劉妍+王青

摘 要：在文章中，基于計算機取證概念以及相關(guān)技術(shù)的分析，研究數(shù)據(jù)恢復技術(shù)主要的應用方式，促進其自動取證與自動恢復工作。在這種發(fā)展情況下，不僅能為法律工作提供相關(guān)依據(jù)，還能促進計算機使用的安全性與穩(wěn)定性，促進數(shù)據(jù)恢復技術(shù)的充分利用，實現(xiàn)計算機取證工作的科學、合理性。

關(guān)鍵詞：數(shù)據(jù)恢復技術(shù)；計算機；取證；應用

中圖分類號：TP309.2 文獻標志碼：A 文章編號：2095-2945（2017）23-0159-02

1 計算機取證

1.1 計算機取證的概念分析

計算機取證工作是對計算機犯罪證據(jù)進行識別，實現(xiàn)信息傳輸、保存以及分析等證據(jù)提取過程。在整體上，是對計算機系統(tǒng)進行掃描以及重建，在取證系統(tǒng)中，也是實現(xiàn)動態(tài)性與靜態(tài)性記錄工作，促進數(shù)據(jù)的恢復與還原。

1.2 計算機取證的特點研究

計算機取證工作是基于電子證據(jù)開展工作的，主要的執(zhí)行目的是在計算機以及相關(guān)設(shè)備中將犯罪信息反應出來，保證能夠做為法律依據(jù)。同時，電子證據(jù)也是一種計算機證據(jù)，在計算機實際運行期間，通過記錄相關(guān)內(nèi)容，分析真實案件和信息。而且，這些電子證據(jù)與傳統(tǒng)的證據(jù)是不同的，電子證據(jù)具備一定的準確性、完整性以及可行性，符合現(xiàn)代法律制度，能夠?qū)⑵渥鳛橄嚓P(guān)依據(jù)。同時，電子證據(jù)的表現(xiàn)形式是多種多樣的，基于多媒體技術(shù)的影響，使用電子證據(jù)，能夠利用文本、圖形以及動畫信息等充分展現(xiàn)出來，其含有所有的證據(jù)類型。

對于電子證據(jù)與傳統(tǒng)證據(jù)存在的區(qū)別。第一，計算機數(shù)據(jù)是不斷改變的。第二，電子數(shù)據(jù)在表面上是無法識別的，需要利用相關(guān)工具才能看到。第三，電子數(shù)據(jù)在不斷傳輸、儲存以及期間，是利用計算機技術(shù)、儲存技術(shù)以及一些先進設(shè)備來完成的，但是，電子證據(jù)是無法傳輸與保存的。第四，在對計算機相關(guān)數(shù)據(jù)進行搜集過程中，需要對已經(jīng)嚴重破壞的數(shù)據(jù)進行修改。

1.3 電子證據(jù)的來源和取證方法

電子證據(jù)的來源是多種多樣的，其中主要包括系統(tǒng)日志、防火墻以及反病毒軟件日志等。還包括操作系統(tǒng)以及數(shù)據(jù)庫中存在的隱藏文件等。

對于電子證據(jù)的取證方法，可以實現(xiàn)數(shù)據(jù)檢查方法、數(shù)據(jù)對比法以及數(shù)據(jù)分析法等。在工作執(zhí)行期間，將動態(tài)取證工作作為其中的主要因素，實現(xiàn)靜態(tài)取證工作。實現(xiàn)動態(tài)與靜態(tài)的結(jié)合性，促進電子取證方法的綜合利用，能夠為電子取證工作的積極發(fā)展提供重要方向。

基于相關(guān)理論的分析，在計算機取證工作中，一些工作人員能否找到一些犯罪證據(jù)，需要對犯罪證據(jù)的覆蓋特點就分析。對于取證軟件來說，在對數(shù)據(jù)進行分析過程中，一定要研究文件是否與犯罪相關(guān)。在計算機取證工作中，獲得電子證據(jù)還需要對動態(tài)取證技術(shù)進行研究。其中，實現(xiàn)計算機取證工作需要充分利用防火墻、檢測技術(shù)等一些網(wǎng)絡安全技術(shù)，促進研究工作的動態(tài)性發(fā)展。針對系統(tǒng)日志，需要利用第三方日志、加密技術(shù)對其研究。在對電子證據(jù)進行分析過程中，基于大量數(shù)據(jù)的分析和研究，研究一些與犯罪相關(guān)的證據(jù)，對相關(guān)性技術(shù)進行研究，在該執(zhí)行下，不僅能實現(xiàn)工作高效率發(fā)展，促進檢測算法的優(yōu)化性與完整性，還能對相關(guān)的優(yōu)化方法進行研究。

1.4 計算機取證技術(shù)的局限性

在我國，對計算機取證工作的研究還處于初級階段，電子證據(jù)目前已經(jīng)被認可，但是，電子證據(jù)具備的抗抵賴性、防篡改性還需要進一步分析，所以說，計算機取證在一定程度上還存在較大局限性。

第一，對于開發(fā)的取證軟件，主要對磁盤進行分析，尤其是磁盤拷貝、數(shù)據(jù)被刪除恢復等軟件的研究。對于其他的取證工作，還在利用人工專家對其取證，從而導致計算機取證在期間產(chǎn)生一定錯覺。第二，計算機取證工作是一種新的發(fā)展領(lǐng)域，各個企業(yè)和組織都為其投入大量資源，但在整體上，還沒有為其構(gòu)建相關(guān)標準，軟件與相關(guān)工具的使用也無法促進其可靠性與有效性。一些機構(gòu)在計算機取證工作中，也沒有對工作人員進行認證，影響取證工作的權(quán)威性。第三，計算機取證技術(shù)與計算機技術(shù)安全自身也存在較大缺陷，會影響到證據(jù)的完整性與存在的原始性特征。

1.5 計算機取證技術(shù)的發(fā)展方向

近幾年，隨著黑客技術(shù)的不斷提升，計算機取證技術(shù)也得以更新。為了促進取證信息具備一定的法律法規(guī)要求，基于目前的網(wǎng)絡入侵技術(shù)和黑客技術(shù)，還需要對計算機取證工作進行研究，促進其使用的完善性。其中，計算機取證技術(shù)的發(fā)展方向主要表現(xiàn)為：第一，取證工具開始向著自動化、專業(yè)化方向發(fā)展。第二，取證工具和相關(guān)軟件自身具備一定的安全性，保證可靠性的提升。第三，在對工具軟件進行開發(fā)過程中，需要基于計算機領(lǐng)域以及相關(guān)理論知識進行研究，替代人工操作工作?；跓o線局域網(wǎng)、手機等設(shè)備，一些計算機犯罪現(xiàn)象不斷增加，其存在的犯罪形式將會以計算機、入侵檢測系統(tǒng)等相關(guān)設(shè)備體現(xiàn)的，為了展現(xiàn)出其中的信息，需要充分利用相關(guān)工具，促進取證工作的專業(yè)性與合理性。

2 數(shù)據(jù)恢復

2.1 相關(guān)概念

數(shù)據(jù)恢復技術(shù)在使用期間，主要是將已經(jīng)破壞的，存在硬件缺陷的或者無法訪問、無法獲取的、已經(jīng)丟失的數(shù)據(jù)進行還原，使之成為正常的數(shù)據(jù)。用戶在使用計算機系統(tǒng)過程中，當發(fā)現(xiàn)產(chǎn)生錯誤操作現(xiàn)象、病毒侵襲以及硬件產(chǎn)生故障問題的時候，利用數(shù)據(jù)恢復技術(shù)可以將用戶一些無法讀取的信息進行恢復，保證在較大程度上降低其產(chǎn)生的損失。

2.2 方式

數(shù)據(jù)恢復能夠?qū)σ呀?jīng)丟失的文件進行恢復，也能將物理損傷的磁盤數(shù)據(jù)進行恢復，也能將不同操作系統(tǒng)中的數(shù)據(jù)實施恢復工作。對于存在的數(shù)據(jù)問題，主要分為邏輯問題和硬件問題，一般情況下，數(shù)據(jù)恢復方式為軟件恢復和硬件恢復兩種，目前，國際上對數(shù)據(jù)恢復技術(shù)的分類如圖1所示。

對于其中的軟件恢復，是利用相關(guān)軟件對其恢復，沒有硬件修理與數(shù)據(jù)恢復工作。比如：存在的病毒感染、錯誤操作以及網(wǎng)絡刪除工作等。同時，軟件恢復工作還可以將其分為系統(tǒng)級恢復和文件級恢復。其中，對于系統(tǒng)級的恢復，存在的操作系統(tǒng)是不能啟動的，需要利用各個修復軟件實現(xiàn)修復工作，保證系統(tǒng)的正常運行和數(shù)據(jù)的恢復。對于文件級恢復，是儲存介質(zhì)上的某個應用文件破壞。比如：當DOC文件內(nèi)破壞，可以利用修復軟件對其修復。endprint

對于其中的硬件恢復。主要對一些硬件進行修理。當硬件破壞，需要將已經(jīng)失效的數(shù)據(jù)恢復到硬件中，尤其是磁盤劃傷、損傷以及一些原器件燒壞 等。硬件恢復還需要分為硬件代替、固件修復以及盤片讀取等方式。其中，對于硬件替代，是使用相同型號的硬件來替代，促使其恢復。對于固件修復工作，主要是使用一些專門的修復工具，對硬盤固件進行修復，保證數(shù)據(jù)得以恢復。對于盤片讀取方式，是在100級的超凈工作間內(nèi)對硬盤開盤工作，并利用專業(yè)設(shè)備對數(shù)據(jù)進行掃描，保證能夠讀出其中的數(shù)據(jù)[1]。

3 數(shù)據(jù)恢復在計算機取證中的應用

電子取證工作在實際執(zhí)行期間，主要是從取證系統(tǒng)中獲得一些原始數(shù)據(jù)，但是，并不對這些原始數(shù)據(jù)進行直接分析，在信息獲取期間，減少其干擾、覆蓋以及破壞現(xiàn)象。在取證工作中，基于信息網(wǎng)絡系統(tǒng)、相關(guān)設(shè)備對數(shù)據(jù)、信息進行分析，能夠促進其安全性與可靠性。在對數(shù)據(jù)進行分析期間，需要對數(shù)據(jù)進行數(shù)字簽名?；谙嚓P(guān)理論的分析和研究，相關(guān)人員在計算機取證工作中，對犯罪數(shù)據(jù)進行查找，研究其是否被覆蓋，只有充分找到這些數(shù)據(jù)，才能對犯罪行為進行思考。在計算機取證系統(tǒng)中，應用數(shù)據(jù)恢復技術(shù)，能夠促進目標與任務的有效完成。但是，在計算機取證過程中，也會產(chǎn)生不同的數(shù)據(jù)恢復，使用的方法也存在較大差異。一般情況下，計算機取證中的數(shù)據(jù)恢復技術(shù)在應用期間，是基于相關(guān)步驟來實現(xiàn)的。

在對取證工作進行檢查期間，維護計算機系統(tǒng)目標，減少其產(chǎn)生的改變與破壞現(xiàn)象，以免數(shù)據(jù)被破壞或者計算機被感染。

在對系統(tǒng)中所有的目標文件進行搜索過程中，主要對存在的文件、已經(jīng)刪除的并且在磁盤上的文件。還包括一些沒有覆蓋的新文件、隱藏文件、密碼保護文件以及加密文件等。

還需要最大限度的將系統(tǒng)與應用軟件中存在的一些隱藏文件、臨時文件以及交換文件等相關(guān)內(nèi)容充分顯示出來。

基于法律允許范圍，對一些正在保護、加密文件的相關(guān)內(nèi)容進行訪問。

在一些特殊的區(qū)域，需要對所有的數(shù)據(jù)進行分析，該范圍內(nèi)存在的種類主要包括：第一，還沒有分配的磁盤空間，主要是一些殘留的數(shù)據(jù)。第二，文件中的“slack”空間，當文件長度沒有達到簇長度整倍數(shù)，可以將其分配給文件的最后一簇。其中，還存在沒有被使用的空間，其存在的文件信息可以被當作證據(jù)。

對計算機系統(tǒng)中的打印目標進行全方位分析，并給出相關(guān)結(jié)論。在整體上，當發(fā)現(xiàn)系統(tǒng)中存在的文件結(jié)構(gòu)、文件數(shù)據(jù)以及文件信息的時候，會實現(xiàn)信息刪除、信息隱藏以及信息保護等工作，所以，在調(diào)查期間要發(fā)現(xiàn)其存在的信息。

基于以上的分析可以發(fā)現(xiàn)，數(shù)據(jù)恢復技術(shù)能夠?qū)Υ嬖诘膯栴}進行補救，但該技術(shù)在使用期間不是一種預防對策，也不是備份措施。所以，在一定特殊情況下，一些數(shù)據(jù)是無法恢復的，將會導致數(shù)據(jù)被覆蓋、磁盤被損傷以及產(chǎn)生低級格式化工作等[2]。

4 結(jié)束語

在計算機取證工作中，數(shù)據(jù)恢復技術(shù)為其中的主要部分。該技術(shù)在使用期間，與計算機系統(tǒng)實際環(huán)境存在關(guān)系，受環(huán)境不同要素的影響，計算機取證軟件也會面對較大復雜性，無法促進靈活性的提升，從而影響取證工作面對的可靠特點。因此，實現(xiàn)自動取證以及自動恢復技術(shù)，能夠促進安全智能化軟件的應用，也是當前人們研究的主要話題。

參考文獻：

[1]黎麗.淺談計算機犯罪取證中數(shù)據(jù)恢復技術(shù)的應用[J].數(shù)字通信世界，2016（8）：74，95.

[2]梁效寧，黃旭，趙飛，等.監(jiān)控視頻數(shù)據(jù)取證與恢復技術(shù)的研究[J].計算機科學，2016，43（12）：110-113.endprint