楊柳 魏龍飛 李程遠

摘 ?要：電子物證鑒定技術(shù)在進步，犯罪嫌疑人的反偵察意識和技巧也在不斷增強，由于網(wǎng)絡(luò)犯罪的迅猛增加，電子數(shù)據(jù)恢復(fù)的關(guān)鍵性凸顯，本文通過介紹數(shù)據(jù)恢復(fù)的方式和工具，來探析如何運用數(shù)據(jù)恢復(fù)技術(shù)來更好的開展電子物證鑒定工作。

關(guān)鍵詞：電子物證;數(shù)據(jù)恢復(fù);計算機取證;計算機犯罪

0 ?引言

隨著計算機技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展和普及，各類違法犯罪案件中越來越多地涉及有大量直接證明犯罪活動信息的電子數(shù)據(jù)，但是這類數(shù)據(jù)大部分會戰(zhàn)案發(fā)后被刪除，如果能夠正確利用數(shù)據(jù)恢復(fù)工具找出犯罪數(shù)據(jù)形成證據(jù)鏈條，可以在犯罪偵查和法庭審判中發(fā)揮出巨大的作用。

1 ?數(shù)據(jù)恢復(fù)技術(shù)的作用

（1）數(shù)據(jù)恢復(fù)技術(shù)定義

數(shù)據(jù)恢復(fù)是指利用技術(shù)手段，將由于硬件損毀、人為誤操作、病毒入侵、黑客攻擊或者操作系統(tǒng)本身故障等情況而導(dǎo)致的電子設(shè)備中存儲的丟失的電子信息或者電子數(shù)據(jù)還原恢復(fù)的過程。

（2）數(shù)據(jù)恢復(fù)的對象

電子設(shè)備通常包括計算機硬盤、內(nèi)存及其他存儲介質(zhì)，包括移動存儲器（可移動硬盤、U盤、各類軟盤、磁帶、光盤等）、記憶卡（如數(shù)碼相機、手機、MP3、MP4、PDA等的擴展存儲卡等）。

（3）數(shù)據(jù)恢復(fù)技術(shù)的關(guān)鍵性

隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展和職能手機的迅速普及，成為了很多犯罪案件的工具，如何通過電子物證鑒定工作提取掌握嫌疑人的犯罪方法、勾連渠道是電子物證鑒定的重要內(nèi)容。電子物證鑒定技術(shù)在進步，犯罪嫌疑人的反偵察意識和技巧也在不斷增強，犯罪嫌疑人會想法設(shè)法在作案后將數(shù)據(jù)和痕跡及時刪除，使得有價值的證據(jù)被銷毀，影響案件偵破。這就需要運用數(shù)據(jù)恢復(fù)技術(shù)，對硬盤、閃存等存儲設(shè)備中被刪除的數(shù)據(jù)文件進行恢復(fù)，找出電子數(shù)據(jù)與案件事實的客觀聯(lián)系，還原計算機犯罪案件現(xiàn)場，提高犯罪偵查效率和能力。

2 ?數(shù)據(jù)恢復(fù)方法

數(shù)據(jù)恢復(fù)一般分為兩類，分別是基于硬件數(shù)據(jù)恢復(fù)和軟件數(shù)據(jù)恢復(fù)。硬件數(shù)據(jù)恢復(fù)是指通過物理維修而使得硬盤或者其他存儲介質(zhì)正常使用，從而把無法讀取的數(shù)據(jù)進行獲取;軟件恢復(fù)是指通過軟件修復(fù)引導(dǎo)區(qū)等方式將存儲單元或區(qū)塊中未被覆蓋的數(shù)據(jù)進行讀取，并不設(shè)計硬件的維修和更換。

（1）基于硬件的數(shù)據(jù)恢復(fù)

硬件數(shù)據(jù)故障主要是由于電路故障、機械故障、磁盤劃傷和存儲介質(zhì)老化而造成的數(shù)據(jù)損壞、無法讀取或者識別。一般通過對存儲盤片外的電路板、控制芯片等更換、修復(fù)來進行，主要使用的修復(fù)工具是PC3000、HIE（Hardware ld Extracto）等;另外一種是采取實驗室的專業(yè)方法在100級以上的無塵空間拆盤更換磁頭對盤片直接讀取。

（2）基于軟件的數(shù)據(jù)恢復(fù)

由于人為的誤操作而造成的文件刪除、磁盤格式化、分區(qū)表、引導(dǎo)扇區(qū)等信息受損、電腦突然斷電而使得數(shù)據(jù)丟失，包括病毒感染和操作系統(tǒng)問題可以運用軟件來進行恢復(fù)。軟件數(shù)據(jù)恢復(fù)。公安部認可的具有法律效力的數(shù)據(jù)恢復(fù)軟件有11 款：Encase、Forensic Toolkit、X-Ways Forensic、FinalData、EasyReCovery、FileRecovery、PhotoRecovery、Recover My File、Recover4all、R-Studio、Macforensiclab。

3 ?常用的數(shù)據(jù)恢復(fù)工具功能及比較

數(shù)據(jù)恢復(fù)工具種類很多，但是由于底層數(shù)據(jù)采用的算法不同，恢復(fù)出的數(shù)據(jù)有很大差異。要想獲取較完整的數(shù)據(jù)，需要用多種工具對數(shù)據(jù)備份進行多方法取證和分析。實驗室數(shù)據(jù)恢復(fù)常用的軟件主要有EasyRecovery、FinalData、PhotoRecovery等。

（1）EasyRecovery

該軟件功能全面，能夠恢復(fù)丟失的數(shù)據(jù)以及重建文件系統(tǒng)，它不改變原始驅(qū)動器，通過在內(nèi)存中重建文件分區(qū)表使數(shù)據(jù)能夠安全的傳輸?shù)狡渌?qū)動器中。軟件可直接按照簇來進行硬盤掃描，對于恢復(fù)給定條件（如文件名、文件類型）的文件，優(yōu)先使用EasyRecovery檢驗。

（2）FinalData

該軟件支持FAT16/32和NTFS，可以恢復(fù)完全刪除的數(shù)據(jù)和目錄，并且界面非常友好，是按照windows資源管理器的模式進行排布的，非常適合初接觸數(shù)據(jù)恢復(fù)用戶，并且速度快捷，在一般使用中，恢復(fù)全部文件，優(yōu)先使用FinalData檢驗。

（3）PhotoRecovery

這是一款專門恢復(fù)圖片數(shù)據(jù)的軟件，主要用于恢復(fù)硬盤、數(shù)碼相機存儲卡等上刪除的圖片、電影文件及聲音文件等數(shù)字媒體文件。該軟件專設(shè)圖片預(yù)覽窗口，并能及時查看所恢復(fù)出來的縮略圖，非常直觀和方便，還有可能恢復(fù)出已被覆蓋的圖片信息，恢復(fù)圖像文件，優(yōu)先使用PhotoRecovery檢驗。

4 ?結(jié)束語

本文主要介紹了電子物證鑒定中數(shù)據(jù)恢復(fù)方法和主要工具，以及不同取證工具的特點和優(yōu)勢，由于在計算機犯罪偵察中所遇到的情況不同，本文主要實際工作中的具體情況推薦較為合適的數(shù)據(jù)恢復(fù)技術(shù)和方法和工具，為其他鑒定工作中的數(shù)據(jù)恢復(fù)提供借鑒。

參考文獻：

[1]仇新梁，李敏.國家電子物證檢驗標(biāo)準(zhǔn)分析[J].保密科學(xué)技術(shù)，2010（11）.

[2]楊永川.計算機取證 [M].北京：高等教育出版社，2008.

[3]鮑麗春.計算機數(shù)據(jù)恢復(fù)技術(shù)探討[J].信息系統(tǒng)，2012（1）.