【 摘 要 】 網(wǎng)絡(luò)誕生和普及以后，產(chǎn)生了形形色色的計算機網(wǎng)絡(luò)犯罪，計算機系統(tǒng)為新的犯罪提供了機會、場所和手段。伴隨著計算機科學(xué)技術(shù)的發(fā)展，計算機網(wǎng)絡(luò)犯罪問題將日益突出，計算機網(wǎng)絡(luò)犯罪帶來的危害也將越來越大。在計算機網(wǎng)絡(luò)犯罪案件中，網(wǎng)絡(luò)犯罪的證據(jù)和線索極易遭到破壞、數(shù)據(jù)極易發(fā)生變化，要想取到證據(jù)就更不容易。數(shù)據(jù)恢復(fù)技術(shù)具有將被破壞的數(shù)據(jù)還原為原始數(shù)據(jù)的功能。所以，在進(jìn)行數(shù)據(jù)、軟件和存儲介質(zhì)的勘查時，應(yīng)注意備份，恢復(fù)一點，備份一點，以獲取有力的證據(jù)。利用數(shù)據(jù)恢復(fù)技術(shù)發(fā)現(xiàn)偵查線索、獲取犯罪證據(jù)成為偵破計算機網(wǎng)絡(luò)犯罪案件的一項重要技術(shù)手段，為有效地打擊計算機網(wǎng)絡(luò)犯罪開辟了一條新的途徑。

【 關(guān)鍵詞 】 模擬審計；云計算；虛擬化；服務(wù)架構(gòu)

1 引言

由于電子設(shè)備的特點，犯罪分子在實施犯罪的過程中，很容易通過網(wǎng)絡(luò)技術(shù)破壞犯罪的證據(jù)和線索。一些技術(shù)高超，尤其是那些對網(wǎng)絡(luò)操作系統(tǒng)非常熟悉的犯罪分子在實施完犯罪行為之后，常常會為自己“打掃”現(xiàn)場，對數(shù)據(jù)進(jìn)行破壞刪除，以銷毀證據(jù)，逃避法律的制裁。此外，存儲有犯罪證據(jù)的磁盤等物理介質(zhì)，也極易遭到強磁場等物理原因的破壞。數(shù)據(jù)恢復(fù)技術(shù)具有將被刪除或破壞的數(shù)據(jù)還原為原始數(shù)據(jù)的能力。掌握了數(shù)據(jù)恢復(fù)技術(shù)，恢復(fù)計算機網(wǎng)絡(luò)犯罪案件的作案現(xiàn)場，找到犯罪分子的作案證據(jù)，才能為有效地打擊計算機網(wǎng)絡(luò)犯罪提供技術(shù)保證。在我們熟知的馬加爵一案的偵破中，數(shù)據(jù)恢復(fù)技術(shù)就曾立下汗馬功勞。

2 計算機網(wǎng)絡(luò)犯罪的定義與犯罪現(xiàn)場的特點

2.1 計算機網(wǎng)絡(luò)犯罪的定義

計算機網(wǎng)絡(luò)犯罪是指使用網(wǎng)絡(luò)技術(shù)進(jìn)行的各種犯罪行為，它既包括針對網(wǎng)絡(luò)的犯罪，即把網(wǎng)絡(luò)設(shè)備作為作案對象的犯罪，如非法入侵、網(wǎng)絡(luò)病毒、網(wǎng)絡(luò)炸彈和破壞網(wǎng)絡(luò)信息系統(tǒng)等；也包括利用網(wǎng)絡(luò)犯罪，即以網(wǎng)絡(luò)系統(tǒng)及其設(shè)備作為作案工具的犯罪，如利用網(wǎng)絡(luò)散播反動言論、聚眾鬧事、發(fā)布黃色信息和盜竊、貪污等。前者系因網(wǎng)絡(luò)產(chǎn)生的新的犯罪類型，可稱為純粹意義的網(wǎng)絡(luò)犯罪，又稱為狹義的網(wǎng)絡(luò)犯罪；后者系用網(wǎng)絡(luò)實施的傳統(tǒng)的犯罪類型，可稱為與網(wǎng)絡(luò)相關(guān)的犯罪，又稱為廣義網(wǎng)絡(luò)犯罪。

2.2 計算機網(wǎng)絡(luò)犯罪現(xiàn)場的特點

一般來說，刑偵人員進(jìn)行偵查辦案的時候，偵查犯罪現(xiàn)場是非?；A(chǔ)、非常重要的工作，許多用于破案的偵破線索以及用于起訴罪犯的犯罪證據(jù)都是在犯罪現(xiàn)場發(fā)現(xiàn)的。犯罪現(xiàn)場對于偵查工作是如此重要，而信息網(wǎng)絡(luò)跨的地域非常廣，經(jīng)常會有一些犯罪跨越不同的國家和地區(qū)，所以網(wǎng)絡(luò)系統(tǒng)犯罪的現(xiàn)場應(yīng)該包括犯罪分子實施犯罪所使用的終端、被害系統(tǒng)網(wǎng)絡(luò)和犯罪分子在實施犯罪的過程中所發(fā)出的控制信息經(jīng)過的節(jié)點。

2.2.1犯罪現(xiàn)場的時間、空間跨越性強

網(wǎng)絡(luò)犯罪現(xiàn)場的時間、空間跨越性強，因為網(wǎng)絡(luò)犯罪分子常常會跨過不同的網(wǎng)絡(luò)，甚至經(jīng)?？邕^不同國家的網(wǎng)絡(luò)來實施犯罪。當(dāng)今互聯(lián)網(wǎng)幾乎已經(jīng)連到了世界的各個角落，只要有一臺連到了Internet的計算機，就可以很方便地瀏覽任何一臺聯(lián)網(wǎng)主機的信息。在網(wǎng)絡(luò)給我們帶來極大方便的同時，也給犯罪分子實施犯罪創(chuàng)造了極為便利的條件。

一些技術(shù)高超的不軌分子可能坐在家里就把遠(yuǎn)在萬里之外的一些極為重要的系統(tǒng)給“黑”了。對于高明的黑客而言，通過網(wǎng)絡(luò)侵入異地的銀行系統(tǒng)，把錢轉(zhuǎn)到本地自己的賬戶上也不難辦到。這說明了網(wǎng)絡(luò)犯罪現(xiàn)場的空間跨越性。

一些犯罪分子可能會編寫程序，讓該程序在未來的某一個時間執(zhí)行。當(dāng)?shù)搅祟A(yù)定的時間，這些程序就會自動觸發(fā)并執(zhí)行，產(chǎn)生一些非常嚴(yán)重的后果。最明顯的就是計算機病毒，病毒被編寫出來后，通過網(wǎng)絡(luò)傳播，不斷地感染其他系統(tǒng)。一些病毒常在某些特定的日子發(fā)作，破壞計算機的軟、硬件和各種重要信息。比如圣誕CIH病毒，逢12月25日爆發(fā)?？梢姡W(wǎng)絡(luò)系統(tǒng)犯罪的時間跨越性很強。

2.2.2犯罪證據(jù)易遭破壞

網(wǎng)絡(luò)犯罪中的證據(jù)主要是以電子數(shù)據(jù)形式存在的證據(jù)，是指依法收集的，與案件有聯(lián)系的，能以其儲存的文字、數(shù)據(jù)、圖像等證明案件真實情況的各種電子化數(shù)據(jù)記錄。

在網(wǎng)絡(luò)犯罪中，犯罪分子所用的犯罪手段可能就是通過網(wǎng)絡(luò)侵入其他系統(tǒng)，然后對一些程序或其他文件進(jìn)行修改。司法機關(guān)所能夠用來起訴他們的證據(jù)可能僅是一些他們登錄系統(tǒng)或修改文件時系統(tǒng)對其行為所記錄下來的日志。

一旦犯罪分子取得系統(tǒng)的控制權(quán)之后，他們就會想方設(shè)法把那些可能記錄其罪行的日志進(jìn)行一些他們認(rèn)為需要的并且安全的修改。除此之外，由于犯罪證據(jù)是以數(shù)字的形式存在于磁盤等物理介質(zhì)上，也極易受到強磁場等物理原因的破壞。

3 數(shù)據(jù)的備份與恢復(fù)

3.1 數(shù)據(jù)的備份

數(shù)據(jù)備份，就是創(chuàng)建數(shù)據(jù)的副本。如果原始數(shù)據(jù)被刪除、覆蓋或由于故障無法訪問，可以使用副本恢復(fù)丟失或損壞的數(shù)據(jù)。

一般情況下，用戶數(shù)據(jù)和重要的系統(tǒng)數(shù)據(jù)都需要備份，所以，備份一般分為兩個層次：一是重要系統(tǒng)數(shù)據(jù)的備份，用以保證系統(tǒng)正常運行；二是用戶數(shù)據(jù)的備份，用于保護(hù)用戶各種類型的數(shù)據(jù)，防止數(shù)據(jù)丟失或遭到破壞。

3.1.1系統(tǒng)數(shù)據(jù)的備份方法

系統(tǒng)數(shù)據(jù)備份，主要有兩大類方式：一種是類似于Ghost的全盤備份；另一種是類似于KV3000的關(guān)鍵數(shù)據(jù)備份。

3.1.2用戶數(shù)據(jù)的備份方法

系統(tǒng)數(shù)據(jù)備份中已經(jīng)包含了部分的用戶數(shù)據(jù)備份。對于用戶數(shù)據(jù)，由于其單純性和零碎性，大都可直接采用壓縮存檔的方式進(jìn)行備份，不過對于特定的數(shù)據(jù)，由于系統(tǒng)存儲方式的不同，也需要采取一定的相應(yīng)措施來完成。

3.2 數(shù)據(jù)恢復(fù)

3.2.1數(shù)據(jù)恢復(fù)的定義

電子數(shù)據(jù)恢復(fù)是指通過技術(shù)手段，將保存在臺式機硬盤、筆記本硬盤、服務(wù)器硬盤、存儲磁帶庫、移動硬盤、U盤、數(shù)碼存儲卡、MP3等等設(shè)備上丟失的電子數(shù)據(jù)進(jìn)行搶救和恢復(fù)的技術(shù)。

3.2.2數(shù)據(jù)恢復(fù)的原理endprint

當(dāng)對磁盤等存儲介質(zhì)上的文件進(jìn)行刪除操作，或?qū)Υ疟P進(jìn)行格式化時，磁盤上的數(shù)據(jù)并沒有真正從磁盤上消失，一般情況下，這些數(shù)據(jù)是可以恢復(fù)的。這是由存儲介質(zhì)的結(jié)構(gòu)和數(shù)據(jù)在存儲介質(zhì)上的存放方式所決定的。

一般要將硬盤分成主引導(dǎo)扇區(qū)MBR、操作系統(tǒng)引導(dǎo)扇區(qū)DBR、文件分配表FAT、根目錄區(qū)DIR和數(shù)據(jù)區(qū)DATA等五部分。DATA區(qū)是真正意義上的存放數(shù)據(jù)的地方，位于DIR之后，占據(jù)硬盤的大部分空間。一般情況下，數(shù)據(jù)區(qū)的數(shù)據(jù)都是不會被破壞的，除非進(jìn)行了擦除或進(jìn)行了低級格式化。一個文件被刪除之后，它并不是真正地從磁盤上抹掉全部數(shù)據(jù)，而僅僅是把文件頭中的前兩個代碼（文件名的第一個字符，與文件內(nèi)容無關(guān)）做了修改，這一信息映射在文件分配表中，在分配表中做出該文件刪除的標(biāo)記，而這個文件中的全部數(shù)據(jù)仍保存在磁盤上原來的簇中，除非被后來保存的其他數(shù)據(jù)覆蓋。既然文件被刪除后，其中的全部數(shù)據(jù)仍保存在磁盤上、文件分配表中也還存有它的信息，那么，這個文件就有恢復(fù)的機會。具體的做法是將文件頭找出來，恢復(fù)或重寫原來的前兩個代碼，在文件分配表中重新映射一下，這個文件就被恢復(fù)了。

3.2.3數(shù)據(jù)恢復(fù)的方法

一般地說，常用的數(shù)據(jù)恢復(fù)方法有三種：利用系統(tǒng)自身的還原功能恢復(fù)數(shù)據(jù)、使用專業(yè)的數(shù)據(jù)恢復(fù)軟件以及軟件和硬件結(jié)合進(jìn)行數(shù)據(jù)恢復(fù)。

（1）利用系統(tǒng)自身的還原功能恢復(fù)數(shù)據(jù)。有些操作系統(tǒng)和應(yīng)用程序自帶數(shù)據(jù)還原和記錄用戶操作信息的功能，利用這些功能可以達(dá)到數(shù)據(jù)恢復(fù)的目的。如操作系統(tǒng)的回收站就具有數(shù)據(jù)還原的功能，通常，數(shù)據(jù)被刪除，通常只是刪除到回收站中，數(shù)據(jù)仍駐留在磁盤上。如果沒有清空回收站，就可以利用回收站的還原功能將數(shù)據(jù)恢復(fù)到原來的位置。一些系統(tǒng)軟件和應(yīng)用軟件中對操作過的文件也有相應(yīng)的記錄，若能找到這些記錄，用不著完全恢復(fù)原始數(shù)據(jù)就可以發(fā)現(xiàn)線索或認(rèn)定犯罪事實。

（2）使用專業(yè)的數(shù)據(jù)恢復(fù)軟件。在文件被刪除（并從回收站中清除）、FAT表或者磁盤根區(qū)被病毒侵蝕造成文件信息全部丟失、物理故障造成FAT表或者磁盤根目錄區(qū)不可讀或?qū)Υ疟P格式化造成全部文件信息丟失時，可以借助免費數(shù)據(jù)恢復(fù)軟件如EasyRecovery、FinalData等或付費軟件迅龍數(shù)據(jù)恢復(fù)軟件等進(jìn)行數(shù)據(jù)恢復(fù)。

（3）軟件和硬件結(jié)合的恢復(fù)數(shù)據(jù)的方法。當(dāng)文件破壞比較嚴(yán)重或磁盤有物理損壞時，僅僅使用軟件恢復(fù)數(shù)據(jù)可能難以達(dá)到預(yù)期的效果。這種情況下，最好的方法是將數(shù)據(jù)恢復(fù)軟件和數(shù)據(jù)恢復(fù)儀器結(jié)合起來進(jìn)行數(shù)據(jù)恢復(fù)。

4 在計算機網(wǎng)絡(luò)犯罪偵查中使用數(shù)據(jù)備份與數(shù)據(jù)恢復(fù)技術(shù)的原則及應(yīng)注意的問題

4.1 一般原則

對于多數(shù)用戶而言，硬盤有價，數(shù)據(jù)無價。進(jìn)行數(shù)據(jù)恢復(fù)，一定要認(rèn)真細(xì)致，對每一步操作都有一個明確的目的。在進(jìn)行操作之前要考慮好做完這步操作能達(dá)到什么目的，可能造成什么后果，能不能回退至上一狀態(tài)。特別是對于一些破壞性操作，一定要考慮周到，只要條件允許，就一定要在操作之前進(jìn)行備份。

4.1.1在開始恢復(fù)數(shù)據(jù)之前首先完成幾個步驟

（1）備份當(dāng)前尚能工作的驅(qū)動器上所有的數(shù)據(jù)。如果C盤損壞，那么，在開始任何工作之前首先備份其他分區(qū)上的數(shù)據(jù)。

（2）將損壞的硬盤掛到一個正常工作的同樣的操作系統(tǒng)下，如果條件不允許，取下該硬盤，安裝一個新的主硬盤，再重新掛上損壞硬盤之前對主硬盤進(jìn)行分區(qū)格式化，并且更改CMOS設(shè)置。

（3）調(diào)查使用者。查出在丟失數(shù)據(jù)之前發(fā)生的事情，是否有其他應(yīng)用程序?qū)Υ疟P進(jìn)行過操作。用戶最后的輸入非常重要，要查出使用者做過些什么，雖然他并沒有說出來。

（4）如果可能，備份所有扇區(qū)是一個非常不錯的方法，可使用磁盤鏡像工具CPR。

（5）要有一個好的扇區(qū)編輯工具，如WinHex。

（6）盡力得到最后使用者的盡可能多的有關(guān)關(guān)鍵文件的信息。

（7）先搶救最有把握的數(shù)據(jù)，恢復(fù)一點，備份一點。

（8）使用備份軟件進(jìn)行的數(shù)據(jù)備份，可以直接利用軟件提供的恢復(fù)功能進(jìn)行恢復(fù)；如果該軟件沒有提供恢復(fù)功能，可以通過復(fù)制手段進(jìn)行覆蓋恢復(fù)；對于使用復(fù)制方法進(jìn)行的備份，恢復(fù)時使用復(fù)制手段覆蓋即可。

4.1.2非正?；謴?fù)

一是操作系統(tǒng)崩潰使用Ghost備份或“系統(tǒng)還原”功能進(jìn)行恢復(fù)；二是磁盤損壞的恢復(fù)。

軟盤損壞：可用HD-COPY/BAD-COPY軟件將軟盤中的文件導(dǎo)出，然后重新復(fù)制到正常軟盤上。

硬盤引導(dǎo)信息損壞：使用備份有硬盤分區(qū)、主引導(dǎo)記錄等的軟盤，利用殺毒軟件進(jìn)行恢復(fù)。

4.2 應(yīng)注意的問題

（1）保護(hù)計算機網(wǎng)絡(luò)犯罪現(xiàn)場，備份所有可能的系統(tǒng)和數(shù)據(jù)。案發(fā)后，應(yīng)保護(hù)好犯罪現(xiàn)場。保護(hù)好犯罪發(fā)生時與計算機系統(tǒng)相關(guān)的軟硬件及數(shù)據(jù)的狀態(tài)，包括設(shè)備的配置和各種電纜的連接情況，然后及時將各種存儲介質(zhì)中相關(guān)的系統(tǒng)軟件、應(yīng)用軟件和所有數(shù)據(jù)進(jìn)行全面?zhèn)浞荨Ｓ捎诂F(xiàn)代計算機系統(tǒng)存儲的信息量很大，這就要求取證人員具有進(jìn)行備份的工具軟件和海量存儲設(shè)備。

（2）進(jìn)行數(shù)據(jù)備份和數(shù)據(jù)恢復(fù)的每一個步驟要嚴(yán)格依照法律規(guī)定的程序。為保證涉案計算機系統(tǒng)中的數(shù)據(jù)證據(jù)的原始完整性，應(yīng)在備份完成后，封存涉案的計算機及其相關(guān)的設(shè)備。由于計算機中的數(shù)據(jù)具有可修改性、多重性、可滅失性和技術(shù)性等特點，任何一點失誤或疏漏都可能造成電子證據(jù)失去法律效力。因此在進(jìn)行數(shù)據(jù)恢復(fù)的過程中，要詳細(xì)記錄操作的方法、使用的工具（包括軟件和硬件）、操作的每一個步驟甚至包括存儲介質(zhì)運輸和保存的過程與方法等。取證時，最好將攝像機與計算機連機，以獲得取證全過程的記錄，更好地發(fā)揮視聽證據(jù)的作用。

（3）與數(shù)據(jù)比對技術(shù)結(jié)合使用。在計算機網(wǎng)絡(luò)犯罪偵查取證過程中應(yīng)用數(shù)據(jù)恢復(fù)技術(shù)不同于一般的數(shù)據(jù)恢復(fù)，在一般情況下沒有必要追求百分之百的恢復(fù)，因為我們的目的是認(rèn)定犯罪，只要得到的數(shù)據(jù)能夠充分證明犯罪事實就可以了。要確定這些數(shù)據(jù)同我們已經(jīng)掌握的數(shù)據(jù)具有同一性，就要利用數(shù)據(jù)比對技術(shù)進(jìn)行對比分析，通過數(shù)據(jù)比對技術(shù)能夠認(rèn)定其同一性就行了。

5 結(jié)束語

綜上所述，隨著計算機技術(shù)的進(jìn)步，掌握計算機知識的人數(shù)驟增，計算機網(wǎng)絡(luò)犯罪的技術(shù)性也越來越強，偵察和取證也十分困難。電子數(shù)據(jù)證據(jù)極易被修改和破壞，經(jīng)過變造的電子數(shù)據(jù)證據(jù)，人們往往很難發(fā)現(xiàn)。將數(shù)據(jù)恢復(fù)技術(shù)應(yīng)用于計算機網(wǎng)絡(luò)犯罪偵查，可以為警方獲取電子證據(jù)開辟一條新的途徑，這對有效地打擊計算機網(wǎng)絡(luò)犯罪將會起到重要的作用。

參考文獻(xiàn)

[1] 楊成衛(wèi).網(wǎng)絡(luò)安全監(jiān)察與犯罪偵查[M]. 北京：中國人民公安大學(xué)出版社.2006

[2] 數(shù)據(jù)恢復(fù)服務(wù)[DB/OL].http：//www.baike.com/wiki/數(shù)據(jù)恢復(fù)服務(wù).2014.

[3] 劉長文，王學(xué)軍，張斌.數(shù)據(jù)恢復(fù)技術(shù)在計算機網(wǎng)絡(luò)犯罪偵查中的應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用.2004.

[4] 常建平，靳慧云，婁梅枝.網(wǎng)絡(luò)安全與計算機網(wǎng)絡(luò)犯罪[M].北京：中國人民公安大學(xué)出版社.2002.

作者簡介：

蔡曉蓮（1982-），女，四川富順人，天津大學(xué)計算機學(xué)院，碩士研究生，工學(xué)碩士學(xué)位，講師；主要研究方向和關(guān)注領(lǐng)域：計算機犯罪偵查。endprint