基于Winhex的數(shù)據(jù)恢復(fù)技術(shù)在計(jì)算機(jī)取證中的應(yīng)用

吳琪

（吉林警察學(xué)院，吉林 長(zhǎng)春 130117）

基于Winhex的數(shù)據(jù)恢復(fù)技術(shù)在計(jì)算機(jī)取證中的應(yīng)用

吳琪

（吉林警察學(xué)院，吉林 長(zhǎng)春 130117）

在計(jì)算機(jī)犯罪案件中，犯罪分子往往為掩蓋犯罪事實(shí)會(huì)想方設(shè)法抹除犯罪證據(jù)，以逃避法律追究，數(shù)據(jù)恢復(fù)技術(shù)可以將遭受破壞的數(shù)據(jù)全部或者部分還原。Winhex磁盤(pán)編輯軟件可以編輯物理磁盤(pán)或邏輯磁盤(pán)的任意扇區(qū)，在硬盤(pán)扇區(qū)數(shù)據(jù)編輯上具有強(qiáng)大優(yōu)勢(shì)及應(yīng)用的便利性，是手工恢復(fù)數(shù)據(jù)的首選工具軟件。基于Winhex的數(shù)據(jù)恢復(fù)技術(shù)為計(jì)算機(jī)取證提供了可靠的技術(shù)保證。

數(shù)據(jù)恢復(fù)；Winhex；計(jì)算機(jī)取證

一、引言

在信息化進(jìn)程快速發(fā)展的今天，以計(jì)算機(jī)及其網(wǎng)絡(luò)為平臺(tái)的高科技犯罪開(kāi)始成為信息時(shí)代威脅人們生活及財(cái)產(chǎn)安全的新毒瘤，犯罪手段呈現(xiàn)出日趨隱蔽性、高智能性、復(fù)雜性和跨度性等特點(diǎn)。犯罪分子為掩蓋犯罪事實(shí)，常常會(huì)人為地破壞數(shù)據(jù)或故意刪除涉案電子證據(jù)。在偵破審理計(jì)算機(jī)犯罪案件時(shí)，不完整的電子證據(jù)很難作為有效證據(jù)用于指控計(jì)算機(jī)犯罪分子，因此，一些電子物證必須借助硬盤(pán)數(shù)據(jù)恢復(fù)技術(shù)來(lái)完成電子證據(jù)的搜集、固化工作。2012年3月，《刑事訴訟法（草案）》通過(guò)了第八次修訂，將第42條改為第48條，修改為：“可以用于證明案件事實(shí)的材料，都是證據(jù)?！泵鞔_把電子證據(jù)列為第八類(lèi)證據(jù)，諸如貪污、瀆職、賭球、短信詐騙、網(wǎng)絡(luò)盜號(hào)、私服外掛、網(wǎng)絡(luò)電子傳銷(xiāo)、軟件侵權(quán)等案件，都離不開(kāi)電子取證及鑒定，針對(duì)惡意刪改數(shù)據(jù)、惡意損壞存儲(chǔ)載體致使數(shù)據(jù)丟失的取證技術(shù)——數(shù)據(jù)恢復(fù)取證，已經(jīng)成為公檢法部門(mén)破案、斷案、判案最重要一環(huán)。

2004年轟動(dòng)一時(shí)的馬加爵殺人案，通過(guò)對(duì)犯罪嫌疑人使用的電腦硬盤(pán)數(shù)據(jù)恢復(fù)分析，最終將搜查范圍鎖定在三亞并成功將罪犯抓捕。2010年發(fā)生的“‘傀儡機(jī)’惡意攻擊服務(wù)器”的案件，犯罪嫌疑人向某將涉案的相關(guān)硬盤(pán)數(shù)據(jù)進(jìn)行了惡意刪改，致使案件遲遲達(dá)不到提起公訴的證據(jù)標(biāo)準(zhǔn)，在這種情況下，也是數(shù)據(jù)恢復(fù)取證技術(shù)成為破案和定罪的關(guān)鍵。2012年10月，天津警方運(yùn)用數(shù)據(jù)恢復(fù)電子數(shù)據(jù)取證技術(shù)將一臺(tái)數(shù)碼相機(jī)中被格式化的一組婚禮照片成功恢復(fù)，進(jìn)而破獲一起連環(huán)“盜竊案”。當(dāng)今，數(shù)據(jù)恢復(fù)取證技術(shù)在貪污受賄、瀆職犯罪、職務(wù)犯罪等電子物證獲取中更是發(fā)揮了巨大的作用。

二、數(shù)據(jù)恢復(fù)原理分析

數(shù)據(jù)恢復(fù)就是通過(guò)技術(shù)手段將不可訪問(wèn)或不可獲得的數(shù)據(jù)恢復(fù)至可訪問(wèn)或可獲得的數(shù)據(jù)狀態(tài)過(guò)程。硬盤(pán)數(shù)據(jù)丟失本身就是一個(gè)非常復(fù)雜的問(wèn)題，要尋找并恢復(fù)因分區(qū)信息丟失或損壞、文件系統(tǒng)損壞、誤刪除、誤格式化等原因而丟失的數(shù)據(jù)，首先就要分析硬盤(pán)的結(jié)構(gòu)，對(duì)文件系統(tǒng)有所了解。

一個(gè)新硬盤(pán)只有經(jīng)過(guò)分區(qū)、格式化后，才能安裝操作系統(tǒng)進(jìn)行正常使用。分區(qū)后主引導(dǎo)記錄（MBR）就位于硬盤(pán)的0磁道0柱面1扇區(qū)。硬盤(pán)的主引導(dǎo)記錄共有512個(gè)字節(jié)，前446個(gè)字節(jié)為引導(dǎo)程序，隨后64個(gè)字節(jié)為DPT（硬盤(pán)分區(qū)表），最后兩個(gè)字節(jié)為分區(qū)的結(jié)束標(biāo)志“55AA”。通過(guò)分析MBR區(qū)的信息可初步判斷出硬盤(pán)的分區(qū)數(shù)量、每個(gè)分區(qū)的大小、起始位置、系統(tǒng)的文件類(lèi)型等信息。當(dāng)主引導(dǎo)記錄遭到病毒、人為操作等破壞后，部分或全部分區(qū)則會(huì)丟失，掌握了主引導(dǎo)記錄MBR扇區(qū)的結(jié)構(gòu)，根據(jù)數(shù)據(jù)信息特征，重新推算計(jì)算分區(qū)大小及位置，按照這個(gè)結(jié)構(gòu)重建一個(gè)MBR扇區(qū)，即可恢復(fù)。

分區(qū)后，格式化程序則建立相應(yīng)的文件系統(tǒng)。根據(jù)分區(qū)大小一般將分區(qū)合理劃分為四個(gè)主要部分：DBR扇區(qū)、文件分配表FAT、根目錄DIR和數(shù)據(jù)區(qū)DATA。DBR扇區(qū)記錄整個(gè)文件系統(tǒng)的重要參數(shù)信息，包括保留扇區(qū)數(shù)、FAT表個(gè)數(shù)、每個(gè)FAT表大小、文件系統(tǒng)大小和根目錄位置等。如果DBR扇區(qū)損壞，系統(tǒng)就無(wú)法提取有關(guān)文件系統(tǒng)的各個(gè)參數(shù)及數(shù)據(jù)的管理方式，造成整個(gè)文件系統(tǒng)的數(shù)據(jù)無(wú)法讀取。FAT表用來(lái)描述文件系統(tǒng)中的每個(gè)簇的分配狀態(tài)，同時(shí)記錄為每個(gè)文件或文件夾分配的各個(gè)簇之間的關(guān)系。如果FAT表被破壞，對(duì)數(shù)據(jù)來(lái)說(shuō)是非常危險(xiǎn)的，所以一般在創(chuàng)建時(shí)程序時(shí)會(huì)自動(dòng)備份FAT。根目錄是用戶(hù)數(shù)據(jù)的開(kāi)始，用以存儲(chǔ)根目錄下建立的文件夾及文件等的目錄項(xiàng)，該文件夾及文件本身的實(shí)際數(shù)據(jù)內(nèi)容則存儲(chǔ)在數(shù)據(jù)區(qū)中。在文件系統(tǒng)分區(qū)內(nèi)建立文件時(shí)，系統(tǒng)首先根據(jù)DBR扇區(qū)內(nèi)的各個(gè)參數(shù)確定FAT表的大小、根目錄的位置和簇大小等信息。硬盤(pán)寫(xiě)入文件時(shí)，系統(tǒng)首先在DIR空白區(qū)寫(xiě)上文件名稱(chēng)、大小和創(chuàng)建時(shí)間等信息后，然后在數(shù)據(jù)區(qū)的空白區(qū)寫(xiě)上文件的真實(shí)內(nèi)容，最后將數(shù)據(jù)區(qū)的起始位置寫(xiě)入DIR。當(dāng)文件分配表或DIR遭到破壞以后，系統(tǒng)無(wú)法定位到文件，雖然每個(gè)文件的真實(shí)內(nèi)容還存放在數(shù)據(jù)區(qū)，系統(tǒng)仍然會(huì)認(rèn)為文件已經(jīng)不存在，在這種情況下，可以通過(guò)技術(shù)扇區(qū)數(shù)來(lái)恢復(fù)數(shù)據(jù)。

文件被刪除時(shí)，真正存儲(chǔ)文件內(nèi)容的簇空間沒(méi)有發(fā)生任何改變，只是它對(duì)應(yīng)的FAT表和目錄項(xiàng)有所改變。格式化操作和刪除相似，都只操作文件分配表，但格式化是將所有文件都加上刪除標(biāo)志，或者將文件分配表清空，使系統(tǒng)認(rèn)為硬盤(pán)分區(qū)上不存在任何內(nèi)容。格式化操作并沒(méi)有對(duì)數(shù)據(jù)區(qū)做任何操作，目錄空了，內(nèi)容還在，所以數(shù)據(jù)也完全有可能被恢復(fù)。當(dāng)將系統(tǒng)分區(qū)格式化后，有新內(nèi)容被拷貝，新數(shù)據(jù)也只是覆蓋掉分區(qū)前那部分空間，去掉新內(nèi)容占用的空間，該分區(qū)剩余空間數(shù)據(jù)區(qū)上的無(wú)序內(nèi)容也仍然有可能被重新組織，使數(shù)據(jù)得以恢復(fù)。

三、利用Winhex進(jìn)行數(shù)據(jù)恢復(fù)

WinHex是一款在Windows下運(yùn)行的16進(jìn)制編輯軟件，專(zhuān)門(mén)用來(lái)對(duì)付計(jì)算機(jī)取證、數(shù)據(jù)恢復(fù)、低級(jí)數(shù)據(jù)處理、IT安全性及其各種日常緊急情況的高級(jí)工具，用來(lái)檢查和修復(fù)各種文件、恢復(fù)刪除文件、硬盤(pán)損壞、數(shù)碼相機(jī)卡損壞造成的數(shù)據(jù)丟失等，得到國(guó)外著名媒體ZDNet Software Library五星級(jí)的最高評(píng)價(jià)，擁有強(qiáng)大的系統(tǒng)效用。下面舉一個(gè)案例來(lái)分析利用WinHex進(jìn)行數(shù)據(jù)恢復(fù)的過(guò)程。

硬盤(pán)用Ghost還原誤操作或人為破壞，使硬盤(pán)中分區(qū)信息丟失，導(dǎo)致其原本應(yīng)該是兩個(gè)分區(qū)的硬盤(pán)變成了一個(gè)分區(qū)，而重要文件都在第二分區(qū)，第二個(gè)分區(qū)的丟失使原文件隨之丟失，整個(gè)硬盤(pán)只有一個(gè)系統(tǒng)分區(qū)。用戶(hù)在用Ghost恢復(fù)系統(tǒng)時(shí)可以據(jù)此原理，根據(jù)磁盤(pán)的結(jié)構(gòu)人為操作，實(shí)際上原來(lái)的第一個(gè)分區(qū)之后的分區(qū)還是存在的，只是因?yàn)榉謪^(qū)表的改變使得分區(qū)被隱藏了，如果能夠恢復(fù)分區(qū)表的原始狀態(tài)，就能夠找回丟失的分區(qū)。對(duì)上述情況進(jìn)行模擬實(shí)驗(yàn)，本文是用虛擬硬盤(pán)工具Inspro Disk創(chuàng)建一個(gè)磁盤(pán)鏡像文件，加載該文件后，對(duì)于操作系統(tǒng)來(lái)講，該虛擬磁盤(pán)與真正的物理磁盤(pán)無(wú)任何區(qū)別。鏡像文件加載后我們看到增加了“磁盤(pán)一”，如圖1所示。

圖1 虛擬磁盤(pán)加載后

對(duì)主引導(dǎo)記錄和磁盤(pán)分區(qū)表進(jìn)行分析：MBR是磁盤(pán)第一個(gè)扇區(qū)，CHS地址是0柱面，0磁頭，1扇區(qū)，LBA地址是0。具體的數(shù)據(jù)結(jié)構(gòu)如表1、表2所示。

表1 MBR扇區(qū)數(shù)據(jù)結(jié)構(gòu)

表2 磁盤(pán)分區(qū)表數(shù)據(jù)結(jié)構(gòu)

用Winhex打開(kāi)“磁盤(pán)1”，通過(guò)搜索“55AA”對(duì)原來(lái)的第二個(gè)分區(qū)的開(kāi)始位置進(jìn)行查找，結(jié)果在112455扇區(qū)找到一個(gè)EBR，見(jiàn)圖2。由此可見(jiàn)，112455扇區(qū)是擴(kuò)展分區(qū)的開(kāi)始扇區(qū)，擴(kuò)展分區(qū)的大小通過(guò)該EBR扇區(qū)的分區(qū)表計(jì)算，進(jìn)制轉(zhuǎn)換后得63+96327=96390，得到以上信息后即可利用這些信息在MBR中重建分區(qū)表。

圖2 找到的EBR

圖3 重建后的MBR

跳轉(zhuǎn)到MBR扇區(qū)，將前面擴(kuò)展分區(qū)的信息填入分區(qū)表，并修改第一個(gè)分區(qū)的大小為原來(lái)實(shí)際大小，即112455-63=112392，見(jiàn)圖3。分區(qū)重建完畢后，將結(jié)果保存后MBR扇區(qū)結(jié)構(gòu)見(jiàn)圖4。

圖4 恢復(fù)后MBR扇區(qū)結(jié)構(gòu)

分區(qū)修改之后，卸載虛擬硬盤(pán)的鏡像文件后重新加載。打開(kāi)磁盤(pán)管理后的硬盤(pán)分區(qū)已恢復(fù)為兩個(gè)分區(qū)，如圖5所示。該硬盤(pán)數(shù)據(jù)恢復(fù)成功，文件得以找回。

圖5 恢復(fù)后的“磁盤(pán)1”

四、計(jì)算機(jī)取證注意事項(xiàng)

一是在獲取存儲(chǔ)介質(zhì)中的電子證據(jù)時(shí)，應(yīng)該采用鏡像工具對(duì)存儲(chǔ)介質(zhì)中的所有數(shù)據(jù)信息進(jìn)行備份。因?yàn)閿?shù)據(jù)恢復(fù)工作是具有一定風(fēng)險(xiǎn)的，如果犯罪分子做了手腳或取證人員操作不當(dāng)，遭到破壞的證據(jù)可能完全不被法庭所接受。對(duì)存儲(chǔ)介質(zhì)的分析鑒定等取證與司法鑒定環(huán)節(jié)中只能對(duì)備份數(shù)據(jù)進(jìn)行操作，以保證電子證據(jù)的客觀性。二是計(jì)算機(jī)取證必須在法律允許的條件下，通過(guò)技術(shù)手段來(lái)獲取數(shù)據(jù)作為案件線索或具有法律效力的電子證據(jù)。三是恢復(fù)過(guò)程中使用的硬件和軟件工具都必須滿(mǎn)足工業(yè)標(biāo)準(zhǔn)和可靠性標(biāo)準(zhǔn)。數(shù)據(jù)寫(xiě)入的介質(zhì)在分析過(guò)程中應(yīng)當(dāng)寫(xiě)保護(hù)，以防止被篡改。為避免在庭審中出現(xiàn)證據(jù)的可疑性，取證人員在進(jìn)行數(shù)據(jù)恢復(fù)的過(guò)程中，應(yīng)當(dāng)詳細(xì)記錄所使用的工具、操作方法、操作的步驟以及存儲(chǔ)介質(zhì)的運(yùn)輸及其保存方法等。

［1］馬林.重生Windows數(shù)據(jù)恢復(fù)技術(shù)極限剖析［M］.北京：清華大學(xué)出版社，2011.

［2］張京生，汪中夏，劉偉.數(shù)字恢復(fù)方法及案例分析［M］.北京：電子工業(yè)出版社，2009.

［3］高志鵬，張志偉等.Winhex應(yīng)用與數(shù)據(jù)恢復(fù)開(kāi)發(fā)秘籍［M］.北京：人民郵電出版社，2013.

［4］蔣平，黃淑華，楊莉莉.數(shù)字取證［M］.北京：清華大學(xué)出版社，2007.

［5］陳潮.電子取證中主分區(qū)表的手工恢復(fù)技術(shù)研究［J］.警察技術(shù)，2012，（1）.

［6］殷聯(lián)甫.計(jì)算機(jī)取證技術(shù)［M］.北京：科學(xué)出版社，2008.

［7］華師傅資訊.數(shù)據(jù)備份與恢復(fù)實(shí)用寶典［M］.北京：中國(guó)鐵道出版社，2008.

（責(zé)任編輯：陳尚坤）

D918.2

A

1671-0541（2014）04-0078-04

2014-05-24

吳琪（1976-），女，吉林警察學(xué)院信息工程系講師，主研研究方向：信息安全。

本文系吉林省教育廳“十一五”科研項(xiàng)目階段性成果。