本文中介绍的信息解析模块，是计算机取证平台的一个小的模块，主要实现了几个功能：文件格式的识别；图片的解码，包括BMP、JPEG、GIF；ZIP压缩文件的解压缩。主要用到的技术有几种无损压缩算法：哈夫曼编码；行程编码；LZ77压缩算法；LZW压缩算法。

图片的解码涉及到了还有几种有损压缩算法，JPEG格式的图片是一种有损压缩的图片，它用到了离散余弦变换、量化等有损压缩，还用了哈夫曼编码和行程编码的无损压缩。GIF图片主要用到了LZW压缩算法。ZIP压缩文件用的是LZ77算法的变种算法。

......

本章的主要内容是需求分析和系统设计方面的内容，在这一章将对系统的需求和设计做详细的介绍和说明。

需求分析

在这一节中，要对系统的需求做一定的说明。由于这个平台是用来为法律诉讼提供证据的，因此它提取的证据也必须满足传统证据的必须条件：可信性；准确性；完整性；使法官信服的；符合法规的。因此在设计这个平台的时候不仅要能取得证据，更重要的是要使取得的证据满足上面的要求。所以这个平台应该具备的功能：能对数据进行收集，并对这些数据进行保护，收集来数据后要对数据进行分析，并生成最终的报告。

......

数据分析方面主要需要实现的功能主要有四个方面：数据的恢复；信息的筛选；信息的解析；关联分析。其中关联分析主要依靠分析人员的经验完成，信息解析、数据恢复和信息筛选的实施则需依靠证据分析平台。

(1) 信息筛选。收集电子证据的时候为了避免遗漏，采取的策略是尽可能多地收集证据，这导致收集到的电子证据数据量十分庞大，必须在做关联分析之前先进行筛选，将需要处理的信息量减少到能够在可接受的时间内分析完的程度。

(2) 数据恢复。物理层和结构层信息中包含了从标识层或应用层删除的数据，如被删除的文件、已关闭的进程。操作系统删除数据时只是标记为已删除，而没有彻底擦除数据，可以对未被覆盖的数据进行恢复。标识层和应用层存在被加密的数据，必须进行破解，才能得到其中的内容；一些应用程序的文件中也可以恢复出被删除的数据。

(3) 信息解析。物理层和结构层的证据信息，如硬盘映像、分区映像、物理内存等，在进行信息解析之前，只是纯粹的二进制字节流，无法从中得到任何能够理解的信息。标识层和应用层的信息，如应用程序文件、活动进程、系统日志等，必须由相应的应用程序打开显示，或进行统计、分类，才能够成为可以阅读和理解的信息。

就本论文中要实现的信息解析的部分来说，主要需要实现的功能以下几个方面：

文件格式的识别；常用图片格式的解码；常用压缩文件的解压缩。

识别文件的格式，主要是对常用的一些文件格式进行识别。

常用图片的解码，主要包括BMP、JPG、GIF这几种类型。

常用压缩文件，主要是对ZIP格式的压缩文件进行解压缩。