楊柳 魏龍飛 李程遠(yuǎn)

摘 ?要：電子物證鑒定技術(shù)在進(jìn)步，犯罪嫌疑人的反偵察意識(shí)和技巧也在不斷增強(qiáng)，由于網(wǎng)絡(luò)犯罪的迅猛增加，電子數(shù)據(jù)恢復(fù)的關(guān)鍵性凸顯，本文通過(guò)介紹數(shù)據(jù)恢復(fù)的方式和工具，來(lái)探析如何運(yùn)用數(shù)據(jù)恢復(fù)技術(shù)來(lái)更好的開展電子物證鑒定工作。

關(guān)鍵詞：電子物證;數(shù)據(jù)恢復(fù);計(jì)算機(jī)取證;計(jì)算機(jī)犯罪

0 ?引言

隨著計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展和普及，各類違法犯罪案件中越來(lái)越多地涉及有大量直接證明犯罪活動(dòng)信息的電子數(shù)據(jù)，但是這類數(shù)據(jù)大部分會(huì)戰(zhàn)案發(fā)后被刪除，如果能夠正確利用數(shù)據(jù)恢復(fù)工具找出犯罪數(shù)據(jù)形成證據(jù)鏈條，可以在犯罪偵查和法庭審判中發(fā)揮出巨大的作用。

1 ?數(shù)據(jù)恢復(fù)技術(shù)的作用

（1）數(shù)據(jù)恢復(fù)技術(shù)定義

數(shù)據(jù)恢復(fù)是指利用技術(shù)手段，將由于硬件損毀、人為誤操作、病毒入侵、黑客攻擊或者操作系統(tǒng)本身故障等情況而導(dǎo)致的電子設(shè)備中存儲(chǔ)的丟失的電子信息或者電子數(shù)據(jù)還原恢復(fù)的過(guò)程。

（2）數(shù)據(jù)恢復(fù)的對(duì)象

電子設(shè)備通常包括計(jì)算機(jī)硬盤、內(nèi)存及其他存儲(chǔ)介質(zhì)，包括移動(dòng)存儲(chǔ)器（可移動(dòng)硬盤、U盤、各類軟盤、磁帶、光盤等）、記憶卡（如數(shù)碼相機(jī)、手機(jī)、MP3、MP4、PDA等的擴(kuò)展存儲(chǔ)卡等）。

（3）數(shù)據(jù)恢復(fù)技術(shù)的關(guān)鍵性

隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展和職能手機(jī)的迅速普及，成為了很多犯罪案件的工具，如何通過(guò)電子物證鑒定工作提取掌握嫌疑人的犯罪方法、勾連渠道是電子物證鑒定的重要內(nèi)容。電子物證鑒定技術(shù)在進(jìn)步，犯罪嫌疑人的反偵察意識(shí)和技巧也在不斷增強(qiáng)，犯罪嫌疑人會(huì)想法設(shè)法在作案后將數(shù)據(jù)和痕跡及時(shí)刪除，使得有價(jià)值的證據(jù)被銷毀，影響案件偵破。這就需要運(yùn)用數(shù)據(jù)恢復(fù)技術(shù)，對(duì)硬盤、閃存等存儲(chǔ)設(shè)備中被刪除的數(shù)據(jù)文件進(jìn)行恢復(fù)，找出電子數(shù)據(jù)與案件事實(shí)的客觀聯(lián)系，還原計(jì)算機(jī)犯罪案件現(xiàn)場(chǎng)，提高犯罪偵查效率和能力。

2 ?數(shù)據(jù)恢復(fù)方法

數(shù)據(jù)恢復(fù)一般分為兩類，分別是基于硬件數(shù)據(jù)恢復(fù)和軟件數(shù)據(jù)恢復(fù)。硬件數(shù)據(jù)恢復(fù)是指通過(guò)物理維修而使得硬盤或者其他存儲(chǔ)介質(zhì)正常使用，從而把無(wú)法讀取的數(shù)據(jù)進(jìn)行獲取;軟件恢復(fù)是指通過(guò)軟件修復(fù)引導(dǎo)區(qū)等方式將存儲(chǔ)單元或區(qū)塊中未被覆蓋的數(shù)據(jù)進(jìn)行讀取，并不設(shè)計(jì)硬件的維修和更換。

（1）基于硬件的數(shù)據(jù)恢復(fù)

硬件數(shù)據(jù)故障主要是由于電路故障、機(jī)械故障、磁盤劃傷和存儲(chǔ)介質(zhì)老化而造成的數(shù)據(jù)損壞、無(wú)法讀取或者識(shí)別。一般通過(guò)對(duì)存儲(chǔ)盤片外的電路板、控制芯片等更換、修復(fù)來(lái)進(jìn)行，主要使用的修復(fù)工具是PC3000、HIE（Hardware ld Extracto）等;另外一種是采取實(shí)驗(yàn)室的專業(yè)方法在100級(jí)以上的無(wú)塵空間拆盤更換磁頭對(duì)盤片直接讀取。

（2）基于軟件的數(shù)據(jù)恢復(fù)

由于人為的誤操作而造成的文件刪除、磁盤格式化、分區(qū)表、引導(dǎo)扇區(qū)等信息受損、電腦突然斷電而使得數(shù)據(jù)丟失，包括病毒感染和操作系統(tǒng)問(wèn)題可以運(yùn)用軟件來(lái)進(jìn)行恢復(fù)。軟件數(shù)據(jù)恢復(fù)。公安部認(rèn)可的具有法律效力的數(shù)據(jù)恢復(fù)軟件有11 款：Encase、Forensic Toolkit、X-Ways Forensic、FinalData、EasyReCovery、FileRecovery、PhotoRecovery、Recover My File、Recover4all、R-Studio、Macforensiclab。

3 ?常用的數(shù)據(jù)恢復(fù)工具功能及比較

數(shù)據(jù)恢復(fù)工具種類很多，但是由于底層數(shù)據(jù)采用的算法不同，恢復(fù)出的數(shù)據(jù)有很大差異。要想獲取較完整的數(shù)據(jù)，需要用多種工具對(duì)數(shù)據(jù)備份進(jìn)行多方法取證和分析。實(shí)驗(yàn)室數(shù)據(jù)恢復(fù)常用的軟件主要有EasyRecovery、FinalData、PhotoRecovery等。

（1）EasyRecovery

該軟件功能全面，能夠恢復(fù)丟失的數(shù)據(jù)以及重建文件系統(tǒng)，它不改變?cè)简?qū)動(dòng)器，通過(guò)在內(nèi)存中重建文件分區(qū)表使數(shù)據(jù)能夠安全的傳輸?shù)狡渌?qū)動(dòng)器中。軟件可直接按照簇來(lái)進(jìn)行硬盤掃描，對(duì)于恢復(fù)給定條件（如文件名、文件類型）的文件，優(yōu)先使用EasyRecovery檢驗(yàn)。

（2）FinalData

該軟件支持FAT16/32和NTFS，可以恢復(fù)完全刪除的數(shù)據(jù)和目錄，并且界面非常友好，是按照windows資源管理器的模式進(jìn)行排布的，非常適合初接觸數(shù)據(jù)恢復(fù)用戶，并且速度快捷，在一般使用中，恢復(fù)全部文件，優(yōu)先使用FinalData檢驗(yàn)。

（3）PhotoRecovery

這是一款專門恢復(fù)圖片數(shù)據(jù)的軟件，主要用于恢復(fù)硬盤、數(shù)碼相機(jī)存儲(chǔ)卡等上刪除的圖片、電影文件及聲音文件等數(shù)字媒體文件。該軟件專設(shè)圖片預(yù)覽窗口，并能及時(shí)查看所恢復(fù)出來(lái)的縮略圖，非常直觀和方便，還有可能恢復(fù)出已被覆蓋的圖片信息，恢復(fù)圖像文件，優(yōu)先使用PhotoRecovery檢驗(yàn)。

4 ?結(jié)束語(yǔ)

本文主要介紹了電子物證鑒定中數(shù)據(jù)恢復(fù)方法和主要工具，以及不同取證工具的特點(diǎn)和優(yōu)勢(shì)，由于在計(jì)算機(jī)犯罪偵察中所遇到的情況不同，本文主要實(shí)際工作中的具體情況推薦較為合適的數(shù)據(jù)恢復(fù)技術(shù)和方法和工具，為其他鑒定工作中的數(shù)據(jù)恢復(fù)提供借鑒。

參考文獻(xiàn)：

[1]仇新梁，李敏.國(guó)家電子物證檢驗(yàn)標(biāo)準(zhǔn)分析[J].保密科學(xué)技術(shù)，2010（11）.

[2]楊永川.計(jì)算機(jī)取證 [M].北京：高等教育出版社，2008.

[3]鮑麗春.計(jì)算機(jī)數(shù)據(jù)恢復(fù)技術(shù)探討[J].信息系統(tǒng)，2012（1）.