SF/T 0146-2023 文件恢复工具技术要求和测试评价方法

ICS07.140

CCSL77

SF

中华人民共和国司法行政行业标准

SF/T0146—2023

文件恢复工具技术要求和测试评价方法

Technicalrequirementandevaluationapproachforfilerecoverytool

2023-10-07发布2023-12-01实施

中华人民共和国司法部发布

SF/T0146—2023

目次

前言.................................................................................II

1范围...............................................................................1

2规范性引用文件.....................................................................1

3术语和定义.........................................................................1

4文件恢复工具描述...................................................................2

5总体要求...........................................................................2

6技术要求...........................................................................2

功能性.........................................................................2

性能效率.......................................................................4

兼容性.........................................................................4

易用性.........................................................................5

可靠性.........................................................................5

信息安全性.....................................................................5

维护性.........................................................................5

用户文档集.....................................................................5

7测试评价方法.......................................................................6

功能性.........................................................................6

性能效率......................................................................10

兼容性........................................................................10

易用性........................................................................11

可靠性........................................................................11

信息安全性....................................................................11

维护性........................................................................11

附录A（资料性）测试样品与功能指标..................................................13

A.1测试样品......................................................................13

A.2功能指标......................................................................14

参考文献.............................................................................15

I

SF/T0146—2023

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定

起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由司法鉴定科学研究院提出。

本文件由司法部信息中心归口。

本文件起草单位：司法鉴定科学研究院、国家信息中心、中国政法大学、厦门市美亚柏科信息股份

有限公司、上海弘连网络科技有限公司、国网黑龙江省电力有限公司、四川效率源信息安全技术股份有

限公司、北亚康成（北京）科技有限公司、厦门市兴百邦科技有限公司。

本文件主要起草人：李岩、郭弘、王笑强、戴士剑、韩冰、孙奕、张羽、尚方、钱志高、徐志强、

张佳强、沈长达、刘思棋、田野、卢启萌、杨恺、李致君、耿浦洋、曾锦华、毛晓、凌嵘。

II

SF/T0146—2023

文件恢复工具技术要求和测试评价方法

1范围

本文件描述了用于电子数据鉴定的文件恢复工具和测试评价方法，规定了文件恢复工具的功能性

等九方面的技术要求。

本文件适用于司法鉴定领域中文件恢复工具或综合工具中文件恢复功能的设计、开发、测试和评估，

不适用于评价在司法鉴定活动中工具选用和使用的正确性，也不适用于评价从物理故障存储介质中恢

复数据的工具。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T25000.10—2016系统与软件工程系统与软件质量要求和评价（SQuaRE）第10部分：系

统与软件质量模型

GB/T25000.51—2016系统与软件工程系统与软件质量要求和评价（SQuaRE）第51部分：就

绪可用软件产品(RUSP)的质量要求和测试细则

GB/T31500—2015信息安全技术存储介质数据恢复服务要求

SF/T0105存储介质数据镜像技术规程

3术语和定义

GB/T25000.51—2016、GB/T31500—2015、SF/T0105界定的以及下列术语和定义适用于本文件。

文件系统对象filesystemobject

文件系统存储和管理的基本数据单元。

示例：文件和文件夹/目录。

文件系统元数据filesystemmetadata

描述文件系统对象（3.1）的相关外围信息或属性。

示例：文件/目录名称、时间属性、访问权限、所有者和位置等。

文件系统解析filesystemparsing

通过读取文件系统元数据（3.2）来识别未删除文件系统对象（3.1）和已删除的文件系统对象（3.1）

的过程。

文件碎片filefragment

属于同一文件的一个或多个连续的、且被不属于该文件的数据块分隔的数据块。

文件重构filecarving

不依赖文件系统元数据（3.2），通过文件自身的数据特征从检材中识别、提取文件或文件碎片（3.4），

并使用文件碎片（3.4）重组文件的过程。

文件修复filerepairing

对已知结构损坏或局部数据缺失的文件，使用适当的方式修复损坏部分或填补缺失部分，以正常识

别文件内容的过程。

1

SF/T0146—2023

文件恢复工具filerecoverytool

使用文件系统解析（3.3）和文件重构（3.5）等技术恢复已删除文件，或者使用文件修复（3.6）

技术修复已损坏文件，输出恢复或修复的文件及相关过程记录数据的专用软件工具。

注：文件恢复工具可以是包含文件系统解析、文件重构和文件修复中一类或几类功能的独立工具，也可以是与其他

功能整合而成的综合工具中的功能模块。

4文件恢复工具描述

文件恢复工具（本文件中在不引起混淆的情况下简称为“工具”）使用特定的算法来实现还原被删

除文件过程的自动化。由于删除过程的多样性，较难通过一个统一的场景来评价文件恢复工具的实际效

果。但是，通过模拟特定方式增加或删除数据后形成测试样品（见附录A.1），可以评价文件恢复工具

在相应的情况下的恢复效果。

5总体要求

文件恢复工具的产品质量应符合GB/T25000.10—2016中4.3定义的产品质量模型，包括功能性、

性能效率、兼容性、易用性、可靠性、信息安全性和维护性7类要求，并应符合6.1～6.7的规定。

文件恢复工具属于GB/T25000.51—2016中定义的就绪可用软件产品，用户文档集是用户正确使

用工具和正确解释工具输出结果的基础，应符合GB/T25000.51—2016中5.2的规定，并应符合6.8的

规定，在测试评价方法中作为其他项目的必要条件，不单独进行测试评价。

6技术要求

功能性

6.1.1信息录入

工具应支持录入和存储检验相关信息，包括但不限于：

a)案件编号；

b)检材编号；

c)检验人员；

d)检验时间。

6.1.2检材加载

6.1.2.1工具应支持加载以下类型的检材：

a)本地存储介质；

b)存储介质镜像文件；

c)由存储介质或其镜像文件构成的独立磁盘冗余阵列（RAID）；

d)通过网络映射到本地的存储介质。

6.1.2.2工具应支持在加载检材时显示其附属信息，包括但不限于：

a)存储介质的型号和序列号；

b)存储介质的自我监测、分析及报告技术（S.M.A.R.T.）信息；

c)存储介质镜像文件内含的存储介质信息和校验值；

d)磁盘阵列的类型、编排方式和条带大小等信息；

e)网络存储介质的连接信息。

6.1.2.3工具同时加载多个同类检材时，应采取有效的措施区分各个检材。

6.1.2.4工具应支持按照SF/T0105的规定制作存储介质镜像文件。

6.1.3文件系统解析

6.1.3.1工具应支持根据指定的文件系统类型搜索丢失或曾经存在的分区（卷）。

6.1.3.2工具应支持自动识别和解析文件系统元数据以及已删除、未删除的文件系统对象。

2

SF/T0146—2023

6.1.3.3工具应支持按照用户指定的文件系统类型识别和解析文件系统元数据以及已删除、未删除的

文件系统对象。

6.1.4文件重构

6.1.4.1工具应支持常见的文件类型，包括文档文件、压缩文件、图片文件、音频文件和视频文件等。

6.1.4.2工具应支持将检材中指定地址范围的数据或文件系统未分配区域作为待恢复区域。

6.1.4.3使用文件重构方式恢复的文件应使用能够与其他方式恢复的文件相区分的规则命名。

6.1.4.4工具应支持特殊情况下的文件重构，包括但不限于：

a)文件尾部缺失或无尾部特征；

b)需要重组文件碎片。

6.1.5文件修复

6.1.5.1修复后的结果文件应能够按照预期格式正常打开，不应缺失既有信息，也不应引入与文件内

容无关的信息。在修复具有特定结构特征的文件时填充的结构特征信息可不视为无关信息，但应予以说

明。

6.1.5.2对于无法修复或修复失败的情况应给出提示。

6.1.6数据搜索

6.1.6.1搜索对象应支持搜索检验相关信息、检材原始数据和恢复结果数据等。

6.1.6.2工具应支持以十六进制数据、指定编码的文本关键字和正则表达式等形式的数据搜索。

6.1.6.3工具应支持预览搜索结果上下文。

6.1.6.4工具应支持文件列表项目的搜索，如文件名和文件时间等。

6.1.7数据标记

6.1.7.1工具应支持恢复结果数据的标记及取消标记，标记的对象应包括以下内容：

a)单个文件系统对象或恢复结果对象；

b)用户选择的多个文件系统对象或恢复结果对象；

c)恢复结果搜索、筛选和过滤结果文件。

6.1.7.2工具应支持利用标记数据生成报告及单独导出标记数据。

6.1.8数据去重

工具应支持对相同数据来源的恢复结果的去重。

注：相同数据来源是指以不同恢复方式或算法检出的、物理位置相同的数据。

6.1.9数据统计

6.1.9.1工具应支持恢复结果数据的汇总统计，统计的项目包括但不限于：

a)以案件、检材、分区（卷）和目录等为单位的文件数和汇总数据容量；

b)已标记文件的文件数和汇总数据容量。

6.1.9.2数据容量统计应按照导出数据大小预估。

6.1.10数据溯源

6.1.10.1工具应支持对恢复结果数据的溯源。若相关数据可用，应显示以下信息：

a)文件的原始路径；

b)文件的首字节地址或簇（块）号；

c)文件碎片情况。

6.1.10.2工具应支持对操作过程的溯源，相关记录应能追溯到对结果有影响的关键操作步骤和参数

配置。

6.1.11数据展示

3

SF/T0146—2023

6.1.11.1工具应支持展示识别到的文件系统对象的状态。对于识别到的已删除文件系统对象，若相关

数据可用，应显示以下信息：

a)文件首簇（块）是否被覆盖；

b)显示文件名是否为原有；

c)文件类型是否与扩展名相符。

6.1.11.2工具应支持对文件系统对象的展示，展示方式包括但不限于：

a)以列表形式展示；

b)以目录树形式展示；

c)以时间线形式展示；

d)以文件类型和日期等分组展示；

e)以缩略图形式展示图像和视频文件；

f)以预览形式展示文档。

6.1.12数据导出

6.1.12.1工具应支持导出恢复结果数据，导出选项应包括但不限于：

a)同时导出文件列表；

b)按照指定的上限条数（如104万条）拆分导出的文件列表；

c)保留原目录结构；

d)保留文件原有的时间属性；

e)仅导出标记的文件；

f)导出同时计算文件的校验值。

6.1.12.2工具应采取适当的措施处理结果数据导出过程中的以下异常或冲突情况：

a)文件名或目录名冲突；

b)文件名或路径包含操作系统不支持的字符或格式；

c)文件名或目录名超过文件系统支持的长度；

d)导出数据容量大于目标位置的可用容量。

6.1.12.3工具应至少提供以下通用格式中的1种导出恢复的文件列