计算机取证：发现隐藏的数据

对罪证调查人员来说，大多数犯罪分子都不善于隐藏电脑中的犯罪证据。而如果调查人员不熟悉计算机对于内存和磁盘的管理方式，很可能无法找到隐藏在硬盘或内存某处的重要文件和数据。在本文中我们将重点放在三个有可能发现重要数据的位置－已删除文件和slack空间，交换空间，以及休眠文件。

已删除文件和slack空间

当操作系统像磁盘写入数据时，会给这些数据分配几个扇区。所分配的扇区数量根据操作系统的限制以及管理员的设定参数而有所不同。分配的扇区以及他们在磁盘上的位置都被记录在文件访问表中以便日后访问这些数据。

当文件删除时，存放文件的原始扇区只是被简单的标记为未经分配，而实际文件数据仍然保存在磁盘上。因此通过很多常用的磁盘工具都可以将这些已经被删除的文件恢复。但是如果有新的文件被写入了这些表极为未分配的扇区，又会怎么样呢？图A显示了这种情况下原始数据可能出现的情况。
 

图A

假设文件A首先被存入扇区1和2，并且这两个扇区被文件A完全占满。当用户删除文件A后，扇区1和2被标记为未分配，然而文件A的数据内容依然存在于这两个扇区上。

接下来用户在删除了文件A后又保存了文件B，而操作系统再一次将扇区1和2分配给了文件B，同时我们可以看到文件B的大小要小于 文件A，因此扇区2并没有完全被文件2占满。这个未被文件2占满的扇区部分就称作slack空间，在这个空间中仍然保存着文件A的部分数据。目前任何计算机取证工具软件都可以读取并分析Slack空间中的数据。

Swap空间

不论是Linux还是Windows系统，都使用磁盘来扩展内存空间。在这种虚拟内存模式下，操作系统会将内存中的数据挪到硬盘的特殊位置，以便空闲出内存空间进行其余的操作任务。当被移动到硬盘上的数据需要被使用时，操作系统再将这些数据读取到内存中。硬盘上这个用来交换内存数据的特殊文件或者位置就被称作交换文件（swap file）或者交换空间（swap space）。在Linux环境下，交换空间实际上是一个磁盘分区。而在Windows XP系统上，交换文件是一个名叫Pagefile.sys的系统文件。

由于内存中的所有数据都被映射到了交换空间，因此调查人员可以在交换空间中发现一些他们感兴趣的内容。另外，磁盘上有些文件是被加密的，但是在内存中可能是明文，有些密码在内存中也可能是以明文形式存在。这主要是由于一些程序设计上的疏漏导致密码可以以明文形式存在于内存中。另外，一些电子邮件或者存放在远程位置的文件内容也可能在交换文件中找到踪迹。任何标准的磁盘维护工具都可以访问交换文件。

休眠文件

当系统进入睡眠或者休眠模式时，会生成一个休眠文件。比如运行WindowsXP的系统在进入休眠模式时会生成一个包含了整个内存内容的休眠文件。和交换空间一样，休眠文件中也可能存在着大量的无法在系统其他位置找到的重要数据。同样有不少磁盘维护工具可以访问休眠文件。

一般来说，作为罪证的电脑系统上会存放着大量有用的信息。调查人员所需要的只是知道该去什么地方找，以及该利用什么样的工具和技术来提取这些数据。

（责任编辑:陈毅东）