劉妍+王青

摘 要：在文章中，基于計(jì)算機(jī)取證概念以及相關(guān)技術(shù)的分析，研究數(shù)據(jù)恢復(fù)技術(shù)主要的應(yīng)用方式，促進(jìn)其自動(dòng)取證與自動(dòng)恢復(fù)工作。在這種發(fā)展情況下，不僅能為法律工作提供相關(guān)依據(jù)，還能促進(jìn)計(jì)算機(jī)使用的安全性與穩(wěn)定性，促進(jìn)數(shù)據(jù)恢復(fù)技術(shù)的充分利用，實(shí)現(xiàn)計(jì)算機(jī)取證工作的科學(xué)、合理性。

關(guān)鍵詞：數(shù)據(jù)恢復(fù)技術(shù)；計(jì)算機(jī)；取證；應(yīng)用

中圖分類(lèi)號(hào)：TP309.2 文獻(xiàn)標(biāo)志碼：A 文章編號(hào)：2095-2945（2017）23-0159-02

1 計(jì)算機(jī)取證

1.1 計(jì)算機(jī)取證的概念分析

計(jì)算機(jī)取證工作是對(duì)計(jì)算機(jī)犯罪證據(jù)進(jìn)行識(shí)別，實(shí)現(xiàn)信息傳輸、保存以及分析等證據(jù)提取過(guò)程。在整體上，是對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行掃描以及重建，在取證系統(tǒng)中，也是實(shí)現(xiàn)動(dòng)態(tài)性與靜態(tài)性記錄工作，促進(jìn)數(shù)據(jù)的恢復(fù)與還原。

1.2 計(jì)算機(jī)取證的特點(diǎn)研究

計(jì)算機(jī)取證工作是基于電子證據(jù)開(kāi)展工作的，主要的執(zhí)行目的是在計(jì)算機(jī)以及相關(guān)設(shè)備中將犯罪信息反應(yīng)出來(lái)，保證能夠做為法律依據(jù)。同時(shí)，電子證據(jù)也是一種計(jì)算機(jī)證據(jù)，在計(jì)算機(jī)實(shí)際運(yùn)行期間，通過(guò)記錄相關(guān)內(nèi)容，分析真實(shí)案件和信息。而且，這些電子證據(jù)與傳統(tǒng)的證據(jù)是不同的，電子證據(jù)具備一定的準(zhǔn)確性、完整性以及可行性，符合現(xiàn)代法律制度，能夠?qū)⑵渥鳛橄嚓P(guān)依據(jù)。同時(shí)，電子證據(jù)的表現(xiàn)形式是多種多樣的，基于多媒體技術(shù)的影響，使用電子證據(jù)，能夠利用文本、圖形以及動(dòng)畫(huà)信息等充分展現(xiàn)出來(lái)，其含有所有的證據(jù)類(lèi)型。

對(duì)于電子證據(jù)與傳統(tǒng)證據(jù)存在的區(qū)別。第一，計(jì)算機(jī)數(shù)據(jù)是不斷改變的。第二，電子數(shù)據(jù)在表面上是無(wú)法識(shí)別的，需要利用相關(guān)工具才能看到。第三，電子數(shù)據(jù)在不斷傳輸、儲(chǔ)存以及期間，是利用計(jì)算機(jī)技術(shù)、儲(chǔ)存技術(shù)以及一些先進(jìn)設(shè)備來(lái)完成的，但是，電子證據(jù)是無(wú)法傳輸與保存的。第四，在對(duì)計(jì)算機(jī)相關(guān)數(shù)據(jù)進(jìn)行搜集過(guò)程中，需要對(duì)已經(jīng)嚴(yán)重破壞的數(shù)據(jù)進(jìn)行修改。

1.3 電子證據(jù)的來(lái)源和取證方法

電子證據(jù)的來(lái)源是多種多樣的，其中主要包括系統(tǒng)日志、防火墻以及反病毒軟件日志等。還包括操作系統(tǒng)以及數(shù)據(jù)庫(kù)中存在的隱藏文件等。

對(duì)于電子證據(jù)的取證方法，可以實(shí)現(xiàn)數(shù)據(jù)檢查方法、數(shù)據(jù)對(duì)比法以及數(shù)據(jù)分析法等。在工作執(zhí)行期間，將動(dòng)態(tài)取證工作作為其中的主要因素，實(shí)現(xiàn)靜態(tài)取證工作。實(shí)現(xiàn)動(dòng)態(tài)與靜態(tài)的結(jié)合性，促進(jìn)電子取證方法的綜合利用，能夠?yàn)殡娮尤∽C工作的積極發(fā)展提供重要方向。

基于相關(guān)理論的分析，在計(jì)算機(jī)取證工作中，一些工作人員能否找到一些犯罪證據(jù)，需要對(duì)犯罪證據(jù)的覆蓋特點(diǎn)就分析。對(duì)于取證軟件來(lái)說(shuō)，在對(duì)數(shù)據(jù)進(jìn)行分析過(guò)程中，一定要研究文件是否與犯罪相關(guān)。在計(jì)算機(jī)取證工作中，獲得電子證據(jù)還需要對(duì)動(dòng)態(tài)取證技術(shù)進(jìn)行研究。其中，實(shí)現(xiàn)計(jì)算機(jī)取證工作需要充分利用防火墻、檢測(cè)技術(shù)等一些網(wǎng)絡(luò)安全技術(shù)，促進(jìn)研究工作的動(dòng)態(tài)性發(fā)展。針對(duì)系統(tǒng)日志，需要利用第三方日志、加密技術(shù)對(duì)其研究。在對(duì)電子證據(jù)進(jìn)行分析過(guò)程中，基于大量數(shù)據(jù)的分析和研究，研究一些與犯罪相關(guān)的證據(jù)，對(duì)相關(guān)性技術(shù)進(jìn)行研究，在該執(zhí)行下，不僅能實(shí)現(xiàn)工作高效率發(fā)展，促進(jìn)檢測(cè)算法的優(yōu)化性與完整性，還能對(duì)相關(guān)的優(yōu)化方法進(jìn)行研究。

1.4 計(jì)算機(jī)取證技術(shù)的局限性

在我國(guó)，對(duì)計(jì)算機(jī)取證工作的研究還處于初級(jí)階段，電子證據(jù)目前已經(jīng)被認(rèn)可，但是，電子證據(jù)具備的抗抵賴性、防篡改性還需要進(jìn)一步分析，所以說(shuō)，計(jì)算機(jī)取證在一定程度上還存在較大局限性。

第一，對(duì)于開(kāi)發(fā)的取證軟件，主要對(duì)磁盤(pán)進(jìn)行分析，尤其是磁盤(pán)拷貝、數(shù)據(jù)被刪除恢復(fù)等軟件的研究。對(duì)于其他的取證工作，還在利用人工專(zhuān)家對(duì)其取證，從而導(dǎo)致計(jì)算機(jī)取證在期間產(chǎn)生一定錯(cuò)覺(jué)。第二，計(jì)算機(jī)取證工作是一種新的發(fā)展領(lǐng)域，各個(gè)企業(yè)和組織都為其投入大量資源，但在整體上，還沒(méi)有為其構(gòu)建相關(guān)標(biāo)準(zhǔn)，軟件與相關(guān)工具的使用也無(wú)法促進(jìn)其可靠性與有效性。一些機(jī)構(gòu)在計(jì)算機(jī)取證工作中，也沒(méi)有對(duì)工作人員進(jìn)行認(rèn)證，影響取證工作的權(quán)威性。第三，計(jì)算機(jī)取證技術(shù)與計(jì)算機(jī)技術(shù)安全自身也存在較大缺陷，會(huì)影響到證據(jù)的完整性與存在的原始性特征。

1.5 計(jì)算機(jī)取證技術(shù)的發(fā)展方向

近幾年，隨著黑客技術(shù)的不斷提升，計(jì)算機(jī)取證技術(shù)也得以更新。為了促進(jìn)取證信息具備一定的法律法規(guī)要求，基于目前的網(wǎng)絡(luò)入侵技術(shù)和黑客技術(shù)，還需要對(duì)計(jì)算機(jī)取證工作進(jìn)行研究，促進(jìn)其使用的完善性。其中，計(jì)算機(jī)取證技術(shù)的發(fā)展方向主要表現(xiàn)為：第一，取證工具開(kāi)始向著自動(dòng)化、專(zhuān)業(yè)化方向發(fā)展。第二，取證工具和相關(guān)軟件自身具備一定的安全性，保證可靠性的提升。第三，在對(duì)工具軟件進(jìn)行開(kāi)發(fā)過(guò)程中，需要基于計(jì)算機(jī)領(lǐng)域以及相關(guān)理論知識(shí)進(jìn)行研究，替代人工操作工作?；跓o(wú)線局域網(wǎng)、手機(jī)等設(shè)備，一些計(jì)算機(jī)犯罪現(xiàn)象不斷增加，其存在的犯罪形式將會(huì)以計(jì)算機(jī)、入侵檢測(cè)系統(tǒng)等相關(guān)設(shè)備體現(xiàn)的，為了展現(xiàn)出其中的信息，需要充分利用相關(guān)工具，促進(jìn)取證工作的專(zhuān)業(yè)性與合理性。

2 數(shù)據(jù)恢復(fù)

2.1 相關(guān)概念

數(shù)據(jù)恢復(fù)技術(shù)在使用期間，主要是將已經(jīng)破壞的，存在硬件缺陷的或者無(wú)法訪問(wèn)、無(wú)法獲取的、已經(jīng)丟失的數(shù)據(jù)進(jìn)行還原，使之成為正常的數(shù)據(jù)。用戶在使用計(jì)算機(jī)系統(tǒng)過(guò)程中，當(dāng)發(fā)現(xiàn)產(chǎn)生錯(cuò)誤操作現(xiàn)象、病毒侵襲以及硬件產(chǎn)生故障問(wèn)題的時(shí)候，利用數(shù)據(jù)恢復(fù)技術(shù)可以將用戶一些無(wú)法讀取的信息進(jìn)行恢復(fù)，保證在較大程度上降低其產(chǎn)生的損失。

2.2 方式

數(shù)據(jù)恢復(fù)能夠?qū)σ呀?jīng)丟失的文件進(jìn)行恢復(fù)，也能將物理?yè)p傷的磁盤(pán)數(shù)據(jù)進(jìn)行恢復(fù)，也能將不同操作系統(tǒng)中的數(shù)據(jù)實(shí)施恢復(fù)工作。對(duì)于存在的數(shù)據(jù)問(wèn)題，主要分為邏輯問(wèn)題和硬件問(wèn)題，一般情況下，數(shù)據(jù)恢復(fù)方式為軟件恢復(fù)和硬件恢復(fù)兩種，目前，國(guó)際上對(duì)數(shù)據(jù)恢復(fù)技術(shù)的分類(lèi)如圖1所示。

對(duì)于其中的軟件恢復(fù)，是利用相關(guān)軟件對(duì)其恢復(fù)，沒(méi)有硬件修理與數(shù)據(jù)恢復(fù)工作。比如：存在的病毒感染、錯(cuò)誤操作以及網(wǎng)絡(luò)刪除工作等。同時(shí)，軟件恢復(fù)工作還可以將其分為系統(tǒng)級(jí)恢復(fù)和文件級(jí)恢復(fù)。其中，對(duì)于系統(tǒng)級(jí)的恢復(fù)，存在的操作系統(tǒng)是不能啟動(dòng)的，需要利用各個(gè)修復(fù)軟件實(shí)現(xiàn)修復(fù)工作，保證系統(tǒng)的正常運(yùn)行和數(shù)據(jù)的恢復(fù)。對(duì)于文件級(jí)恢復(fù)，是儲(chǔ)存介質(zhì)上的某個(gè)應(yīng)用文件破壞。比如：當(dāng)DOC文件內(nèi)破壞，可以利用修復(fù)軟件對(duì)其修復(fù)。endprint

對(duì)于其中的硬件恢復(fù)。主要對(duì)一些硬件進(jìn)行修理。當(dāng)硬件破壞，需要將已經(jīng)失效的數(shù)據(jù)恢復(fù)到硬件中，尤其是磁盤(pán)劃傷、損傷以及一些原器件燒壞 等。硬件恢復(fù)還需要分為硬件代替、固件修復(fù)以及盤(pán)片讀取等方式。其中，對(duì)于硬件替代，是使用相同型號(hào)的硬件來(lái)替代，促使其恢復(fù)。對(duì)于固件修復(fù)工作，主要是使用一些專(zhuān)門(mén)的修復(fù)工具，對(duì)硬盤(pán)固件進(jìn)行修復(fù)，保證數(shù)據(jù)得以恢復(fù)。對(duì)于盤(pán)片讀取方式，是在100級(jí)的超凈工作間內(nèi)對(duì)硬盤(pán)開(kāi)盤(pán)工作，并利用專(zhuān)業(yè)設(shè)備對(duì)數(shù)據(jù)進(jìn)行掃描，保證能夠讀出其中的數(shù)據(jù)[1]。

3 數(shù)據(jù)恢復(fù)在計(jì)算機(jī)取證中的應(yīng)用

電子取證工作在實(shí)際執(zhí)行期間，主要是從取證系統(tǒng)中獲得一些原始數(shù)據(jù)，但是，并不對(duì)這些原始數(shù)據(jù)進(jìn)行直接分析，在信息獲取期間，減少其干擾、覆蓋以及破壞現(xiàn)象。在取證工作中，基于信息網(wǎng)絡(luò)系統(tǒng)、相關(guān)設(shè)備對(duì)數(shù)據(jù)、信息進(jìn)行分析，能夠促進(jìn)其安全性與可靠性。在對(duì)數(shù)據(jù)進(jìn)行分析期間，需要對(duì)數(shù)據(jù)進(jìn)行數(shù)字簽名?；谙嚓P(guān)理論的分析和研究，相關(guān)人員在計(jì)算機(jī)取證工作中，對(duì)犯罪數(shù)據(jù)進(jìn)行查找，研究其是否被覆蓋，只有充分找到這些數(shù)據(jù)，才能對(duì)犯罪行為進(jìn)行思考。在計(jì)算機(jī)取證系統(tǒng)中，應(yīng)用數(shù)據(jù)恢復(fù)技術(shù)，能夠促進(jìn)目標(biāo)與任務(wù)的有效完成。但是，在計(jì)算機(jī)取證過(guò)程中，也會(huì)產(chǎn)生不同的數(shù)據(jù)恢復(fù)，使用的方法也存在較大差異。一般情況下，計(jì)算機(jī)取證中的數(shù)據(jù)恢復(fù)技術(shù)在應(yīng)用期間，是基于相關(guān)步驟來(lái)實(shí)現(xiàn)的。

在對(duì)取證工作進(jìn)行檢查期間，維護(hù)計(jì)算機(jī)系統(tǒng)目標(biāo)，減少其產(chǎn)生的改變與破壞現(xiàn)象，以免數(shù)據(jù)被破壞或者計(jì)算機(jī)被感染。

在對(duì)系統(tǒng)中所有的目標(biāo)文件進(jìn)行搜索過(guò)程中，主要對(duì)存在的文件、已經(jīng)刪除的并且在磁盤(pán)上的文件。還包括一些沒(méi)有覆蓋的新文件、隱藏文件、密碼保護(hù)文件以及加密文件等。

還需要最大限度的將系統(tǒng)與應(yīng)用軟件中存在的一些隱藏文件、臨時(shí)文件以及交換文件等相關(guān)內(nèi)容充分顯示出來(lái)。

基于法律允許范圍，對(duì)一些正在保護(hù)、加密文件的相關(guān)內(nèi)容進(jìn)行訪問(wèn)。

在一些特殊的區(qū)域，需要對(duì)所有的數(shù)據(jù)進(jìn)行分析，該范圍內(nèi)存在的種類(lèi)主要包括：第一，還沒(méi)有分配的磁盤(pán)空間，主要是一些殘留的數(shù)據(jù)。第二，文件中的“slack”空間，當(dāng)文件長(zhǎng)度沒(méi)有達(dá)到簇長(zhǎng)度整倍數(shù)，可以將其分配給文件的最后一簇。其中，還存在沒(méi)有被使用的空間，其存在的文件信息可以被當(dāng)作證據(jù)。

對(duì)計(jì)算機(jī)系統(tǒng)中的打印目標(biāo)進(jìn)行全方位分析，并給出相關(guān)結(jié)論。在整體上，當(dāng)發(fā)現(xiàn)系統(tǒng)中存在的文件結(jié)構(gòu)、文件數(shù)據(jù)以及文件信息的時(shí)候，會(huì)實(shí)現(xiàn)信息刪除、信息隱藏以及信息保護(hù)等工作，所以，在調(diào)查期間要發(fā)現(xiàn)其存在的信息。

基于以上的分析可以發(fā)現(xiàn)，數(shù)據(jù)恢復(fù)技術(shù)能夠?qū)Υ嬖诘膯?wèn)題進(jìn)行補(bǔ)救，但該技術(shù)在使用期間不是一種預(yù)防對(duì)策，也不是備份措施。所以，在一定特殊情況下，一些數(shù)據(jù)是無(wú)法恢復(fù)的，將會(huì)導(dǎo)致數(shù)據(jù)被覆蓋、磁盤(pán)被損傷以及產(chǎn)生低級(jí)格式化工作等[2]。

4 結(jié)束語(yǔ)

在計(jì)算機(jī)取證工作中，數(shù)據(jù)恢復(fù)技術(shù)為其中的主要部分。該技術(shù)在使用期間，與計(jì)算機(jī)系統(tǒng)實(shí)際環(huán)境存在關(guān)系，受環(huán)境不同要素的影響，計(jì)算機(jī)取證軟件也會(huì)面對(duì)較大復(fù)雜性，無(wú)法促進(jìn)靈活性的提升，從而影響取證工作面對(duì)的可靠特點(diǎn)。因此，實(shí)現(xiàn)自動(dòng)取證以及自動(dòng)恢復(fù)技術(shù)，能夠促進(jìn)安全智能化軟件的應(yīng)用，也是當(dāng)前人們研究的主要話題。

參考文獻(xiàn)：

[1]黎麗.淺談?dòng)?jì)算機(jī)犯罪取證中數(shù)據(jù)恢復(fù)技術(shù)的應(yīng)用[J].數(shù)字通信世界，2016（8）：74，95.

[2]梁效寧，黃旭，趙飛，等.監(jiān)控視頻數(shù)據(jù)取證與恢復(fù)技術(shù)的研究[J].計(jì)算機(jī)科學(xué)，2016，43（12）：110-113.endprint