摘要：文件系统重组是闪存设备取证研究进行数据恢复的主要手段.传统的文件系统重组方法需要同时获取闪存设备在同一时刻的逻辑镜像和物理镜像,该条件在取证实践中常常难以满足,故提出一种仅依赖闪存物理镜像重组文件分配表（FAT）文件系统的方法.在引入统计分析法从物理镜像中提取逻辑地址字段和页状态字段的基础上,给出利用最新页状态值准确重组闪存设备最新FAT文件系统镜像的算法.最后以MTK6229闪存设备物理镜像的FAT文件系统重组过程为例,验证上述重组算法及相关方法是正确的.

关键词：数字取证 闪存 物理镜像 文件系统重组 空闲区 

单位：北京理工大学计算机学院; 北京100081; 南阳师范学院计算机与信息技术学院; 河南南阳473061; 北京理工大学北京市海量信息处理与云计算应用工程技术中心; 北京100081