计算机取证的信息收集与数据还原

资源描述

《计算机取证的信息收集与数据还原_陈志勇 (1).docx》由会员分享，可在线阅读，更多相关《计算机取证的信息收集与数据还原_陈志勇 (1).docx（76页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、申请上海交通大学硕士学位论文计算机取证的信息收集与数据还原学校：上海交通大学院系：信息安全工程学院班级： B0603692 学号： 1060369055 硕士生：陈志勇专业：计算机应用技术导师：黄征上海交通大学信息安全工程学院 2009年 1月 A Dissertation Submitted to Shanghai Jiao Tong University for Master Degree of Engineering Information Collection and File Recovery for Computer Forensics

2、Candidate: Zhiy ong Chen Su p e rv i so r: Zheng Huang Tlie School of Information Security Engineering Shanghai Jiao Tong University Shanghai, P.RChina January 2009 上海交通大学学位论文原创性声明本人郑重声明：所呈交的学位论文，是本人在导师的指导下，独立进行研究工作所取得的成果。除文中已经注明引用的内容外，本论文不包含任何其他个人或集体已经发表或撰写过的作品成果。对本文的研究做出重要贡献的个人和集体，均已在文中以明确方式

3、标明。本人完全意识到本声明的法律结果由本人承担。学位论文作者签名 : 日期：年月日上海交通大学学位论文版权使用授权书本学位论文作者完全了解学校有关保留、使用学位论文的规定，同意学校保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和借阅。本人授权上海交通大学可以将本学位论文的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。保密，在 _年解密后适用本授权书。本学位论文属于不保密。 (请在以上方框内打 “ V” ）学位论文作者签名：指导教师签名 : 计算机取证的信息收集与数据还原摘要随着信息

4、技术的不断发展，利用计算机或以计算机为目标的犯罪动越来越多，造成的危害也越来越大。如何最大限度地获取计算机犯罪相关的电子证据，如何恢复遭到破坏的关键证据，将犯罪分子绳之以法，已成为司法和计算机科学领域中亟待解决的新课题。计算机取证是打击计算机犯罪的有力工具及手段，为了提高打击计算机犯罪的能力，需要对计算机取证领域进行深入的研究，不但需要开发切实有效的取证工具，也需要对计算机取证领域的取证定义、取证标准、取证程序等进行研究。本论文对计算机取证信息搜集和数据还原进行了研究主要内容包括： 1. 对计算机取证技术的产生，发展，现状和趋势做出了总结性描述。 2. 研究了当前最为流行的

5、操作系统 NTFS系统的组成和结构。对磁盘的分区结构进行了解释说明，然后着重说明了 NTFS文件系统下的 MFT表、文件和目录的结构构成与存储组织， NTFS常驻属性和非常驻属性等。 3. 在研究了 NTFS文件系统的基础上，给出了数据删除恢复的设计原理，并开发实现了文件恢复系统和磁盘格式化恢复系统，尽可能多的恢复计算机上的删除数据。并解决了实际使用过程中发现的特定文件名显示异常的问题。 4. 分析了计算机上操作痕迹的来源，设计和开发了计算机历史痕迹的取证系统，整合多种取证技术，全面提取系统信息。 5. 通过 Lucene搜索技术，集成删除恢复信息和操作痕迹收集信息，开发统一

6、管理和查询平台，改变了在日常工作中不得不交替使用多种数据恢复软件和信息搜集软件，既不方便又极易出错这一现象。使取证工作更方便和快捷。关键词：计算机取证， NTFS，数据恢复，信息收集 Information Collection and File Recovery for Computer Forensics ABSTRACT With the development of information technology, people are exposed to frequent occurrence of crimes committed by or aimed at comput

7、ers. Its getting more harmful. How to get the evidence of computer criminals and recover key information which is destroyed becomes a new task of the law and computer science area. Computer forensics is a useful tool or method to beat against computer crime. In order to enhance the abilities of atta

8、cking computer-related offences, we need to conduct a profound study on the field of computer forensics which is related to the computer forensics technology in question and requires not only the development of effective forensics tools, but also the research on its definition, standards, proceeding

9、s and some other basic theories. Based on the research of information collection and file recovery for computer forensics, this paper concludes the next points: 1. The emergence, development, status and the prospective research of computer forensics. 2. Research about the most popular file system-NT

10、FS. Give an introduction to disk partitions, and expatiate MFT table, construction of file and directory record, and resident/nonresident attributes. 3. Promote deleted files recovery theory based on the NTFS file system, design and implement a recovery system for deleted files and formatted informa

11、tion, try to recover as more information as possible and solve the incorrect file name problem found by actually usage. 4. Analyze sources of computer operation traces, design and implement a system to acquire these traces. Use forensics methods to fully get system information. 5. Integrate recovery

12、 information and operation traces base on the search engine named Lucene. Implement a platform to manage and query all the information. This makes forensic works easier and faster by avoiding crossing usage of several data recovery software and information collection software. Keywords: Computer For

13、ensics, NTFS, Data Recovery, Information Collection 目录 M . 1 ABSTRACT . 3 m-M . i 1.1背景介绍 . i 1.1.1计算机犯罪现状 . 1 1. 1.2课题研究意义 . 2 1.2研究内容及主要工作 . 2 1.3论文结构 . 3 第二章计算机数据取证综述 . 4 2. 1计算机数据取证的相关概念 . 4 2. 1. 1计算机数据取证的起源和一些术语 . 4 2. 1.2计算机在犯罪中的角色 . 5 2. 1.3计算机数据的定义、特点和数据源 . 6 2. 1.4计算机数据取证的定义、特殊性和分类 . 8 2.

14、2计算机数据取证的研究现状 . 10 2. 2. 1典型的计算机数据取证调查工具 . 10 2. 2. 2国外计算机数据取证研究现状 . 11 2. 2. 3国内计算机数据取证研究现状 . 12 2. 2. 4现阶段研究中的局限 . 12 2. 3本章小结 . 13 第三章关键技术介绍 . 14 3. 1计算机取证的一般步骤 . 14 3. 1. 1计算机证据的特点 . 14 3. 1.2计算机证据的采用标准 . 15 3. 1.3计算机取证的基本原则 . 16 3. 1.4计算机耳又证的基本步骤 . 17 3. 2NTFS存储结构简介 . 18 3. 2. 1 NTFS的目录存储结构 . 1

15、9 3. 2. 2 NTFS数据存储方式 . 20 3. 2. 3NTFS元文件组成 . 20 3. 2. 4通过 MFT访问卷的步骤 . 22 3. 2. 5文件和目录记录 . 23 3. 2. 6常驻属性与非常驻属性 . 26 3. 2. 7文件的记录方式 . 26 3. 3本章小结 . 28 第四章数据恢复模块的设计与实现 . 30 4. 1数据的删除恢复 . 30 4. 1. 1设计原理 . 30 4. 1.2数据删除恢复的设计与实现 . 31 4. 1.3问题与改进 . 34 4. 2磁盘格式化恢复 . 35 4. 2. 1 NTFS格式化恢复原理 . 35 4. 2. 2NTFS格

16、式化恢复设计与实现 . 37 4. 3本章小结 . 39 第五章历史痕迹取证 . 40 5. 1文件搜索 . 40 5. 1. 1 Lucene 简介 . 40 5. 1.2文件搜索模块的设计与实现 . 43 5. 2 COOKIES文件分析模块 . 45 5. 2. 1 Cookies的传递流程 . 45 5. 2. 2Cookies 欺骗 . 46 5. 2. 3Cookies 文件分析 . 46 5. 3系统注册表信息的提取 . 47 5. 3. 1注册表的结构 . 48 5. 3. 2注册表信息提取 . 50 5. 4上网历史记录的数据信息提取模块 . 52 5. 4. 1系统的网络历

17、史痕迹 . 52 5. 4. 2上网记录提取 . 54 5. 4. 3网络历史痕迹的数据恢复 . 58 5. 5本章小结 . 59 第六章总结与展望 . 60 0 X M . 62 m m . 64 攻读硕士学位期间发表的论文 . 65 第一章绪论信息技术 “ 双刃剑 ” 效应使信息安全问题日益突出，一方面计算机的更新换代使得资源能够共享，信息传递更加快捷，商务办公更加便利，另一方面计算机病毒和 “ 黑客 ” 攻击等大量信息时代的 “ 怪胎 ” 随着信息技术的发展应运而生，极大地破坏了对信息化程度要求较高的银行、交通、医疗、通信、电力等重要国家基础设施，从而成为影响国家安全和国际安全

18、的新威胁。可以说人类社会在感受计算机对社会文明诸多巨大贡献的同时，也开始逐步认识到计算机安全问题已成为影响国家、军队以及企业生存与发展的关键问题。由于只有保证关键信息的安全，才能获得自身的可持续发展，所以信息安全已经成为任何国家不能不认真思考、不能不严肃对待的现实问题，成为迫切需要解决的问题。 1. 1背京介绍随着我国信息技术和信息产业的迅猛发展，网络大潮的推进，网络带宽的増加，计算机和网络己经渗透到我国政治、经济、军事、科技、文化等各个方面。与此同时新的漏洞与攻击方法不断出现，计算机越来越多的卷入到犯罪活动中，或是作为受攻击的目标，或是作为犯罪的工具，即计算机犯罪 (Com

19、puterCrime)，目前己呈现出日趋严重的趋势。与一般的犯罪不同，计算机犯罪是一种新兴的高技术犯罪，其很多犯罪证据都以数字形式通过计算机或网络进行存储和传输，包括一切记录、文件、源代码、程序等等，也即所谓的电子证据。由于电子证据与海量的正常数据混杂，难以提取，且易于篡改、销毁，故而其获取、存储、传输和分析都需要特殊的技术手段和严格的程序，否则，难以保证证据的客观性、关联性和合法性。由此产生出的计算机取证 (ComputerForensics)作为法学、刑事侦查学和计算机科学的交叉学科，日益受到各国的重视。 1. 1. 1计算机犯罪现状计算机犯罪与计算机技术密切相关。随着计

20、算机技术的飞速发展，计算机在社会中应用领域的急剧扩大，计算机犯罪的类型和领域不断地増加和扩展，从而使 “ 计算机犯罪 ” 这一术语随着时间的推移而不断获得新的涵义。我国对计算机犯罪的定义一般是指行为人故意实施在计算机内以资源为对象或以计算机为工具危害计算机产业的正常管理秩序、违反计算机软件保护及信息系统安全保护制度等法规、侵害与计算机有关权利人的利益，以及其它危害社会、情节严重的行为。 1 计算机犯罪给我们带来的影响非常广泛，从电脑病毒到电子商务诈骗皆与我们息息相关 26。根据美国消费者联盟所做的统计，网络诈骗案的被害金额从 1999 年每人平均 310美元，增加到 2000年的

21、 427美元，増长率达 13.7%。 1999年影响全球数百万部电脑的 Melissa电脑病毒，估计造成全球八千万美元的损失。 2000 年的爱虫电脑病毒导致全球政府机关及私人企业的电子邮件系统瘫痪，估计造成高达一百亿美元的损失。 2006年美国 FBI计算机犯罪调查报告指出： 2005年由于计算机犯罪造成美国经济大约 2亿美元的损失，而 85%的被调查者指出他们的计算机安全系统被突破，黑客攻击事件稳步上升， CERT协议中心在 2005年处理的攻击事件为 52658件，而 2006年则上升到 82904件。 1. 1.2课题研究意义要防止计算机犯罪事件的发生，仅依靠诸如防火墙和

22、入侵检测系统等过滤和预警功能、本机的密码加密功能是远不够的，因为这些技术知识从防御的角度来防止计算机的犯罪，并不能从根本上解决问题。解决问题的关键是要依靠法律，运用法律手段对犯罪行为进行制裁，而打击计算机犯罪的关键同样是要依靠法律。我们要作的就是通过技术手段将犯罪者在计算机中留下的痕迹和有用信息提取出来作为有效的诉讼证据提供给法庭，将犯罪者绳之以法。这个过程中涉及的技术就是计算机取证技术。计算机取证是计算机安全领域中的一个全新的分支，涉及计算机犯罪事件证据的获取、保存、分析、证物的呈堂等相关法律、程序、技术问题。计算机取证技术作为一个全新分支的出现标志着网络安全防御理论走向

23、成熟。在目前网络安全形势严峻的情况下，实施并推广计算机取证具有十分重要的意义，进行计算机取证技术研究的意义可以概括为：对计算机犯罪的电子证据进行取证，有效地打击计算机犯罪。由于计算机犯罪的手段日益多样和先进，计算机取证对于起诉计算机犯罪行为至关重要。在攻击事件中，如果没有证据证明所发生的情况及所造成的破坏的细节，在选择通过法律途径起诉攻击者的时候就没有充实的法律追索权。高科技侦探必须使用计算机取证的方法来对付计算机犯罪，在己遭入侵的情况下，运用各种技术手段计算机犯罪的电子数据证据进行尽早的搜集、分析、确认、保护、提取和归档，对获取充足的证据将犯罪者绳之以法，有效地打击计算机

24、犯罪有重要作用和意义 32。 1.2研究内容及主要工作本课题在对国内外己有成果深入研究的基础上，对计算机取证领域涉及的基础概念、相关技术、相关理论、基本原则，实用工具等进行了综述性介绍，分析了计算机取证技术的研究现状，并设计和开发了一套计算机取证系统，对计算机 2 上的删除数据进行恢复，整合了多种取证技术，全面提取系统的历史痕迹信息。 1.3论文结构本文的组织与内容安排为：第一章介绍课题的背景及研究意义，对当前信息安全面临的新的威胁进行了说明。接下来介绍了本文的主要研究内容和工作以及本文的组织结构。第二章介绍了计算机取证的相关概念，包括计算机取证的起源和相关术语，计算机在犯罪中

25、的角色，定义了计算机数据的定义、特点和数据源，计算机取证的定义、特殊性和分类。然后详细分析了计算机取证的研究现状，对主要的计算机取证工具，当前国内外的研究现状，计算机取证的局限性进行了阐述和说明。第三章主要介绍了本系统核心模块实现所采用的主要技术，首先介绍了计算机取证所遵循的原则和一般步骤，然后研究了本论文的目标系统 NTFS系统，对 NTFS系统的存储结构进行了分析。第四章结合第三章的 NTFS存储结构，介绍了数据恢复的原理，并依据原理设计并实现了数据恢复模块，对被删除文件进行恢复。然后介绍了对格式化的分区进行恢复的原理和设计实现。第五章介绍了历史痕迹取证的设计与实现，实现

26、了文件搜索， Cookie分析，注册表数据提取，并重点介绍了上网历史记录的数据提取。第六章对论文的工作进行了总结，并提出了该取证系统需要改进的进一步的工作。最后是参考文献和致谢部分。 3 第二章计算机数据取证综述随着计算机和互联网以及信息技术的不断发展进步，一种新型的犯罪方式一 “ 计算机犯罪 ” 正变得越来越普遍。据美国计算机应急响应组织 CERT/CC发布的统计报告显示： 2002年全年，他们接到的安全事件报告有 82094起；到了 2003 年，此类报告己经猛増到了 137529起。从报告中我们可以看出，计算机犯罪的势头非常迅猛。而计算机犯罪的目的、形式和手段也千变万化，有

27、侵入网站破坏网站正常运行的，有制作、散布计算机病毒的，有侵入计算机系统盗取或修改计算机数据的等等。不论这些对计算机系统的行为是出于什么目的，都对计算机系统造成了一定的影响，更严重的是对国家和人民的财产造成不可估量的损失。 2. 1计算机数据取证的相关概念一个新观念提出以后，对于与它相关的术语界定也是一个长时间的过程，而对于计算机犯罪和取证基本术语的标准化，已经争论了十多年，一直到现在仍没有达成任何一般性的共识。 2. 1. 1计算机数据取证的起源和 _些术语如果说在三十年前，提到 “ 犯罪 ” 人们普遍想到的是盗窃等之类的行为，那么在三十年后的今天， “ 犯罪 ” 的概念己经

28、延伸到了计算机世界。如果不将计算机零部件的盗窃统计在内，最早有记录的计算机犯罪发生在 1969年到 1970年。大约在同一时期，有人逐渐发现了非授权访问巨型计算机的方法，其本质是盗取计算机的使用时间，这在当时是非法的行为。 20世纪 70年代，许多涉及计算机和网络的犯罪活动是使用当时已有的法律进行处罚的，但由于数字财产被看作是无形的，超出了传统法律保护实际有形财产的范畴，因而产生了很多法律纠纷。利用计算机进行的计算机入侵和计算机诈骗最先被广泛地认为是新型的犯罪，处理入侵和计算机诈骗的第一个计算机法律是佛罗里达计算机犯罪法。这个法案还定义了所有未授权访问计算机的行为是犯罪，即使访

29、问行为不是恶意的也被认为是犯罪。 20世纪 80年代早期，各国政府开始颁布类似的法律，加拿大是第一个颁布联邦法律来处理计算机犯罪的国家。美国联邦计算机反欺诈和滥用法在 1984年通过，并在 1986年、 1988年、 1989年和 1990年进行了修改。 1989年澳大利亚刑法也将计算机相关犯罪包括了进去，澳大利亚各州也在同一时间颁布了类似的法律。在美国， 1990年计算机入侵也通过反滥用法定罪。 20世纪 90年代，网络的发展使得计算机犯罪超越了简单的计算机入侵，各 4 种有关计算机犯罪的法令也越来越多。有关专家曾经对 “ 是什么组成了计算机犯罪或计算机相关犯罪 ” 这个问题进

30、行了激烈的争论，但仍没有一致认可的定义。定义计算机犯罪的一个主要难点在于：当犯罪案件并不直接涉及计算机或网络，但是计算机或网络仍然包括与案件相关的数字证据的时候，即使计算机在案件里没有起到任何作用，但是它包含了与调查相关的数字证明。基于这种情况，术语计算机相关 (Computer-related)就更为适合，美国司法部和欧洲理事会就采用了电脑犯罪 (Cybercrime)来泛指涉及计算机和网络的犯罪。术语“ 计算机法学 (ComputerForensics)” 对不同的人也具有不同的含义，计算机法学经常指对诸如硬盘、光盘以及打印机之类的计算机部件及这些部件承载的内容进行法学检验

31、，然而，这个术语有时又被用于描述所有形式数字证据的法学检验，包括通过网络的数据传输，而在信息安全领域，计算机法学这个术语已经用来泛指那些更多的是保护计算机系统而不是收集证据的活动，从而使得该术语的定义更加混乱了。数字法学研究工作组 (Digital Forensic Research Workshop，简称 DFRWS)在 2 1年第一届年会中就意识到需要对术语进行修订，并建议用 “ 数字法学 (Digital Forensic science)” 这个术语来描述本领域的所有内容。术语 “ 计算机法学分析 (Forensic Computer Analysis)” 和 “ 法学计算

32、 (Forensic Computing)” 也使用的越来越广泛。 2. 1.2计算机在犯罪中的角色在认识到计算机犯罪的危害，并且将计算机犯罪当作一个专门的课题研究之后，专家们越来越注重的是研究的系统化、规范化。作为计算机犯罪研究的基础，对于计算机在犯罪中所扮演的角色，也出现了许多不同的界定。最初，计算机取证专家认为计算机通常扮演以下四个角色：第一，计算机可以是犯罪的犯罪客体：当犯罪行为影响到计算机的时候，计算机就是犯罪的客体，例如当计算机被盗或被破坏；第二，计算机是犯罪的主体：当计算机就是犯罪所在的环境时，计算机就是犯罪主体，例如当计算机被病毒传染或被以某些其它方式降低了

33、性能，从而使计算机用户不方便；第三，计算机可以是计划和实施犯罪的工具：例如当计算机被用于伪造文件或者侵入其它计算机时，计算机就是犯罪的工具；第四，计算机本身可以成为一种用于胁迫和行骗的象征，例如一个股票经纪人告诉客户，他可以通过经纪公司的巨型计算机中的一个秘密计算机程序来快速操作股票以获取巨额利益。许多客户相信了这个骗术，就会受骗上当。 1995年， David L. Carter教授根据他的刑事司法经验改进了上面的分类，引入了目标 (Target)和工具 (Instrumentality)两个术语。这描述了计算机和犯罪关联不 5 那么密切，但计算机中又包含了相关数字证据的情景。与

34、前面相比，这个界定的内容更加全面。 1994年，美国司法部 (US Department of Justice)创建了一套分类体系，以及一套相关的搜查和查封准则。这套分类体系区分了硬件 (电子证据 )和信息 (数字证据 )，硬件是指计算机所有的物理部件，信息是指存储在计算机上的或用计算机进行传输的数据和程序。硬件和信息共分为六大类：第一，作为违禁品或者犯罪赃物的硬件；第二，作为工具的硬件；第三，作为证据的硬件；第四，作为违禁品或犯罪赃物的信息；第五，作为工具的信息；第六，作为证据的信息。 2002年，美国司法部更新了文档，反应了技术和法律的最新变化，并编制了 “ 在刑事调查中搜

35、查、查封计算机并获得电子证据 ” 手册，该手册成为调查员、原告律师和辩护律师的重要参考文件之一 2。 2. 1.3计算机数据的定义、特点和数据源计算机数据是计算机取证的对象，计算机系统则是计算机数据的承载和来源。考虑到计算机数据来源的多源性，应首先对计算机系统进行分类。针对计一算机数据的来源，可以将计算机系统分为三大类：开放计算机系统；即通常意义上的由硬盘驱动器、显示器、键盘、鼠标等组成的标准化计算机系统；通信系统 : 指传统电话系统、有线通信系统、 Internet以及普通网络；嵌入式计算机系统：即移动电话、智能卡和一些内嵌计算机的系统 32。在了解了针对计算机数据取证而对计

36、算机系统所做的划分以后，还要对计算机数据取证的研究对象 “ 计算机证据 ” 进行分类。计算机证据的分类方法可以有很多，例如针对存储介质分类，可以分为存储于硬盘的数据，存储于缓存的数据，存储于可移动磁盘的数据等；针对存储形式分类，可以分为可直接读取文件，隐藏文件，加密文件，被删除文件等；针对计算机数据的表现形式分类，可以分为文本、图像、声音三大类 27。在文本这一类中，计算机证据又可以细分为：电子邮件、文档、表格、注册表数据、历史记录等等。对计算机系统、计算机证据进行分类以后，接下来我们要对 “ 计算机证据 ” 有个定义。对于计算机证据的定义有很多。例如数字证据标准工作组 (

37、SWGDE) 的定义是任何可以提供证据的、以数字形式存储或传输的信息。而计算机证据国际组织 (I0CE)的定义是指可以被法庭所接受的、以二进制形式存储或传输的信息。在本文中，计算机证据的定义为：可以从计算机设备中提取的、可能为计算机犯罪调查提供线索的所有数据。计算机数据与传统证据相比，具有自身的一些特点 71。这些特点既为计算机数据的取证带来了传统取证所没有的问题与挑战，具体如下：数字性。计算机证据的物质载体是电子元件和磁性材料等。行为人蓄意操作、 6 改变数据或程序，从物理表示上，都只是集成电路的电子矩阵正负电平或磁性材料磁体等发生了变化。获取这些行为的证据需要的手段，与其它

38、证据是完全不同的。技术性。计算机证据的产生、储存和传输及其采集、分析和判断都必须借助于计算机科学中的计算技术、存储技术、网络通信技术等。脆弱性。由于计算机信息容易被修改，并且对其进行真正意义上的修改 (不可恢复的修改 )以后不会留下痕迹，从而使得计算机信息具有了脆弱、不可靠的一面，人为操纵数据和程序的破坏在某种程度上具有普遍性。计算机系统对数据的处理具有环节多、使用的技术和设备复杂等特点，而且由于计算机的处理速度越来越快，数据的修改都是在瞬间完成的，所以，计算机证据有时是不可靠的。多态性。是指计算机证据的表现形式是多种多样的，即不同形态的输出材料的证明力都来源于同一计算机存储的信息本身。虽然不同的证据表现形式并不能说明其在审查判断上有根本的区别，但是不同形态的证据材料的审查规则是不同的。人机交互性。这是指计算机证据的形成，在不同的环节上有不同的计算机操作人员参与，这种参与在都可能不同程度上影响计算机系统的运转。而且，这种影响的层次和程度与这些人员的工作性质有关。也就是说，计算机管理员、网络管理员、程序员、系统分析人员以及一般的计算机操作人员对数据信息的影响是不同的，所以，可能出现的问题也就存在于人、机两个方面。为了保证证据的可靠性和真实

展开阅读全文