【摘要】面對高智商職務犯罪嫌疑人惡意刪改數(shù)據(jù)、惡意損壞存儲載體致使數(shù)據(jù)丟失的問題，通過數(shù)據(jù)恢復技術手段最大限度地還原了案件真實情況，為職務犯罪案件的順利查辦提供技術支撐，發(fā)揮了電子證據(jù)在案件初查過程中的指向作用、在案件偵查過程中的定案作用以及在案件審判過程中的佐證作用。

【關鍵詞】數(shù)據(jù)恢復;職務犯罪;檢察機關

目前檢察機關在電子證據(jù)分析方面又普遍存在數(shù)據(jù)恢復速度慢、分析繁瑣的問題，必須不斷地調(diào)整鑒定的方法與手段，以適應檢察機關新的案件形式和證據(jù)形式的發(fā)展顯得越來越重要，而這也對硬盤數(shù)據(jù)恢復、取證、電子物證固化技術手段提出了更高的要求。

一、數(shù)據(jù)恢復原理

數(shù)據(jù)恢復就是把由硬件缺陷導致不可訪問或不可獲得、或由于誤操作等各種原因?qū)е聛G失的數(shù)據(jù)還原成正常數(shù)據(jù)。文件之所以能被恢復，須從硬盤的物理結(jié)構(gòu)（如圖1所示）、文件在硬盤上的數(shù)據(jù)結(jié)構(gòu)和文件的儲存原理談起。

1.硬盤的物理結(jié)構(gòu)

圖1 硬盤的物理結(jié)構(gòu)

2.數(shù)據(jù)結(jié)構(gòu)

硬盤的一般要分成主引導扇區(qū)（MBR）、操作系統(tǒng)引導扇區(qū)（DBR）、文件分配表（FAT）、目錄區(qū)（DIR）和數(shù)據(jù)區(qū)（DATA）五部分。硬盤的五部分中，硬盤文件的數(shù)據(jù)區(qū)雖然占了絕大部分空間，但只有在前面各部分完整存在的情況下，數(shù)據(jù)區(qū)才有實際意義。一般的刪除是文件分配表中的前兩個代碼被系統(tǒng)修改，只是作了已刪除的標記，同時文件所占簇號在文件分配表中的記錄被清零，該文件所占空間從而得以釋放。文件被刪除后雖然硬盤剩余空間增加了，但文件的真實內(nèi)容仍保存在數(shù)據(jù)區(qū)，新數(shù)據(jù)寫入時原數(shù)據(jù)才會被新內(nèi)容覆蓋，而覆蓋之前原數(shù)據(jù)是一直保留的。在文件刪除與恢復中，文件分配表的目錄區(qū)起了重要作用，系統(tǒng)通常會存放兩份相同的文件分配表來保證數(shù)據(jù)的安全;而目錄區(qū)中的信息記錄了文件的起始單元、文件屬性、文件大小等數(shù)據(jù)，這些信息則定位了文件數(shù)據(jù)在磁盤中的具體保存位置，其中文件的起始單元是最重要的部分。在定位文件時，操作系統(tǒng)會根據(jù)目錄區(qū)中記錄的起始單元、同時結(jié)合文件分配表區(qū)知曉文件在磁盤中的具體位置和大小。

通常，新的硬盤需分區(qū)、格式化后才能安裝系統(tǒng)使用。如果整個硬盤分了三個區(qū)，其結(jié)構(gòu)則如圖2所示。

圖2 硬盤的分區(qū)

硬盤分區(qū)相關數(shù)據(jù)結(jié)構(gòu)的構(gòu)成詳解如下。

MBR，即主引導紀錄，位于整個硬盤的0柱面0磁道1扇區(qū)，共占用了63個扇區(qū)，但實際只使用了1個扇區(qū)（512字節(jié)）。在總共512字節(jié)的主引導記錄中，MBR又可分為三部分：第一部分：引導代碼，占用了446個字節(jié);第二部分：分區(qū)表，占用了64字節(jié);第三部分：55AA，結(jié)束標志，占用了兩個字節(jié)。引導代碼的作用：就是讓硬盤具備可以引導的功能。如果引導代碼丟失，分區(qū)表還在，那么這個硬盤作為從盤所有分區(qū)數(shù)據(jù)都還在，只是這個硬盤自己不能夠用來啟動進系統(tǒng)了。EBR，也叫做擴展MBR（Extended MBR）。因為主引導記錄MBR最多只能描述4個分區(qū)項，如果想要在一個硬盤上分多于4個區(qū)，就要采用擴展MBR的辦法。

文件分配表（File Allocation Table，F(xiàn)AT），是DOS/Win9x系統(tǒng)的文件尋址系統(tǒng)，為了數(shù)據(jù)安全起見，F(xiàn)AT一般做兩個，第二FAT為第一FAT的備份， FAT區(qū)緊接在OBR之后，其大小由本分區(qū)的大小及文件分配單元的大小決定。

目錄區(qū)（Directory，DIR），是緊接在第二FAT表之后，只有FAT還不能定位文件在磁盤中的位置，F(xiàn)AT還必須和DIR配合才能準確定位文件的位置。DIR記錄著每個文件（目錄）的起始單元（這是最重要的）、文件的屬性等。定位文件位置時，操作系統(tǒng)根據(jù)DIR中的起始單元，結(jié)合FAT表就可以知道文件在磁盤的具體位置及大小了。在DIR區(qū)之后，才是真正意義上的數(shù)據(jù)存儲區(qū)，即DATA區(qū)。

數(shù)據(jù)區(qū)（DATA）雖然占據(jù)了硬盤的絕大部分空間，但沒有了前面的各部分，它對于我們來說，也只能是一些枯燥的二進制代碼，沒有任何意義。我們通常所說的格式化程序（指高級格式化，例如DOS下的Format程序），并沒有把DATA區(qū)的數(shù)據(jù)清除，只是重寫了FAT表而已，至于分區(qū)硬盤，也只是修改了MBR和OBR，絕大部分的DATA區(qū)的數(shù)據(jù)并沒有被改變。

MBR、EBR是分區(qū)產(chǎn)生的，而每一個分區(qū)又由DBR、FAT1、FAT2、DIR、DATA等5部分組成，C盤的數(shù)據(jù)結(jié)構(gòu)如圖3所示。

圖3 C盤的數(shù)據(jù)結(jié)構(gòu)

二、數(shù)據(jù)恢復軟件和方法

在取證過程中，必須首先保護目標計算機系統(tǒng)，避免發(fā)生任何的改變、傷害、數(shù)據(jù)破壞或病毒感染;搜索目標系統(tǒng)中的所有文件：包括現(xiàn)存的正常文件，已經(jīng)被刪除但仍存在于磁盤上（即還沒有被新文件覆蓋）的文件，隱藏文件、受到密碼保護的文件和加密文件;全部（或盡可能）恢復發(fā)現(xiàn)的已刪除文件;最大程度地顯示操作系統(tǒng)或應用程序使用的隱藏文件、臨時文件和交換文件的內(nèi)容。在實際電子數(shù)據(jù)檢驗鑒定工作中，采用成熟穩(wěn)定的工具能達到事半功倍的效果：

1.R-Studio是功能超強的數(shù)據(jù)恢復、反刪除工具，采用全新恢復技術，為使用 FAT12/16/32、NTFS、NTFS5（Windows 2000系統(tǒng)）和 Ext2FS（Linux系統(tǒng)）分區(qū)的磁盤提供完整數(shù)據(jù)維護解決方案。

2.Winhex是德國人開發(fā)的五星上將級16進制編輯軟件，其附帶的及其變通的數(shù)據(jù)恢復功能及其強大。在掌握了文件系統(tǒng)基礎原理之后，你會對WinHex愛不釋手，不愿再使用其他數(shù)據(jù)恢復軟件。WinHex是WINDOWS下數(shù)據(jù)恢復的第一數(shù)據(jù)恢復軟件，進入系統(tǒng)，首先要用WinHex來檢測判斷故障。并可直接恢復剪切刪除、目錄無法讀取、分區(qū)丟失、誤克隆、加密、RAID、目錄隱藏、壞扇區(qū)等大多數(shù)類型故障。

三、電子證據(jù)在檢察機關應用中存在的主要問題

1.辦案人員重視不夠、能力不高

一方面，受固有觀念制約，辦案人員對傳統(tǒng)的書證、物證敏感度較強但對電子證據(jù)缺乏重視，造成很多重要的資料沒有被及時發(fā)現(xiàn)。另一方面，由于檢察機關的技術人員對電子證據(jù)的提取還缺乏足夠的專業(yè)知識，整個檢察系統(tǒng)對此也缺乏相關的系統(tǒng)性培訓，技術人員電子取證水平普遍較低。

2.標準欠缺、規(guī)范缺乏

電子證據(jù)是一個新的概念，最高人民檢察院對于電子證據(jù)的提取也沒有出臺相應的標準操作流程，偵查人員和技術人員往往僅憑經(jīng)驗進行，有可能破壞證據(jù)的完整性，對提取證據(jù)產(chǎn)生影響。在勘查過程中，目標設備或系統(tǒng)的相關信息記錄不全，如未詳細記錄電子設備或系統(tǒng)的名稱、網(wǎng)絡地址等信息，勘查時未全程錄像，錄像資料未保存，提取的電子證據(jù)沒有清單及封存記錄，導致所提取的電子證據(jù)的真實性受到質(zhì)疑。

四、結(jié)語

本文通過對數(shù)據(jù)恢復技術的研究對數(shù)據(jù)恢復技術的原理進行了闡述，并介紹了數(shù)據(jù)恢復中可以使用的恢復軟件為數(shù)據(jù)恢復提供了參考方法。

參考文獻

[1]劉偉.數(shù)據(jù)恢復技術深度揭秘[M].北京：電子工業(yè)出版社，2010：56-59.

[2]高志鵬，張志偉.識數(shù)尋蹤：WinHex應用與數(shù)據(jù)恢復開發(fā)秘籍[M].北京：人民郵電出版社，2013：102-105.

[3]戴士劍.數(shù)據(jù)恢復技術[M].北京：電子工業(yè)出版社，2005：80-86.