Umang-Shah01/digital-forensics-research

# 数字取证与反取证：实证数据恢复评估 本仓库收录了对五款开源数字取证工具进行实证评估的作品集和发现，测试针对了不同的反取证删除技术。该研究最初是作为赫瑞瓦特大学 (Heriot-Watt University) NCSC 认证的网络安全计算机科学理学硕士课程的硕士论文进行的。 🔗 **[查看交互式作品集]** https://sites.google.com/view/umangshah/ ## 📌 执行摘要 反取证工具的激增严重削弱了调查人员恢复证据数据的能力。本项目系统地评估了不同存储介质上的开源恢复工具，以确定它们针对标准删除、磁盘格式化和安全加密级文件擦除的有效性。 至关重要的是，这些发现对受欧盟 GDPR 第 17 条（擦除权）和印度《数字个人数据保护 (DPDP) 法案 2023》约束的组织具有直接的监管影响。 ## ⚖️ 监管与业务影响 (GRC) 数据控制者和受托人面临着一个关键的合规模糊性问题：哪些删除方法是充分的，哪些在取证上是可逆的？本研究提供了技术性的、实证的答案： **标准删除和格式化不合规：** 这些方法允许实质性数据恢复（高达 100%），不满足“有效擦除”的门槛。 **可验证擦除的确立：** DOD 5220.22M 三次覆写使得所有有意义的文件内容在受测工具中均无法恢复，以此作为法律合规的最低技术标准。 **印度市场的相关性：** 本研究将取证工具评估结果直接关联到 DPDP 法案 2023 第 8(7) 条的技术合规要求。 ## 🔬 实验方法 实验旨在模拟现实世界的取证调查，并严格按照首席警官协会 (ACPO) 数字证据最佳实践指南进行。 ***存储介质：** USB 驱动器、SD 卡、HDD 分区 和虚拟硬盘。 **数据集：** 涵盖 8 个常见类别（归档、音频、文档、可执行文件、图像、文本、视频、文件夹）的 520 个受控文件。 **反取证技术：** 标准删除、Windows 格式化和 DOD 5220.22M（三次覆写）。 **证据完整性：** 完整的监管链文档、源介质的写保护以及分析前的取证镜像（.E01, .img）。 ## 🛠️ 受评数字取证工具 这些工具是根据国家标准与技术研究院 (NIST) 计算机取证工具测试 (CFTT) 功能要求进行验证的： 1. **Recuva：** 总体平均恢复率最高（72.9%），在格式化案例中表现最强。 2. **Autopsy：** 在各种场景下都非常有效（平均恢复率 70.9%）。 3. **QPhotoRec：** 一款未被充分利用的 GUI 工具，在 NTFS 格式化场景中具有独特优势。 4. **FTK Imager：** 对简单删除案例非常有效，但由于依赖文件签名索引，在格式化介质上系统性地失败（恢复率 0%）。 5. **Foremost：** 表现最弱（平均 37.4%），归因于其有限的文件类型签名支持。 ## 🚀 关键技术发现 **DOD 5220.22M 击败开源工具：** 三次覆写导致所有五个工具和所有四种介质类型的文件内容恢复率为零。 **部分恢复仍具价值：** 虽然 DOD 5220.22M 破坏了内容，但 Autopsy、FTK Imager 和 Recuva 等工具检测到了“残留痕迹”（0 字节文件条目和系统基础架构文件），这证实了先前文件的存在，并可以确立调查意图。 **VHD 与 4K 对齐：** FAT 文件系统更简单的结构结合 VHD 4K 对齐，促成了格式化案例中卓越的恢复结果（Autopsy 和 Recuva 为 100%）。 ## 👨‍💻 关于作者 **Umang Shah** *网络安全计算机科学理学硕士* *赫瑞瓦特大学 (Heriot-Watt University)* 在 **[LinkedIn]**(https://linkedin.com/in/umang-shah01) 上与我联系，或查看我的完整 **[作品集]**[(https://sites.google.com/view/umangshah/home)]。

标签：ACPO, DOD 5220.22M, DPDP, GDPR, GRC, HTTP工具, NIST CFTT, 二进制发布, 人工智能安全, 反取证, 合规性, 后端开发, 存储介质, 学术研究, 安全评估, 实验评估, 开源工具, 数字取证, 数据恢复, 数据销毁, 数据隐私, 文件恢复, 磁盘擦除, 网络安全, 自动化脚本, 证据链, 隐私保护