程優(yōu)

摘 要 計(jì)算機(jī)技術(shù)的發(fā)展，讓各個(gè)行業(yè)的信息化進(jìn)程不斷深入，使工作方式發(fā)生根本性轉(zhuǎn)變。利用計(jì)算機(jī)實(shí)施犯罪的情況逐漸增多，在整個(gè)社會(huì)范圍內(nèi)造成嚴(yán)重的負(fù)面影響，對(duì)各個(gè)層面的安全造成較為嚴(yán)重的威脅。為此，利用計(jì)算機(jī)取證系統(tǒng)搜索犯罪分子在計(jì)算機(jī)當(dāng)中遺留的電子證據(jù)，已經(jīng)成為當(dāng)前研究的重點(diǎn)。本文對(duì)數(shù)據(jù)恢復(fù)原理的內(nèi)容進(jìn)行分析，然后解讀了計(jì)算機(jī)取證與數(shù)據(jù)恢復(fù)之間存在的關(guān)系，最后利用系統(tǒng)設(shè)計(jì)的方式闡述了數(shù)據(jù)恢復(fù)技術(shù)在計(jì)算機(jī)取證系統(tǒng)中的應(yīng)用情況。

【關(guān)鍵詞】數(shù)據(jù)恢復(fù)技術(shù) 計(jì)算機(jī)取證系統(tǒng) 計(jì)算機(jī)犯罪

犯罪的形式已經(jīng)發(fā)生改變，利用計(jì)算機(jī)竊取商業(yè)機(jī)密、盜取國家機(jī)密的現(xiàn)象十分常見。使用計(jì)算機(jī)實(shí)施犯罪活動(dòng)之后，數(shù)據(jù)十分容易被篡改和銷毀，給取證工作造成困擾，利用數(shù)據(jù)恢復(fù)技術(shù)對(duì)獲取此類型證據(jù)具有重要意義，與此有關(guān)的研究已經(jīng)全面展開。

1 數(shù)據(jù)恢復(fù)原理

計(jì)算機(jī)當(dāng)中的存儲(chǔ)部件將各種數(shù)據(jù)以電磁信號(hào)的形式進(jìn)行儲(chǔ)存。磁盤當(dāng)中的磁粒子變動(dòng)可以促成數(shù)據(jù)的保存。需要對(duì)其進(jìn)行讀取的時(shí)候，計(jì)算機(jī)就會(huì)將轉(zhuǎn)換機(jī)制作用在信號(hào)上，進(jìn)而轉(zhuǎn)換為通常可以操作的數(shù)據(jù)。

如果數(shù)據(jù)遭到刪除，計(jì)算機(jī)當(dāng)中的存儲(chǔ)部分并未將數(shù)據(jù)完全處理，僅是對(duì)其中的部分進(jìn)行變動(dòng)，然后作上相應(yīng)的標(biāo)示，數(shù)據(jù)被刪除的部分便可以繼續(xù)存儲(chǔ)文件。比如在FAT系統(tǒng)當(dāng)中，當(dāng)實(shí)施刪除之后，系統(tǒng)僅是將文件目錄中的說明進(jìn)行修改，添加固定的標(biāo)識(shí)之后就代表此數(shù)據(jù)已經(jīng)被刪除，但是原本的數(shù)據(jù)存儲(chǔ)區(qū)域并未發(fā)生變化。只要將刪除的標(biāo)記部分進(jìn)行修改還原就可以實(shí)現(xiàn)數(shù)據(jù)恢復(fù)。此方面的研究應(yīng)該對(duì)計(jì)算機(jī)取證系統(tǒng)重新進(jìn)行設(shè)計(jì)，讓其具備的數(shù)據(jù)恢復(fù)功能可以對(duì)當(dāng)前使用范圍最廣的操作系統(tǒng)windows以及文件處理系統(tǒng)FAT當(dāng)中得到應(yīng)用。如此，此類系統(tǒng)的設(shè)計(jì)才能夠發(fā)揮較強(qiáng)的現(xiàn)實(shí)作用。

在判定完以上事項(xiàng)之后，還應(yīng)該對(duì)硬盤的數(shù)據(jù)管理方式進(jìn)行研究。對(duì)于采用FAT格式的磁盤而言，數(shù)據(jù)的存儲(chǔ)分區(qū)都是固定的。系統(tǒng)首先進(jìn)入主導(dǎo)扇區(qū)，主要對(duì)所有的分區(qū)進(jìn)行事先判定，可以對(duì)各個(gè)分區(qū)的信息進(jìn)行記錄，如此就會(huì)將其中存在的各種現(xiàn)實(shí)情況進(jìn)行必要的引導(dǎo)疏通。在格式化發(fā)生之后，在DBR后面仍然保存著FAT表，兩者可以實(shí)現(xiàn)相鄰排列，變動(dòng)情況與分區(qū)改變情況存在密切關(guān)聯(lián)。單一的存儲(chǔ)位置存在對(duì)應(yīng)的唯一FTA編碼。FTA表與FDT互相配合，掌控所有文件。會(huì)對(duì)每個(gè)簇的使用情況進(jìn)行顯示，決定著其中任意一個(gè)是否可以得到實(shí)際應(yīng)用。需要注意的是，格式化展開之后，所有文件并非被真正地刪除，而是其中的FAT表被修改，其他部位也是通過修改幾個(gè)程序達(dá)到刪除目的。事實(shí)證明，大部分DATA都并未在格式化的過程中遭受破壞。這就使得原本存在的數(shù)據(jù)仍然被保存，只是改變了存儲(chǔ)方式，為數(shù)據(jù)恢復(fù)工作能夠正常發(fā)揮作用提供了可能。數(shù)據(jù)恢復(fù)技術(shù)正是在此基礎(chǔ)之上對(duì)原本存在的各種問題進(jìn)行修改，然后利用計(jì)算機(jī)當(dāng)中的軟件實(shí)現(xiàn)數(shù)據(jù)恢復(fù)目的。

2 計(jì)算機(jī)取證與數(shù)據(jù)恢復(fù)的關(guān)聯(lián)

兩者之間的技術(shù)基礎(chǔ)存在的差別較小，都與存儲(chǔ)和數(shù)據(jù)有關(guān)，而且在技術(shù)與工作準(zhǔn)則方面存在較為明顯的聯(lián)系。在二者發(fā)揮作用的過程中，都需要工作者秉持科學(xué)的理念，對(duì)存儲(chǔ)部分采取相同或者類似的處理措施。但是，二者之間也存在一定差別，數(shù)據(jù)恢復(fù)的主要職責(zé)就是將原本已經(jīng)被刪除或者格式化的文件數(shù)據(jù)尋找回來。數(shù)據(jù)恢復(fù)之后，其中的文件并不一定與法律存在關(guān)系，也可能是用作商業(yè)用途。計(jì)算機(jī)取證本身便是法律事項(xiàng)的一個(gè)重要環(huán)節(jié)，按照科學(xué)方式獲取的證據(jù)已經(jīng)具備法律效力。

數(shù)據(jù)恢復(fù)在計(jì)算機(jī)取證當(dāng)中占據(jù)重要地位，進(jìn)行此項(xiàng)活動(dòng)的最主要目的就是為了獲取電子證據(jù)。不僅如此，在犯罪分子沒有使用的計(jì)算機(jī)當(dāng)中通過數(shù)據(jù)恢復(fù)也可以獲得與犯罪活動(dòng)有關(guān)的信息，對(duì)案件的偵破工作行程較為良好的輔助作用。事實(shí)證明，此類犯罪分子本身具備較強(qiáng)的計(jì)算機(jī)知識(shí)技能，因而會(huì)在實(shí)施犯罪活動(dòng)之后將其中的數(shù)據(jù)進(jìn)行損毀，這就使得數(shù)據(jù)恢復(fù)存在較強(qiáng)的必要性。當(dāng)前，一些軟件的數(shù)據(jù)恢復(fù)性能會(huì)對(duì)工作成果造成重大影響，因此必須對(duì)系統(tǒng)當(dāng)中的軟件功能進(jìn)行擴(kuò)展，盡量獲得盡可能多的數(shù)據(jù)，最佳情況就是將所有數(shù)據(jù)恢復(fù)。

3 數(shù)據(jù)恢復(fù)技術(shù)在計(jì)算機(jī)取證系統(tǒng)中的應(yīng)用

在進(jìn)行系統(tǒng)設(shè)計(jì)之前應(yīng)該對(duì)傳統(tǒng)意義上的證據(jù)與電子證據(jù)進(jìn)行對(duì)比，進(jìn)而讓系統(tǒng)設(shè)計(jì)更加符合現(xiàn)實(shí)要求。計(jì)算機(jī)當(dāng)中的數(shù)據(jù)處于隨時(shí)變動(dòng)的狀態(tài)，而且由于其存儲(chǔ)方式較為特殊，不具備直觀特性。電子證據(jù)與計(jì)算機(jī)存在密切關(guān)聯(lián)，其發(fā)揮作用都必須在計(jì)算機(jī)的輔助之下完成，可以說，傳統(tǒng)數(shù)據(jù)可以進(jìn)行實(shí)物保存，但是此類證據(jù)只能依靠計(jì)算機(jī)技術(shù)。而且電子證據(jù)尋找的過程中，必須對(duì)其進(jìn)行技術(shù)支持，即使在此種情況也會(huì)出現(xiàn)證據(jù)損毀的情況，使得取證工作較難完成。因此，在進(jìn)行電子取證的過程中，技術(shù)人員必須選擇性能較強(qiáng)的軟件，針對(duì)其中的各個(gè)部分進(jìn)行仔細(xì)研究，讓相關(guān)事項(xiàng)可以在科學(xué)手段的輔助之下得到完成。如此才能夠確保各項(xiàng)工作順利完成。

應(yīng)該進(jìn)行相應(yīng)系統(tǒng)的設(shè)計(jì)，讓數(shù)據(jù)將恢復(fù)技術(shù)可以發(fā)揮實(shí)際功能。在進(jìn)行系統(tǒng)設(shè)計(jì)之前，應(yīng)該對(duì)硬盤信息進(jìn)行判斷，結(jié)合文件存儲(chǔ)的相關(guān)原理，設(shè)計(jì)出符合現(xiàn)實(shí)應(yīng)用要求的系統(tǒng)。

在各種信息判定之后，應(yīng)該根據(jù)系統(tǒng)的功能需求設(shè)定相應(yīng)的功能模塊，確保數(shù)據(jù)恢復(fù)的各個(gè)環(huán)節(jié)都可以順利實(shí)現(xiàn)。只讀控制模塊對(duì)需要進(jìn)行處理的硬盤當(dāng)中所有的寫入信息進(jìn)行搜集。同時(shí)，也會(huì)對(duì)緩存部分進(jìn)行必要的處理，針對(duì)其中已經(jīng)存儲(chǔ)過的數(shù)據(jù)實(shí)施監(jiān)控，避免硬盤當(dāng)中原本已經(jīng)存在的數(shù)據(jù)受到破壞，一旦數(shù)據(jù)出現(xiàn)損毀就會(huì)造成取證工作難以實(shí)現(xiàn)。系統(tǒng)當(dāng)中的修復(fù)模塊具備較強(qiáng)的修復(fù)功能，負(fù)責(zé)處理導(dǎo)致磁盤無法開啟的一些因素。比如，盤中的一些部位由于遭受病毒侵襲就會(huì)造成本體破壞，如果達(dá)到一定程度就會(huì)造成磁盤無法啟用。前兩個(gè)模塊起到的是確保數(shù)據(jù)恢復(fù)順利完成，數(shù)據(jù)恢復(fù)模塊便需要在其輔助之下得到改善，必須對(duì)此情況進(jìn)行改進(jìn)，讓數(shù)據(jù)恢復(fù)模塊可以順利發(fā)揮作用。

其中的分區(qū)修復(fù)功能較為重要，使用當(dāng)前最為常見的操作系統(tǒng)，可以實(shí)現(xiàn)磁盤的快速掃描，對(duì)其中受到破壞的部分進(jìn)行快速修復(fù)，此種情況必須在其輔助之下得到改善。首先系統(tǒng)會(huì)對(duì)數(shù)據(jù)恢復(fù)日志的處理進(jìn)行判定，判斷是否需要進(jìn)行保存，使得相關(guān)數(shù)據(jù)必須在其輔助之下得到處理。因?yàn)榕c磁盤有關(guān)的各種信息都記錄在其中。使用者如此在日后繼續(xù)對(duì)其進(jìn)行操作，就可以根據(jù)其中的內(nèi)容直接進(jìn)行業(yè)務(wù)的處理，簡化了操作步驟。然后對(duì)需要修補(bǔ)的部位進(jìn)行掃描，選定之后便可以對(duì)此部位的有效信息進(jìn)行判斷。

當(dāng)前，最為常用的文件處理系統(tǒng)是FAT，系統(tǒng)設(shè)計(jì)應(yīng)該符合其特點(diǎn)，如此才能夠發(fā)揮最為廣泛的作用。此類文件刪除之后仍然存在與文件有關(guān)的各種信息。其中的所有文件的定義形式都與i節(jié)點(diǎn)存在關(guān)聯(lián)。實(shí)際上，文件的刪除就是i節(jié)點(diǎn)被清除干凈的象征。這也就使得數(shù)據(jù)恢復(fù)難以直接進(jìn)行，可以尋找其他類型的方式進(jìn)行恢復(fù)。對(duì)其文件頭以及文件腳進(jìn)行掃描可以很好地實(shí)現(xiàn)這個(gè)目的。如果兩者難以尋找，就必須計(jì)算文件的長度，將其中存在的數(shù)據(jù)進(jìn)行存儲(chǔ)。

4 總結(jié)

利用計(jì)算機(jī)實(shí)施違法活動(dòng)的現(xiàn)象已經(jīng)引起社會(huì)廣泛關(guān)注。計(jì)算機(jī)當(dāng)中遺留的犯罪證據(jù)的提取需要在數(shù)據(jù)恢復(fù)技術(shù)的輔助之下完成?？梢哉f，計(jì)算機(jī)取證工作在數(shù)據(jù)恢復(fù)技術(shù)的幫助下解決很多難題，必須對(duì)此進(jìn)行深入研究，讓計(jì)算機(jī)取證工作可以對(duì)計(jì)算機(jī)犯罪活動(dòng)起到良好的遏制作用。經(jīng)過本文研究證實(shí)，計(jì)算機(jī)當(dāng)中的數(shù)據(jù)被刪除之后并非真正消失，而是換了一種形式存儲(chǔ)在硬盤當(dāng)中，這就為數(shù)據(jù)恢復(fù)技術(shù)發(fā)揮作用提供了可能，由此入手設(shè)計(jì)計(jì)算機(jī)取證系統(tǒng)，使用系統(tǒng)當(dāng)中的軟件對(duì)刪除的數(shù)據(jù)進(jìn)行恢復(fù)，為懲治犯罪分子尋找證據(jù)。

參考文獻(xiàn)

[1]李超.集中化檢測(cè)項(xiàng)目災(zāi)難備份系統(tǒng)的建設(shè)[J].中國輸血雜志，2009，15（12）：115-116.

[2]王笑強(qiáng).數(shù)據(jù)恢復(fù)技術(shù)成為電子取證的核心技術(shù)[J].計(jì)算機(jī)安全，2011，23（12）：118-119.

[3]薛琴.基于FinalData的數(shù)據(jù)恢復(fù)技術(shù)在計(jì)算機(jī)取證中的應(yīng)用[J].警察技術(shù)，2012，05（04）：115-116.

[4]王中杉，劉乃琦，秦科，等.取證系統(tǒng)中數(shù)據(jù)恢復(fù)關(guān)鍵技術(shù)研究[J].計(jì)算機(jī)應(yīng)用研究，2010，21（09）：156-157.

[5]李俊莉.數(shù)據(jù)恢復(fù)技術(shù)在計(jì)算機(jī)取證中的應(yīng)用[J].南陽師范學(xué)院學(xué)報(bào)，2011，（09）：115-116.

[6]姚麗麗.淺談?dòng)?jì)算機(jī)數(shù)據(jù)恢復(fù)技術(shù)的原理與實(shí)現(xiàn)[J].黑龍江科技信息，2011，24（07）：112-113.

作者單位

重慶市人民檢察院第二分院 重慶市 404100endprint