没有合适的资源?快使用搜索试试~ 我知道了~
资源推荐
资源详情
资源评论
基于差异度的
基于差异度的基于差异度的
基于差异度的
JPEG
碎片重组
碎片重组碎片重组
碎片重组方法
方法方法
方法
肖
肖肖
肖
腾
腾腾
腾
1
,
,,
,许榕生
许榕生许榕生
许榕生
2
(1. 福州大学数学与计算机学院,福州 350000;
2. 中国科学院高能物理研究所计算中心,北京 100049)
摘
摘摘
摘 要
要要
要:
::
:针对 JPEG 文件特征,提出一种基于差异度的 JPEG 碎片重组方法 JFDDM。利用图片相邻像素间的相似性,通过匹配 MCU 单元
的差异度判断碎片是否属于同一文件。对标准图片集的实验结果表明,该方法对不同类型的 JPEG 图片表现出较好的适应性,碎片重组效
果良好。
关键词
关键词关键词
关键词:
::
:差异度;计算机取证;JPEG 碎片;重组;JFDDM 算法
Reassembling Method for JPEG Fragment
Based on Degree of Difference
XIAO Teng
1
, XU Rong-sheng
2
(1. College of Mathematics and Computer, Fuzhou University, Fuzhou 350000, China;
2. Computing Center, Institute of High Energy Physics, Chinese Academy of Sciences, Beijing 100049, China)
【
【【
【Abstract】
】】
】According to the feature of computer forensic, a method is proposed to reassemble JPEG fragment files and the reassemble progress is
described. By analyzing JPEG file structure, an algorithm called JFDDM(JPEG Fragment Degree of Difference Matching) for reassembling JPEG
fragmented files is proposed and discussed, by which the MCU’ degree of difference in the image and the similarity between adjacent pixels are
exploited to decide whether current fragments fall within the same image. Experimental results show that this is an effective method for JPEG
fragment reassembling.
【
【【
【Key words】
】】
】degree of difference; computer forensic; JPEG fragment; reassembling; JFDDM(JPEG Fragment Degree of Difference Matching)
algorithm
DOI: 10.3969/j.issn.1000-3428.2011.10.091
计 算 机 工 程
Computer Engineering
第 37 卷 第 10 期
Vol.37 No.10
2011 年 5 月
May 2011
·
··
·开发研究与设计技术
开发研究与设计技术开发研究与设计技术
开发研究与设计技术·
··
·
文章编号
文章编号文章编号
文章编号:
::
:1000—
——
—3428(2011)10—
——
—0263—
——
—03
文献标识码
文献标识码文献标识码
文献标识码:
::
:A
中图分类号
中图分类号中图分类号
中图分类号:
::
:TP391
1
概述
概述概述
概述
文件碎片一般是在存储介质上创建文件后对文件进行删
除、修改所造成的。文件碎片主要是指:文件不是以连续扇
区形式存储,被分割成
2
块或多块。在对存储介质进行取证
调查时,数据恢复之后往往得到的是文件碎片而不是完整的
原始文件。传统的数据恢复技术或取证产品往往借助于文件
系统相关信息,对碎片数据进行提取。但是一旦面临
FAT
表、
FDT
表、
MBR
文件等受损、破坏的情况,如何展开取证调查
成为一个亟待解决的问题
[1-2]
。
据文献
[3]
统计,文件碎片在磁盘上的比率不少于
10
%,
其中,
42
%的
PST
文件、
17
%的
MS-Word
文件、
16
%的
JPEG
文件存在碎片。以往对这些文件进行取证的主要方法是通过
搜索特定字符,进行首尾匹配,然后中间截取。显然这种方
法仅限于连续分配的文件,或是已知该文件扇区分布的情况。
但对于碎片文件无法适用。本文通过对
JPEG
文件碎片的分
析,提出一个对
JPEG
未残缺文件碎片重组的方法。
2 JPEG
文件碎片重组的相关研究
文件碎片重组的相关研究文件碎片重组的相关研究
文件碎片重组的相关研究
2.1 JPEG
文件碎片重组研究现状
文件碎片重组研究现状文件碎片重组研究现状
文件碎片重组研究现状
碎片分类一般在碎片重组之前进行,用于大致确定碎片
的文件类型,在一定程度上减小了重组时匹配范围,提高了
效率。对于
JPEG
文件的识别和分类,文献
[4]
提出的
OSCAR
模型是正确率较高的模型之一,本文也采用该模型进行前期
的分类。针对碎片重组,文献
[5]
提出图论的方法,其利用节
点的连接距离表示文件碎片间的差异,通过搜索图中某图路
径的最大或最小值,即可找到该文件。该方法存在的缺陷是
计算量巨大。文献
[6]
提出了通过连续假设检测的方法处理碎
片文件,通过建立
2
个假设条件不断地判别后续块是否属于
该碎片。该方法存在的缺陷是判断碎片彼此差异度时不能动
态地变化,一定程度上影响了碎片重组的精确度。
2.2 JPEG
文件碎片重组的分析
文件碎片重组的分析文件碎片重组的分析
文件碎片重组的分析
JPEG
图片数据中最关键的组件是哈夫曼编码表,图片数
据主要由它进行解码。哈夫曼编码表一般由
4
个表组成,即
表示图片亮度、色度的
AC
值、
DC
值。
JPEG
文件是结构化
的文件,信息主要集中在以
FFD8
开始的文件头中,数据信
息 放 在以 字 符
FFDA
开 始的 数 据 段 中 , 直至 遇 到 结 束 符
FFD9
。其文件头包括抽样率、哈夫曼编码表、文件尺寸大小
等信息。
JPEG
文件由最小数据单元
MCU
组成。根据不同的
抽样率,
MCU
的大小也不一样。在定位文件头位置时,只需
对每簇的第
1
个扇区进行关键字搜索。通过解析文件头相关
信息,可以对后续的
JPEG
数据进行解码。根据文献
[3]
,即
使正确解码后,所得数据也不一定正确。在对图片数据进行
解码获得每个
MCU
单元值后,还需做进一步的验证。
基金项目
基金项目基金项目
基金项目:
::
:中国科学院知识创新工程基金资助项目(YYYJ-1013)
作者简介
作者简介作者简介
作者简介:
::
:肖 腾(1985-),男,硕士研究生,主研方向:计算机取
证,网络安全;许榕生,研究员、博士生导师
收稿日期
收稿日期收稿日期
收稿日期:
::
:2010-10-30 E-mail:
::
:xiaot@ihep.ac.cn
资源评论
weixin_38742291
- 粉丝: 5
- 资源: 915
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
最新资源
- bdwptqmxgj11.zip
- onnxruntime-win-x86
- onnxruntime-win-x64-gpu-1.20.1.zip
- vs2019 c++20 语法规范 头文件 <ratio> 的源码阅读与注释,处理分数的存储,加减乘除,以及大小比较等运算
- 首次尝试使用 Win,DirectX C++ 中的形状渲染套件.zip
- 预乘混合模式是一种用途广泛的三合一混合模式 它已经存在很长时间了,但似乎每隔几年就会被重新发现 该项目包括使用预乘 alpha 的描述,示例和工具 .zip
- 项目描述 DirectX 引擎支持版本 9、10、11 库 Microsoft SDK 功能相机视图、照明、加载网格、动画、蒙皮、层次结构界面、动画控制器、网格容器、碰撞系统 .zip
- 项目 wiki 文档中使用的代码教程的源代码库.zip
- 面向对象的通用GUI框架.zip
- 基于Java语言的PlayerBase游戏角色设计源码
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功