在信息化时代,对计算机各种恶意或无意的操作都可能给人类带来巨大的威胁。一旦案情或事故发生,从计算机存储设备中获取有意义的信息将有助于对问题进行分析,从中得知事故原因,便于做出下一步的对策,将损失降低到最低限度,甚至可以追究相应人员的责任,为案情侦破提供线索依据甚至呈堂证供。这就是计算机取证的意义。证据分析是计算机取证的核心步骤,是分析手中电子证物,确定证据类型的过程,比如文件内容检查与已删文件的恢复等。其中,对可见信息的分析按照常规方法即可。而面对目标文件或具体信息被删除,甚至硬盘被格式化、重分区等常见情况,只有配合数据恢复技术,才能尽可能提取更多的证据。因此本文对数据恢复技术进行了研究,并实现了一个数据恢复系统,专门适用于取证过程中证据分析。系统包含常见文件系统下,基于文件系统层次、基于文件内容层次、两种层次相结合的数据恢复模块。各层次模块间互相补充,为计算机取证提供了多样化支撑。本文通过分析硬盘与文件系统运行原理与文件删除、分区格式化机制,在实现一般已删文件恢复功能的同时,还提出了在文件内容层次基于最小内容特征的数据恢复算法(AMCF),用于抵御格式化等破坏性操作。算法核心思想是对磁盘进行细粒度深度扫描,根据index. dat、注册表、缩略图缓存等存储有敏感信息的文件的最小单位内容的特征,决定如何匹配并提取需要的敏感信息。系统目前具有恢复Windows系统下指定类型的已删除文件、恢复计算机使用者上网记录、USB存储设备使用记录信息等功能。实验数据表明,数据恢复系统的文件恢复模块能够成功扫描并恢复已删除文件。几大具体敏感信息恢复模块对具体敏感数据的恢复也非常快速、全面。最重要的是,在面对格式化后的数据恢复,它们都有着极高的恢复成功率与扫描速度,这使其在行业内具有一定优势。