当前位置: 主页 > 关于效率源 > 行业洞察 > 热点技术

【技术视界】如何快速修正碎片图片重组结果有误的情况

2017-06-15 17:03


      编者按:在电子数据取证过程中,数据恢复之后往往得到的是文件碎片而不是完整的原始文件。虽然目前已经有相关技术可以对碎片数据进行重组,但对于碎片图片重组后结果有误的情况,往往没有办法进行快速修正。本期,数据恢复四川省重点实验室科研人员将介绍一种快速修复图片碎片重组有误的方法。


一、背景介绍

       在对存储介质进行电子数据取证时,数据恢复之后往往得到的是文件碎片而不是完整的原始文件,对碎片进行恢复提取,特别是对受损的文件系统,是电子数据取证研究的一个重要方面。虽然目前已经有相关技术可以对图片碎片数据进行重组,但对于碎片图片重组后结果有误的情况,却往往没有办法快速有效地进行修正。 

      备注:文件碎片主要是指文件不是以连续扇区的形式存储,被分割成2块或多块,一般是在存储介质上创建文件后对文件进行删除、修改所造成的。

      图片格式是存储介质存储图片的格式,常见的存储的格式有BMP、GIF、PNG、JPEG、PCX、CDR、PCD等,其中最常见的图片格式是JEPG格式。JEPG是Joint Photographic Experts Group(联合图像专家组)的缩写,文件后辍名为“.JPG”或“.JPEG”。下面,我们将以JEPG格式为例,讲解如何快速修正碎片图片重组结果有误方法。


二、JPEG文件结构

      JPEG文件的完整结构是指包含JPEG文件必需的标志信息,且每一个标志信息的结构是完整且有效地,JPEG文件必需的标志信息包括0xFFD8、0xFFDB、0xFFC0、0xFFC4、0xFFDA、0xFFD9,其中0xFFD8必须位于文件头部,0xFFD9必须位于文件尾部,其他标志信息无序。

     JPEG文件是结构化的文件,信息主要集中在以FFD8开始的文件头中,数据信息放在以字符FFDA开始的数据段中,直到遇到结束符FFD9。其文件头包括抽样率、哈弗曼编码表、文件尺寸大小等信息。其中最关键的组件是哈弗曼编码表,图片数据主要由它进行编码。哈弗曼编码表一般由4个表组成,即表示图片亮度、色度的AC值、DC值。

      JPEG文件由最小数据单元MCU组成,根据不同的抽样率,MCU的大小也不一样。MCU是图像中一个正方矩阵像素的数据,在图片像素数据流中,信息可以被分为一段接一段的最小编码单元(Minimum Coded Unit,MCU)数据流。 在每一个MCU内部,数据的顺序是Y、Cr、Cb。如果一个颜色分量有多个数据单元,则顺序是从左到右,从上到下。每个MCU又分为若干个数据单元。数据单元的大小必定为8*8,所以每个MCU的数据单元个数为Hmax*Vmax,Hmax是Y、Cr、Cb三个分量中水平采样因子最大值,Vmax是垂直采样因子最大值。


三、JPEG图片碎片恢复的技术原理

      根据文件系统存储文件的原理,簇是文件系统存储数据的最小单元,通过连续假设检测的方法处理碎片文件,可以不断地判别后续块是否属于该碎片。

      针对JPEG图片文件而言,在定位文件头位置时,解析文件头相关信息后,根据图片的宽度以及MCU矩阵的大小,每次在已找到的文件头所在簇的数据末尾,添加非特征头的空闲块中第一个簇的数据,组合数据后定位到图片文件真实数据区,按照MCU的大小划分数据内容,划分完成后依次选出两两相邻的MCU矩阵,读取出第一个MCU的最后一行数据和第二个MCU的第一行数据,并计算出此数据的相似度值,与预先设定的值进行比较来取舍该次加入数据。


四、JPEG图片碎片数据重组步骤

      1.碎片自动重组

      由于碎片化的数据往往碎片段都很多,通过算法计算出两个MCU的相似度,相似度在软件事先设置的区域内就认为两个碎片是同一张图片相连的两个碎片,于是将他们重组在一起,如图1。

图片1_副本.png

图片2_副本.png

图1

      2.判断重组图片是否正常

      对于图片来说,不同的碎片之间的相似度并不相同,而且也并不是相似度越高就证明是同一张图片。所以通过算法将碎片重组成的图片肯定会有误差,而算法是无法确认图片是否完全正确,此时需要通过人工方式判断重组图片是否正确。对于正常的图片,可以直接保存。而对于不正常的图片,则需要进一步采取措施。

      3.对不正常图片进行重组修正

      通过观察重组后的图片,发现图片不正常的区域。点击不正常的区域,删除此区域对应的碎片块,然后通过上面的算法计算出碎片间相似度在区域内的所有的碎片,再通过人为方式选择一个碎片,软件就会自动将这两个碎片重组然后展现在界面上。此时再观察图片是否为同一张图片?如不是,按照此方法反复直至重组完成该图片。

     具体的步骤流程,如图2:

图片3.png


五、小结

      本期,数据恢复四川省重点实验室科研人员介绍了一种快速修正JPEG碎片图片重组结果有误的方法。此方法在对删除图片恢复上发挥了重要作用,有助于提升一线取证人员的工作效率。