本發(fā)明屬信息安全技術(shù)領(lǐng)域，尤其涉及一種殘缺數(shù)據(jù)庫文件檢驗方法，包括如下步驟：A、提取系統(tǒng)數(shù)據(jù)存儲文件，確定數(shù)據(jù)庫中的系統(tǒng)表；B、分析數(shù)據(jù)庫所有表中每個記錄的邏輯結(jié)構(gòu)關(guān)系及數(shù)據(jù)存儲格式，得到各個字段的具體信息和數(shù)據(jù)存儲在表中的內(nèi)容特征并記錄；C、根據(jù)數(shù)據(jù)庫存儲的邏輯結(jié)構(gòu)關(guān)系，得出數(shù)據(jù)恢復(fù)具體邏輯結(jié)構(gòu)特征；D、按照數(shù)據(jù)提取邏輯算法在硬盤中提取特征數(shù)據(jù)，再將所述數(shù)據(jù)組成數(shù)據(jù)表形式，并進(jìn)行提取；E、采用數(shù)據(jù)頁定位、無日志恢復(fù)、提取和排序重組算法，自動恢復(fù)、提取、重組被刪數(shù)據(jù)庫文件殘留在磁盤內(nèi)的數(shù)據(jù)。本發(fā)明在“無日志”條件下，可有效完成數(shù)據(jù)信息恢復(fù)，具有涉案記錄提取功能。

技術(shù)領(lǐng)域

本發(fā)明屬信息安全技術(shù)領(lǐng)域，尤其涉及一種殘缺數(shù)據(jù)庫文件檢驗方法。

背景技術(shù)

當(dāng)前數(shù)據(jù)庫被應(yīng)用在各個領(lǐng)域，數(shù)據(jù)庫中存儲的涉案信息在各類涉網(wǎng)案件辦理過程中發(fā)揮了關(guān)鍵作用。例如網(wǎng)絡(luò)傳銷案件中，傳銷團(tuán)伙實(shí)際發(fā)展會員數(shù)量（去重之后）、發(fā)展會員的層級關(guān)系、平臺的實(shí)際獲利金額、核心會員的身份信息和聯(lián)系方式，等涉案信息存儲在傳銷平臺數(shù)據(jù)庫中。網(wǎng)絡(luò)賭博案件中，用戶的投注金額、賬戶資金流水額、涉賭人員身份信息及聯(lián)系方式，等信息存儲在賭博網(wǎng)站后臺數(shù)據(jù)庫中。各類經(jīng)濟(jì)案件中，涉案金額等關(guān)鍵信息保存在財務(wù)數(shù)據(jù)庫中。基于偽基站的電信詐騙案件中，詐騙短信內(nèi)容、編輯時間、實(shí)際發(fā)送數(shù)量和嫌疑人聯(lián)系方式，等涉案信息保存在偽基站數(shù)據(jù)庫中。研究網(wǎng)絡(luò)犯罪案件涉案數(shù)據(jù)庫的取證、分析方法對公安機(jī)關(guān)的電子數(shù)據(jù)檢驗鑒定工作有重要意義。

目前涉案數(shù)據(jù)庫的檢驗鑒定工作存在以下問題：

1、在無日志或日志被清理情況下，無法有效恢復(fù)涉案數(shù)據(jù)庫中被刪除的涉案信息。

為了逃避法律的制裁，犯罪分子可能會惡意刪除、修改涉案數(shù)據(jù)庫中一些關(guān)鍵記錄，通常情況下公安機(jī)關(guān)的電子數(shù)據(jù)檢驗人員會根據(jù)數(shù)據(jù)庫的日志文件來恢復(fù)這些被刪除和修改的數(shù)據(jù)記錄；通過逐一分析恢復(fù)出的數(shù)據(jù)記錄，辦案人員可以從中找出與案件相關(guān)的線索。

但是目前的“數(shù)據(jù)庫恢復(fù)”方法存在以下問題：① 在實(shí)際辦案中，我們發(fā)現(xiàn)日志通常已被系統(tǒng)定期自動清理或刪除。因此很多情況下，數(shù)據(jù)庫中被刪除的涉案記錄幾乎無法完整恢復(fù)。② 數(shù)據(jù)庫的數(shù)據(jù)容量通常以GB為單位，龐大的數(shù)據(jù)量單純依靠人工的方式逐一進(jìn)行檢查顯然不符合實(shí)際。

2、被刪數(shù)據(jù)庫文件存儲特征值被局部覆蓋情況下，無法有效恢復(fù)數(shù)據(jù)庫文件。

目前大型數(shù)據(jù)庫管理系統(tǒng)（如Oracle、SQL Server）均具備獨(dú)立的數(shù)據(jù)庫文件，例如Oracle的system.dbf文件、SQL Server的master.mdf文件，數(shù)據(jù)庫中所有數(shù)據(jù)記錄均保存在這些數(shù)據(jù)庫文件中。犯罪分子為了逃避法律的制裁，可能會將數(shù)據(jù)庫文件刪除或直接格式化硬盤。

現(xiàn)有文件恢復(fù)軟件（如Final Data）采用的是通用恢復(fù)策略，而沒有針對不同類型網(wǎng)絡(luò)數(shù)據(jù)庫的存儲特點(diǎn)設(shè)計專門的恢復(fù)策略。因此在被刪除數(shù)據(jù)庫文件局部存儲特征值被覆蓋的情況下，現(xiàn)有取證系統(tǒng)無法有效恢復(fù)被刪數(shù)據(jù)庫文件。

3、現(xiàn)有的數(shù)據(jù)庫取證分析方法效率較低，取證周期長。

早期網(wǎng)絡(luò)數(shù)據(jù)庫容量通常以MB為單位，編寫簡單的存儲過程就可以對數(shù)據(jù)庫進(jìn)行取證分析。例如利用存儲過程分析傳銷網(wǎng)站會員層級數(shù)量，整個分析過程不過十幾分鐘。但是，近幾年出現(xiàn)的傳銷平臺，數(shù)據(jù)庫容量通常以GB，甚至TB為單位，急劇增加的數(shù)據(jù)量導(dǎo)致分析效率明顯降低，分析周期顯著增加。一個傳銷平臺會員層級的統(tǒng)計操作可能需要十幾天，甚至幾十天才能完成。因此，研制基于多線程技術(shù)的高效率統(tǒng)計分析算法就顯得尤為重要。

4、現(xiàn)場勘查過程中，涉案服務(wù)器直接斷電，造成數(shù)據(jù)庫文件損壞，無法正常使用的問題。