记录中的分区表记录了自身分区信息以及下一个逻辑分区的扩展引导记录的位置,而最后一个逻辑分区的分区表只记录了自身分区信息,这样就通过单向链表的形式组成了逻辑分区链。通过使用扩展分区来替换某一个主分区,再将扩展分区分成若干个逻辑分区,就能解决主引导记录分区中分区数量扩展的问题。
通过分析磁盘分区表,可以获取包括分区大小、分区位置等分区信息,从而掌握磁盘的整体组织结构。对于磁盘来说,分区是其组成部分,占据着大部分扇区,操作系统可直接通过文件系统访问分区内部扇区。除分区所占扇区外,磁盘内部还存在着一定数量的可用扇区,这些扇区一部分被主引导记录或扩展引导记录所占用,记录着磁盘关键信息,不可轻易改动;另一部分则由于分区策略的特殊规定等原因而处于空闲状态,将这些扇区称为分区空闲扇区,将这些扇区组成的空间称为分区空闲区。
在主引导记录分区中,主引导记录与扩展引导记录都只占用单独一个磁道的某一个扇区,而该磁道的其他扇区通常处于空闲状态,形成分区空闲区。通过查找主引导记录或者扩展引导记录所形成的逻辑分区链表,就可以定位到相应的分区空闲区。此外,在主引导记录分区中,存在逻辑块寻址与磁头扇区寻址两种方式,而在磁盘分区时遵循柱面对齐的规则,因此在两种方式转换过程中,在磁盘的末端产生分区空闲区,该空闲区的起始扇区通常位于最后一个分区之后的第一个扇区,终止地址就是磁盘的最后一个扇区,因此通过查找磁盘分区表就可以定位到该分区空闲区。
操作系统通过文件系统来组织和管理磁盘中的大量数据。本发明的文件系统由分区引导记录区、文件分配表、文件目录表和数据区构成。每个逻辑分区都有一个分区引导记录区,该区域负责系统引导、记录分区信息及文件分配表信息。文件分配表是文件系统管理磁盘空间和文件的重要组成部分,它保存着数据区各簇的使用情况信息,管理着文件占用空间及空闲区。文件系统中的文件目录表无固定位置,把文件目录表当做文件处理,在分区引导记录区中指出文件目录表起始簇地址。文件目录表包含了每一个文件的目录项,记录了对应文件的名字、属性、建立或最后修改的时间以及文件在磁盘上存储的起始位置等信息。数据区用于存储不同文件类型的数据,为了提高数据访问效率,数据区被划分为以簇为单位的逻辑结构,每个簇都与文件分配表内的一个簇项对应。
文件系统通过簇链来管理文件。需要访问一个文件时,首先,通过文件名从文件目录表对应目录项中找到该文件的起始簇号;其次,利用起始簇号从文件分配表中找到下一个簇的簇号,以依此类推,直到出现文件结束标志为止;最后,通过将文件对应簇链中的簇号转换成扇区号,就可以实现文件的定位和访问。
在本发明的文件系统中,簇是数据管理的最小单元,一个簇由2n(n为正整数)个扇区组成。由于文件的大小以字节为单位,因此当文件的大小不是簇大小整数倍的时候,就会在用于存储该文件的最后一个簇中,产生空闲区。最后一个簇中所有空闲扇区组成的空闲区称为簇文件空闲区,而文件系统中所有簇文件空闲区共同组成的空间称为文件系统簇空闲区。
处于磁盘空闲区内的数据相对于操作系统来说是透明的。基于扇区扫描的数据泄露方式往往应用于诸如取证工具等磁盘管理工具,这些工具可能会依次遍历磁盘中全部扇区,仅能处理存储在连续扇区内的数据,一旦数据被分割存储,此类工具通常无能为力。因此,在建立磁盘结构及磁盘空闲区的基础上,本发明利用具有相对于操作系统透明以及分布随机等特点的磁盘空闲区来实现一种具有较好隐蔽性能的磁盘信息隐藏方法。
本发明方法的基本思想是:若一个簇包含2n(n为正整数)个扇区,则存在簇空闲区的宿主文件根据末尾簇内的空闲扇区数量分为(2n-1)类,这些存在簇空闲区的宿主文件中的空闲扇区数量从1至(2n-1)不等。每一类存在簇空闲区的宿主文件中可用于隐藏数据的空间很有限,最大不超过512(2n-1)字节,无法隐藏较大的数据。然而,对于簇式文件系统来说,存在簇空闲区的宿主文件普遍存在,因此可以利用文件系统中存在的多个存在簇空闲区的宿主文件来共同隐藏数据,这样既可以提高隐藏容量,又可以提高隐蔽性。
为了便于恢复原始数据,可将宿主文件空闲簇的簇号按隐藏顺序组成簇号队列。该队列所占空间较小,但需要连续存储在某磁盘空闲区内,簇文件空闲区无法满足该条件,因此可选择将其经过无损压缩和加密后存储于磁盘中的具有连续空闲区的分区空闲区内,这样通过查找簇号队列,即可顺序恢复原始隐藏数据。
下面具体阐述该隐藏方法。假设文件系统的每一个簇由四个扇区组成,每个扇区大小为512字节,则每个簇大小为2048字节。
a)原始隐藏数据为R,利用128位的MD5算法加密R生成R*,再利用LZ77压缩算法对R*进行无损压缩生成新的隐藏数据F,大小为SF字节,F所占用的扇区数为NF,NF=SF/512。通过查找主引导记录及扩展引导记录的分区表,定位到文件系统对应的分区空闲区C,其大小为SC字节。
b)存在簇空闲区的宿主文件分为A、B、C三类,对应的有A、B、C三类文件空闲簇,分别能够隐藏512字节、1024字节、1536字节的数据。对于文件系统中的某个文件R,大小为SR位,若SR mod 2048=0或SRmod 2048>1536,则该文件不属于存在簇空闲区的宿主文件;若0<SR mod 2048≤512,则该文件属于C类存在簇空闲区的宿主文件;若512<SR mod 2048≤1024,则该文件属于B类存在簇空闲区的宿主文件;若1024<SR mod 2048≤1536,则该文件属于A类存在簇空闲区的宿主文件。通过以上判定条件,可得文件系统中的三类存在簇空闲区的宿主文件的数量分别为NA、NB、NC。
c)F由A、B、C这三类文件共同隐藏,假设所需的三类宿主文件数量分别为Na、Nb、Nc,则根据如下条件可确定Na、Nb、Nc的值。
0≤Na≤NA,0≤Nb≤NB,0≤Nc≤NC
min(Na+2Nb+3Nc)≥NF
24+4min(Nc+Nb+Na)≤Sc
d)在文件系统中,分别选取Na个A类文件、Nb个B类文件、Nc个C类文件。利用文件目录表得到三类文件的起始簇号,然后再利用文件分配表得到对应的文件空闲簇的簇号(用4字节的16进制数表示)。分别将选取的三类文件空闲簇的簇号按顺序组成队列S[na]、S[nb]和S[nc],0≤na≤Na,0≤nb≤Nb,0≤nc≤NC。
e)建立F的文件空闲簇目录表TF。表中各项数据均采用16进制,最后一项存储的是该表前[20+4(Nc+Nb+Na)]字节的冗余校验值。
f)利用128位的MD5算法加密TF生成TF*,再利用LZ77算法对TF*进行无损压缩生成TF**。然后从已定位的分区空闲区C的首地址开始,写入TF**。
g)紧挨着F的末尾,添加m个0xFF,m=512Na+1024Nb+1536Nc-SF,生成新的数据F*。将F*从前往后依次划分为Nc个大小为1536字节数据块、Nb个大小为1024字节数据块和Na个大小为512字节数据块。
h)分别按照S[na]、S[nb]和S[nc]的顺序,将相应大小的数据块写入到选定的三类文件空闲簇的簇文件空闲区中。
参照上述信息隐藏方法,可获得隐藏数据的恢复方法。首先,读取分区空闲区C中的文件空闲簇目录表,通过对比该列表整体的冗余校验值是否与该表最后4位数值一致来验证该列表的完整性,若验证通过,即可从中获取宿主文件空闲簇列表;其次,将簇号转换成扇区号即可定位对应隐藏数据,然后按照文件空闲簇列表中的队列顺序,依次从相应扇区内读取隐藏数据,即可获得数据F,通过对比F的冗余校验值是否与文件空闲簇列表中对应数值一致来判断F的完整性;最后,对F进行解压缩和解密,即可得到原始隐藏数据R。
根据本发明的进一步的方面,对于固态硬盘的信息隐藏和读取,采用符合固态硬盘存储特点的文件隐藏方法,将空闲物理块进行结合来存储涉密数据。为了与传统磁盘存储设备保持兼容,固态硬盘控制器使用特定数据结构与算法建立一个地址转换层,向上层提供控制接口,并对下层存储单元进行有效管理。
地址转换层实现从逻辑地址到物理地址的转换。为保证地址转换效率,以块为单位进行,实现从逻辑块到物理块的转换。逻辑块地址是指线性逻辑地址中的块地址部分,物理块是指实际物理块,物理块编号与实际地址的块地址部分一致。在实际使用中,逻辑块地址与实际物理块地址对应关系是动态变化的。如何维护逻辑块地址与物理块地址的映射关系是地址转换层实现的关键。本发明的转换方法如下所示:
为每个分区建立一个查找表LT。LT中位0~位9为逻辑块X映射到物理块地址Y,找到当前逻辑块对应的物理块地址,通过查看位10可知对应物理块地址Y的初始化情况;当以物理块地址作为索引进行查找时,可通过查看位13、位14、位15标志位,获知物理块的相关标志信息。
在LT中,只有0~999项用于逻辑块寻址,而物理块标志信息则在0~1023项中都有记录。在物理块的空闲区记录着当前块对应的逻辑块地址,若物理块未映射,则地址默认以“0xFF”填充,通过查询该信息即可获知物理块对应的逻辑地址。本发明采用动态磨损平衡算法,逻辑块地址与物理块地址映射关系是动态变化的。每次执行写操作,都会申请一个新物理块,将修改内容写入到新的物理块,再将原块释放为自由块,这样就保证了每个物理块的使用次数趋于一致。
固态硬盘的文件系统由引导记录区、保留区、文件分配表1、文件分配表2(文件分配表1的备份)及数据区组成。引导记录区记录着文件系统的部分关键信息,如根目录起始簇号、每个扇区大小、每个簇包含扇区数等。文件分配表由文件分配表项组成,每个表项对应数据区的一个簇,且每个表项都有一个固定的编号对应数据区的一个簇,表项的值不同代表的含义不同。数据区存储数据信息,是文件系统的区域。
文件系统为每个文件和目录都建立了一个目录项,用于描述文件或文件夹的属性、起始簇号、名称等关键信息。文件系统的根目录存储在指定的根目录区,根目录位于数据区。通过分析文件的存储路径,逐级查找子目录即可获得目标文件的目录项,通过起始簇号找到文件。文件在数据区进行存储,并在文件分配表中该簇对应的表项中记录下所对应的下一簇的簇号,通过这种方式来实现文件的链式存储。
本发明利用固态硬盘中用于备份的物理块进行信息隐藏。由于该方法存储空间不占用正常使用的物理块,因此,使用者与电子取证软件无法发现数据存在。依据本发明的隐藏方法实现方案可将其分为两项内容,即预处理和文件隐藏的实现。
由于文件系统采用链式结构,因此待隐藏的目标文件存储可能比较零散,与其他文件甚至目录文件在物理地址分布上交织在一起,这样不利于文件隐藏与恢复,尤其对于目录项与文件分配表,导致对这些文件线索的隐藏极其困难。因此,为避免这一问题,在对目标文件隐藏之前需完成一些前期预处理。这些预处理包括:
a)集中存储文件的数据部分:先将目标文件先于其他文件写入磁盘,这样目标文件就能优先获得数据区靠前连续的簇用于存储文件内容。
b)使文件目录项所在页为单独的一页,并不受干扰;文件的目录项放置在紧靠卷标目录项之后,与目录项同页,在目录项之后数据区用“0xFF”字节填充,这样就能够保证该页下只有目标文件这一个目录项,从而避免在隐藏时影响到其他文件;
c)预设一个扇区替换目标文件目录项扇区。当文件隐藏后,为隐藏文件创建一个镜像文件。在一个实施例中源文件目录项处用“0xFF”填充,做一个空闲页保存到他处备用(如保留扇区处等)。
预处理就绪后,即可进行文件隐藏操作。所需保存的内容包括文件本身与文件目录项所在页。
本发明隐藏过程包括以下步骤:
a)为要隐藏的数据申请一个空闲块A,将待隐藏的数据拷入到块A中,设置该块标志位为已使用块但不映射到任何逻辑块,这时该物理块既不在逻辑映射队列,也不在备用块队列,因此不会被占用。用于隐藏信息的物理块成为宿主块。
b)申请一个空闲块B,将文件所在原逻辑块对应的物理块中其他页按位置对应关系转移到块B中,原目录项所在页用镜像页替代,原文件所在页只需用其他数据填充(如镜像页)。在页拷贝操作时,还需注意各页空闲区的冗余校验、映射逻辑地址会变化,因此根据上述变化来修改空闲区信息。
c)将逻辑块对应的物理块修改为当前的物理块B,修改相关块的标志信息,并释放原逻辑块到备份队列中。
假设被隐藏的文件小于128KB,即只要一个物理块即可保存。由预处理可知,文件系统的根目录只有一个簇(1个簇=4个扇区),恰好对应一个物理页,因此紧随其后的下一个簇(对应下一个物理页)就是待隐藏的目标文件的起始簇。隐藏文件的拷贝也从根目录所在物理页的下一页开始,降低了文件隐藏的复杂度。由于隐藏过程只对文件数据区内容进行了隐藏,未修改文件的文件分配表,原文件所占用的数据区还未释放,这也为文件的恢复降低了难度。
目标文件的恢复过程是将文件从宿主块恢复到逻辑地址空间的过程。分为恢复目录项和恢复数据文件两部分。恢复过程与文件隐藏的第二步相似:
a)先申请一个新的空闲块C,找到根目录所在的逻辑块对应的物理块,将根目录之前的页按顺序拷贝到新的空闲块中,根目录的首页就是镜像页,用目标文件的实际目录页替换镜像页,即完成了目录项的替换;
b)紧随目录页之后就是目标文件的数据实际存储区,拷贝文件,直到当前空闲块结束;
c)修改LT,使用空闲块C替换原根目录所在的物理块,并释放该物理块到备用块队列中;
d)申请新块D,拷贝文件的剩余页,将文件所在的原逻辑块中目标文件之后的数据页拷贝到块D的剩余空间中,直到该块结束;
e)修改LT相关项,使用空闲块C替换当前逻辑块对应的物理块,并释放该物理块。
综上所述,本发明提出了一种恢复磁盘数据的方法,利用相对于操作系统透明的磁盘空闲空间进行数据隐藏,具有较高的安全性和时间效率,不受主机和宿主文件类型的影响。
显然,本领域的技术人员应该理解,上述的本发明的各模块或各步骤可以用通用的计算系统来实现,它们可以集中在单个的计算系统上,或者分布在多个计算系统所组成的网络上,可选地,它们可以用计算系统可执行的程序代码来实现,从而,可以将它们存储在存储系统中由计算系统来执行。这样,本发明不限制于任何特定的硬件和软件结合。
应当理解的是,本发明的上述具体实施方式仅仅用于示例性说明或解释本发明的原理,而不构成对本发明的限制。因此,在不偏离本发明的精神和范围的情况下所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。此外,本发明所附权利要求旨在涵盖落入所附权利要求范围和边界、或者这种范围和边界的等同形式内的全部变化和修改例。
Claims (3)
1.一种恢复磁盘数据的方法,利用磁盘中的空闲区进行信息隐藏和恢复,其特征在于,包括:
在文件系统中将数据区划分为以簇为单位的逻辑结构,每个簇与文件分配表内的一个簇项对应;
查找存在簇空闲区的宿主文件,根据宿主文件的末尾簇内的空闲扇区数量进行分类,利用文件系统中存在的多个宿主文件来共同隐藏数据;
将宿主文件空闲簇的簇号按隐藏顺序组成簇号队列,将目标文件经过无损压缩和加密后存储于磁盘中的具有连续空闲区的分区空闲区内,通过查找所述簇号队列来顺序恢复被隐藏数据。
2.根据权利要求1所述的方法,其特征在于,所述查找存在簇空闲区的宿主文件,进一步包括:
文件系统由分区引导记录区、文件分配表、文件目录表和数据区构成,每个逻辑分区都有一个分区引导记录区,用于系统引导、记录分区信息及文件分配表信息,文件分配表保存数据区各簇的使用情况信息,管理文件占用空间及空闲区,在分区引导记录区中指出文件目录表起始簇地址,文件目录表包含每一个文件的目录项,记录对应文件的名字、属性、建立或最后修改的时间以及文件在磁盘上存储的起始位置,数据区用于存储不同文件类型的数据;所述文件系统通过簇链来管理文件,当需要访问一个文件时,首先通过文件名从文件目录表对应目录项中找到该文件的起始簇号;其次利用起始簇号从文件分配表中找到下一个簇的簇号,直到出现文件结束标志为止;最后通过将文件对应簇链中的簇号转换成扇区号对文件进行定位和访问;当文件的大小不是簇大小整数倍时,在用于存储该文件的最后一个簇中产生空闲区,获取最后一个簇中所有空闲扇区组成的空闲区,将文件系统中所有簇的空闲区共同组成的空间作为簇空闲区;所述簇包含2n个扇区,其中n为正整数。
3.根据权利要求2所述的方法,其特征在于,所述恢复被隐藏数据进一步包括:
首先读取分区空闲区中的文件空闲簇目录表,对比该列表整体的冗余校验值是否与该表最后4位数值一致,通过对比结果来验证该列表的完整性,若验证通过,即可从中获取宿主文件空闲簇列表;
将簇号转换成扇区号来定位对应隐藏数据,然后按照文件空闲簇列表中的队列顺序,依次从相应扇区内读取隐藏数据,即可获得加密压缩数据,通过对比加密压缩数据的冗余校验值是否与文件空闲簇列表中对应数值一致来判断加密压缩数据的完整性;
对加密压缩数据进行解压缩和解密,得到原始隐藏数据。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510179206.XA CN104751076A (zh) | 2015-04-15 | 2015-04-15 | 一种恢复磁盘数据的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510179206.XA CN104751076A (zh) | 2015-04-15 | 2015-04-15 | 一种恢复磁盘数据的方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104751076A true CN104751076A (zh) | 2015-07-01 |
Family
ID=53590744
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510179206.XA Pending CN104751076A (zh) | 2015-04-15 | 2015-04-15 | 一种恢复磁盘数据的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104751076A (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107908967A (zh) * | 2017-10-30 | 2018-04-13 | 上海威固信息技术股份有限公司 | 一种Exfat文件系统的文件隐藏和恢复方法 |
| CN108280192A (zh) * | 2018-01-25 | 2018-07-13 | 中孚信息股份有限公司 | 一种根据扇区逆向定位文件的实现方法 |
| CN108664578A (zh) * | 2018-05-03 | 2018-10-16 | 中北大学 | 一种文件循环存储方法及系统 |
| CN110795750A (zh) * | 2019-10-25 | 2020-02-14 | 苏州浪潮智能科技有限公司 | 一种文档加密寄宿方法、系统及装置 |
| CN111967027A (zh) * | 2020-07-27 | 2020-11-20 | 北京尖晶尖科技有限公司 | 一种数据安全存储及高效恢复方法、装置及计算机设备 |
| CN112231151A (zh) * | 2020-11-02 | 2021-01-15 | 北京蜂窝科技有限公司 | 一种数据恢复方法及系统 |
| CN115237352A (zh) * | 2022-08-03 | 2022-10-25 | 中国电子科技集团公司信息科学研究院 | 隐匿存储方法、装置、存储介质和电子设备 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009009921A1 (en) * | 2007-07-13 | 2009-01-22 | Intel Corporation | Key based hidden partition system |
| CN104408377A (zh) * | 2014-10-29 | 2015-03-11 | 北京锐安科技有限公司 | 一种取证数据隐蔽存储的方法和装置 |
-
2015
- 2015-04-15 CN CN201510179206.XA patent/CN104751076A/zh active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009009921A1 (en) * | 2007-07-13 | 2009-01-22 | Intel Corporation | Key based hidden partition system |
| CN104408377A (zh) * | 2014-10-29 | 2015-03-11 | 北京锐安科技有限公司 | 一种取证数据隐蔽存储的方法和装置 |
Non-Patent Citations (5)
| Title |
|---|
| 《中国科技论文在线》 * |
| 《计算机应用研究》 * |
| 《软件学报》 * |
| 姜子峰等: "基于磁盘冗余空间的数据隐藏", 《计算机应用研究》 * |
| 白桂梅等: "NTFS下文件隐藏方式研究", 《计算机应用与软件》 * |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107908967A (zh) * | 2017-10-30 | 2018-04-13 | 上海威固信息技术股份有限公司 | 一种Exfat文件系统的文件隐藏和恢复方法 |
| CN108280192A (zh) * | 2018-01-25 | 2018-07-13 | 中孚信息股份有限公司 | 一种根据扇区逆向定位文件的实现方法 |
| CN108664578A (zh) * | 2018-05-03 | 2018-10-16 | 中北大学 | 一种文件循环存储方法及系统 |
| CN108664578B (zh) * | 2018-05-03 | 2020-10-20 | 中北大学 | 一种文件循环存储方法及系统 |
| CN110795750A (zh) * | 2019-10-25 | 2020-02-14 | 苏州浪潮智能科技有限公司 | 一种文档加密寄宿方法、系统及装置 |
| CN111967027A (zh) * | 2020-07-27 | 2020-11-20 | 北京尖晶尖科技有限公司 | 一种数据安全存储及高效恢复方法、装置及计算机设备 |
| CN111967027B (zh) * | 2020-07-27 | 2022-12-02 | 北京尖晶尖科技有限公司 | 一种数据安全存储及高效恢复方法、装置及计算机设备 |
| CN112231151A (zh) * | 2020-11-02 | 2021-01-15 | 北京蜂窝科技有限公司 | 一种数据恢复方法及系统 |
| CN115237352A (zh) * | 2022-08-03 | 2022-10-25 | 中国电子科技集团公司信息科学研究院 | 隐匿存储方法、装置、存储介质和电子设备 |
| CN115237352B (zh) * | 2022-08-03 | 2023-08-15 | 中国电子科技集团公司信息科学研究院 | 隐匿存储方法、装置、存储介质和电子设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104794024A (zh) | 一种数据恢复方法 | |
| CN104751076A (zh) | 一种恢复磁盘数据的方法 | |
| US9742564B2 (en) | Method and system for encrypting data | |
| CN102236589B (zh) | 一种基于数字标识符管理增量文件的数据保护方法 | |
| Pang et al. | StegFS: A steganographic file system | |
| US7185205B2 (en) | Crypto-pointers for secure data storage | |
| Peterson et al. | Secure Deletion for a Versioning File System. | |
| US20150193640A1 (en) | Encryption/decryption for data storage system with snapshot capability | |
| US20140297603A1 (en) | Method and apparatus for deduplication of replicated file | |
| CN105993018B (zh) | 移动设备上的内容项加密 | |
| US20090323940A1 (en) | Method and system for making information in a data set of a copy-on-write file system inaccessible | |
| US9749132B1 (en) | System and method for secure deletion of data | |
| US20080282355A1 (en) | Document container data structure and methods thereof | |
| JP5620792B2 (ja) | 分散アーカイブシステム並びにデータアーカイブ装置及びデータ復元装置 | |
| US10903977B2 (en) | Hidden electronic file systems | |
| WO2016029743A1 (zh) | 一种生成虚拟机的逻辑磁盘的方法,及装置 | |
| CN112612576B (zh) | 虚拟机备份方法、装置、电子设备及存储介质 | |
| US10095706B2 (en) | Data access system and data access method | |
| Pang et al. | Steganographic schemes for file system and b-tree | |
| CN100386737C (zh) | 基于包结构的数据恢复方法 | |
| CN101908361B (zh) | 一种u盘私有信息隐藏方法 | |
| CN104199909B (zh) | VMware场景中恢复NTFS高级加密文件的方法 | |
| CN104794062A (zh) | 一种磁盘读取方法 | |
| KR101767104B1 (ko) | 파일 시스템에 메시지 숨기는 장치 및 방법 | |
| KR20090071348A (ko) | 파일 안전 삭제 기능을 갖는 플래시 메모리 장치 및 플래시파일 안전 삭제 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20150701 |
|
| RJ01 | Rejection of invention patent application after publication |