任智敏

摘 要：電子物證檢驗鑒定中的數(shù)據(jù)恢復(fù)技術(shù)是獲取物證線索的保障，加大電子物證檢驗鑒定中數(shù)據(jù)恢復(fù)技術(shù)的研究對提高犯罪案情偵查效率有著積極的作用。本文就電子物證檢驗鑒定中的數(shù)據(jù)恢復(fù)技術(shù)進行了相關(guān)的分析。

關(guān)鍵詞：電子物證檢驗鑒定；數(shù)據(jù)恢復(fù)技術(shù)

0 引言

在社會經(jīng)濟以及網(wǎng)絡(luò)技術(shù)蓬勃發(fā)展的當(dāng)下，各種違法犯罪行為也日益猖獗，給社會的安定造成了極大的影響。針對這些違法犯罪行為，犯罪嫌疑人在實施犯罪行為之后會直接刪除那些可以證明其犯罪行為的一些電子數(shù)據(jù)，從而給案件的偵查增加了一定的難度。而辦案人員在電子物證檢驗鑒定中應(yīng)用數(shù)據(jù)恢復(fù)技術(shù)，可以對那些被刪除的電子數(shù)據(jù)進行恢復(fù)，從而搜集到與案件相關(guān)的重要線索，促進案件的早日偵破。

1 電子物證檢驗鑒定中數(shù)據(jù)恢復(fù)技術(shù)的重要性

電子物證是指存儲于介質(zhì)載體的電磁記錄或光電記錄的電子信息數(shù)據(jù)，電子物證是犯罪案件成立的重要證明。在網(wǎng)絡(luò)技術(shù)飛速發(fā)展的當(dāng)代，網(wǎng)絡(luò)犯罪行為也越來越猖獗，針對犯罪行為案件，電子物證是案件偵破的關(guān)鍵，加強電子物證檢驗鑒定是犯罪案件偵破的重要手段。在電子物證檢驗鑒定中，為了維系電子物證的客觀真實性，在獲取電子物證時，應(yīng)采用取證專用的數(shù)據(jù)拷貝機和電子物證檢驗取證技術(shù)，附加上時間相關(guān)信息數(shù)據(jù)，一次性提取和固定介質(zhì)載體中的全部電子物證信息。但是電子物證很容易受到干擾，尤其是犯罪嫌疑人在實施犯罪行為后會刪除或者破壞與犯罪案件相關(guān)的電子物證，使得電子物證在檢驗鑒定中比較難以獲取全面的證據(jù)線索。而作為犯罪案件的重要線索，由于相關(guān)數(shù)據(jù)信息受到破壞，犯罪案件偵破難度就會增加。而數(shù)據(jù)恢復(fù)是指利用技術(shù)手段，將那些因人為因素而導(dǎo)致電子設(shè)備中存儲的丟失的電子信息或電子數(shù)據(jù)還原恢復(fù)的過程。在電子物證檢驗鑒定中，利用數(shù)據(jù)恢復(fù)技術(shù)，可以將那些損害的硬盤、計算器內(nèi)存或者其他存儲介質(zhì)的存儲器的內(nèi)容進行恢復(fù)，從而更好地方便偵查辦案人員獲取與案件相關(guān)的關(guān)鍵線索，掌握犯罪案件的相關(guān)信息，從而提高偵查效率，實現(xiàn)案件的早日偵破[1]。

2 電子物證檢驗鑒定中數(shù)據(jù)恢復(fù)技術(shù)分析

2.1 軟件數(shù)據(jù)恢復(fù)

電子物證實質(zhì)是電子的、電磁的、光學(xué)的、磁性的等相似性能的信息或數(shù)據(jù)信息，經(jīng)輸出設(shè)備顯示為人們所能識別的文字、符號、圖形、圖像、動畫、音頻、視頻等各種信息形式。對于犯罪嫌疑人而言，他們在實施犯罪行為后，為了將證據(jù)毀滅，會人為的破壞那些記錄案件信息的介質(zhì)，如對磁盤進行格式化、刪除重要的文件[2]。在電子物證檢驗鑒定中，偵查人員碰到那些數(shù)據(jù)丟失或者損害的設(shè)備或存儲介質(zhì)時，數(shù)據(jù)信息就會不完整，在這種情況下，偵查人員在檢驗鑒定中很難獲取全面的數(shù)據(jù)信息，從而難以掌握與犯罪案件相關(guān)的信息。而軟件數(shù)據(jù)恢復(fù)技術(shù)作為一種實用化的電子信息應(yīng)用手段，數(shù)據(jù)軟件恢復(fù)技術(shù)的應(yīng)用為電子物證檢驗鑒定工作提供了技術(shù)保障。在數(shù)據(jù)軟件恢復(fù)技術(shù)的依托下，偵查人員可以對那些損害的存儲介質(zhì)中的數(shù)據(jù)進行恢復(fù)，讓偵查人員在信息存儲介質(zhì)中提取全面的信息，從而盡快幫助辦案人員破案。目前，我國公安部認(rèn)可的具有法律效力的軟件恢復(fù)工具就有Diskgenius、PhotoRecovery、EasyReCovery 、FinalData、X-Ways、Encase、Forensic、Forensic、FileRecovery、R-Studi-o、Recover4all等[3]。這些軟件恢復(fù)工具為電子物證檢驗鑒定提供了多樣性的選擇，有助于獲取全面的與案件相關(guān)的信息，從而提高辦案效率。

2.2 硬件數(shù)據(jù)恢復(fù)

在這個網(wǎng)絡(luò)化的時代里，網(wǎng)絡(luò)犯罪行為也越來越多，犯罪嫌疑人為了毀滅犯罪證據(jù)，會對記錄犯罪行為的電子信息進行破壞和毀滅，如對磁盤劃傷，針對此類問題，偵查人員可以采用硬件數(shù)據(jù)恢復(fù)技術(shù)對數(shù)據(jù)信息進行有效的恢復(fù)。硬件數(shù)據(jù)恢復(fù)技術(shù)主要應(yīng)用于機械故障、電路故障、磁盤劃傷等所造成的設(shè)備內(nèi)數(shù)據(jù)損害與無法識別的狀態(tài)。通過硬件數(shù)據(jù)恢復(fù)技術(shù)，可以對設(shè)備內(nèi)部的控制芯片與電路板進行維修或更換，如利用HIE、PC3000等工具，可以將那些已經(jīng)損害的電路板重新修復(fù)好或者更新與原設(shè)備向匹配的電路板，從而將損害的部分修復(fù)過來[4]。硬件數(shù)據(jù)恢復(fù)工作在特殊情況下需要切實滿足專業(yè)設(shè)備相應(yīng)的要求，如在數(shù)據(jù)恢復(fù)工作中，需要保證實驗室處于100級以上的無塵空間，然后利用磁頭對盤片進行直接讀取。通過硬件數(shù)據(jù)恢復(fù)技術(shù)恢復(fù)數(shù)據(jù)后，偵查人員可以在存儲設(shè)備中提出更多的有價值的數(shù)據(jù)信息，通過對這些數(shù)據(jù)信息進行綜合分析和處理，可以為案件的偵破提供有效的幫助，大大地提高案件偵破效率。

3 數(shù)據(jù)恢復(fù)技術(shù)案例分析

在電子物證檢驗鑒定中，會碰到計算機系統(tǒng)崩潰問題，一旦計算機系統(tǒng)崩潰，就會給提證帶來難度。針對計算機系統(tǒng)崩潰問題，人們常用的做法就是重裝系統(tǒng)，但是重裝系統(tǒng)后會把原來的Ubuntu引導(dǎo)分區(qū)表mbr給沖掉，從而難以獲取到全面的數(shù)據(jù)信息。而mbr就是把操作系統(tǒng)自己的引導(dǎo)程序讀入內(nèi)存并跳轉(zhuǎn)到操作系統(tǒng)的引導(dǎo)程序[5]。如果原來的Ubuntu引導(dǎo)分區(qū)表mbr被沖掉，就會影響到計算機系統(tǒng)的正常運行。通過數(shù)據(jù)恢復(fù)技術(shù)，可以對原來的Ubuntu引導(dǎo)分區(qū)表mbr進行恢復(fù)。具體操作為：先把Ubuntu的安裝光盤放進計算機驅(qū)動器內(nèi)，然后啟動，正常進入安裝界面，打開終端并輸入：sudo grub，系統(tǒng)接收指令后界面會變成grub>，然后找到Ubuntu的啟動分區(qū)所在地，并輸入find /boot/grub/stage1，回車后根據(jù)計算機界面的指示，找到Ubuntu根目錄所在分區(qū)，輸入grub>root （hd0，2）、grub>setup （hd0），如果界面 出現(xiàn)successed后再輸入grub>quit，緊接著重啟，重啟后就可以找到計算機系統(tǒng)崩潰前的相關(guān)數(shù)據(jù)信息[6]。

4 結(jié)語

綜上，電子物證檢驗鑒定是案件偵破的重要環(huán)節(jié)，是獲取與案件重要線索的重要手段，加強電子物證檢驗鑒定工作能夠切實有效地幫助辦案人員開展犯罪偵查工作，從而實現(xiàn)案件的早日偵破。而在電子物證檢驗鑒定中，時常會碰到電子物證信息存儲介質(zhì)損壞的問題，從而為線索提取帶來難度。而數(shù)據(jù)恢復(fù)技術(shù)的應(yīng)用有效地解決了電子物證信息存儲介質(zhì)損害的問題。通過數(shù)據(jù)恢復(fù)技術(shù)，可以將損害的介質(zhì)和設(shè)備中的數(shù)據(jù)信息進行恢復(fù)，從而為案件的偵破提供便利，提高犯罪偵查能力和效率。

參考文獻

[1]楊柳，魏龍飛，李程遠(yuǎn). 電子物證檢驗鑒定中數(shù)據(jù)恢復(fù)技術(shù)探析[J]. 科技經(jīng)濟市場，2014，11：189-191.

[2]沈亞鐸，張煒. 物聯(lián)網(wǎng)技術(shù)在電子物證檢驗鑒定實驗室的應(yīng)用[J]. 技術(shù)與市場，2015，08：219-221.

[3]李冬華，沈亞鐸. 電子物證檢驗鑒定中數(shù)據(jù)恢復(fù)技術(shù)分析[J]. 技術(shù)與市場，2015，08：215-217.

[4]許怡紅. 電子物證檢驗鑒定的數(shù)據(jù)恢復(fù)技術(shù)分析[J]. 法制博覽，2016，02：139.

[5]林康立. 物聯(lián)網(wǎng)技術(shù)在電子物證檢驗鑒定實驗室的應(yīng)用初探[J]. 信息網(wǎng)絡(luò)安全，2010，11：66-67.

[6]李盛，朱秀云，韓杰，尹春社. 電子物證檢驗中常用數(shù)據(jù)恢復(fù)工具對比研究[J]. 刑事技術(shù)，2008，04：24-27-29.