王笑強(qiáng)

電子數(shù)據(jù),廣義的講是指以物理形式存儲(chǔ)于計(jì)算機(jī)系統(tǒng)內(nèi)部及其存儲(chǔ)器當(dāng)中的指令和資料,包括計(jì)算機(jī)程序和程序運(yùn)行過程所處理的信息資料;狹義的講則指的是存儲(chǔ)于計(jì)算機(jī)系統(tǒng)中的除計(jì)算機(jī)程序外的一切信息資料,即那些由計(jì)算機(jī)系統(tǒng)所有者及用戶采集并輸入計(jì)算機(jī)系統(tǒng)的,非系統(tǒng)本身運(yùn)行不可缺少的信息。對(duì)電子數(shù)據(jù)證據(jù)的保護(hù)、確認(rèn)、提取和歸檔就是所謂的電子取證。

社會(huì)信息化催生了一種邊緣的計(jì)算機(jī)技術(shù)——計(jì)算機(jī)數(shù)據(jù)恢復(fù)技術(shù),這是一種跨軟硬件平臺(tái)的技術(shù),主要應(yīng)用于計(jì)算機(jī)周邊各種存儲(chǔ)設(shè)備,包括硬盤、軟盤、磁帶、U盤等移動(dòng)存儲(chǔ)設(shè)備中,是對(duì)損壞數(shù)據(jù)的恢復(fù)技術(shù),一般分為軟件修復(fù)技術(shù)和硬件修復(fù)技術(shù)。

軟件修復(fù)技術(shù)主要針對(duì)可以正常進(jìn)行讀寫操作的存儲(chǔ)設(shè)備,包括對(duì)分區(qū)表及文件系統(tǒng)信息的修補(bǔ)技術(shù),比如FAT32系統(tǒng)的引導(dǎo)扇區(qū)、FAT表、目錄表以及UNIX系統(tǒng)中的超級(jí)塊等。這些信息一旦受損或丟失,就看不到系統(tǒng)分區(qū),系統(tǒng)中的文件就無法正常讀取。

硬件修復(fù)技術(shù)是針對(duì)無法進(jìn)行讀寫操作的存儲(chǔ)設(shè)備,主要是硬盤。硬盤是由三部分組成的,分別是存儲(chǔ)數(shù)據(jù)的盤片、為讀取盤片而設(shè)的硬件和固化于硬件和盤片上的伺服軟件。在這三個(gè)部分里,任何部分有故障都會(huì)造成硬盤加電后無法讀取數(shù)據(jù),而我們可以通過硬件更換技術(shù)、軟件重建技術(shù)和盤片讀取技術(shù)解決問題,修復(fù)數(shù)據(jù)。

數(shù)據(jù)恢復(fù)與電子取證的異同點(diǎn)

首先,數(shù)據(jù)恢復(fù)與電子取證所需的數(shù)據(jù)類型以及對(duì)數(shù)據(jù)完整性的要求不同。計(jì)算機(jī)數(shù)據(jù)恢復(fù)技術(shù)所恢復(fù)的數(shù)據(jù)主要是應(yīng)用數(shù)據(jù),包括客戶專有的文本文件、數(shù)據(jù)表文件、照片文件、圖像文件、視頻文件、電子郵件以及數(shù)據(jù)庫文件等,客戶不但關(guān)心文件的內(nèi)容,同時(shí)也需要文件的完整,即可以正常使用。相反,電子取證不但需要應(yīng)用數(shù)據(jù),還需要系統(tǒng)數(shù)據(jù),這些數(shù)據(jù)包括普通文件、隱含文件、臨時(shí)文件、日志文件注冊(cè)表、交換文件或頁面文件、瀏覽器的歷史和收藏夾、被刪除的文件以及垃圾文件夾等,而且這些數(shù)據(jù)不一定完整,即便是一個(gè)時(shí)間、某個(gè)數(shù)據(jù)片或幾個(gè)字節(jié),對(duì)抓獲罪犯都可能是至關(guān)重要的。

其次,就是數(shù)據(jù)恢復(fù)難度的不同。計(jì)算機(jī)數(shù)據(jù)恢復(fù)所處理的數(shù)據(jù)丟失,主要是意外事件造成的,而犯罪發(fā)生后的電子取證所處理的數(shù)據(jù)丟失,往往是犯罪嫌疑人為了毀滅證據(jù)而故意做的,取證的難度隨著犯罪嫌疑人計(jì)算機(jī)水平的提高而增加。

同時(shí),電子取證與計(jì)算機(jī)數(shù)據(jù)恢復(fù)有很多相同點(diǎn)。在進(jìn)行操作前都需要保護(hù)目標(biāo)計(jì)算機(jī)系統(tǒng),避免發(fā)生任何的改變、傷害、數(shù)據(jù)破壞或病毒感染,都需要全部或盡可能恢復(fù)特殊的文件或數(shù)據(jù)塊。從本質(zhì)上說,兩者都是從信息存儲(chǔ)設(shè)備中提取電子數(shù)據(jù),只是服務(wù)的對(duì)象不同。電子數(shù)據(jù)證據(jù)取證是國家專有的,是公檢法機(jī)關(guān)針對(duì)犯罪分子而言的;數(shù)據(jù)恢復(fù)則是廣泛的,可以向社會(huì)服務(wù)。因此,計(jì)算機(jī)數(shù)據(jù)恢復(fù)技術(shù)完全可以應(yīng)用于電子數(shù)據(jù)證據(jù)的取證,進(jìn)而成為犯罪發(fā)生后電子數(shù)據(jù)證據(jù)取證最有效的手段。只要按照專門的步驟,運(yùn)用適當(dāng)?shù)挠?jì)算機(jī)數(shù)據(jù)恢復(fù)技術(shù),提供的電子數(shù)據(jù)證據(jù)是可信的、準(zhǔn)確的、完整的、符合法律法規(guī)的,即可為法庭所接受,就可以達(dá)到電子數(shù)據(jù)證據(jù)取證的目的。

應(yīng)用前景

根據(jù)這些區(qū)別,我們可以看出,從總體的修復(fù)難度以及文件類型的復(fù)雜程度、某些類型文件的理解深度等方面,電子數(shù)據(jù)證據(jù)取證的技術(shù)要求是高于計(jì)算機(jī)數(shù)據(jù)恢復(fù)的。計(jì)算機(jī)數(shù)據(jù)恢復(fù)只針對(duì)數(shù)據(jù)本身,電子數(shù)據(jù)證據(jù)取證還要求工程師對(duì)操作系統(tǒng)有深刻的理解。所以,這就要求計(jì)算機(jī)數(shù)據(jù)恢復(fù)針對(duì)電子取證的這些技術(shù)特點(diǎn)去研究和發(fā)展。

電子數(shù)據(jù)證據(jù)出現(xiàn)在法庭上,在我國只是近10年左右的事情,開展電子數(shù)據(jù)取證技術(shù)的研究,對(duì)于計(jì)算機(jī)科學(xué)的發(fā)展、電子數(shù)據(jù)取證法律法規(guī)的健全和電子數(shù)據(jù)取證工作的規(guī)范化都具有十分重要的意義。根據(jù)國內(nèi)信息化的發(fā)展水平及對(duì)電子取證的要求,國家信息中心信息安全研究與服務(wù)中心在兩年前就開始了這方面專門技術(shù)的研究,在處理有物理損壞的硬盤、查找文件碎片及對(duì)特殊文件的分析等方面取得了一些成果,為公檢法機(jī)關(guān)解決了大量的取證問題。