關于電子物證檢驗鑒定中數(shù)據(jù)恢復技術探析

先以丁·牙生 岳芳

摘 要：我國的案件偵查堅持證據(jù)原則，但是隨著犯罪分子的反偵察意識的提高，犯罪分子故意毀滅犯罪證據(jù)，給案件的偵破增加了難度，為給案件的偵破提供技術支持，積極發(fā)展數(shù)據(jù)恢復技術，努力保證數(shù)據(jù)的完整性，對電子物證檢驗鑒定工作具有重要意義。電子物證檢驗鑒定中數(shù)據(jù)恢復技術分為基于硬件的數(shù)據(jù)恢復和基于軟件的數(shù)據(jù)恢復兩個方面，通過技術手段將被刪除的數(shù)據(jù)進行最大程度的恢復，還原違法犯罪事實本來面目，更好地打擊違法犯罪，維護社會穩(wěn)定。

關鍵詞：電子物證；檢驗鑒定；數(shù)據(jù)恢復；網絡犯罪

隨著經濟的發(fā)展和網絡技術的發(fā)展，網絡犯罪的發(fā)生頻率大幅度增加，犯罪分子利用計算機技術侵犯個人和企業(yè)的合法經濟權益，犯罪后將犯罪的數(shù)據(jù)進行刪除，使證據(jù)滅失，給案件的偵破增加了難度，如何根據(jù)具體的案件事實，進行數(shù)據(jù)的恢復，將極大有利于案件的偵破，網絡犯罪相較于傳統(tǒng)犯罪具有隱蔽性，如何在物證檢驗鑒定技術實現(xiàn)創(chuàng)新，以數(shù)據(jù)恢復為例，探究電子物證檢驗鑒定技術對于犯罪偵破的巨大意義。

1 數(shù)據(jù)恢復技術的概述

1.1 數(shù)據(jù)恢復的技術定義

數(shù)據(jù)的滅失基于物理的硬件損壞或者軟件的操作，數(shù)據(jù)恢復是指利用各種技術手段，對原本儲存在電子設備中的電子信息和電子數(shù)據(jù)進行恢復的過程。因為數(shù)據(jù)滅失的原因不同，數(shù)據(jù)滅失的原因可能是硬件損壞、人為誤操作、病毒入侵、黑客攻擊或者操作系統(tǒng)本事的故障，我們這里提到的數(shù)據(jù)滅失是犯罪分子為了毀滅犯罪證據(jù)對數(shù)據(jù)進行的刪除，所以數(shù)據(jù)滅失的原因就排除了誤操作和操作系統(tǒng)本身的故障，原因是人為對硬件和軟件的操作導致數(shù)據(jù)滅失，基于此，數(shù)據(jù)恢復是利用技術手段對人為刪除數(shù)據(jù)進行恢復的過程。

1.2 數(shù)據(jù)恢復的對象

因為數(shù)據(jù)依存于存儲介質，所以數(shù)據(jù)恢復的對象是各種能儲存信息的介質，包括計算機硬盤、內存和其他存儲介質。雖然在實際的網絡犯罪過程中，犯罪分子會將某些自我建立的局域網的信息進行刪除，但是因為本身信息需要存儲介質的物質基礎，所以我們將數(shù)據(jù)恢復的對象定性為一切存儲犯罪信息的存儲介質。

1.3 數(shù)據(jù)恢復的重要性

網絡犯罪的猖獗的外部環(huán)境即網絡技術的發(fā)展和智能手機的普及，犯罪分子利用技術手段對個人和企業(yè)的經濟利益進行侵犯，為了隱蔽犯罪事實，會對犯罪時的電子數(shù)據(jù)和電子信息進行刪除，這些信息能夠反映出犯罪分子的手法和犯罪手段，利用這些數(shù)據(jù)能夠掌握犯罪分子的具體犯罪動態(tài)和犯罪事實，有利于案件的偵破；數(shù)據(jù)滅失意味著證據(jù)喪失，我國堅持證據(jù)原則，無證據(jù)則無法對犯罪分子做出判決；加之犯罪分子的反偵察意識提高，犯罪分子對犯罪痕跡進行毀滅，甚至能使偵查人員陷入誤區(qū)，通過數(shù)據(jù)恢復這一技術手段，能夠提高偵查效率。

2 數(shù)據(jù)恢復的方法

犯罪分子對于數(shù)據(jù)的刪除主要是針對存儲介質破壞和通過軟件對數(shù)據(jù)進行刪除，數(shù)據(jù)刪除的方法不同對應數(shù)據(jù)的恢復方法也不同，我國的電子物證檢驗鑒定中的數(shù)據(jù)恢復技術通常可以分為兩類，基于硬件的數(shù)據(jù)恢復和基于軟件的恢復。

2.1 基于硬件的數(shù)據(jù)恢復

犯罪分子為了毀滅犯罪證據(jù)，對于記錄犯罪行為的電子信息進行毀滅，通常會對存儲介質進行毀壞。技術人員會根據(jù)實際情況對于被破壞的存儲介質進行維修或者數(shù)據(jù)的導出。如果存儲介質的被破壞程度較低，工作人員會對其進行修護，保證存儲介質的正常使用，從而進行信息的有效提??；如果儲存介質的被破壞程度較高，工作人員無法使其正常使用，但是可以通過對關鍵位置的更換，實現(xiàn)信息的導出；雖然兩者都是基于硬件的恢復，區(qū)別在于因為存儲介質的被破壞程度不同，通過修復或者更換部件，使其實現(xiàn)信息的提取?；谟布臄?shù)據(jù)恢復是建立在存儲介質可以進行修復的基礎上的，如果存儲介質被直接滅失，數(shù)據(jù)是無法恢復的。

2.2 基于軟件的數(shù)據(jù)恢復

犯罪分子為了毀滅犯罪證據(jù)，會人為操作導致磁盤格式化、文件刪除、分區(qū)表信息受損，基于此為了保證數(shù)據(jù)的完整性，實現(xiàn)軟件的數(shù)據(jù)恢復。電子物證檢驗鑒定中數(shù)據(jù)恢復通過技手段，實現(xiàn)存儲介質的信息恢復，為偵查人員提供技術支持，提高案件的偵破效率。軟件的數(shù)據(jù)恢復是建立在存儲介質沒有受到物理破壞的基礎的前提下，對人為刪除的數(shù)據(jù)進行技術恢復的過程，相較于硬件恢復，基于軟件的數(shù)據(jù)恢復的成功率較高，因為存儲介質沒有受到物理破壞保證了數(shù)據(jù)的客觀存在，人為的刪除某種意義也只是數(shù)據(jù)的形式發(fā)生變化。

隨著網絡技術的發(fā)展，軟件恢復工具很多，但我國公安部門認可的具有法律效力的軟件恢復工具有EasyRecovery、Tooltit、Encase等，基于軟件的數(shù)據(jù)恢復主要是應用公安部門認可的具有法律效力的軟件恢復工具，保證了程序的合法性。

在現(xiàn)實情況下的網絡犯罪中，犯罪分子對于證據(jù)的毀滅不只是停留在單純的硬件損壞及人為刪除數(shù)據(jù)，而是在人為刪除數(shù)據(jù)后對存儲介質進行物理破壞，犯罪分子的反偵察意識和能力增強，這給電子物證檢驗鑒定中數(shù)據(jù)恢復增加了難度，基于這樣的情況，我們需要根據(jù)實際情況，進行技術的創(chuàng)新，實現(xiàn)數(shù)據(jù)的恢復。

3 常用的數(shù)據(jù)恢復工具功能及比較

數(shù)據(jù)表現(xiàn)形式多種多樣，具體表現(xiàn)為聲音、文字、圖片、音頻等形式，犯罪分子毀滅數(shù)據(jù)，電子物證檢驗鑒定中數(shù)據(jù)恢復中的核心技術在于基于軟件的數(shù)據(jù)恢復，隨著網絡技術的發(fā)展，數(shù)據(jù)恢復工具的種類多種多樣，根據(jù)本身底層采用的算法不同，所以數(shù)據(jù)恢復的差異很大，在實際操作過程中，對于數(shù)據(jù)的恢復需要采用多種數(shù)據(jù)恢復工具，對數(shù)據(jù)進行全方位的取證和分析，保證恢復后數(shù)據(jù)的完整性。我們選用常用的數(shù)據(jù)恢復軟件EasyRecovery、FinalData、PhotoRecovery來進行比較，探究常用的數(shù)據(jù)恢復功能及比較。

3.1 EasyRecovery

EasyRecovery是一種較為常用的軟件恢復工具，它可以自定義恢復數(shù)據(jù)，通過內存中重建文件分區(qū)來實現(xiàn)數(shù)據(jù)的轉移，在實際的電子物證檢驗鑒定中數(shù)據(jù)恢復，按照簇對存儲介質進行掃描，在實際過程中，整個存儲介質中并不是全部都是與案件相關的電子數(shù)據(jù)或電子信息，我們?yōu)榱颂岣邤?shù)據(jù)恢復的效率和準確率，可以采用EasyRecovery對指定的文件名和文件類型進行恢復，通過對恢復給定條件上的限制，未來的電子物證檢驗鑒定中數(shù)據(jù)恢復應堅持專門化和高效化，EasyRecovery的優(yōu)勢在于可以實現(xiàn)自定義恢復保證數(shù)據(jù)恢復的準確性和效率。

3.2 FinalData

FinalData相較于EasyRecovery而言，專業(yè)性降低，但是操作性提高，采用Windows資源管理器的排布模式，交互界面友好，本身支持FAT16/32和NTFS，能夠實現(xiàn)完全刪除的數(shù)據(jù)和目錄的恢復，本身的運行速度快捷，在實際犯罪中，因為犯罪分子故意隱蔽證據(jù)，需要對全部數(shù)據(jù)進行恢復后，進行甄選，對于全部數(shù)據(jù)恢復時，一般采用FinalData進行檢驗。

3.3 PhotoRecovery

PhotoRecovery專門性較強，專門用于圖片的恢復，用于恢復存儲介質中的圖片，該軟件能夠對即將恢復的圖片進行縮略圖預覽，直觀形象查看即將恢復的圖片，在圖片的恢復中優(yōu)先采用PhotoRecovery。

4 結語

隨著網絡技術的發(fā)展，網絡犯罪猖獗，犯罪分子的反偵察意識提高，對犯罪證據(jù)進行毀滅，使反映其犯罪行為的電子數(shù)據(jù)和電子信息滅失，為了保證案件的順利偵破，發(fā)展電子物證檢驗鑒定中數(shù)據(jù)恢復技術，針對已滅失的數(shù)據(jù)進行恢復，還原違法犯罪事實本來面目，對維護社會和諧和穩(wěn)定意義重大。

參考文獻

[1] 胡丹.電子物證檢驗鑒定中數(shù)據(jù)恢復技術探討[J].科學導報，2015，（19）：220-220.

[2] 許怡紅.電子物證檢驗鑒定的數(shù)據(jù)恢復技術分析[J].法制博覽，2016，（2）：139.

[3] 李娜，王牧.電子物證檢驗常見數(shù)據(jù)恢復工具比較研究[J].科技展望，2014，（13）：5-5.

作者簡介

先以丁·牙生（1980—），男，新疆喀什市人，新疆生產建設兵團第三師公安局網安支隊，研究方向：電子物證檢驗鑒定技術。