趙明明 吳霞

摘要：

互聯(lián)網(wǎng)等高科技給犯罪分子提供了多元化的犯罪途徑，近年來，我國犯罪案數(shù)量呈倍增長，加上犯罪分子有著較強的反偵察意識，懂得如何銷毀存儲設(shè)備中的犯罪證據(jù)，導致公安機關(guān)偵查證據(jù)愈發(fā)困難。眾所周知，一重要的電子證據(jù)丟失亦或是損毀都難以定罪犯罪分子，對此，如何恢復電子數(shù)據(jù)這是當前偵查人員要重視的問題，文中對涉案計算機偵查取證中運用數(shù)據(jù)恢復技術(shù)進行了探討，目的是為給公安偵查案件恢復犯罪證據(jù)提供更多幫助。

關(guān)鍵詞：

數(shù)據(jù)恢復;偵查取證;計算機

中圖分類號：

D918;TP309.3

文獻標識碼：

A

文章編號：

1672-9129（2020）15-0016-02

在網(wǎng)絡(luò)計算機普遍運用到我國各個領(lǐng)域后，犯罪分子活動是一日比一日猖獗，已經(jīng)嚴重的影響我國社會的穩(wěn)定，特別是最近兩年的詐騙案件引得群眾內(nèi)心恐慌，生怕自己成為下一個被騙之人，為了有效打擊犯罪分子的行為，公安機關(guān)和偵查人員就要不斷的學習各種先進的高科技，唯有如此，才可偵破案件。結(jié)合2017年統(tǒng)計數(shù)據(jù)顯示，與計算機有關(guān)的違反犯罪活動在我國刑事案件中占有96.3%的比重，且每年都在增多，這個數(shù)據(jù)無疑是令人震驚的，一旦犯罪分子利用高科技去銷毀證據(jù)，公安機關(guān)難以偵破，均會令我國社會變得動蕩。如何快速恢復丟失亦或損毀的電子證據(jù)，這是公安機關(guān)最大的挑戰(zhàn)，因電子數(shù)據(jù)具有特殊性質(zhì)，在計算機取證中平常的軟件無法復原重要證據(jù)，所以，新時代對取證人員在數(shù)據(jù)恢復原理、數(shù)據(jù)恢復技術(shù)以及數(shù)據(jù)恢復工具的運用等方面有了更高的標準，以下是詳細概述。

1對數(shù)據(jù)恢復的基本原理探索

因犯罪嫌疑人反偵查技術(shù)強，在計算機等先進設(shè)備上舍得投資，因此，他們掌握的計算機技術(shù)遠遠的高于我國公安機關(guān)和偵查部門，一旦他們動手銷毀了自己犯罪的電子證據(jù)，偵查人員都難以找到定罪的依據(jù)，為了應對這一問題，偵查人員要懂得恢復電子證據(jù)的技術(shù)，掌握數(shù)據(jù)恢復原理。

1.1數(shù)據(jù)存儲原理。論及數(shù)據(jù)刪除和恢復必然牽扯數(shù)據(jù)存儲原理，以當前最普遍的Windows系統(tǒng)來講：硬盤自出廠至存儲數(shù)據(jù)需經(jīng)過三個處理環(huán)節(jié)，第一，低級格式化處理，廠家出售的硬盤未經(jīng)過任何處理，難以存儲數(shù)據(jù)，要對盤體設(shè)置好磁道和扇區(qū);第二，磁盤分區(qū)處理，即硬盤分區(qū)，把磁盤的整體存儲空間分割成獨立的區(qū)域;第三，高級格式化處理，完成磁盤分區(qū)后，要建立對應的獨立邏輯驅(qū)動器，分區(qū)是為讓用戶知道引導代碼的地址，讓計算機的系統(tǒng)可正常導入本驅(qū)動器，因此，搭建文件系統(tǒng)是應用存儲設(shè)備必不可少的環(huán)節(jié)。一般來說，在Windows操作系統(tǒng)下，高級格式化類型有兩種，一種是FAT32文件系統(tǒng)，另一種是NTFS文件系統(tǒng)。若結(jié)合順序而言可把分區(qū)設(shè)置為目錄文件分配區(qū)與數(shù)據(jù)區(qū)，其中目錄文件分配區(qū)存儲了各個文件的名稱、數(shù)據(jù)大小、相關(guān)屬性等資料，要是用戶想要在硬盤中存儲數(shù)據(jù)，通常都會在目錄文件分配區(qū)中選擇一個起始位置，然后再數(shù)據(jù)區(qū)編寫文件內(nèi)容，從而完成存儲文件的需求。

1.2數(shù)據(jù)刪除和恢復原理。在選擇刪除文件時，Windows僅僅只刪除了文件記錄于目錄文件分配區(qū)的名稱和位置等信息。事實上，這一步驟并未刪除真正的數(shù)據(jù)，就是修改了目錄文件分配區(qū)的索引，不管是Fdisk命令除亦或是Format命令去刪除硬盤分區(qū)、格式化硬盤分區(qū)都不會丟失數(shù)據(jù)區(qū)內(nèi)存存儲的數(shù)據(jù)內(nèi)容，這是由于Fdisk命令刪除的只是原有分區(qū)表，而Format命令刪除的則是文件分配表。偵查機關(guān)快速恢復數(shù)據(jù)便是掌握了這一原理，經(jīng)過一定算法去對刪除的文件進行掃描，恢復零散的數(shù)據(jù)，從而給偵查犯罪案件當成是起訴的線索。

2公安機關(guān)怎樣進行數(shù)據(jù)恢復

現(xiàn)如今，公安機關(guān)和偵查部門可恢復數(shù)據(jù)的軟件以及取證的工具類型越來越多，但重要犯罪數(shù)據(jù)的復原并非是百分百的，以下是對常用數(shù)據(jù)恢復技術(shù)的介紹。

2.1根據(jù)文件簽名完成數(shù)據(jù)恢復。數(shù)據(jù)恢復軟件在恢復丟失和損毀數(shù)據(jù)時會掃描數(shù)據(jù)區(qū)，經(jīng)過對比各簇的若干起始字節(jié)和特征庫的值來對存儲數(shù)據(jù)的文件類型進行確定，它主要是利用了存儲文件簽署名都是固定的十六進制值的原理，在計算機技術(shù)中.doc，.docx，.jpg等都是比較常見的文件類型，根據(jù)這個簽名值就可搜索。

2.2搜索文件關(guān)鍵字。犯罪分子為了防止犯罪者證據(jù)被公安偵查到，一般都會利用黑客技術(shù)去刪除與案件有關(guān)的電子數(shù)據(jù)，雖說刪除的數(shù)據(jù)仍舊是存儲在內(nèi)存條的扇區(qū)中，在伴隨著存儲數(shù)據(jù)類型的增多，很有可能會覆蓋電子證據(jù)，加上電子證據(jù)大都是碎片的形式，每個扇區(qū)存儲位置不同，想要將原始的數(shù)據(jù)復原無疑是比較困難的。對此，偵查人員就要按照和案件有關(guān)的信息設(shè)定關(guān)鍵詞，然后在使用WinHex軟件搜索磁盤，提恢相關(guān)數(shù)據(jù)恢復文件，給公安人員破案提供主要線索。

3探索數(shù)據(jù)恢復技術(shù)在涉案計算機取證當中的實踐探討

公安機關(guān)和偵查機關(guān)在設(shè)計系統(tǒng)前，要對比傳統(tǒng)證據(jù)和電子證據(jù)的差異，提高系統(tǒng)設(shè)計的針對性和有效性，確保設(shè)計的系統(tǒng)更符合現(xiàn)代取證需求。眾所周知，計算機內(nèi)的數(shù)據(jù)并非是一成不變的，加上數(shù)據(jù)保存方式過于特別，所以，很容易丟失和損毀重要證據(jù)，犯罪人員若是利用計算機犯罪，那么所有的犯罪記錄必然是在計算機內(nèi)，這一點是有別于傳統(tǒng)犯罪證據(jù)的，更加大了偵查人員調(diào)查案件的難度，所以，公安機關(guān)和偵查機關(guān)想要拿到足夠的電子證據(jù)去捉拿犯罪分子，技術(shù)人員就要掌握各種高科技取證技術(shù)，否則只會被犯罪分子玩弄于股掌之間。

在設(shè)計相關(guān)系統(tǒng)的過程中，要充分發(fā)揮數(shù)據(jù)恢復技術(shù)的作用。

3.1利用文件簽名恢復查找電子證據(jù)。案情介紹：辦案民警接到學生報案，調(diào)查其學費被不法分子所騙案件，在調(diào)查中他們發(fā)現(xiàn)有團伙冒充學校給學生發(fā)送詐騙短信，為了找到相關(guān)證據(jù)，民警深入做了調(diào)查，可卻犯罪嫌疑人察覺，立即銷毀了數(shù)據(jù)，導致民警部門雖然拿到了計算機硬盤，卻無法根據(jù)證據(jù)將團隊一網(wǎng)打盡，根據(jù)嫌疑人提供的證據(jù)，相關(guān)涉案人員的名單都保存在一個Word文件中，可是民警在人工搜索后并未找出這一文件，只能利用取證軟件去恢復犯罪證據(jù)，最后發(fā)現(xiàn)一個較為可疑的簽名文件，在分析這個文件，發(fā)現(xiàn)它是一個圖片，圖片中可清晰的看見其中一些犯罪分子的名字，也是這一證據(jù)最終幫助民警把所有的犯罪分子給抓捕，追回學生被騙學費的。

3.2利用關(guān)鍵字搜索電子證據(jù)。案情介紹：公安機關(guān)在調(diào)查某個公司機密被泄露的案件，在扣押嫌疑人電腦設(shè)備后，卻并未找到其犯罪證據(jù)，即便是利用一些取證技術(shù)復原，證據(jù)也不充分，結(jié)合案件性質(zhì)來說，這個案件可能會和金錢有關(guān)聯(lián)，于是民警就從這一點入手去搜查犯罪嫌疑人名下的銀行卡信息，運用Winhex軟件搜索銀行卡有關(guān)的詞匯，查到犯罪嫌疑人的電腦中存在數(shù)據(jù)碎片，甚至還有很多犯罪信息，這些都給公安機關(guān)調(diào)查提供了線索，找到和其有著現(xiàn)金交易的對象。由此可見，對于公安機關(guān)和偵查機關(guān)而言，以關(guān)鍵詞搜索相關(guān)重要電子證據(jù)也是一種恢復犯罪證據(jù)的手段，公安機關(guān)和偵查機關(guān)只有掌握了這些技術(shù)，方可真正的破案，提高其偵查案件的效率，打擊我國的犯罪分子，保護人民群眾的財產(chǎn)安全。

4結(jié)語

當前，計算機已經(jīng)變成不少違法犯罪分子詐騙的主要工具，伴隨著涉案金額的不斷提高，違法犯罪活動已經(jīng)給人民群眾的財產(chǎn)安全造成了巨大的威脅。為了確保人民群眾生活的穩(wěn)定性，打壓犯罪分子違法行為是必要的，可是我國財政部門資金有限，各個城市的公安機關(guān)和偵查機關(guān)掌握的計算機技術(shù)可能遠不如販子分子先進，所以，近年來的跨國犯罪案件令相關(guān)部門非常頭疼，因為犯罪分子不僅懂得如何利用先進技術(shù)犯罪，更懂得如何去銷毀重要的犯罪證據(jù)，導致公安機關(guān)和偵查機關(guān)想要提取計算機內(nèi)遺留的證據(jù)難度頗高，即便是有計算機技術(shù)的輔助，難度也沒有降低多少。因此，深入分析計算機取證對數(shù)據(jù)恢復技術(shù)的運用是重要的，只有發(fā)揮其作用，才可真正的遏制出計算機犯罪活動，經(jīng)過本文的實踐，我們能夠發(fā)現(xiàn)計算機內(nèi)刪除數(shù)據(jù)其實并未真的消失，它還保存在硬盤的數(shù)據(jù)區(qū)，警察和偵查人員是有機會恢復犯罪證據(jù)，定罪犯罪分子的。

參考文獻：

[1]尹毅嫻.計算機硬盤的數(shù)據(jù)恢復技術(shù)[J].電子技術(shù)與軟件工程，2017（13）

[2]張婷婷.試論計算機取證中的數(shù)據(jù)恢復技術(shù)[J].科技風，2017（05）

[3]薄光明.計算機數(shù)據(jù)恢復技術(shù)研究[J].科技創(chuàng)新與應用，2018（24）