廣西南寧市公安局青秀分局刑偵大隊(duì) 覃 衛(wèi) 奚永忠

滲水硬盤的數(shù)據(jù)恢復(fù)一例

廣西南寧市公安局青秀分局刑偵大隊(duì) 覃 衛(wèi) 奚永忠

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展，電腦已普及到我們?nèi)粘９ぷ魃钪械母鱾€(gè)領(lǐng)域，然而刑事犯罪也毫不例外地利用信息化時(shí)代一切便利條件進(jìn)行違法犯罪活動(dòng)。因此公安司法機(jī)關(guān)的電子物證取證工作就顯得極為重要。隨著計(jì)算機(jī)網(wǎng)絡(luò)犯罪不斷專業(yè)化，高智化，犯罪嫌疑人為了逃避法律的打擊不免會(huì)對(duì)其使用過(guò)的電腦信息進(jìn)行刪除修改甚至毀壞電腦硬盤，這無(wú)疑給我們的司法鑒定工作帶來(lái)極大難度。但只要被毀壞的電腦硬盤有可修復(fù)的條件，我們就可通過(guò)專業(yè)的修復(fù)工具對(duì)其進(jìn)行修復(fù)。筆者日前接受過(guò)一個(gè)電腦硬盤泡水的案例，現(xiàn)總結(jié)如下，供大家參考。

硬盤故障；數(shù)據(jù)恢復(fù)

1 簡(jiǎn)要案情

2013年7月8日，家在廣西壯族自治區(qū)南寧市青秀區(qū)古城路的李某利用電腦傳播黃色淫穢圖片，當(dāng)辦案民警得知線索對(duì)其抓捕時(shí)，李某即將其作案的筆記本電腦丟到洗手盆里并開(kāi)水沖洗。辦案民警繳獲筆記本電腦時(shí)該筆記本電腦已無(wú)法開(kāi)啟。

2 硬盤修復(fù)

接到送檢，我觀察到該筆記本電腦已有明顯的泡水痕跡,通過(guò)詢問(wèn)辦案民警得知該筆記本電腦泡水時(shí)間不是很長(zhǎng),存在可修復(fù)條件.于是我拆下該筆記本電腦的硬盤發(fā)現(xiàn)該硬盤也有明顯的泡水,但鑒于泡水時(shí)間不長(zhǎng),可嘗試進(jìn)行修復(fù)。眾所周知，傳統(tǒng)機(jī)械硬盤采用空氣填充式技術(shù)，其硬盤內(nèi)部并非完全封閉、真空，在盤體的某些部位有類似于硬質(zhì)海淀的閥門。而基于傳統(tǒng)機(jī)械硬盤的混合硬盤，我們可以考慮打開(kāi)硬盤清洗并烘干。

（1） 需在專業(yè)的電子物證實(shí)驗(yàn)室進(jìn)行；

（2） 準(zhǔn)備必要的工具和一個(gè)無(wú)塵操作箱（如圖）；

（3） 在無(wú)塵工作箱里小心取出電路板和打開(kāi)硬盤蓋（如圖）

（4） 小心緩慢移出磁頭：

（5） 用高純度蒸餾水清洗并烘干（如圖）；

（6） 若泡水硬盤主板已壞就需準(zhǔn)備一塊與泡水硬盤一模一樣（包括品牌，容量，轉(zhuǎn)速）的硬盤進(jìn)行主板更換 ；

（7）以上修復(fù)工作要認(rèn)真細(xì)致，上螺絲當(dāng)然要注意順序,不要一次上緊，先對(duì)角上齊螺絲，然后在對(duì)角依次擰緊每個(gè)螺絲，切勿急于求成 。

3 恢復(fù)與鑒定

（1）將修復(fù)好的硬盤與電子物證檢驗(yàn)設(shè)備連接。

（2）觀察該硬盤的轉(zhuǎn)速是否平穩(wěn)，硬盤是否有異響。

（3）若以上正常即可接上電子物證檢驗(yàn)工作站進(jìn)行硬盤壞道檢查。現(xiàn)在我們先了解硬盤壞道的形成機(jī)理。任何形式的硬盤維修都有可能產(chǎn)生壞道。一旦硬盤出現(xiàn)了壞道，我們可用相關(guān)的軟件工具進(jìn)行修復(fù)。 硬盤的壞道共分兩種：邏輯壞道和物理壞道。邏輯壞道為軟壞道，大多是軟件的操作和使用不當(dāng)造成的，可以用軟件進(jìn)行修復(fù)；物理壞道為真正的物理性壞道，它表明硬盤的表面磁道上產(chǎn)生了物理?yè)p傷，大都無(wú)法用軟件進(jìn)行修復(fù)，只能通過(guò)改變硬盤分區(qū)或扇區(qū)的使用情況來(lái)解決。

以本案為例，經(jīng)維修的硬盤接筆記本電腦，筆記本電腦上顯示：Replace and strike any key when ready"，說(shuō)明硬盤不能啟動(dòng)。用軟盤啟動(dòng)后，在 A：＞后鍵人C：，屏幕顯示："Invalid drive specifcation"，系統(tǒng)不認(rèn)硬盤。故障分析及處理：造成該故障的原因一般是CMOS中的硬盤設(shè)置參數(shù)丟失或硬盤類型設(shè)置錯(cuò)誤造成的。進(jìn)入CMOS，檢查硬盤設(shè)置參數(shù)是否丟失或硬盤類型設(shè)置是否錯(cuò)誤。如果確是該種故障，只需將硬盤設(shè)置參數(shù)恢復(fù)或修改過(guò)來(lái)即可。如果不會(huì)修改硬盤參數(shù)，也可用備份過(guò)的CMOS信息進(jìn)行恢復(fù)，本案的硬盤沒(méi)有備份CMOS信息，我們可用電子物證檢驗(yàn)工作站的CMOS設(shè)置中有”HDD AUTO DETECTION”(硬盤自動(dòng)檢測(cè))選項(xiàng)，可自動(dòng)檢測(cè)出硬盤類型參數(shù)。若無(wú)此項(xiàng)，只能查看硬盤表面標(biāo)簽上的硬盤參數(shù)，照此修改即可。此外還有一種系統(tǒng)不認(rèn)硬盤的情況就是開(kāi)機(jī)后屏幕上出現(xiàn)”Error loading operating system”或”Missing operating system”的提示信息。造成該故障的原因一般是DOS引導(dǎo)記錄出現(xiàn)錯(cuò)誤。DOS引導(dǎo)記錄位于邏輯0扇區(qū)，是由高級(jí)格式化命令FORMAT生成的。主引導(dǎo)程序在檢查分區(qū)表正確之后，根據(jù)分區(qū)表中指出的DOS分區(qū)的起始地址，讀DOS引導(dǎo)記錄，若連續(xù)讀五次都失敗，給出”Error loading operating system”的錯(cuò)誤提示，若能正確讀出DOS引導(dǎo)記錄，主引導(dǎo)程序則會(huì)將DOS引導(dǎo)記錄送人內(nèi)存0：7C00h處，然后檢查DOS引導(dǎo)記錄的最后兩個(gè)字節(jié)是否為55AAH，若不是這兩個(gè)宇節(jié)，則給出”Missing operation system”的提示。一般情況下用NDD修復(fù)即可。若不成功，只好用FORMAT C：/S命令重寫DOS引導(dǎo)記錄，也許你會(huì)認(rèn)為格式化后C盤數(shù)據(jù)將丟失，其實(shí)不必?fù)?dān)心，數(shù)據(jù)仍然保存在硬盤上，格式化C盤后可用NU8.0中的UNFORMAT恢復(fù)。

通過(guò)修改CMOS信息，DOS引導(dǎo)記錄，計(jì)算機(jī)成功認(rèn)維修的硬盤。接下來(lái)我們來(lái)查找該硬盤的壞道（包括：物理壞道和邏輯壞道）a:物理壞道的修復(fù)，我們需要在盡可能不破壞原送檢硬盤數(shù)據(jù)的前提下隱藏物理壞道，下面我就介紹一種用“PartitionMagic”（分區(qū)魔術(shù)師，以下簡(jiǎn)稱PM）修復(fù)硬盤的方法。 通過(guò)對(duì)硬盤的重新分區(qū)，隱藏有物理壞道的硬盤空間，對(duì)其實(shí)行隔離。具體的作法是：首先啟動(dòng)PM，選中“Operations”菜單下的“Check”命令，對(duì)硬盤進(jìn)行直接掃描，標(biāo)記壞簇后，選中“Operations”菜單下的 “Advanced”→“bad sector retset”，最后把壞簇分成一個(gè)獨(dú)立的分區(qū)，再通過(guò)“Hide partiton”命令將分區(qū)隱藏，至此大功告成。如果電腦啟動(dòng)時(shí)出現(xiàn)信息“TRACK 0 BAD,DISK UNUSABLE”，那么修復(fù)起來(lái)就比較麻煩，因?yàn)榇诵畔⒄f(shuō)明硬盤的零磁道損壞了，這時(shí)我們可用“DiskMan”來(lái)幫助修復(fù)，它是一款比較常用的硬盤工具，“DiskMan”需在純DOS運(yùn)行，在“硬盤”菜單中選中要修改的盤（一般為C盤），然后依次進(jìn)入“工具”→“參數(shù)修改”→將“起始柱面”的值由“0”改為“1”，確定后保存退出。就可以對(duì)硬盤進(jìn)行重新分區(qū)了。b:邏輯壞道的修復(fù)。邏輯壞道的修復(fù)相對(duì)于物理壞道的修復(fù)就簡(jiǎn)單的多了，將修復(fù)的硬盤接入電子物證檢驗(yàn)工作站，正常啟動(dòng)后回到Windows下，進(jìn)入“我的電腦”中選擇有邏輯壞道的硬盤，單擊鼠標(biāo)右鍵，選擇“屬性”→“工具”→“開(kāi)始檢查”就彈出“磁盤掃描程序”，選中“完全”并將“自動(dòng)修復(fù)錯(cuò)誤”打上勾，單擊“開(kāi)始”，就開(kāi)始對(duì)該分區(qū)進(jìn)行掃描和修復(fù)。

（4）數(shù)據(jù)的恢復(fù)

經(jīng)過(guò)以上的操作，我們已對(duì)送檢的硬盤進(jìn)行壞道隱藏和修復(fù)，接下來(lái)就可運(yùn)用有關(guān)的軟件對(duì)硬盤進(jìn)行數(shù)據(jù)恢復(fù)。數(shù)據(jù)恢復(fù)軟件，大致有Easy Recovery、Recover、Lost Found、Final Data、Disk Recover等等，還有其他很多。具體操作視具體情況而定。本文在此就不再作深入討論。

4 結(jié)論

對(duì)于那些人為損壞，但又存可修復(fù)條件的硬盤，在軟件是無(wú)能為力的時(shí)候，這就需要使用成本比較高的軟硬件結(jié)合的修復(fù)方式。這種修復(fù)方式需要在超凈無(wú)塵工作間里面，而且需要設(shè)備內(nèi)部的工作臺(tái)也是級(jí)別非常高的超凈空間。還有就是硬盤維修的“維修”跟普通意義上的維修是有很大區(qū)別的。所謂的硬盤“維修”，就是把盤片上的壞道、硬盤內(nèi)部的缺陷等等問(wèn)題掩蓋起來(lái)，不讓硬盤的控制系統(tǒng)和計(jì)算機(jī)操作系統(tǒng)發(fā)覺(jué)而已，那些缺陷仍然實(shí)實(shí)在在地存在硬盤里面，成為隨時(shí)可以再爆發(fā)的定時(shí)炸彈。但是為了最大程度收集提取有關(guān)涉案數(shù)據(jù)證據(jù)，那么這樣做應(yīng)該是值得的。

[1]張樹(shù)．硬盤故障處理與數(shù)據(jù)維護(hù)[M]．北京:電子科技出版社,1997．

覃衛(wèi)（1969—），男，廣西南寧人，壯族，大專，工程師，研究方向：電子物證檢驗(yàn)。